Nach Web 2.0 nun also Security 2.0, zumindest nach dem Willen von Symantec. Gemeine Stimmen behaupten, Symantec versteht darunter die Veröffentlichung ihrer bisherigen Security Produkte als „Anti Pattern“
Freilich hat Symantic selbst höhere Ziele, verspricht allerlei Automatismmen, um die wachsenden Herausforderungen im Security Umfeld, auch im Hinblick auf kommende gesetzliche Regelungen, bewältigen zu können.
Doch obwohl Google schon über eine halbe Million Beiträge zu Security 2.0 findet, besteht der Großteil dieser Meldungen aus BulshitBingo 2.0 …der Rest aus Bashing 2.0
Erschreckend bleibt festzustellen, das geschicktes Marketing oftmals ertagreicher scheint als know-how. Schade eigentlich, ich wäre auf jeden Fall dafür Security 1.0 aus dem Betastadium zu heben, ehe wir wie im Rausch Versionsnummern inkrementieren Vielleicht sogar gleich auf 3.0?

Bookmark to:

Security, Thoughts | 1 Kommentar »

Über den Sinn und Unsinn von Desktop Firewalls wurde vielerorts bereits hinlänglich gestritten. Größter Kritikpunkt: Der normale Nutzer weiß nicht, welchen Programmen und Diensten er welche Art von Verkehr erlauben soll. Mit dem Produkt ‘Integrity‘ bietet Checkpoint dazu ein beeindruckend mächtiges Werkzeug, dieses Problem zu lösen.
Nun, Integrity ist kein Produkt aus dem Hause Checkpoint, sondern gelangte durch den Kauf von ZoneLabs ins Portfolio, und so stellt sich die GUI des Clients auch dar wie die bekannte Desktop Firewall ZomeAlarm.
Doch Checkpoint hat zusätzlich zu diesem Client einen Server entwickelt, welcher das Policy Management (Verwaltung und Verteilung) übernimmt.
Dieser kann Restriktionen auf Zonen- Protokoll- und Applikationsebene einrichten und verwalten. Protokollebene ist klar, eine schnöde Layer 4 Firewall, die anhand von Portnummern und Adressen aus den verschiedenen Zonen (trusted, internet) Pakete zulässt – oder eben nicht. Mächtig sind die Regeln auf Programmebene. Der Client gestattet nur bekannten Programmen (basierend auf Filename, Checksumme u.ä.) den Zugriff aus bestimmte Netzwerkbereiche, oder hindert diese Programme gar ganz an der Ausführung. Ebenso kann er feststellen, welche AV Software installiert ist, ob diese aktuell ist, oder etwa welche Windows Hotfixes auf dem System installiert sind. Erfüllt der Client bestimmte Anforderungen nicht, wird ihm der Netzzugang eingeschränkt, oder ganz verboten.

Das Management solch einer Fülle von Programmen und Regeln kann schnell unübersichtlich werden, doch auch hier hilft der Integrity Server weiter. Zum einen meldet jeder Client die Programme, welche ins Internet wollen, an den Server (und behandelt die erstmal nach seinem default Schema). So bekommt der Administrator einen Überblick, welche Software auf welchen Versionsständen in seinem Netz aktiv ist. Danach kann er anhand dieser Liste Regeln für die Programme definieren. Ein zweites Hilfsmittel sind Referenzsysteme, nach dem Motto: “Die Software auf diesem System ist auch auf allen anderen erlaubt”. So genügt es, ein System aktuell zu halten, die Restlichen folgen von allein, denn wird ihnen aufgrund eines fehlenden Patches der Netzzugang verwehrt, kann der Integrity Server zusammen mit der Fehlermeldung auch gleich den entsprechenden Patch ausliefern.

In Zeiten, in denen Laptops und PDA’s immer selbstverständlicher werden, und Mitarbeiter durchaus auch in wenig vertrauenswürdigen Netzen unterwegs sind, ist diese Lösung sicher eine gute Hilfe für jeden Administrator, um nicht nur die Schnittstelle seines Netzes mit der Außenwelt, sondern auch den Verkehr in seinem Netz zu überwachen. Denn die Lösung funktioniert auch mit VPN Verbindungen: Während eMule läuft, ist kein VPN möglich.

Integrity ist hier noch lange nicht am Ende, falls jemand Interesse hat möge er einen kurzen Kommentar hinterlassen, evtl. entsteht ein zweiter Teil zum Überblick, oder ein kurzes HowTo.

Bookmark to:

Security, Checkpoint | Kein Kommentar »

Heute bin ich über ein sehr nettes Plugin für den Firefox gestolpert: Tamper Data. Dieses Plugin fängt auf Wunsch alle vom Benutzer initiierten HTTP Requests ab, damit sie vor dem endgültigen versenden an den Server begutachtet und ggf. verändert werden können. So lassen sich Referrer, Cookies oder POST Daten kontrollieren und manipulieren.

Wer’s versuchen möchte kann dies hier tun, Benutzername: ‘admin’; Passwort: ‘ngsec’, das Login funktioniert wenn der Referrer ‘http://www.ngsec.com’ ist.

Bookmark to:

Tools | 1 Kommentar »

Kürzlich bin ich über ein nettes Tool namens TTCP gestolpert. Es kann nicht viel, aber das ziemlich gut, und bisher kannte ich nichts vergleichbares. TTCP kennt zwei Betriebsmodi: einmal als Sender, und einmal als Empfänger (respektive Server und Client) und tut nichts anderes, als vom Sender zum Empfänger Daten zu schaufeln, so schnell und so viel es kann. Dabei lassen sich die Ports, über welche das passiert, als auch die Datenmenge welche übertragen wird, recht frei bestimmen. Im Wesentlichen wars das auch schon, sieht man von ein paar Statistiken ab. Zur Diagnose von Load Balancing, QoS oder Ähnlichem ist dieser kleine Helfer jedes Byte seines Quellcodes wert.

Bookmark to:

Tools | 3 Kommentare »

H.D. Moore, Vater des Metasploit Frameworks, hat ein neues interessantes Projekt vorgestellt. Mit Hilfe von Google ermöglicht seine Malware Suchmaschine das finden von von ebensolcher Software.

Das Konzept dahinter ist recht simpel, man bedient sich einfach bekannter Fingeprints von bösartiger Software und befragt Google danach. Der Auslöser für diese Idee war nach Herrn Moore’s Aussagen der Versuch von Websense, gleiches mittels SOAP und der Google API zu erreichen. Jedoch ist diese Variante nicht frei zugänglich, und zudem auch lange nicht so mächtig wie einst propagiert.

Warum man nach Viren suchen soll kann viele Gründe haben. Forschung zum Beispiel, oder um die eigene Security Policy zu testen. Doch hier ist Vorsicht geboten. Ist ein Wurm ersteinmal von Google indiziert, kann er mit Sicherheit als alter Hut gelten. Eine darauf basierende Aussage über die Sicherheit der eigenen Anti Viren Lösung dürfte recht wertlos sein.

Bookmark to:

Security | 1 Kommentar »

Eine Firewall sollte das dahinter liegende Netzwerk beschützen, und tut dies so gut es ihre Regelbasis zulässt. Demnach ist eine Firewall nur so gut wie ihr Administrator. In der Literatur wird immer wieder von zwei Regeln gesprochen, die quasi als obligatorisch angesehen werden. Unbestritten ist die „Cleanup Rule“ eine solche Regel. Sie stellt im Allgemeinen den Abschluss der Regelbasis dar, und blockt jedwede Kommunikation, die bis dahin nicht erlaubt wurde. Die zweite dieser Standardregeln ist oft eine der ersten, die so genannte „Stealth Rule“. Sie verbietet jede direkte Kommunikation mit der Firewall selbst, so das diese quasi unsichtbar wird. Natürlich muss der Administrator dafür Sorge tragen, das er sich damit nicht selbst aussperrt. Bei vielen Produkten geschieht dies über vordefinierte implizierte Regeln, die den Verbindungsaufbau zum Firewallmanagement von bestimmten Rechnern aus erlauben.

Nun, ich sehe diese Regel durchaus kritisch. Natürlich sollte man kein unnötiges Risiko eingehen, und zum Beispiel ssh „von außen“ verbieten, wenn man ohnehin nicht vorhat, es derart zu nutzen. Schließlich muss man einem Angreifer nicht die Chance geben, das Passwort dafür zu erraten. Das auf der Firewall keine weiteren Dienste laufen sollten, welche nicht unbedingt notwendig sind, bedarf eigentlich keiner weiteren Erwähnung. Bleibt noch ICMP. Ist dessen Sperrung notwendig? Mit, wie es bei Planetopia hieße, „einschlägigen Tools“ (ping, nmap) lässt sich eine Menge über das System in Erfahrung bringen. In der Vergangenheit wurde ICMP auch für Angriffe genutzt, wobei der „Ping of Death“ wohl die bekannteste Attacke ist. Wieso also solche Risiken auf sich nehmen, und dem Angreifer einige Ansatzpunkte für Angriffe liefern? Es gibt aber auch Stimmen, welche ICMP als derart essentiell ansehen, das dessen Einschränkung für sie einen nicht hinnehmbaren Verlust darstellt. In der Tat ist Netzwerkdiagnose ohne ICMP gelinde gesagt ein Ding der Unmöglichkeit. Ich möchte mit dieser Einleitung gern eine kleine Diskussion über das Für und wieder der „Stealth Rule“ beginnen. Wohlgemerkt geht es dabei um Verbindungen zur Firewall, ob, wie und wo ICMP im restlichen Netz behandelt wird soll hier zweitrangig sein.

Bookmark to:

Security | 3 Kommentare »

Dank des Polyglot Plugins gibt es, soweit ich es zeitlich schaffe, auch eine englische Version der Beträge.

Bookmark to:

SecureBlog | 2 Kommentare »

Wie Bruce Schneier berichtet, hat Segate unlängst Festplatten angekündigt, die ihren kompletten Inhalt verschlüsseln. Dies geschieht laut Segate mit kryptographischen Standards (AES, SHA1), allerdings verpackt in eine proprietäre Technologie. Warum also so etwas einsetzen, wenn OpenSource Software wie TrueCrypt solches auch tut, und das mit einer Vielzahl verschiedener Datenspeicher?

Nun, vielleicht weil man bei Nutzern nie sicher sein kann, das sie einen gegebenen verschlüsselten Container auch benutzen, geschweige denn sich einen solchen anlegen. Vielleicht aber auch, weil sich nur in einer ClosedSource Implementierung (dort zumindest einfacher) ein Generalschlüssel einbauen lässt?

Es gibt eine Menge guter Argumente, tunlichst die Finger von solchen Festplatten zu lassen. Allen voran natürlich das Problem des Generalschlüssels. Doch hier gilt ersteinmal: Verschlüsselung, auch unter Existenz eines solchen Schlüssels, ist sicherer als keine Verschlüsselung. Weitere Szenarien im Dunstkreis von DRM und TPM sind denkbar, beispielsweise das die Platten in anderen Geräten den Dienst verweigern u.s.w.

Warum bietet Segate also so etwas? Nun, ich habe keine Benchmarks, aber diese Hardwarevariante dürfte performanter als jede Softwareimplementierung sein. Hinzu kommt, das gerade im Enterpriseumfeld der Administrationsaufwand dieser Lösung deutlich geringer ist. Und schließlich haben auch die ganzen Größen der DRM Lobby Interesse daran, die Benutzer bei der Datenhaltung nicht ganz nach eigenem Gutdenken handeln zu lassen.

Gegner führen gern das Argument ins Feld, das eine Datenrettung bei verschlüsselten Festplatten deutlich schwieriger (wenn nicht unmöglich) ist. Dies betrifft Hardwareverschlüsselung, wie auch den Einsatz von Softwaretools. Allerdings sollte man immer davon ausgehen, das sich eine Festplatte jederzeit in Elektroschrott verwandelt, und selbstständig für redundante Datenhaltung (aka Backup) sorgen. Dabei sollte auch an den Schlüssel gedacht werden.

Die Verschlüsselung sensibler Daten sollte zunehmend selbstverständlicher werden, erspart sie doch im Zweifelsfall viel Ärger. Die Wahl der Mittel jedoch ist vielfältig, und will wohl überlegt sein, denn überall wo Licht ist, dort ist auch der Schatten nicht weit.

Bookmark to:

Allgemein | 3 Kommentare »

Für den Großteil der Heimanwender ist der Remotezugriff auf den heimischen PC eine heikle Angelegenheit, denn zum einen ändert sich die IP mit jeder Interneteinwahl, zum anderen steht der Rechner in der Regel hinter einem Router, ist also nur mit Hilfe von NAT erreichbar.

Mit dem “Windows Internet Computer Name” will Microsoft hier Abhilfe schaffen. Jeder Rechner erhält einen eigenen, eindeutigen Namen, welcher via PNRP verteilt wird. Doch können die Anwender damit umgehen? Das Positive: Ein Angreifer braucht keinen Trojaner mehr, der die gerade aktuelle IP “nach hause funkt”, schon praktisch, immer zu wissen wie und wo das Opfer gerade erreichbar ist.

Doch wer wird denn gleich den Teufel durch das Fenster schauen sehen an die Wand malen? Schlecht ist die Idee, bzw. die Technologie dahinter, erstmal nicht. Sieht man davon ab, das die Technik natürlich proprietär und ordentlich mit Patenten geschützt ist. PNRP soll DNS ablösen, wandelt also auch Rechnernamen in IP Adressen um. Jedoch, und das ist das neue, geschieht das “peer to peer”. Jeder Host kennt die Namen seiner Nachbarn, propagiert seinen eigenen in die Welt, und so kennt bald jeder “über ein paar Ecken” jeden. Zudem wird zwischen “einfachen” und “sicheren” Namen unterschieden. Erstere sind leicht zu merken, aber nicht zwingend eindeutig, die letzteren sind signierte Hashes, dürften also nur schwer zu spoofen sein.

Solch ein System hat natürlich den Vorteil, das es für einzelne schwer zu überwachen ist. Wird heute eine Domain aus dem DNS genommen (oder für sie eine ganz andere IP eingetragen) ist sie quasi von der Welt abgeschnitten…in einigen totalitär regierten Ländern soll so etwas schon vorgekommen sein

Kritiker befürchten eine Überschwemmung des Netzes mit Vista Rechnern, die gegenseitig lautstark nach Ihresgleichen brüllen. Es wird sich zeigen, ob solche Befürchtungen zur Realität werden, zumal der endgültige Durchbruch von IPv6 noch etwas auf sich warten lässt.

Für weitere Informationen gibt es im msdn ein interessantes Blog.

Bookmark to:

Security | 3 Kommentare »

Jeder kennt Bruteforce Attacken. Man nimmt sich ein entsprechendes Tool, welches systematisch die abstrusesten Zeichenkombinationen durchprobiert, um sich irgendwo Einlass zu verschaffen. Bei gängigen 128 bit langen Schlüsseln kann das schon mal das ein oder andere Jahr(zehnt) dauern, je nach Soft- und Hardwareausstattung. Findige Köpfe kamen danach schnell darauf, das Anwender (entgegen allen Warnungen) immer wieder leicht zu merkende Passwörter verwenden (Namen zum Beispiel, oder alles was irgendwie in Wörterbüchern steht). Es erschien daher logisch, nicht wild alle erdenklichen Kombinationen durchzutesten, sondern nur bestimmte Kombinationen, welche in Wortlisten auftauchten, beispielsweise in einem simplen deutschen Wörterbuch. Unter Umständen spart dieses Vorgehen viel Zeit.

Das kleine Script Wyd führt diesen Schritt nun weiter. Es verwendet vorhandene Informationen zum erstellen einer personalisierten Wordlist. Seien es öffentliche Dokumente, die Tags der mp3 Sammlung oder andere Informationen, das Script trägt alles zusammen und versucht mittels geschickter Algorithmen, brauchbares von unbrauchbarem zu trennen, und so eine kleine Wortliste zu erhalten, die durch ihre Personalisierung jedoch enorm mächtig sein dürfte. (WENN der Benutzer einen Namen verwendet stehen die Chancen gut das dieser in seinem persönlichen Addressbuch zu finden ist.)

Bisher unterstützt Wyd folgende Formate:

• plain
• html
• doc
• ppt
• mp3
• pdf

Abschließend daher wieder der gebetsmühlenartige Aufruf, “starke” Passwörter zu verwenden, idealerweise solche von Generatoren, und diese nirgendwo im Klartext zu notieren. Es gibt etliche Tools, welche die Passwörter in einer verschlüsselten Datei zusammentragen, die durch ein Masterpasswort geschützt ist. Beispielsweise KeePass (für Linux und Windows).

Bookmark to:

Security | Kein Kommentar »