After Web 2.0, there’s now security 2.0, according to Symantec. Some say, Symantec is going to publish all their work as a sort of „anti-pattern“, calling this security 2.0
Well, Symantec itself claims security 2.0 to be a shiny new bunch of Software for the automation of security tasks, especially when it comes to dealing with all the new laws awaiting us.
By now, google has more than half a million results for security 2.0, but most of these articles are screaming for BullshitBingo2.0, the rest is Bashing 2.0.

It seems that marketing comes over know-how, while security 1.0 has still beta status. Or shoul we all migrate to 3.0?

Bookmark to:

Security, Thoughts | 1 Kommentar »

There is a wide variety of pro’s and con’s about Desktop Firewalls. The main problem is, that a normal user has no idea which tools should get access to the internet, and which should not.
Checkpoint offers a quite mighty piece of Software to solve this problem, named ‘Integrity‘, originating from the ZoneAlarm Desktop firewall that Checkpoint bought some time ago.
Along with that Client, there comes the Integrity server, and within lies the biggest part of the systems power.
This server is responsible for the management, the creation and the deployment of the policies enforced on the desktop clients. These policies can enforce restrictions on OSI Layer 4, based on IT addresses and ports, nothing new. But in addition, there’s the chance to restrict the Software on the clients on an application basis.
Based on a checksum, a file name or whatever, only ‘good’ programs are allowed to access the internet, or even ale allowed tu run. For example, if there’s a file sharing client active, Integrity Client can close this, prevent it’s access to the Internet, or isolates the whole client from the company’s network. It can also have an eye on the Windows Hotfixes, or make decisions based on the kind and freshness of the Anti Virus Solution.
But all this is a lot for an Administrator to handle, an therefore, Integrity provides solution to help him with the software management. At first, every client reports the programs trying to connect to somewhere to the server, so the Administrator can see what kind of software is hanging around in his network, and make decisions what to restrict. A second nice feature is the chance to set up reference clients. All the Software on this clients is regarded as ‘good’, an can be used on other systems with the same restrictions as on that reference machine. So the Administrator has only to keep one machine up to date.
In times where notebooks and PDA’s are getting more and more common, and employees are often working with their machines in different, sometimes untrusted networks, this s a good way to not only keep an eye on the interface to the outside world, but also deal with the traffic inside a network.

There’s a lot more of interesting features in the Integrity Bundle, so if you’re interested you’re welcome to leave a short comment, maybe I’ll do a part 2, or even a more thorough how-to.

Bookmark to:

Security, Checkpoint | Kein Kommentar »

Today i found a quite cool extension for the firefox Browser: Tamper Data. This nice tool enables the user to view and change every HTTP Request, before it is send to the server. So it’s possible to spoof nearly every kind of header information.

Who’s willing to try can do this here with the credentials admin:ngsec. The login works if the referrer is set to ‘http://www.ngsec.com’

Bookmark to:

Tools | 1 Kommentar »

Recently, I stumbled upon a small tool called TTCP. I’ts not feature rich at all, the only thing it does is sending TCP (or UDP) packets between two Computers, acting as client on one, and as a server on the other side. The amount of data can set to any specific value, as well as the ports of the established connection. That’s it. For the evaluation of load balancing or QoS this works great… I love that thing.

Bookmark to:

Tools | 3 Kommentare »

H.D. Moore, head of the Metasplotit Framework, announced a new, interesting project. With the help of google, he published a search engine for finding malicious software.

This works quite simple. Based on known fingerprints, it searches for them via google. The trigger for this Project has come from the Websense guys, who had the intention to build a similar engine, but based upon SOAP and the google API. But that stuff turned out to be non free, and far less powerful than initally announced.

So why search for malware? For research for example, or for simply testing one’s own security policy. But be aware, malware found by google can be seen as rather aged, and is not a suitable metric for the quality of a defending software framework.

Bookmark to:

Security | 1 Kommentar »

It’s a firewalls job to protect the network behind, based in the policy implemented by the administrator. Therefore, a firewall can only be as good as the guy behind. There are mostly two rules considered as substantial, and for the “clean-up” rule I think this is true. That rule is the last one in the policy, and drops (or rejects) all connections that have not been allowed so far. The second one is the “stealth rule”, blocking any kind of communication with the firewall. Of course, the administrator has to take care of not locking out himself. In common systems, this happens by implied rules, allowing communication with the firewalls management initiated by miscellaneous computers.

Well, I’m not a totally friend of this rule. Of course one should avoid unnecessary risk and block for example ssh from the outside world as long as not using this, ’cause why should an attacker get the chance of guessing this password? It’s also a fact that there should be no other daemon running on the firewall. But what about ICMP? Is this one necessary? It’s quite easy to gain quite a lot of information based on ICMP with common tools (ping, nmap). There are also known attacks from the past, the “ping of death” is widely known. So why take a risk of an attack, and giving information about the system to the world? But there are voices claming that ICMP is absolutely important, and needs to be untouched. Well, indeed, troubleshooting without ICMP is not that easy.

I’d like to discuss the advantages, and disadvantages, of the stealth rule. I hope that you have a minute to propagate your opinion.

Bookmark to:

Security | 3 Kommentare »

Thanx to Polyglot Plugin there’s an english version of my content available from now on… enjoy.

Bookmark to:

SecureBlog | 2 Kommentare »

Wie Bruce Schneier berichtet, hat Segate unlängst Festplatten angekündigt, die ihren kompletten Inhalt verschlüsseln. Dies geschieht laut Segate mit kryptographischen Standards (AES, SHA1), allerdings verpackt in eine proprietäre Technologie. Warum also so etwas einsetzen, wenn OpenSource Software wie TrueCrypt solches auch tut, und das mit einer Vielzahl verschiedener Datenspeicher?

Nun, vielleicht weil man bei Nutzern nie sicher sein kann, das sie einen gegebenen verschlüsselten Container auch benutzen, geschweige denn sich einen solchen anlegen. Vielleicht aber auch, weil sich nur in einer ClosedSource Implementierung (dort zumindest einfacher) ein Generalschlüssel einbauen lässt?

Es gibt eine Menge guter Argumente, tunlichst die Finger von solchen Festplatten zu lassen. Allen voran natürlich das Problem des Generalschlüssels. Doch hier gilt ersteinmal: Verschlüsselung, auch unter Existenz eines solchen Schlüssels, ist sicherer als keine Verschlüsselung. Weitere Szenarien im Dunstkreis von DRM und TPM sind denkbar, beispielsweise das die Platten in anderen Geräten den Dienst verweigern u.s.w.

Warum bietet Segate also so etwas? Nun, ich habe keine Benchmarks, aber diese Hardwarevariante dürfte performanter als jede Softwareimplementierung sein. Hinzu kommt, das gerade im Enterpriseumfeld der Administrationsaufwand dieser Lösung deutlich geringer ist. Und schließlich haben auch die ganzen Größen der DRM Lobby Interesse daran, die Benutzer bei der Datenhaltung nicht ganz nach eigenem Gutdenken handeln zu lassen.

Gegner führen gern das Argument ins Feld, das eine Datenrettung bei verschlüsselten Festplatten deutlich schwieriger (wenn nicht unmöglich) ist. Dies betrifft Hardwareverschlüsselung, wie auch den Einsatz von Softwaretools. Allerdings sollte man immer davon ausgehen, das sich eine Festplatte jederzeit in Elektroschrott verwandelt, und selbstständig für redundante Datenhaltung (aka Backup) sorgen. Dabei sollte auch an den Schlüssel gedacht werden.

Die Verschlüsselung sensibler Daten sollte zunehmend selbstverständlicher werden, erspart sie doch im Zweifelsfall viel Ärger. Die Wahl der Mittel jedoch ist vielfältig, und will wohl überlegt sein, denn überall wo Licht ist, dort ist auch der Schatten nicht weit.

Bookmark to:

Allgemein | 3 Kommentare »

Für den Großteil der Heimanwender ist der Remotezugriff auf den heimischen PC eine heikle Angelegenheit, denn zum einen ändert sich die IP mit jeder Interneteinwahl, zum anderen steht der Rechner in der Regel hinter einem Router, ist also nur mit Hilfe von NAT erreichbar.

Mit dem “Windows Internet Computer Name” will Microsoft hier Abhilfe schaffen. Jeder Rechner erhält einen eigenen, eindeutigen Namen, welcher via PNRP verteilt wird. Doch können die Anwender damit umgehen? Das Positive: Ein Angreifer braucht keinen Trojaner mehr, der die gerade aktuelle IP “nach hause funkt”, schon praktisch, immer zu wissen wie und wo das Opfer gerade erreichbar ist.

Doch wer wird denn gleich den Teufel durch das Fenster schauen sehen an die Wand malen? Schlecht ist die Idee, bzw. die Technologie dahinter, erstmal nicht. Sieht man davon ab, das die Technik natürlich proprietär und ordentlich mit Patenten geschützt ist. PNRP soll DNS ablösen, wandelt also auch Rechnernamen in IP Adressen um. Jedoch, und das ist das neue, geschieht das “peer to peer”. Jeder Host kennt die Namen seiner Nachbarn, propagiert seinen eigenen in die Welt, und so kennt bald jeder “über ein paar Ecken” jeden. Zudem wird zwischen “einfachen” und “sicheren” Namen unterschieden. Erstere sind leicht zu merken, aber nicht zwingend eindeutig, die letzteren sind signierte Hashes, dürften also nur schwer zu spoofen sein.

Solch ein System hat natürlich den Vorteil, das es für einzelne schwer zu überwachen ist. Wird heute eine Domain aus dem DNS genommen (oder für sie eine ganz andere IP eingetragen) ist sie quasi von der Welt abgeschnitten…in einigen totalitär regierten Ländern soll so etwas schon vorgekommen sein

Kritiker befürchten eine Überschwemmung des Netzes mit Vista Rechnern, die gegenseitig lautstark nach Ihresgleichen brüllen. Es wird sich zeigen, ob solche Befürchtungen zur Realität werden, zumal der endgültige Durchbruch von IPv6 noch etwas auf sich warten lässt.

Für weitere Informationen gibt es im msdn ein interessantes Blog.

Bookmark to:

Security | 3 Kommentare »

Jeder kennt Bruteforce Attacken. Man nimmt sich ein entsprechendes Tool, welches systematisch die abstrusesten Zeichenkombinationen durchprobiert, um sich irgendwo Einlass zu verschaffen. Bei gängigen 128 bit langen Schlüsseln kann das schon mal das ein oder andere Jahr(zehnt) dauern, je nach Soft- und Hardwareausstattung. Findige Köpfe kamen danach schnell darauf, das Anwender (entgegen allen Warnungen) immer wieder leicht zu merkende Passwörter verwenden (Namen zum Beispiel, oder alles was irgendwie in Wörterbüchern steht). Es erschien daher logisch, nicht wild alle erdenklichen Kombinationen durchzutesten, sondern nur bestimmte Kombinationen, welche in Wortlisten auftauchten, beispielsweise in einem simplen deutschen Wörterbuch. Unter Umständen spart dieses Vorgehen viel Zeit.

Das kleine Script Wyd führt diesen Schritt nun weiter. Es verwendet vorhandene Informationen zum erstellen einer personalisierten Wordlist. Seien es öffentliche Dokumente, die Tags der mp3 Sammlung oder andere Informationen, das Script trägt alles zusammen und versucht mittels geschickter Algorithmen, brauchbares von unbrauchbarem zu trennen, und so eine kleine Wortliste zu erhalten, die durch ihre Personalisierung jedoch enorm mächtig sein dürfte. (WENN der Benutzer einen Namen verwendet stehen die Chancen gut das dieser in seinem persönlichen Addressbuch zu finden ist.)

Bisher unterstützt Wyd folgende Formate:

• plain
• html
• doc
• ppt
• mp3
• pdf

Abschließend daher wieder der gebetsmühlenartige Aufruf, “starke” Passwörter zu verwenden, idealerweise solche von Generatoren, und diese nirgendwo im Klartext zu notieren. Es gibt etliche Tools, welche die Passwörter in einer verschlüsselten Datei zusammentragen, die durch ein Masterpasswort geschützt ist. Beispielsweise KeePass (für Linux und Windows).

Bookmark to:

Security | Kein Kommentar »