Skip to content

DoD über CC

In einem Report (PDF) des U.S. DoD findet man folgende - doch recht amüsante - Anmerkung:
The primary process relied upon by the DoD for evaluation of the assurance of commercial products today is the Common Criteria (CC) evaluation process. The task force believes that Common Criteria is presently inadequate to raise sufficiently the trustworthiness of software products for the DoD. This is particularly true at Evaluation Assurance Level-4 (EAL4) and below, where penetration testing is not performed. Nonetheless, Common Criteria evaluation is an international program, well established, and not easy to change.
Es ist interessant zu sehen, dass einer der Haupt-Initiatoren der Common Criteria nun erkennt, dass diese nicht sehr nützlich ist - und was noch viel interessanter ist - nicht so einfach geändert werden kann, da diese nun im Standardisierung-Morast festsitzt. Auf den Report hat übrigen's Oracle's CSO Mary Ann Davidson hingewiesen.

Zufall?

Da ich davon beim abendlichen Beercall erzählt bekam gehe ich davon aus, dass es schon alte News ist und sage dazu nichts weiter... naja außer vielleicht:
2ecki@calista:~> dpkg -l openssl
||/ Name                Version             Description
+++-===================-===================-======================================================
ii  openssl             0.9.7e-3sarge5      Secure Socket Layer (SSL) binary and related cryptogra

Gefahren des DRM

Digital Rights Management (DRM) ist eine Methode Abspiel- und Kopier Möglichkeiten von Medien einzuschränken. Inhaltsanbieter sagen sie können damit günstigere Preise machen indem die Rechte auf ein vom Kunden benötigtes Maximum eingeschränkt werden. Kunden hingegen fühlen sich dadurch insbesondere mehrfach abgezockt. So oder so hat DRM große Probleme, weil dem Kunden (dem Käufer) einiges an Rechte weggenommen wird. Das kann dann so weit gehen, dass man gekaufte Songs nicht mehr abspielen kann, weil die DRM Server nicht erreichbar sind, oder keine Geräte mehr das Verfahren unterstützen. Microsoft hat den DRM Skeptikern einst versucht mit Ihrer "Plays for Shure" Campagne zu entgegnen. Ironischer weise schaltet Microsoft diesen Dienst jetzt ab, was dazu führt dass man die gekauften Medien nicht mehr von einem Gerät zum anderen übertragen kann (sondern nur noch auf den 5 registrierten Geräten). Wieder einmal zeigt sich, dass offene Formate eine sichere Zukunftsinvestition sind. Via Kris. Update: auch im Spiegel.

ROTFL: Lost Security Question

Wenn man bei Novell angibt den Username und das Passwort vergessen zu haben, so bekommt man einen Passwort Reminder, der neben dem Usernamen auch die Securityquestion enthält - und die Antwort (was soll das denn, da kann man ja gleich nen neues Passwort zusenden). Rotfl:

Intranet Identity Management (Part 1)

Das Thema Identity Management wurde besonders von den Herstellern entsprechender Lösungen immer wieder in die Fachpresse gebracht. Sicherheit ist auch ein sehr wichtiges Thema, und gerade die Innerbetrieblichen Abläufe lassen sich durch entsprechende Automatisierung nicht nur beschleunigen oder kostengünstiger machen, nein insbesondere auch die Sicherheit profitiert von einem durchdachten Ansatz. Ein typisches Beispiel ist der HR Prozess bei dem ein Mitarbeiter das Unternehmen verlässt, oder dessen Zugriffsrechte kurzfristig zurückgezogen werden sollen. Je mehr Systeme an einer Synchronisation beteiligt sind, oder direkt auf die zentrale Benutzerverwaltung zugreifen, desto schneller und vollständiger ist dieser Prozess. Aber wieder zurück zum Thema IM - ich habe den Eindruck das Risiko wird zwar verstanden, aber noch immer sind Tools in dem Umfeld "Nice-to-have", oder noch schlimmer: es werden strategische Entscheidungen "angedacht" und investiert, ein Großteil der Intranet Anwendungen bleibt aber außen vor. Hier genau setzt jetzt ein Compliance und Risk Management an. Und wie allen bekannt ist, kann sich Niemand dem Thema entziehen. Spätestens mit der neuen EU Direktive zum EuroSOX (was für ein schreckliches Schlagwort) wird es hier einen Boom geben. Entsprechend gibt es auch schon eine Analysten Meinung zu dem Thema, wie gerade bei CIO.de gefunden. Zugriffsrechte sollen hier vereinheitlicht werden (und dazu muß man natürlich Produkte kaufen). "Intranet Identity Management (Part 1)" vollständig lesen

BITKOM IT-Security Kompass

Zufällig erhielt ich dieses Dokument, und da ich es noch nicht kannte dachte ich mir: na dann ist es eventuell generell noch nicht allzuweit bekannt. Der BITKOM Kompass der IT-Sicherheitsstandards ist unter Beteiligung des DIN entstanden, und enthält eine Auflistung und Bewertung der meisten Standards und Guidelines die im Bereich IT-Security relevant sind. Das Dokument vom Juni 2006 könnte zwar eine Auffrischung vertragen, ist aber trotzdem sehr wertvoll. Zumal es von den Web Seiten des BITKOM Verbandes frei zu beziehen ist. bitkom.de/de/publikationen/38337_40496 BITKOM hat übrigens eine ganze Reihe von Sinnvollen Wegweisern und Guidelines, das bezieht sich nicht nur auf das Thema IT-Sicherheit.

Review: Team Beam

Das Versenden von großen Dateien ist entweder schwierig oder gar nicht möglich. E-Mail Anhänge sind in der Größe Limitiert, nicht alle Kunden haben Zugriff auf FTP, und das Betreiben eines eigenen Servers kostet Zeit und Geld. Ich kenne das aus meiner eigenen Praxis, da sollen schon mal schnell CD-Images, Patches oder Druckvorlagen übertragen werden, und man muss immer mit sftp Servern hantieren. Es muss hier also eine Lösung her. Dies hat sich auch die Skalio gedacht und bietet einen Hosted Service an: TeamBeam. Zahlende Kunden erhalten einen einfachen Upload Client mit dem Dateien auf den TeamBeam Server geladen werden können, und der Endkunde erhält eine Mail, die ein HTTP Download Link enthält. Großkunden können die Server sogar selbst betreiben und Customizing Dienstleistungen von Skalio erwerben. Skalio glaubt an die Macht der Blogs, so habe ich einen Test Zugang erhalten, mit der Bitte den Service zu reviewen. Das will ich gerne tun: Eine gute Idee Positiv finde ich den Server Ansatz und die Tatsache dass der Empfänger der Files keine spezielle Software außer einem Browser benötigt. Der Einsatz von HTTP ist zudem kompatibel mit den meisten Firmen-Policies. SSL bietet einen halbwegs vernünftigen Schutz der übertragenen Daten. (Der Empfänger erhält eine längere URL dadurch ist gewährleistet, dass Unbefugte die Datei ohne Zugriff auf die unverschlüsselte E-Mail nicht finden können). Einfache Software Negativ finde ich den Java Upload Client. Dieser bietet in der Version 1.0 nicht die Funktionen die man von einer Software für die Übertragung von Großen Files erwarten würde: Übertragungen werden nach einem Abbruch nicht erneut probiert, man muß diese noch einmal anstoßen. Startet man die Übertragung manuell erneut an, so wird diese anscheinend immer vom Anfang an begonnen, also keine Restart Funktion (der Empfänger kann immerhin einen Restartfähigen HTTP Client Download nutzen, da der Server den Range Header unterstützt). Wenn man mehrere Sendeaufträge parallel anstoßen möchte, so werden diese nicht in einer einzigen Upload Queue zusammengefasst, man kann also keine Parameter für maximale Parallelität, Bandbreite oder Prios vorgeben. Auch lassen sich einzelne Übertragungen nicht pausieren. Die Gui des Upload Clients ist simpel zu bedienen, die Buttons zum Browsen und der Pflege des "Addressbuchs" sind aber Gewöhnungssache. Sicherheitsschwächen Die Übertragungssicherheit bei Team Beam basiert ausschließlich auf SSL. Leider überprüft der TeamBeam Client das SSL Server Zertifikat nicht. So war es mit problemlos möglich einen eigenen SSL Proxy dazwischenzumogeln und die Komplette Übertragung mitzuschneiden. Dies ist leider ein massives Sicherheitsproblem, dürfte aber einfach zu beheben sein. Schwerwiegender ist die Tatsache dass die Download URLs in unverschlüsselten E-Mails versendet werden. Man sollte also die Daten selbst verschlüsseln (und dabei auch gleich eine elektronische Unterschrift anbringen). Im WebDAV Verzeichnis kann man an den Userids (ich hatte die Nummer 240) ablesen, dass bisher noch wenige Kunden aktiv sind (45 Postfächer mit wartenden Dateien). Auch hier kann Skalio noch für etwas mehr Privatsphäre sorgen (im eigenen Interesse). Fazit Jeder sollte selbst die Rechnung machen, ob er Open Source Tools und einen Root Server einsetzen möchte, oder lieber die Services von TeamBeam (z.B. 250Eur/Monat für 100 User) nutzen möchte. Für die Datensicherheit sollte man bei sensitiven Daten zusätzlich selbst sorgen. Die Funktionalität wie Erinnerungen, Lesebestätigungen und das Portal zur Verwaltung der Aufträge sind eine bequeme Sache (ich weiss nicht ob es hier schon Open Source Lösungen gibt). Neue Features wie z.B. die Weiterleitung von bereits auf dem Server befindlichen Dateien (im Portal) an neue Empfänger sind bereits angekündigt. Wie das Administrationsinterface für Firmenkunden aussieht (dort müssen die E-Mail Addressen der Mitarbeiter gepflegt werden) konnte ich in meinem Test nicht prüfen. Ich denke aber dass größere Kunden hier noch auf die Entwicklung Einfluss nehmen könnten. Update: ich habe den Artikel nach Feedback von Skalio etwas angepasst: Die Sicherheitsprobleme werden behoben, die Anzahl der Verzeichnisse im WebDAV spiegelt nicht die Anzahl der Kunden wieder und das Prinzipiellle Problem mit der E-Mail Sicherheit soll durch optionale Logins beim Download gelöst werden - für Skalio Kunden die ein my.teambeam.de Login haben. Update2: heute erhalte ich die Information von Skalio, dass eine neue Version 1.0.1 des TeamBeam Clients verfügbar ist, das mit einer SSL Zertifikatsprüfung daherkommt. Ebenso wurde eine XSS Schwäche beseitigt und die Zugriffsmöglichkeiten auf das WebDAV Verzeichnis sind nun eingeschränkt. Damit wurden die von Bloggern berichteten Schwächen recht zügig behoben. (Das Problem der unverschlüsselten Datenhaltung auf dem Salio Server und den ungeschützten Download Links besteht natürlich weiterhin, aber ist in der Einfachheit des Produktes bedingt)

Perfektes Phishing?

Martin Seiler bringt es in CW-Notizblog auf den Punkt: es gibt keine guten Phisching Angriffe und die Anbieter von Sicherheitslösungen greifen nach jedem Strohhalm um Ihre Existenz zu rechtfertigen.

Malicious-Software Removal-Tools Statisitiken

Microsoft veröffentlicht Statistiken über die Erfolgsquote ihres Mini-Malware Scanners der mit den Windows Updates verteilt wird. In deinem Heise Artikel finden sich die Statisitiken in der Übersetzung:
Seit seinem Erscheinen am 13. Januar 2005 bis einschließlich März dieses Jahres wurde das Tool 2,7 Milliarden Mal auf mindestens 270 Millionen unterschiedlichen Rechnern ausgeführt. Dabei fielen 5,7 Millionen Rechner durch eine Infektion auf; von diesen waren mehr als 60 Prozent mit einer Backdoor verseucht, die den Rechner zur hörigen Drohne umfunktioniert,
Trotz der niedrigen Quote (0,3%) halte ich die Durchseuchung für sehr bedenklich, zumal die Dunkelzifer deutlich größer sein dürfte (das Tool findet nur eine Auswahl von Malware und wird auch nur auf Rechner ausgeführt die Windows Update aktiviert haben (also aktuell sind!) Die Masse macht es hier. Angreifer können beachtliche Zombie Netze ansammeln für DDOS Angriffe oder Spam Auslieferung (Mail oder Web). Die Tatsache dass Microsoft so offen mit den doch recht erschreckenden Zahlen umgeht könnte daran liegen, dass das Anti Malware Team das Tool als erfolgreich sieht und vergisst, dass das Problem hausgemacht ist. Monokultur eben...

(Heil)Kostentreiber IT?

Im Gesundheitsbereich ist für IT Software Hersteller und Dienstleister weltweit ein lukrativer Markt vorhanden. Trotz knappen Budgets - wie kann das sein? Nun das liegt zum Großteil an der Gesetzgebung und behördlichen Auflagen. Großangelegte Programme der Regierungen wie HIPAA/HL7 in den USA oder diverse Europäische Verordnungen und Deutsche ("Modernisierungs")-Gesetze haben zu einer komplexen Landschaft geführt. Behörden, Leistungserbringer, Dienste und Clearingstellen müssen aus einem sehr kleinen Angebot von hochpreisigen und altertümlichen Lösungen das richtige Produkt finden. Dabei kann man weder den Lösungsanbietern böse sein (da die ein riessigen Aufwand treiben müssen um die Regulierungen zu verstehen) wenn sie Ihre Marktposition ausnutzen, noch kann man die Regulation per-se verteufeln. Denn Arzneimittelsicherheit, Rohstoffüberwachung, Pharma-Zulassungsverfahren, Geräteüberwachungen oder auch nur Datenaustausch-Vereinheitlichung sind ja durchaus Bereiche in denen Vorgaben sinnvoll und notwendig sind. Immerhin geht es hier um Menschenleben. Und ganz nebenbei auch um riesige Goldtöpfe die es zwischen den Interessengruppen aufzuteilen gilt. Allen vorweg(?) an die "Leistungsbezieher". "(Heil)Kostentreiber IT?" vollständig lesen