Skip to content

ROTFL: Lost Security Question

Wenn man bei Novell angibt den Username und das Passwort vergessen zu haben, so bekommt man einen Passwort Reminder, der neben dem Usernamen auch die Securityquestion enthält - und die Antwort (was soll das denn, da kann man ja gleich nen neues Passwort zusenden). Rotfl:

Intranet Identity Management (Part 1)

Das Thema Identity Management wurde besonders von den Herstellern entsprechender Lösungen immer wieder in die Fachpresse gebracht. Sicherheit ist auch ein sehr wichtiges Thema, und gerade die Innerbetrieblichen Abläufe lassen sich durch entsprechende Automatisierung nicht nur beschleunigen oder kostengünstiger machen, nein insbesondere auch die Sicherheit profitiert von einem durchdachten Ansatz. Ein typisches Beispiel ist der HR Prozess bei dem ein Mitarbeiter das Unternehmen verlässt, oder dessen Zugriffsrechte kurzfristig zurückgezogen werden sollen. Je mehr Systeme an einer Synchronisation beteiligt sind, oder direkt auf die zentrale Benutzerverwaltung zugreifen, desto schneller und vollständiger ist dieser Prozess. Aber wieder zurück zum Thema IM - ich habe den Eindruck das Risiko wird zwar verstanden, aber noch immer sind Tools in dem Umfeld "Nice-to-have", oder noch schlimmer: es werden strategische Entscheidungen "angedacht" und investiert, ein Großteil der Intranet Anwendungen bleibt aber außen vor. Hier genau setzt jetzt ein Compliance und Risk Management an. Und wie allen bekannt ist, kann sich Niemand dem Thema entziehen. Spätestens mit der neuen EU Direktive zum EuroSOX (was für ein schreckliches Schlagwort) wird es hier einen Boom geben. Entsprechend gibt es auch schon eine Analysten Meinung zu dem Thema, wie gerade bei CIO.de gefunden. Zugriffsrechte sollen hier vereinheitlicht werden (und dazu muß man natürlich Produkte kaufen). Continue reading "Intranet Identity Management (Part 1)"

BITKOM IT-Security Kompass

Zufällig erhielt ich dieses Dokument, und da ich es noch nicht kannte dachte ich mir: na dann ist es eventuell generell noch nicht allzuweit bekannt. Der BITKOM Kompass der IT-Sicherheitsstandards ist unter Beteiligung des DIN entstanden, und enthält eine Auflistung und Bewertung der meisten Standards und Guidelines die im Bereich IT-Security relevant sind. Das Dokument vom Juni 2006 könnte zwar eine Auffrischung vertragen, ist aber trotzdem sehr wertvoll. Zumal es von den Web Seiten des BITKOM Verbandes frei zu beziehen ist. bitkom.de/de/publikationen/38337_40496 BITKOM hat übrigens eine ganze Reihe von Sinnvollen Wegweisern und Guidelines, das bezieht sich nicht nur auf das Thema IT-Sicherheit.

Review: Team Beam

Das Versenden von großen Dateien ist entweder schwierig oder gar nicht möglich. E-Mail Anhänge sind in der Größe Limitiert, nicht alle Kunden haben Zugriff auf FTP, und das Betreiben eines eigenen Servers kostet Zeit und Geld. Ich kenne das aus meiner eigenen Praxis, da sollen schon mal schnell CD-Images, Patches oder Druckvorlagen übertragen werden, und man muss immer mit sftp Servern hantieren. Es muss hier also eine Lösung her. Dies hat sich auch die Skalio gedacht und bietet einen Hosted Service an: TeamBeam. Zahlende Kunden erhalten einen einfachen Upload Client mit dem Dateien auf den TeamBeam Server geladen werden können, und der Endkunde erhält eine Mail, die ein HTTP Download Link enthält. Großkunden können die Server sogar selbst betreiben und Customizing Dienstleistungen von Skalio erwerben. Skalio glaubt an die Macht der Blogs, so habe ich einen Test Zugang erhalten, mit der Bitte den Service zu reviewen. Das will ich gerne tun: Eine gute Idee Positiv finde ich den Server Ansatz und die Tatsache dass der Empfänger der Files keine spezielle Software außer einem Browser benötigt. Der Einsatz von HTTP ist zudem kompatibel mit den meisten Firmen-Policies. SSL bietet einen halbwegs vernünftigen Schutz der übertragenen Daten. (Der Empfänger erhält eine längere URL dadurch ist gewährleistet, dass Unbefugte die Datei ohne Zugriff auf die unverschlüsselte E-Mail nicht finden können). Einfache Software Negativ finde ich den Java Upload Client. Dieser bietet in der Version 1.0 nicht die Funktionen die man von einer Software für die Übertragung von Großen Files erwarten würde: Übertragungen werden nach einem Abbruch nicht erneut probiert, man muß diese noch einmal anstoßen. Startet man die Übertragung manuell erneut an, so wird diese anscheinend immer vom Anfang an begonnen, also keine Restart Funktion (der Empfänger kann immerhin einen Restartfähigen HTTP Client Download nutzen, da der Server den Range Header unterstützt). Wenn man mehrere Sendeaufträge parallel anstoßen möchte, so werden diese nicht in einer einzigen Upload Queue zusammengefasst, man kann also keine Parameter für maximale Parallelität, Bandbreite oder Prios vorgeben. Auch lassen sich einzelne Übertragungen nicht pausieren. Die Gui des Upload Clients ist simpel zu bedienen, die Buttons zum Browsen und der Pflege des "Addressbuchs" sind aber Gewöhnungssache. Sicherheitsschwächen Die Übertragungssicherheit bei Team Beam basiert ausschließlich auf SSL. Leider überprüft der TeamBeam Client das SSL Server Zertifikat nicht. So war es mit problemlos möglich einen eigenen SSL Proxy dazwischenzumogeln und die Komplette Übertragung mitzuschneiden. Dies ist leider ein massives Sicherheitsproblem, dürfte aber einfach zu beheben sein. Schwerwiegender ist die Tatsache dass die Download URLs in unverschlüsselten E-Mails versendet werden. Man sollte also die Daten selbst verschlüsseln (und dabei auch gleich eine elektronische Unterschrift anbringen). Im WebDAV Verzeichnis kann man an den Userids (ich hatte die Nummer 240) ablesen, dass bisher noch wenige Kunden aktiv sind (45 Postfächer mit wartenden Dateien). Auch hier kann Skalio noch für etwas mehr Privatsphäre sorgen (im eigenen Interesse). Fazit Jeder sollte selbst die Rechnung machen, ob er Open Source Tools und einen Root Server einsetzen möchte, oder lieber die Services von TeamBeam (z.B. 250Eur/Monat für 100 User) nutzen möchte. Für die Datensicherheit sollte man bei sensitiven Daten zusätzlich selbst sorgen. Die Funktionalität wie Erinnerungen, Lesebestätigungen und das Portal zur Verwaltung der Aufträge sind eine bequeme Sache (ich weiss nicht ob es hier schon Open Source Lösungen gibt). Neue Features wie z.B. die Weiterleitung von bereits auf dem Server befindlichen Dateien (im Portal) an neue Empfänger sind bereits angekündigt. Wie das Administrationsinterface für Firmenkunden aussieht (dort müssen die E-Mail Addressen der Mitarbeiter gepflegt werden) konnte ich in meinem Test nicht prüfen. Ich denke aber dass größere Kunden hier noch auf die Entwicklung Einfluss nehmen könnten. Update: ich habe den Artikel nach Feedback von Skalio etwas angepasst: Die Sicherheitsprobleme werden behoben, die Anzahl der Verzeichnisse im WebDAV spiegelt nicht die Anzahl der Kunden wieder und das Prinzipiellle Problem mit der E-Mail Sicherheit soll durch optionale Logins beim Download gelöst werden - für Skalio Kunden die ein my.teambeam.de Login haben. Update2: heute erhalte ich die Information von Skalio, dass eine neue Version 1.0.1 des TeamBeam Clients verfügbar ist, das mit einer SSL Zertifikatsprüfung daherkommt. Ebenso wurde eine XSS Schwäche beseitigt und die Zugriffsmöglichkeiten auf das WebDAV Verzeichnis sind nun eingeschränkt. Damit wurden die von Bloggern berichteten Schwächen recht zügig behoben. (Das Problem der unverschlüsselten Datenhaltung auf dem Salio Server und den ungeschützten Download Links besteht natürlich weiterhin, aber ist in der Einfachheit des Produktes bedingt)

Malicious-Software Removal-Tools Statisitiken

Microsoft veröffentlicht Statistiken über die Erfolgsquote ihres Mini-Malware Scanners der mit den Windows Updates verteilt wird. In deinem Heise Artikel finden sich die Statisitiken in der Übersetzung:
Seit seinem Erscheinen am 13. Januar 2005 bis einschließlich März dieses Jahres wurde das Tool 2,7 Milliarden Mal auf mindestens 270 Millionen unterschiedlichen Rechnern ausgeführt. Dabei fielen 5,7 Millionen Rechner durch eine Infektion auf; von diesen waren mehr als 60 Prozent mit einer Backdoor verseucht, die den Rechner zur hörigen Drohne umfunktioniert,
Trotz der niedrigen Quote (0,3%) halte ich die Durchseuchung für sehr bedenklich, zumal die Dunkelzifer deutlich größer sein dürfte (das Tool findet nur eine Auswahl von Malware und wird auch nur auf Rechner ausgeführt die Windows Update aktiviert haben (also aktuell sind!) Die Masse macht es hier. Angreifer können beachtliche Zombie Netze ansammeln für DDOS Angriffe oder Spam Auslieferung (Mail oder Web). Die Tatsache dass Microsoft so offen mit den doch recht erschreckenden Zahlen umgeht könnte daran liegen, dass das Anti Malware Team das Tool als erfolgreich sieht und vergisst, dass das Problem hausgemacht ist. Monokultur eben...

(Heil)Kostentreiber IT?

Im Gesundheitsbereich ist für IT Software Hersteller und Dienstleister weltweit ein lukrativer Markt vorhanden. Trotz knappen Budgets - wie kann das sein? Nun das liegt zum Großteil an der Gesetzgebung und behördlichen Auflagen. Großangelegte Programme der Regierungen wie HIPAA/HL7 in den USA oder diverse Europäische Verordnungen und Deutsche ("Modernisierungs")-Gesetze haben zu einer komplexen Landschaft geführt. Behörden, Leistungserbringer, Dienste und Clearingstellen müssen aus einem sehr kleinen Angebot von hochpreisigen und altertümlichen Lösungen das richtige Produkt finden. Dabei kann man weder den Lösungsanbietern böse sein (da die ein riessigen Aufwand treiben müssen um die Regulierungen zu verstehen) wenn sie Ihre Marktposition ausnutzen, noch kann man die Regulation per-se verteufeln. Denn Arzneimittelsicherheit, Rohstoffüberwachung, Pharma-Zulassungsverfahren, Geräteüberwachungen oder auch nur Datenaustausch-Vereinheitlichung sind ja durchaus Bereiche in denen Vorgaben sinnvoll und notwendig sind. Immerhin geht es hier um Menschenleben. Und ganz nebenbei auch um riesige Goldtöpfe die es zwischen den Interessengruppen aufzuteilen gilt. Allen vorweg(?) an die "Leistungsbezieher". Continue reading "(Heil)Kostentreiber IT?"

SSH Probleme

Bei InformIT gibt es einen Artikel von John Tränkenschuh über die Sicherheitsprobleme die man sich mit SSH einfangen kann: SSH Issues: Does Installing SSH Enable More Exploits Than it Solves? (26. Mai) Natürlich ist ein verschlüsselter Shell Zugang auf jeden Fall vorzuziehen, aber es gibt eine ganz erschreckende Anzahl von Fehlern und Fallen die unbedarfte Administratoren beim SSH Einsatz machen, so dass es durchaus schon fast zu einem "würdigen" rsh nachfolger (was die Unsicherheit angeht) geworden ist. Ein Must Read für Nachwuchsadministratoren, die alten Hasen wollen den Link unbedingt abspeichern zum weitergeben.

(in)Secure Magazin: Enterprise Database Security

Das Online Magazin (IN)SECURE 1.6 ist erschienen. Die Ausgabe steht als PDF zum freien Download bereit. Einer der Leitartikel beschäftigt sich mit Enterprise Datenbanken. Best Practise Tipps aus der "Praxis": http://www.insecuremag.com/ Ulf Mattson schreibt darin wie die Vertraulichkeit und Integrität von Enterprise Datenbanken sichergestellt werden können. Ich persönliche halte den Artikel etwas missglückt, da die üblichen Verfahren etwas kurt kommen, und dem Thema Verschlüsselung und externe Schutzsysteme zu viel Bedeutung zugemessen wird. Das dürfe wohl darin begründet sein dass Mattson der CTO von Protegrity ist. Dieses Unternehmen verkauft Software Lösungen für diese Aufgaben. In weiteren Artikeln findet man Informationen über Security Zertifizierungen, die Kosten von Spyware in Unternehmen, Buch Reviews oder News über Security Produkte und drei Beiträge über Web Sicherheit: Authentifizierte Sessions und PHP/SQL Sicherheit. und Apache Deny of Service Absicherung. Desweiteren gibt es ein Interview mit Prof. Kenny Paterson (Information Security Group, Royal Holloway, University of London) und einen Artikel über den Einsatz von Metriken mit der Open Source Security Testing Methodology (OSSTM) und einen Bericht über War Driving auf der CeBIT 2006.

Sicherheit im Entwicklungsprozess

Weil ich nebenbei dran bin das Thema IT-Sicherheit im Software Entwicklungsprozess aufzubereiten, hier eine Liste von möglichen Motivationspunkten. Wovor soll geschützt werden...
  • Das Image eines Software Unternehmens ist sehr wichtig. Vertrauen in die Beständigkeit und Leistungsfähigkeit des Softwarehauses ist eines der wichtige Auswahlkriterien bei der Beschaffung von Software..
  • Zumindest in Deutschland kann sich ein Unternehmen nicht aus der Produkthaftung befreien. Auch bei Auftragsarbeit besteht das Risiko von Regressansprüchen
  • Für bestimmte Einsatzbereich fordern Kunden Explizit Audits und Zertifizierungen des Entwicklungsprozesses. In bestimmten Bereichen wird dies auch durch Gesetzgeber oder Verwaltung gefordert. Compliance ist ein wichtiges neues Thema.
  • Software Unternehmen sind der Prototyp eines IT-lastigen Unternehmens. Entsprechend wichtig ist ein Securitymanagement in diesem Bereich.
  • Die IT gilt zwar gemeinhin als Rationalisierungsmittel, Software Hersteller und Beratungshäuser sind aber extrem personalintensive Dienstleistungsunternehmen. Der Faktor Mensch im Prozess bringt aber einige Probleme mit sich. Von personenbezogenen Daten über irrationales Verhalten (und der Herausforderung der Führung) bis hin zu den unvermeidlichen Fehlern.
  • Unternehmen mit hohem Anteil an F&E stehen unter verstärkter Wettbewerbsbeobachtung bis hin zur Industriespionage. Der Schutz von Intellectual Property wird oft als wichtiger Überlebensfaktor angesehen. Mit den drohenden Softwarepatenten wird diese Situation nur schlimmer.
  • Der Trend zur Software aus dem Regal (COTS) existiert auch in sicherheitskritischen Bereichen. Als Softwarehersteller kann man sich hier schnell in der Verantwortung finden. Menschenleben oder Menschenrechte können von der ordnungsgemäßen Funktion der Software abhängen.
Diese Gründe sprechen dafür der IT-Sicherheit im Entwicklungsprozess und im fertigen Produkt verstärkte Aufmerksamkeit zukommen zu lassen. Es gibt allerdings auch Herausforderungen zu meistern sind: Continue reading "Sicherheit im Entwicklungsprozess"

Anti Cyber-Terrorism... Priceless

Man könnte es als Respektlosigkeit sehen, was das Internet Storm Center über den NSA zu lästern hat. Aber bei genauer Betrachtung dürfte schnell klar werden worum es bei den ganzen Anti-Cyber-Terrorismus und Homeland Security eigentlich geht: für die Politik ist einfachste Technik so geheimnisvoll wie Magie, und jeder der ein paar freie und kommerzieller Tools installieren kann hat Zugriff auf unbeschränkte Budgets und Rechte. Es muss nur über-cool aussehen. Super-secret spy agency sensor grid - $Billions Security for a visit from the President of the United States - $Millions Showing the President that your prime source of information is a bunch of volunteers - PRICELESS! Ach ja, die nette Grafik (Vorsicht Java) im Hintergrund ist Priceless, genauso wie die Daten der weltweit verteilten Sonden (DShield.org). wie immer: mit der Angst kann man gut Geld verdienen, aber in der IT auch noch besonders billig. via Ende der Vernunft

Wahlblog: (Pointer) Vorratsdatenspeicherung

Als Ex-ISP Aktivist kenne ich die Überlegungen die man so anstellt zwischen Datenschutz und effektivem Abuse Management. Als guter Net-Citizen möchte man auf die Beschwerden (wegen Spams, Wurmschleudern, Scans, Hackangriffe oder Fehlkonfiguration) an das Abuse-Team natürlich eingehen. Gleichzeitig gibt es Bedenken, welche Daten gespeichert und weitergegeben werden können. Schon alleine die Frage ob man eine Beschwerde von einem unbekannten verifizieren kann hängt im wesentlichen von den geführten Logs ab. In Deutschland ist der Datenschutz hier zum Glück sehr kleinlich: Keine Speicherung von personenbezogenen Daten ohne Gründe aus den Bereichen Abrechnung oder Betrieb. Die Auslegung, was nun technisch notwendig ist bereitet nicht nur den Abuse Teams der Provider Probleme. Und die Strafverfolgung kommt hier als Grund nicht vor. So gesehen ist eine Regulierung in diesem Bereich überfällig, um die unklare Situation zu entschärfen. Jedoch schießt die Innenminister Konferenz mit ihrer Forderung nach Speicherung für ein Jahr über das Ziel hinaus: das belastet nicht nur die Infrastruktur, sondern das führt auch zu Datenansammlungen die (wie alle Datenansammlungen) missbraucht werden. Dazu kommt dann noch die Entwicklung der letzten Jahre, dass dank Überwachungsverordnung (und Kontenabrufverfahren und und und) die Datensammelwut des Staates enorm zugenommen hat. Für das Bürger-Mining wollen die ISPs nun wirklich nicht sammeln.

Security Management

Kris Köhntopp hat in Karlsruhe zum Geekend geladen. Neben Star Wars gab es von Ihm Vorträge zum Thema "Security Management" und zum Thema "Vortrag halten". Die Folien sind in seiner Blog-Zusammenfassung zu dem Event verfügbar. Ein besonders interessanter Aspekt für mich war natürlich mal wieder die Praxis. Was tut man z.B. wenn zwischen dem Produktivstart einer neuen kritischen Anwendung nur noch die Security Policy steht. Kris hat hier richtig angeerkt dass ein Großteil der Arbeit eines Security Managers darin besteht genau solche Probleme zu lösen, und Anwendungen in Produktion zu nehmen, die komplett gegen die geltenden Regelungen verstoßen. Sein Tipp war hier ganz klar Fristen zu vereinbaren (um den Baracken-Effekt zu vermeiden. Ich habe dazu ergänzt, dass man mit Intuition auch die größten Risiken einfach abdecken kann. Letztenendes nützt es nichts ein sicheres System in einem Betrieb zu haben der nicht mehr konkurenzfähig ist (und ja, es gibt sicher auch Fälle in denen der Schutz von Dritten vorgeht). Intuition als Werkzeug im Security Management wird nicht gerne gesehen, kommt in der BS7799 auch sicher nicht vor (wird aber auch nicht verboten!). Darüber hatte ich mich ja schon im letzten Artikel zu dem Thema ausgelassen.

Passwörter verraten

Laut The Register hat Verisign eine Spass-Umfrage in der Innenstadt von San Fransico durchgeführt, bei der 66% der Befragten ihr Passwort für eine kostenlose Tasse Kaffee verraten haben. Über die genauen Umstände der Befragung kann man nur spekulieren. News.com berichtet zum Beispiel, dass man sein Login oder das entsprechende System dazu nicht angeben mußte. Unter den Umständen hätte ich auch einige Passwörter zu verraten (oder zu erfinden :). Und damit dieser Eintrag nicht nur reine Bouevard Unterhaltung darstellt erkläre ich hier öffentlich mal wieder meine Passwörter durchzuwechseln. Das wird Lustig: führt regelmäßig dazu, dass mich der Windows Domain Controller sperrt, weil irgendweche Rechner noch Verbindungen zu Shares haben und diese mit alten Passwörtern aufbauen wollen. Typisches Beispiel für eine Sicherheitsmassnahme die nach hinten los geht. Via ecin Newsletter.