Sicherheit

Microsoft veröffentlicht Statistiken über die Erfolgsquote ihres Mini-Malware Scanners der mit den Windows Updates verteilt wird. In deinem Heise Artikel finden sich die Statisitiken in der Übersetzung:

Seit seinem Erscheinen am 13. Januar 2005 bis einschließlich März dieses Jahres wurde das Tool 2,7 Milliarden Mal auf mindestens 270 Millionen unterschiedlichen Rechnern ausgeführt. Dabei fielen 5,7 Millionen Rechner durch eine Infektion auf; von diesen waren mehr als 60 Prozent mit einer Backdoor verseucht, die den Rechner zur hörigen Drohne umfunktioniert,

Trotz der niedrigen Quote (0,3%) halte ich die Durchseuchung für sehr bedenklich, zumal die Dunkelzifer deutlich größer sein dürfte (das Tool findet nur eine Auswahl von Malware und wird auch nur auf Rechner ausgeführt die Windows Update aktiviert haben (also aktuell sind!)

Die Masse macht es hier. Angreifer können beachtliche Zombie Netze ansammeln für DDOS Angriffe oder Spam Auslieferung (Mail oder Web). Die Tatsache dass Microsoft so offen mit den doch recht erschreckenden Zahlen umgeht könnte daran liegen, dass das Anti Malware Team das Tool als erfolgreich sieht und vergisst, dass das Problem hausgemacht ist. Monokultur eben...

Im Gesundheitsbereich ist für IT Software Hersteller und Dienstleister weltweit ein lukrativer Markt vorhanden. Trotz knappen Budgets - wie kann das sein? Nun das liegt zum Großteil an der Gesetzgebung und behördlichen Auflagen. Großangelegte Programme der Regierungen wie HIPAA/HL7 in den USA oder diverse Europäische Verordnungen und Deutsche ("Modernisierungs")-Gesetze haben zu einer komplexen Landschaft geführt. Behörden, Leistungserbringer, Dienste und Clearingstellen müssen aus einem sehr kleinen Angebot von hochpreisigen und altertümlichen Lösungen das richtige Produkt finden.

Dabei kann man weder den Lösungsanbietern böse sein (da die ein riessigen Aufwand treiben müssen um die Regulierungen zu verstehen) wenn sie Ihre Marktposition ausnutzen, noch kann man die Regulation per-se verteufeln. Denn Arzneimittelsicherheit, Rohstoffüberwachung, Pharma-Zulassungsverfahren, Geräteüberwachungen oder auch nur Datenaustausch-Vereinheitlichung sind ja durchaus Bereiche in denen Vorgaben sinnvoll und notwendig sind. Immerhin geht es hier um Menschenleben. Und ganz nebenbei auch um riesige Goldtöpfe die es zwischen den Interessengruppen aufzuteilen gilt. Allen vorweg(?) an die "Leistungsbezieher".

Bei InformIT gibt es einen Artikel von John Tränkenschuh über die Sicherheitsprobleme die man sich mit SSH einfangen kann:

SSH Issues: Does Installing SSH Enable More Exploits Than it Solves? (26. Mai)

Natürlich ist ein verschlüsselter Shell Zugang auf jeden Fall vorzuziehen, aber es gibt eine ganz erschreckende Anzahl von Fehlern und Fallen die unbedarfte Administratoren beim SSH Einsatz machen, so dass es durchaus schon fast zu einem "würdigen" rsh nachfolger (was die Unsicherheit angeht) geworden ist.

Ein Must Read für Nachwuchsadministratoren, die alten Hasen wollen den Link unbedingt abspeichern zum weitergeben.

Das Online Magazin (IN)SECURE 1.6 ist erschienen. Die Ausgabe steht als PDF zum freien Download bereit. Einer der Leitartikel beschäftigt sich mit Enterprise Datenbanken. Best Practise Tipps aus der "Praxis":

http://www.insecuremag.com/

Ulf Mattson schreibt darin wie die Vertraulichkeit und Integrität von Enterprise Datenbanken sichergestellt werden können. Ich persönliche halte den Artikel etwas missglückt, da die üblichen Verfahren etwas kurt kommen, und dem Thema Verschlüsselung und externe Schutzsysteme zu viel Bedeutung zugemessen wird. Das dürfe wohl darin begründet sein dass Mattson der CTO von Protegrity ist. Dieses Unternehmen verkauft Software Lösungen für diese Aufgaben.

In weiteren Artikeln findet man Informationen über Security Zertifizierungen, die Kosten von Spyware in Unternehmen, Buch Reviews oder News über Security Produkte und drei Beiträge über Web Sicherheit: Authentifizierte Sessions und PHP/SQL Sicherheit. und Apache Deny of Service Absicherung.

Desweiteren gibt es ein Interview mit Prof. Kenny Paterson (Information Security Group, Royal Holloway, University of London) und einen Artikel über den Einsatz von Metriken mit der Open Source Security Testing Methodology (OSSTM) und einen Bericht über War Driving auf der CeBIT 2006.

Weil ich nebenbei dran bin das Thema IT-Sicherheit im Software Entwicklungsprozess aufzubereiten, hier eine Liste von möglichen Motivationspunkten. Wovor soll geschützt werden...

• Das Image eines Software Unternehmens ist sehr wichtig. Vertrauen in die Beständigkeit und Leistungsfähigkeit des Softwarehauses ist eines der wichtige Auswahlkriterien bei der Beschaffung von Software..
• Zumindest in Deutschland kann sich ein Unternehmen nicht aus der Produkthaftung befreien. Auch bei Auftragsarbeit besteht das Risiko von Regressansprüchen
• Für bestimmte Einsatzbereich fordern Kunden Explizit Audits und Zertifizierungen des Entwicklungsprozesses. In bestimmten Bereichen wird dies auch durch Gesetzgeber oder Verwaltung gefordert. Compliance ist ein wichtiges neues Thema.
• Software Unternehmen sind der Prototyp eines IT-lastigen Unternehmens. Entsprechend wichtig ist ein Securitymanagement in diesem Bereich.
• Die IT gilt zwar gemeinhin als Rationalisierungsmittel, Software Hersteller und Beratungshäuser sind aber extrem personalintensive Dienstleistungsunternehmen. Der Faktor Mensch im Prozess bringt aber einige Probleme mit sich. Von personenbezogenen Daten über irrationales Verhalten (und der Herausforderung der Führung) bis hin zu den unvermeidlichen Fehlern.
• Unternehmen mit hohem Anteil an F&E stehen unter verstärkter Wettbewerbsbeobachtung bis hin zur Industriespionage. Der Schutz von Intellectual Property wird oft als wichtiger Überlebensfaktor angesehen. Mit den drohenden Softwarepatenten wird diese Situation nur schlimmer.
• Der Trend zur Software aus dem Regal (COTS) existiert auch in sicherheitskritischen Bereichen. Als Softwarehersteller kann man sich hier schnell in der Verantwortung finden. Menschenleben oder Menschenrechte können von der ordnungsgemäßen Funktion der Software abhängen.

Diese Gründe sprechen dafür der IT-Sicherheit im Entwicklungsprozess und im fertigen Produkt verstärkte Aufmerksamkeit zukommen zu lassen. Es gibt allerdings auch Herausforderungen zu meistern sind:

Man könnte es als Respektlosigkeit sehen, was das Internet Storm Center über den NSA zu lästern hat. Aber bei genauer Betrachtung dürfte schnell klar werden worum es bei den ganzen Anti-Cyber-Terrorismus und Homeland Security eigentlich geht: für die Politik ist einfachste Technik so geheimnisvoll wie Magie, und jeder der ein paar freie und kommerzieller Tools installieren kann hat Zugriff auf unbeschränkte Budgets und Rechte. Es muss nur über-cool aussehen.

Super-secret spy agency sensor grid - $Billions Security for a visit from the President of the United States - $Millions Showing the President that your prime source of information is a bunch of volunteers - PRICELESS!

Ach ja, die nette Grafik (Vorsicht Java) im Hintergrund ist Priceless, genauso wie die Daten der weltweit verteilten Sonden (DShield.org).

wie immer: mit der Angst kann man gut Geld verdienen, aber in der IT auch noch besonders billig.

via Ende der Vernunft

Die Wahl ist zwar größtenteils vorbei, dennoch gibt es weitere Analysen der Wahlprogramme und einen Ausblich auf zukünftige Entwicklungen. c't 20/2005 enthält einen Verweis auf einen älteren Artikel über die geplanten Gesetzgebungen der Bundestagsfraktionen.

Als Ex-ISP Aktivist kenne ich die Überlegungen die man so anstellt zwischen Datenschutz und effektivem Abuse Management. Als guter Net-Citizen möchte man auf die Beschwerden (wegen Spams, Wurmschleudern, Scans, Hackangriffe oder Fehlkonfiguration) an das Abuse-Team natürlich eingehen. Gleichzeitig gibt es Bedenken, welche Daten gespeichert und weitergegeben werden können. Schon alleine die Frage ob man eine Beschwerde von einem unbekannten verifizieren kann hängt im wesentlichen von den geführten Logs ab.

In Deutschland ist der Datenschutz hier zum Glück sehr kleinlich: Keine Speicherung von personenbezogenen Daten ohne Gründe aus den Bereichen Abrechnung oder Betrieb. Die Auslegung, was nun technisch notwendig ist bereitet nicht nur den Abuse Teams der Provider Probleme.

Und die Strafverfolgung kommt hier als Grund nicht vor. So gesehen ist eine Regulierung in diesem Bereich überfällig, um die unklare Situation zu entschärfen. Jedoch schießt die Innenminister Konferenz mit ihrer Forderung nach Speicherung für ein Jahr über das Ziel hinaus: das belastet nicht nur die Infrastruktur, sondern das führt auch zu Datenansammlungen die (wie alle Datenansammlungen) missbraucht werden.

Dazu kommt dann noch die Entwicklung der letzten Jahre, dass dank Überwachungsverordnung (und Kontenabrufverfahren und und und) die Datensammelwut des Staates enorm zugenommen hat. Für das Bürger-Mining wollen die ISPs nun wirklich nicht sammeln.

Kris Köhntopp hat in Karlsruhe zum Geekend geladen. Neben Star Wars gab es von Ihm Vorträge zum Thema "Security Management" und zum Thema "Vortrag halten". Die Folien sind in seiner Blog-Zusammenfassung zu dem Event verfügbar.

Ein besonders interessanter Aspekt für mich war natürlich mal wieder die Praxis. Was tut man z.B. wenn zwischen dem Produktivstart einer neuen kritischen Anwendung nur noch die Security Policy steht. Kris hat hier richtig angeerkt dass ein Großteil der Arbeit eines Security Managers darin besteht genau solche Probleme zu lösen, und Anwendungen in Produktion zu nehmen, die komplett gegen die geltenden Regelungen verstoßen. Sein Tipp war hier ganz klar Fristen zu vereinbaren (um den Baracken-Effekt zu vermeiden.

Ich habe dazu ergänzt, dass man mit Intuition auch die größten Risiken einfach abdecken kann. Letztenendes nützt es nichts ein sicheres System in einem Betrieb zu haben der nicht mehr konkurenzfähig ist (und ja, es gibt sicher auch Fälle in denen der Schutz von Dritten vorgeht). Intuition als Werkzeug im Security Management wird nicht gerne gesehen, kommt in der BS7799 auch sicher nicht vor (wird aber auch nicht verboten!). Darüber hatte ich mich ja schon im letzten Artikel zu dem Thema ausgelassen.

Laut The Register hat Verisign eine Spass-Umfrage in der Innenstadt von San Fransico durchgeführt, bei der 66% der Befragten ihr Passwort für eine kostenlose Tasse Kaffee verraten haben. Über die genauen Umstände der Befragung kann man nur spekulieren. News.com berichtet zum Beispiel, dass man sein Login oder das entsprechende System dazu nicht angeben mußte. Unter den Umständen hätte ich auch einige Passwörter zu verraten (oder zu erfinden :).

Und damit dieser Eintrag nicht nur reine Bouevard Unterhaltung darstellt erkläre ich hier öffentlich mal wieder meine Passwörter durchzuwechseln. Das wird Lustig: führt regelmäßig dazu, dass mich der Windows Domain Controller sperrt, weil irgendweche Rechner noch Verbindungen zu Shares haben und diese mit alten Passwörtern aufbauen wollen. Typisches Beispiel für eine Sicherheitsmassnahme die nach hinten los geht.

Via ecin Newsletter.