Secorvo Security News 01/2008, 7. Jahrgang, Stand 29.01.2008 1

Secorvo Security NewsJanuar 2008

Editorial: AbgeschöpftSkimming („Abschöpfen“) heißt die neueKampfansage an bargeldlose Zahlungsmit-tel, nachdem es zumindest in Deutschlandschwieriger geworden ist, mit Phishingreich zu werden. Zwar ist das Abgreifen derPIN am Geldautomaten keine ganz frischeIdee: Erste Betrugsfälle, bei denen mittelspräparierter Tastatur (Pulver o.ä.) die PIN-

Ziffern am Geldautomaten ausgespäht und anschließend die EC-Karte entwendet wurde, gab es schon vor über 15 Jahren.

Die Entwicklung kleinster digitaler Kameras und Kartenleser ermög-licht heute jedoch „Massenattacken“ durch die Konstruktion täu-schend echter Attrappen für Kartenleser und Tastatur. Dabei wer-den die Daten der eingeschobenen EC-Karte vom aufgesetzten Lese-gerät kopiert und die PIN-Eingabe mit einem Tastaturaufsatz odermittels winziger verborgener Video-Kameras aufgezeichnet. An-schließend übermittelt die Attrappe die Daten per Funk oder spei-chert sie auf einem Flash-Chip. Die damit geklonten EC-Karten funk-tionieren zwar nur im Ausland – dafür kann das Tageslimit meistmehrmals abgeschöpft werden, bevor das Konto gesperrt wird.

2007 wurden in Deutschland 10.400 Skimming-Fälle mit insgesamt41.000 betrügerischen Abhebungen gezählt – fast doppelt so vielewie 2006. Einige der Täter ließen sich bei der Montage der Attrappensogar fotografieren und filmen. Und es dürfte noch schlimmer kom-men: Denn nicht nur 53.000 Geldautomaten sondern auch die rund600.000 Point-of-Sales-Terminals sind ein attraktives Ziel – erstemanipulierte Geräte, die PIN und Daten per SMS verschicken, wur-den bereits entdeckt. Und die PIN-Zahlungen im EC-Cash-Verfahrensteigen seit Jahren. Quelle des Übels ist die Speicherung der Karten-daten auf Magnetstreifen statt auf zugriffsgeschützten Chips, einerseit über 15 Jahren verfügbaren Technik. Bis zur Nachrüstung hilftmanchmal das Abdecken der PIN-Eingabe mit der freien Hand. VomRütteln am Automaten hingegen wird abgeraten – ein Zerstörender Attrappe könnte den Zorn in der Nähe wartender Täter erregen.

Inhalt

Editorial: Abgeschöpft

Security News

Router ohne Hosen

Kompass IT-Sicherheitsstandards

OpenSource Grundschutztool

Infra-Root

Mit Spammern Geld verdienen

15 Jahre und kein bisschen leise...

Kreditscoring im Fokus

Hackers Challenge

Sicherheitsstudie 2008

Secorvo News

Secorvo College aktuell

Veranstaltungshinweise

Januar 2008

Secorvo Security News 01/2008, 7. Jahrgang, Stand 29.01.2008 2

Security News

Router ohne Hosen

Von Tomaz Bratusa wurde am 07.01.2008 eineSession-Riding-Schwachstelle in der Router-SerieLinksys WRT54GL veröffentlicht. Ist ein Benutzerper Browser auf dem Router angemeldet, kann dieFirewall des Routers durch einfaches Klicken aufeinen präparierten Link deaktiviert werden. DieRoutereinstellungen werden gemäß den in der URLübergebenen Parametern ohne weitere Bestäti-gung verändert, wenn ein Browser-Cookie derauthentifizierten Sitzung hinterlegt ist.

Da bei Heimarbeitsplätzen die Firewall des Routersoft die einzige Schutzbarriere zum Internet darstelltund nicht immer zusätzlich eine Personal Firewalleingesetzt wird, besteht eine direkte Gefährdungfür die dem Router nachgelagerten Endsysteme.Daher wird dringend empfohlen, administrativeTätigkeiten am Router und Surfen – auch dasRecherchieren von Routerkonfigurationen – nichtzeitgleich oder zumindest nicht mit demselbenBrowser durchzuführen.

Grundsätzlich ist es ohnehin empfehlenswert, dieStandardeinstellungen des Routers (wie Kennworteund voreingestellte IP-Netzbereiche) vor Inbetrieb-nahme zu ändern.

Kompass IT-Sicherheitsstandards

Der in Zusammenarbeit zwischen dem NIA unddem Bitkom erarbeitete Kompass der IT-Sicher-heitsstandards wurde am 03.12.2007 in einer neuenVersion 3.0 vorgestellt. Der Kompass gibt eine

aktuelle Übersicht und Bewertung aller verfügbarennationalen und internationalen Standards mitBezug zur IT-Sicherheit. Den Autoren ist es gelun-gen, eine knappe und sehr hilfreiche Handreichungzu erstellen, die sowohl für IT-Sicherheitsverant-wortliche als auch für Geschäftsführer und IT-Führungskräfte ein Leitfaden bei der Planung undUmsetzung von IT-Sicherheitskonzepten sein kann.

Im Rahmen des Sicherheitsmanagements spielenqualifizierte Audits eine immer wichtigere Rolle,daher haben wir den Standard ISO 19011:2002„Guidelines for quality and/or environmentalmanagement systems auditing“ vermisst. Auch aufdie aktuelle Weiterentwicklung der ISO Standards27xxx wird nicht eingegangen: So fehlt der Ausblickauf die Standards zu Benchmarking (ISO 27004),Management von Informationssicherheits-Risiken(ISO 27005) und Disaster Recovery Services (ISO27006). Dies trübt den ansonsten sehr positivenGesamteindruck allerdings nur minimal.

OpenSource Grundschutztool

Die SerNet GmbH publizierte am 21.01.2008 dasOpenSource Grundschutztool Verinice in der Version0.6. Es unterstützt das Sicherheitsmanagementund die Durchführung von Audits auf der Basis vonIT-Grundschutz und ist – im Unterschied zu denetablierten Grundschutztools – kostenfrei erhält-lich, sowohl für Windows, als auch für Linux undMacOS. Alle Versionen des Tools sind als Downloadverfügbar.

Unsere ersten Testeindrücke waren sehr positiv.Das Werkzeug zeichnet sich durch eine intuitiveBedienbarkeit, ein erweiterbares Objektmodell unddie Möglichkeit zur Anbindung an verschiedeneDatenbanken aus.

Infra-Root

Am 11.01.2008 berichtete die Online-Ausgabe derbritischen „Telegraph“, dass es einem Jugendlichengelungen sei, mittels einer TV-Fernbedienung Wie-chen der U-Bahn in Lodz umzustellen und so min-destens eine Entgleisung zu verursachen. Die tech-nischen Details bleiben in dem Bericht im Dunkeln –zweifellos aber war die fehlende gegenseitigeAuthentisierung der beteiligten Geräte wieder ein-mal (vgl. SSN 04/2007) Hauptursache für das Pro-blem. Statt eines Challenge-Response-Verfahrenswird bei Infrarot-Steuerungen bestenfalls einAuthentisierungscode übermittelt, der grundsätz-lich (mit mehr oder weniger hohem Aufwand)kopiert und erneut „eingespielt“ werden kann. Beieinfachen Systemen werden moderne program-mierbare Fernbedienungen sowie viele PDAs bzw.Mobiltelefone so im virtuellen Handumdrehen überihre Infrarot-Schnittstelle zum Angriffswerkzeug.

Die meisten Automobilhersteller haben bei ihrenZentralverriegelungen inzwischen professionellereLösungen implementiert, die von einer einfachenFernbedienung nicht „erlernt“ werden können. Mansollte also erwarten können, dass Systeme miteinem höheren Gefährdungspotential mit mindes-tens der gleichen Sorgfalt konzipiert werden. Den-noch hat es in der Vergangenheit weitere und ähn-liche Vorfälle gegeben. Unsere Empfehlung für’sneue Jahr: Hausaufgaben nachholen!

Mit Spammern Geld verdienen

Nicht immer enthalten Spam-E-Mails URLs, auf dieman klicken soll, oder Bilder von beworbenenProdukten. Seit einiger Zeit werden reine Text-E-Mails verschickt, die den Kauf bestimmter Aktienbewerben – so genannter „Stock Spam“.

Januar 2008

Secorvo Security News 01/2008, 7. Jahrgang, Stand 29.01.2008 3

Wer sich immer schon gefragt hat, wie und warumderartige Aktionen erfolgreich sein können, dem seidie 39-seitige Anklageschrift zu Alan Ralsky alsLektüre empfohlen: Ralsky gilt seit vielen Jahren alseiner der internationalen Top-Spammer, konnteaber nie verhaftet werden. Am 03.01.2008 nunwurden er sowie zehn weitere Personen weltweitangeklagt. Ihnen wird vorgeworfen, über einenZeitraum von mindestens 21 Monaten durch dasVersenden von bis zu mehreren Millionen Spam-E-Mails pro Tag einen Gewinn von geschätzten 2,6Millionen US-Dollar eingestrichen zu haben.

Dazu kauften sie zunächst gezielt die (niedrig-preisi-gen) Aktien chinesischer Unternehmen und bewar-ben diese anschließend via Spam. Etliche Käufertrieben dann den Wert der Aktien in die Höhe, sodass die Spammer ihre Aktienpakete teuer verkau-fen konnten. Die gesamte „Aktion“ umfasste dieManipulation von Aktienpaketen, Registrierunggefälschter Domains, Bestechung von E-Mail-Ser-ver-Administratoren sowie das Mieten von Bot-netzen (vgl. SSN 05/2005).

15 Jahre und kein bisschen leise...

Kaum eine andere Security-Veranstaltung zieht seitso vielen Jahren so viele Sicherheitsexperten an: DerDFN Workshop „Sicherheit in vernetzten Systemen“findet in diesem Jahr schon zum 15. Mal statt.Wieder einmal verspricht das Programm, an dessenErstellung Stefan Kelm als Mitglied des Pro-grammkomitees mitgewirkt hat, sowie die schonlegendäre Abendveranstaltung Highlights zu aktu-ellen Themen der IT-Sicherheit. Auch Secorvo ist –wie in jedem Jahr – an dem Workshop beteiligt:Dirk Fox wird über Realisierung, Grenzen und Risikender 'Online-Durchsuchung' vortragen.

Kreditscoring im Fokus

Für viele Datenschützer ist der Einsatz von Scoring-Verfahren, mit denen Banken die Bonität ihrerKunden analysieren, ein rotes Tuch. Denn dabeiwird bei Privatkunden oft erheblich in der Persön-lichkeitssphäre „gewühlt“ – und die unterliegt demSchutz des Bundesdatenschutzgesetzes (BDSG).

Zahlreiche Kreditinstitute nehmen es jedoch offen-bar mit dem BDSG nicht so genau, wie eine am23.01.2008 vom Bundesverband der Verbraucher-zentralen vorgelegte Studie zur Kreditscoring-Praxisin Deutschland zeigt. In über 90% der Stichprobenwurden Testpersonen nicht über den Scoring-Wertinformiert, in 30% der Fälle wurde nicht einmal eineEinwilligung zur Schufa-Anfrage eingeholt. Schließ-lich wurden z.T. äußerst fragwürdige Angaben wie„Wohndauer“, „Arbeitgeber“, „berufliche Stellung“und „Umzugshäufigkeit“ erhoben.

Hackers Challenge

Die US-amerikanische Firma Digital Armaments Inc.hat am 04.01.2008 eine Hacker Challenge gestartet,die jede bis zum 29.02.2008 eingereichte neueSchwachstelle mit funktionsfähigem Exploit-Codemit 20.000 US$ prämiert. Das Geschäftsmodell des2003 gegründeten Unternehmens ist interessant:Es versucht, Hacker zur Zusammenarbeit zu gewin-nen und schreibt seit April 2006 immer wiederthematische Hacker Challenges aus. Geld verdientdas Unternehmen mit dem Verkauf exklusiverReports über die eingereichten (und möglicherweiseauch selbst gefundenen) Schwachstellen.

Genau so müsste es das organisierte Verbrechenwohl machen, um günstig an unveröffentlichteExploits zu kommen. Oder BND, BKA und Verfas-sungsschutz – für die Online-Durchsuchung.

Sicherheitsstudie 2008

Seit vielen Jahren sind die Ergebnisse der IT-Sicher-heitsstudie der Zeitschrift KES, die alle zwei Jahreerstellt wird, für viele Sicherheitsbeauftragte einegroße Hilfe – denn „belastbare“ Zahlen, mit denensich eigene Risikoeinschätzungen und Investitions-entscheidungen stützen lassen, gibt es viel zuwenig.

Den pdf-Fragebogen für die Sicherheitsstudie 2008gibt es online unter www.kes.info/studie2008. DieAuswertung erfolgt anonym. Alle Teilnehmererhalten exklusiven Zugriff auf die tabellarischeAuswertung sowie ein Präsent. Einsendeschluss fürden ausgefüllten Fragebogen ist der 01.03.2008.

Secorvo News

Secorvo College aktuell

Im vergangenen Jahr hat sich die Zahl der TISP-Absolventen auf mehr als 200 verdoppelt – und dieNachfrage reißt nicht ab. Damit ist der TISP aufdem Weg zum führenden beruflichen Weiterbil-dungszertifikat im Gebiet IT-Sicherheit. Vom 25.-29.02.2008 bietet Secorvo College mit der fünf-tägigen T.I.S.P.-Schulung die nächste Gelegenheit,ein TISP-Zertifikat zu erwerben.

Anfang März (11.-14.03.2008) bietet das SeminarPKI - Grundlagen, Vertiefung, Realisierung genaudas Wissen und die Erfahrung, die für die zielorien-tierte Entwicklung und den effizienten Betrieb einerPKI unabdingbar sind.

Das gesamte Seminarangebot 2008 sowie einOnline-Anmeldeformular finden Sie unterhttp://www.secorvo.de/college.

Secorvo Security News 01/2008, 7. Jahrgang, Stand 29.01.2008 4

Veranstaltungshinweise

Auszug aus http://www.veranstaltungen-it-sicherheit.de

Februar 2008

05.-06.02. 18. SmartCard Workshop (Fraunhofer, Darmstadt)

10.-13.02. Fast Software Encryption Workshop (FSE 08)(IACR, Lausanne/CH)

13.-14.02. 15. DFN CERT & PCA Workshop - Sicherheit invernetzten Systemen (DFN-CERT, Hamburg)

25.-29.02. T.I.S.P.-Schulung (Secorvo College, Karlsruhe)

März 2008

09.-12.03. 11. International Workshop on Practice and Theoryin Public Key Cryptography (IACR, Barcelona/ES)

11.-14.03. PKI - Grundlagen, Vertiefung, Realisierung(Secorvo College, Karlsruhe)

19.-21.03. 5. Theory of Cryptography Conference (TCC 2008)(IACR, New York/US)

April 2008

01.-03.04. Forensik - Verfahren, Tools, Praxiserfahrung (SecorvoCollege, Karlsruhe)

14.-17.04. Eurocrypt 2008 (IACR, Istanbul/TR)

15.-18.04. Information Security Management - von A(udit) bisZ(ertifizierung) (Secorvo College, Karlsruhe)

15.04. First USENIX Workshop on Large-scale Exploits andEmergent Threats (Usenix, San Francisco/US)

22.-23.04. Identity Management Symposium 2008(Secorvo, Karlsruhe-Ettlingen)

Impressum

http://www.secorvo-security-news.de

ISSN 1613-4311

Redaktion: Dirk Fox, Stefan Gora, Kai Jendrian, Stefan Kelm,Jochen Schlichting

Herausgeber (V. i. S. d. P.): Dirk FoxSecorvo Security Consulting GmbHEttlinger Straße 12-1476137 KarlsruheTel. +49 721 255171-0Fax +49 721 255171-100

Zusendung des Inhaltsverzeichnisses:security-news@secorvo.de(Subject: „subscribe security news“)

Wir freuen uns über Ihr Feedback anredaktion-security-news@secorvo.de

Secorvo Security News 02/2008, 7. Jahrgang, Stand 26.03.2008 1

Secorvo Security NewsFebruar 2008

Editorial: CaptchaInformatiker kennen den nach seinem Er-finder Alan Turing (1912-1954) benanntenTuring-Test, in dessen Verlauf ein Menschin fünf Minuten entscheiden soll, welchervon zwei mit ihm über einen Computerverbundenen Gesprächspartnern eine Ma-schine und welcher ein Mensch ist. Bisheute hat es kein Computerprogramm ge-

schafft, einen menschlichen Tester zu täuschen.

Diese Frage nach der Unterscheidbarkeit von „künstlicher“ und„menschlicher“ Intelligenz, die in den 80er Jahren die Informatikaufwühlte, ist heute hinter eine andere zurückgetreten: Kann einComputer entscheiden, ob ein Computer mit ihm spricht? Dieser ge-wissermaßen „umgekehrte Turing-Test“ entwickelt sich zur Schlüs-selfrage zahlreicher Web-Angebote. Denn vielfach sind automa-tische „Gesprächspartner“ unerwünscht, wie z. B. Antwort-Auto-maten bei Wissenstests, Trojaner beim Online-Banking oder Spam-Bots, die Suchmaschinen für die Recherche von E-Mail-Adresseneinspannen und News-Weiterleitungen für Postings missbrauchen.

Als Fachbegriff für solche Tests hat sich das Akronym „CAPTCHA“durchgesetzt: Completely Automated Public Turing test to tell Com-puters and Humans Apart. Dabei wird dem Nutzer des Angebotseine Aufgabe gestellt, die möglichst nur ein Mensch lösen kann –meist das Herauslesen verfremdeter Ziffern und Buchstaben auseiner Grafik. In zahlreichen Anwendungen werden solche Bild-CAPTCHAs inzwischen als Sicherheitsmechanismus eingesetzt. EinProblem dieser CAPTCHA-Mechanismen ist, dass für viele nach undnach automatische Lösungen entwickelt werden, und daher derenKomplexität ständig zunimmt. Je komplizierter aber das CAPTCHA,desto schwerer ist es auch für einen Menschen zu lösen.

Austricksen lassen sich CAPTCHAs aber noch viel einfacher: Präsen-tiert ein Online-Banking-Trojaner ein abgefangenes CAPTCHA aufeiner vielbesuchten Erotik-Seite, erhält er die Lösung in Sekunden„frei Haus“ – beantwortet von einem unwissentlichen Mittäter.Sicherheit ist eben mehr als die Summe guter Mechanismen.

Inhalt

Editorial: Captcha

Security News

TrueCrypt 5

Leitfaden Kritis

ITGK-Ergänzung 9

Metasploit 3.1

Shmoocon 2008

Protokollierung

OWASP Publikationen

Der neue Gola/Wronka

Secorvo News

Secorvo College aktuell

Identity ManagementSymposium

Veranstaltungshinweise

Februar 2008

Secorvo Security News 02/2008, 7. Jahrgang, Stand 26.03.2008 2

Security News

TrueCrypt 5

Die freie Software TrueCrypt zur Verschlüsselungvon Daten auf Festplatten ist am 05.02.2008 in derVersion 5 erschienen. Highlight der Neuerungen istdie Möglichkeit, nun auch die komplette Festplatteinklusive Betriebssystem zu verschlüsseln. Weiterwurde erstmals eine Version für Mac OS X veröf-fentlicht, und Linux-Benutzer können sich endlichüber eine grafische Oberfläche freuen. Zusätzlichgab es einige Detailänderungen bei den genutztenkryptografischen Verfahren.

Erste Tests bestätigen den guten Eindruck frühererVersionen der Software. Sowohl die Vollverschlüs-selung als auch die Kompatibilität mit alten Ver-sionen funktionierten problemlos. TrueCrypt ist einegut gemachte, kostenlose Verschlüsselungssoft-ware. Neben vielen guten Eigenschaften lässt sieallerdings einige für den Einsatz in Enterprise-Um-gebungen wichtige Funktionalitäten wie z. B. Mehr-benutzerfähigkeit und PKI-Anbindung vermissen.

Leitfaden Kritis

Am 24.01.2008 stellte Staatssekretär Dr. AugustHanning vom Bundesministerium des Inneren denneuen Leitfaden „Schutz Kritischer Infrastrukturen -Risiko- und Krisenmanagement” vor. Das 87-seitigeDokument wendet sich primär an Behörden undUnternehmen mit Verantwortung im BereichKRITIS. Der Leitfaden beschreibt die Phasen Vorpla-nung, Risikoanalyse, Vorbeugende Maßnahmen undKrisenmanagement und stellt einen umfangreichenAnhang mit Literatur, Gefahrenlisten, Checklistenund einer beispielhaften Risikoanalyse zur Verfü-gung. Auch für Unternehmen und Behörden, die

nicht zu den primären Adressaten des Leitfadenszählen, enthält das Dokument interessante Ansät-ze für Risiko- und Krisenmanagement. Weiteregute Dokumente zum Thema bietet die RiskManagement Series der amerikanischen FederalEmergency Management Agency (FEMA).

ITGK-Ergänzung 9

Seit dem 15.02.2008 ist die 9. Ergänzungslieferungder IT-Grundschutzkataloge online und zum Down-load auf den Seiten des Bundesamtes für Sicherheitin der Informationstechnik (BSI) verfügbar. Eine an-gepasste Version des Grundschutztools GSTOOL istangekündigt.

Die Weiterentwicklung umfasst neue Bausteine, diesich u. a. mit Themen wie elektrotechnischer undIT-Verkabelung, Netzdruckern, Datenträgeraus-tausch und dem unscheinbaren, aber immer wichti-geren Thema „mobile Datenträger“ beschäftigen.Zusätzlich sind neue Maßnahmen und Gefähr-dungen in die Kataloge eingearbeitet worden.

Auch sprachlich passt das BSI die Kataloge demwachsenden Bedürfnis nach umfassender Informa-tionssicherheit an. Sukzessive wird der etablierteBegriff „IT-Sicherheit” durch „Informationssicher-heit” ersetzt – das ist ein sehr sinnvoller Schritt,geht es doch um den Schutz von Informationenunabhängig von der Form, in der sie vorliegen.

Metasploit 3.1

Am 28.01.2008 wurde Version 3.1 des MetasploitProject vorgestellt, dessen Ziel es ist, Penetrations-testern, Forschern und Exploit-Entwicklern aktuelleInformationen und Hilfsmittel zu Exploit-Technikenverfügbar zu machen. Die neue Version enthältWerkzeuge beispielsweise zur Sicherheitsüberprü-

fung von WLANs und des neuen Apple iPhone,wurde um weitere Funktionen ergänzt und bietetnun auch unter Windows eine vollständige gra-fische Oberfläche.

Ergonomie und Leistungsfähigkeit des Werkzeugssind beachtlich. Wie so viele „dual use“-Produktewird es in den falschen Händen allerdings zu einemmächtigen Angriffswerkzeug, mit dem sich erheb-licher Schaden anrichten lässt.

Shmoocon 2008

Auf der diesjährigen Shmoocon (15.-17.02.2008)wurden eine ganze Reihe neuer Angriffstechnikenvorgestellt. Besonders interessant waren das Ent-schlüsseln von GSM-Verbindungen mit vertretbarenInvestitionskosten, potentielle Schwachstellen aufCitrix-Servern und das Einbringen von echten Ex-ploits in virtuelle Welten wie „second live“. Danebenwurden auch gesellschaftspolitische Themen wiedie soziale Verantwortung der Hacker-Communitydiskutiert und Hilfsprojekte wie Hackers for Charityvorgestellt.

In seiner Keynote am 15.02.2008 stellte AlexHalderman unglaubliche Sicherheitsmängel ameri-kanischer Wahlcomputer vor. Stimmt der Datei-name, wird ein infiziertes Systemimage anstandslosgeladen und kann sich über eine PCMCIA-Speicher-karte auf weitere Wahlcomputer verbreiten. Prüf-summen und kryptografische Schutzmechanismensucht man vergeblich; der PCMCIA-Schacht kannnur mit einem Schloss physikalisch gesperrt werden– das bau- und „schlüsselidentisch“ mit einem beiJukeboxen und Geldspielgeräten eingesetzten ist.Nach dem holländisch-deutschen Wahlmaschinen-Debakel (siehe SSN 10/2006) ist nun vielleicht aufpolitische Einsicht zu hoffen – auch bei derEntwicklung und Prüfung von Wahlmaschinen

Februar 2008

Secorvo Security News 02/2008, 7. Jahrgang, Stand 26.03.2008 3

sollte man jemanden fragen, der etwas davonversteht. Die Vortragsunterlagen und Videos dergelungenen Veranstaltung können in Kürze von derWebsite geladen werden.

Protokollierung

Das Thema Protokollierung ist so etwas wie dieAchillesferse der IT-Sicherheit: fast jedes Systembietet Protokolldaten, die Auswertungstools sindmeist primitiv, die Formate uneinheitlich – undnicht jede Protokollierung ist zulässig. Mit der am17.01.2008 veröffentlichten „Studie über die Nut-zung von Log- und Monitoringdaten im Rahmender IT-Frühwarnung und für einen sicheren IT-Be-trieb“ will das BSI Licht in den Logdatendschungelbringen – und hat dem Thema möglicherweiseeinen Bärendienst erwiesen.

Die 294 Seiten umfassende Fleißarbeit listet dieMerkmale von Logdateien wichtiger Systeme undAnwendungen auf, ignoriert aber die rechtlichenAnforderungen praktisch vollständig. Die wenigenAndeutungen zu Anforderungen des Datenschutz-rechts sind irreführend bis falsch und lassen dies-bezügliche Unkenntnis der Autoren vermuten; Hin-weise auf Mitbestimmungspflicht und die Unzuläs-sigkeit der Speicherung von Verbindungsdaten nachTelekommunikationsgesetz fehlen ganz. Von einerUmsetzung der Empfehlungen der Studie ohnevorausgehende Betrachtung der rechtlichen Anfor-derungen wird daher dringend abgeraten.

OWASP Publikationen

Veröffentlichungen der OWASP-Initiative sind seitKurzem über den digitalen Verlagsmarktplatz LULUin gedruckter Form oder als formatiertes PDFverfügbar. Die Prints sind preislich sehr attraktiv, diePDFs kostenlos und tragen hoffentlich dazu bei, die

qualitativ sehr hochwertigen Informationen derOWASP weiter zu verbreiten.

Der neue Gola/Wronka

Peter Gola und Georg Wronka haben Ihr Stan-dardwerk „Handbuch zum Arbeitnehmerdaten-schutz“ erneut überarbeitet und am 28.11.2007 ineiner aktualisierten 4. Auflage herausgebracht.

Leider konnten sich die Autoren nicht von ihremKonzept trennen, das sich an Verarbeitungsphasenorientiert, wodurch die Erörterung praktisch zu-sammenhängender Themen häufig in unterschied-lichen Kapiteln erfolgt. Auch wenn der Praktikereinige brandaktuelle Themen vermisst (z. B. Foren-sische Untersuchungen) und andere sehr allgemeinabgehandelt werden (z. B. Whistleblowing), so bie-tet das Werk doch nach wie vor einen gutenÜberblick und stellt insbesondere die Verschränkungmit Mitbestimmungsfragen umfassend dar.

Secorvo News

Secorvo College aktuell

Die CeBIT wird es wieder zeigen: PKIs leben – wennauch oft versteckt als „Treibsatz“ z. B. hinter E-Mail-Verschlüsselungslösungen. Wer verstehen will, wiePKIs funktionieren, wie sie aufgebaut und in An-wendungen und Verzeichnisdienste integriert wer-den, dem sei das Seminar PKI – Grundlagen, Vertie-fung, Realisierung vom 11.-14.03.2008 ans Herzgelegt. Das Seminar umfasst praktische Übungen.

Der „Klassiker“ IT-Sicherheit heute wird wegen derhohen Nachfrage als Zusatztermin vom 27.-30.05.2008 stattfinden. Nach einer grundlegendenÜberarbeitung und Aktualisierung deckt die Agendajetzt in vier Tagen die wichtigsten aktuellen The-

men der IT-Sicherheit ab. Eine Einführung in dasInformation Security Management von A(udit) bisZ(ertifizierung) mit Umsetzungsworkshop bietetSecorvo College vom 15.-18.04.2008.

Detaillierte Programme, vollständige Jahresüber-sicht und Online-Anmeldung unterhttp://www.secorvo.de/college

Identity Management Symposium

In vielen Unternehmen existieren historisch bedingtzwei „Identitäts-Management“-Systeme unverbun-den nebeneinander: Der Betriebsausweis, meist imVerantwortungsbereich der Corporate Security, unddie Benutzerauthentifikation mit Rechnerzugang, inder Regel in der Zuständigkeit der IT-Security. Dabeikommt es zu Doppelarbeit, denn für beide Bereicheist das Management eines „Berechtigungs-Lebens-zyklus“ erforderlich.

Mit der Verbreitung elektronischer Zugangssystemeund Authentifikationslösungen, die Passwortedurch Token ersetzen, rücken beide Systeme zu-sammen: Idealerweise sollten alle an die Identitäteines Mitarbeiters gekoppelten Dienste über eineKarte möglich sein. Erste Unternehmen haben in-zwischen ihre Identity Management-Systeme zu-sammengeführt. Die Komplexität dieser Projektelag dabei sowohl in der Technik als auch in zahl-reichen zu bewältigenden praktischen „Fallstricken“.

Gemeinsam mit der vps GmbH will Secorvo mitdem „Identity Management Symposium“ am 22.-23.04.2008 einen intensiven Erfahrungsaustauschmit und zwischen Unternehmen und Behördeninitiieren, die ein solches integriertes „IdentityManagement“ vorbereiten oder bereits eingeführthaben (Programm, Online-Anmeldung).

Secorvo Security News 02/2008, 7. Jahrgang, Stand 26.03.2008 4

Veranstaltungshinweise

Auszug aus http://www.veranstaltungen-it-sicherheit.de

März 2008

09.-12.03. 11. International Workshop on Practice and Theoryin Public Key Cryptography (IACR, Barcelona/ES)

11.-14.03. PKI – Grundlagen, Vertiefung, Realisierung(Secorvo College, Karlsruhe)

19.-21.03. 5. Theory of Cryptography Conference (TCC 2008)(IACR, New York/US)

April 2008

02.-04.04. Sicherheit 2008 (GI, Saarbrücken)

14.-17.04. Eurocrypt 2008 (IACR, Istanbul/TR)

15.-18.04. Information Security Management - von A(udit) bisZ(ertifizierung) (Secorvo College, Karlsruhe)

15.04. First USENIX Workshop on Large-scale Exploits andEmergent Threats (Usenix, San Francisco/US)

22.-23.04. Identity Management Symposium 2008(Secorvo, Karlsruhe-Ettlingen)

Mai 2008

06.-07.05. 9. Datenschutzkongress 2008 (Euroforum, Berlin)

06.-08.05. IT-Sicherheitsaudits in der Praxis(Secorvo College, Karlsruhe)

26.-29.05. IT Sicherheitsforum 2008 (GAI Netconsult, Frankfurt)

27.-30.05. IT-Sicherheit heute (Secorvo College, Karlsruhe)

Juni 2008

02.-06.06. T.I.S.P.-Schulung (Secorvo College, Karlsruhe)

Impressumhttp://www.secorvo-security-news.de

ISSN 1613-4311

Redaktion: Dirk Fox, Stefan Gora, Kai Jendrian, Stefan Kelm,Karin Schuler

Herausgeber (V. i. S. d. P.): Dirk FoxSecorvo Security Consulting GmbHEttlinger Straße 12-1476137 KarlsruheTel. +49 721 255171-0Fax +49 721 255171-100

Zusendung des Inhaltsverzeichnisses:security-news@secorvo.de(Subject: „subscribe security news“)

Wir freuen uns über Ihr Feedback anredaktion-security-news@secorvo.de

Secorvo Security News 03/2008, 7. Jahrgang, Stand 27.03.2008 1

Secorvo Security NewsMärz 2008

Editorial: Ach wie gut!Heute back’ ich, morgen brau’ ich,

übermorgen hol’ ich der Königin ihr Kind;ach, wie gut dass niemand weiß,

dass ich Rumpelstilzchen heiß!

Das war es also. Dieses Märchen unsererKindheit erklärt unser gespaltenes Verhält-nis zum Datenschutz. Tief verinnerlicht ha-ben wir, dass nur derjenige seinen richtigenNamen verheimlicht, der Böses im Schilde

führt – wird er erkannt, reißt er sich selbst in Stücke. Und so glaubenwir im Umkehrschluss, dass der Unbescholtene nichts zu verbergenhabe. Streift man durch „soziale Netzwerke“ wie myspace, facebook,Xing oder SchülerVZ, so drängt sich der Eindruck auf, als wollten Mil-lionen aus dieser tief verankerten Überzeugung ihre Unbescholten-heit durch exzessives Nichtverbergen unter Beweis stellen.

Wehe aber, wenn die Erkenntnis dämmert, dass es vielleicht nichtimmer gut ist, Dritten umfangreiche persönliche Informationen zurVerfügung zu stellen. So geschehen, als facebook ab 07.11.2007 zurNutzung des verkaufsfördernden „me too“-Effekts die aktuellenOnline-Einkäufe der registrierten Benutzer an deren Freundeslistenschickte. Aber auch unwissentlich geben viele Nutzer persönlicheInformationen im Internet preis – so weiß beispielsweise nicht jeder,dass die private Wunschliste beim Online-Buchhändler Amazon vonjedermann eingesehen werden kann, wenn die Voreinstellung nichtgeändert wurde. Daher lohnt es, gelegentlich bei einer Personen-suchmaschine wie Yasni das eigene „Bild im Netz“ zu überprüfen.

Zugleich nimmt die Überwachung im Windschatten der Terrordro-hung zu – ungeachtet der jüngsten Urteile des BVerfG zu Online-Durchsuchung und Vorratsdatenspeicherung, die dem behördlichenZugriff auf persönliche Daten hohe Hürden auferlegen. Dabei gibtdie älteste Demokratie Europas den Schritt vor: Nach der flächen-deckenden Installation von Videokameras in britischen Großstädtensoll zukünftig eine Bilddatenbank die automatische IdentifikationVerdächtiger erlauben. Ein 18-monatiges Pilotprojekt mit 750.000Fotos verlief offenbar vielversprechend. Ob es hilft, den Namen desIdeengebers herauszufinden – damit er sich selbst in Stücke reißt?

Inhalt

Editorial: Ach wie gut!

Security News

Mifare-Cloning

Fingerwischerei

Einsatz von WAFs

Citrix-Ausbruch

Rechenfehlerangriff

VMware-Hacks

Druckfrischer Entwurf

Krypto-Historie

Secorvo News

Secorvo College aktuell

Aktualisierte White Paper

Identity ManagementSymposium

ITSF 2008

Veranstaltungshinweise

März 2008

Secorvo Security News 03/2008, 7. Jahrgang, Stand 27.03.2008 2

Security News

Mifare-Cloning

Auf dem Jahreskongress des Chaos Computer Clubsstellten Karsten Nohl und Henryk Plötz am28.12.2007 einen Angriff auf das Authentifikations-verfahren kontaktloser Mifare-Chipkarten vor. Demvom Hersteller geheimgehaltenen, etwa 15 Jahrealten "CRYPTO1"-Algorithmus waren sie mit einerMikroskop-Analyse des Chip auf die Spur gekom-men, um dann nach kryptographischen Schwächen(zu kleiner Zufallswert, lineares Schieberegister) da-rin zu suchen. Zu dieser Krypto-Schwachstelle gibtes nun den passenden „Mifare-Cloner“: Am 12.03.2008 haben Forscher der Radboud UniversiteitNijmegen ein Video in YouTube veröffentlicht, aufdem sie zeigen, wie sie mit minimalem AufwandMifare-basierte Zugangskarten duplizieren.

Von der Attacke betroffen sind Tausende von An-wendungen mit einer Milliarde ausgegebenen Kar-ten, vom Betriebsausweis über die Kantinenkartebis zum bargeldlosen Bezahlsystem im öffentlichenNahverkehr, sofern sie Mifare-Chips des Typs MF1 ICS50 oder S70 verwenden. Fein raus ist, wer seineAnwendung bereits auf den neueren Mifare DESFire(MF3 IC D40) migriert hat – statt einer etwas ält-lichen Stromchiffre verwendet er bei der Authentifi-kation wahlweise DES oder TripleDES.

Fingerwischerei

In einem am 12.03.2008 online veröffentlichten Bei-trag aus c’t 05/08 beschreibt Daniel Bachfeld einesimple Methode, wie auf zahlreiche USB-Sticks un-ter Umgehung des Fingerprint-Schutz zugegriffenwerden kann. Verwendet der Stick den ControllerUSBest UT176 oder UT 169 von Afa Technology, so

erfolgt zwar die Fingerprint-Prüfung auf dem Chip –das Freigabe-Kommando für die „geschützte“ Parti-tion sendet jedoch die Systemsoftware vom PC. Mitdem Open-Source-Tool PLscsi gelingt der Zugriffohne Fingerkuppen-Imitat in nur drei Schritten.

Das Beispiel zeigt (leider) wieder einmal, dass esmeist wenig hilft, einen Sicherheitsmechanismusnachträglich an eine bestehende Lösung „anzuflan-schen“ – ist er nicht geeignet im System verankert,lässt sich das Verfahren an der Nahtstelle oft allzuleicht wieder auftrennen.

Einsatz von WAFs

Das OWASP German Chapter veröffentlichte am18.03.2008 den deutschsprachigen Guide „BestPractices: Einsatz von Web Appliction Firewalls“. Daslesenswerte 25-seitige Dokument wendet sich antechnische Entscheider im Bereich der Sicherheitvon Web-Applikationen. Nach einer Einordnung vonWeb Application Firewalls (WAF) wird deren Haupt-einsatzzweck erläutert – die nachträgliche Absiche-rung des externen Verhaltens von produktivenWeb-Anwendungen, mit vertretbarem Aufwandund ohne Änderung der Applikation.

Die Betrachtung der Schutzmechanismen fokussiertauf den Schutz gegen die OWASP Top 10 (siehe SSN06/2007). Abschließend werden Kriterien zur Ein-satz-Entscheidung, Checklisten und Rollenmodellefür die Einführung sowie Best Practices für denBetrieb vorgestellt. Positiv fällt auf, dass in demDokument in allen Phasen Wert auf die Berück-sichtigung von Aufwandsschätzungen gelegt wird.

Citrix-Ausbruch

Nicht nur bei einer Betriebssystemvirtualisierungsondern auch bei der Desktopvirtualisierung ist der

Ausbruch aus einem beschränkten Kontext einRisiko. So deckte Stefan Gora am 07.03.2008 auf,dass in Citrix-Umgebungen über den Microsoft-Taschenrechner auf weitere Applikationen zugegrif-fen werden kann, für die keine Berechtigungbesteht. Denn unter Windows 2003 Server werdendie Lizenzbedingungen des Taschenrechners mitdem Editor angezeigt, der über die Funktion „Dateiöffnen“ das Starten weiterer Anwendungenermöglicht.

Die Sicherheitslücke ist ein schönes Beispiel dafür,dass Hintertüren in komplexen Umgebungenmanchmal ganz harmlos daherkommen. Zwarerlaubt der Taschenrechner unter den aktuellerenMicrosoft-Server-Versionen diesen „Ausbruch“nicht; dennoch empfehlen wir die Nutzung ver-schiedener Terminal-Server-Plattformen für Benut-zergruppen mit unterschiedlichen Berechtigungen.

Rechenfehlerangriff

Zwei japanische Wissenschaftler veröffentlichtenam 27.12.2007 einen Angriff auf den AdvancedEncryption Standard (AES), der unter bestimmtenVoraussetzungen 88 Bit eines 128-Bit-AES-Schlüs-sels rekonstruiert. Sie verwendeten dazu die aufden ersten Blick befremdlich anmutende Methodeder „Differentiellen Fehleranalyse“ (DFA). In diesemspeziellen Fall muss dazu ein bekannter Klartextmehrfach mit demselben Schlüssel verschlüsseltwerden: Einmal ungestört, ein anderes Mal miteinem gezielt induzierten Fehler. Dabei muss derAngreifer erreichen, dass bei der neunten von zehnRunden eine bestimmte 32-Bit-Variable einenfehlerhaften Wert annimmt.

In der Praxis dürfte ein derartiger Angriff bei denmeisten Anwendungen des AES nur äußerst schwererfolgreich durchzuführen sein. Wer dennoch auf

März 2008

Secorvo Security News 03/2008, 7. Jahrgang, Stand 27.03.2008 3

Nummer sicher gehen will und die vierzigprozentigeLeistungseinbuße nicht scheut, sollte den AES mitder maximalen 256 Bit Schlüssellänge verwenden –mit weiteren 128 Schlüsselbits und vier zusätzlichenRunden.

VMware-Hacks

Die am 25.02.2008 von Coresecurity veröffentlichteund vom Hersteller bestätigte Schwachstelle in VM-ware-Workstation und dem VMware-Player solltenicht unterschätzt werden: Durch den Bug im Me-chanismus der „Shared Folder“ ist es möglich, vonWirtsbetriebssystemen aus auf das Hostsystem –und damit auf weitere Wirtssysteme – zuzugreifen.Die Abschottung der Systeme kann so vollständigausgehebelt werden.

Unverständlich ist, dass bisher seitens VMware nurein primitiver Workaround für die schon am 16.10.2007 an den Hersteller gemeldete Schwachstellevorliegt: die Empfehlung, „Shared Folder“ zu deakti-vieren.

Druckfrischer Entwurf

Auf den Webseiten des Bundesamt für Sicherheit inder Informationstechnik (BSI) steht der druckfrischeEntwurf des „BSI Standards 100-4: Notfall-Manage-ment“ in der Version 0.7 vom 19.03.2008 zumDownload bereit. Die Veröffentlichung dieses schonlange erwarteten BSI-Standards zum Thema Busi-ness Continuity (BCM) und Notfall-Managementverzögerte sich durch die Abstimmung mit denbritischen Standards BS 25999-1:2006 und BS25999-2:2007.

Das BSI bittet um kritische Prüfung und Kommen-tierung des aktuellen 82-seitigen Entwurfs bis EndeApril 2008.

Krypto-Historie

Auf der Tagung „Día Internacional de la Seguridadde la Información“ (DISI) gab Martin E. Hellman am03.12.2007 an der Universidad Politécnica de Madrideinen spannenden Einblick in die Geburtsstundender modernen Kryptographie („A Fool’s Errand“).Sowohl seine Vortragsfolien als auch ein Video derKeynote sind inzwischen online verfügbar – dieDokumentation einer der Sternstunden der IT-Sicherheit.

Überraschend sein wenig technischer Ausblick:„What is the most important unsolved problem incryptography? Lack of user awareness.”

Secorvo News

Secorvo College aktuell

Eine Einführung in das Information Security Mana-gement von A(udit) bis Z(ertifizierung) inklusive Um-setzungsworkshop bietet Secorvo College vom 15.-18.04.2008. Ein guter Einstieg für alle, die ihrSicherheitsmanagement auf Standard-Konformität„abklopfen“ möchten.

Das tatsächlich erreichte Sicherheitsniveau lässt sichauch durch ein Audit prüfen. Dazu bietet das Semi-nar IT-Sicherheitsaudits in der Praxis am 06.-08.05.2008 zahlreiche Hilfestellungen.

Am 27.-30.05.2008 wird der Klassiker IT-Sicher-heit heute wieder aufgelegt – und deckt nach einergründlichen Überarbeitung und Aktualisierung invier Tagen die wichtigsten aktuellen Themen der IT-Sicherheit ab.

Und im Juni bietet sich Ihnen die nächste Gelegen-heit, Ihre Fachkunde zu zertifizieren: auf demT.I.S.P.-Seminar am 02.-06.06.2008, mit anschlie-

ßender Prüfung (Achtung: frühzeitige Anmeldungempfohlen).

Detaillierte Programme, vollständige Jahresüber-sicht und Online-Anmeldung unterhttp://www.secorvo.de/college

Aktualisierte White Paper

Eine aktualisierte Fassung des Secorvo White Papers„Das Policy-Rahmenwerk einer PKI“ (Petra Barzin,Stefan Kelm) ist seit dem 27.03.2008 verfügbar.

Ebenfalls aktualisiert wurde die Forensik-Checklistevon Stefan Kelm (Version 1.2 vom 05.03.2008).

Identity Management Symposium

Gemeinsam mit der vps ID Systeme GmbH veran-staltet Secorvo am 22.-23.04.2008 das erste„Identity Management Symposium“ in Ettlingen(bei Karlsruhe). Im Stil der bewährten Secorvo-Sym-posien wird es einen intensiven Erfahrungsaus-tausch mit und zwischen Unternehmen und Behör-den bieten, die ein integriertes Identity Manage-ment vorbereiten oder bereits eingeführt haben.Unter anderem werden die Lösungen von BASF,BMW, ESG, Evonik, Fraunhofer und Swisscomvorgestellt (vollständiges Programm und Online-Anmeldung).

ITSF 2008

Das von GAI Netconsult und der ComConsult Aka-demie veranstaltete IT-Sicherheits-Forum 2008 fin-det in diesem Jahr vom 26.-29.05.2008 in Frankfurtstatt. Auch diesmal wirkt Secorvo am Programmder etablierten Veranstaltung mit einem Tutoriumzu „Security Awareness“ und einer Keynote mit. DieFrühbucherphase endet am 31.03.2008.

Secorvo Security News 03/2008, 7. Jahrgang, Stand 27.03.2008 4

Veranstaltungshinweise

Auszug aus http://www.veranstaltungen-it-sicherheit.de

April 2008

02.-04.04. Sicherheit 2008 (GI, Saarbrücken)

14.-17.04. Eurocrypt 2008 (IACR, Istanbul/TR)

15.-18.04. Information Security Management - von A(udit) bisZ(ertifizierung) (Secorvo College)

15.04. First USENIX Workshop on Large-scale Exploits andEmergent Threats (Usenix, San Francisco/US)

22.-23.04. 1. Identity Management Symposium 2008(Secorvo & vps, Karlsruhe-Ettlingen)

Mai 2008

06.-07.05. 9. Datenschutzkongress 2008 (Euroforum, Berlin)

06.-08.05. IT-Sicherheitsaudits in der Praxis (Secorvo College)

26.-29.05. IT Sicherheitsforum 2008 (GAI Netconsult, Frankfurt)

27.-30.05. IT-Sicherheit heute (Secorvo College)

Juni 2008

02.-06.06. T.I.S.P.-Schulung (Secorvo College)

09.-10.06. DuD 2008 (Computas, Berlin)

17.-18.06. 6. Security Awareness Symposium(Secorvo, Karlsruhe-Ettlingen)

24.-25.06. D-A-CH Security 2008 (GI/OCG/Bitkom/TTT, Berlin)

24.-26.06. Sichere Softwareentwicklung (Secorvo College)

Juli 2008

01.-03.07. Forensik (Secorvo College)

Impressumhttp://www.secorvo-security-news.de

ISSN 1613-4311

Redaktion: Dirk Fox, Stefan Gora, Kai Jendrian, Stefan Kelm,Hans-Joachim Knobloch

Herausgeber (V. i. S. d. P.): Dirk FoxSecorvo Security Consulting GmbHEttlinger Straße 12-1476137 KarlsruheTel. +49 721 255171-0Fax +49 721 255171-100

Zusendung des Inhaltsverzeichnisses:security-news@secorvo.de(Subject: „subscribe security news“)

Wir freuen uns über Ihr Feedback anredaktion-security-news@secorvo.de

Secorvo Security News 04/2008, 7. Jahrgang, Stand 28.04.2008 1

Secorvo Security NewsApril 2008

Editorial: „(T)Räumst du nochoder identifizierst du schon?“

Kontaktlose Chipkarten haben sich inzwi-schen auch in mittelständischen Unterneh-men als Betriebsausweis durchgesetzt. Siedienen als bargeldloses Zahlungsmittel imBetriebsrestaurant, regeln den Gebäude-zugang und vereinfachen die Zeiterfassung.Von einer ähnlichen Infrastruktur träumt

auch die IT: Gesteuert durch aktuelle HR-Prozesse (Eintritt, Austritt,interner Wechsel etc.) ließen sich Zugriffsrechte für zentrale Systemeund kryptographische Schlüssel (VPN-Einwahl, E-Mail- und Festplat-tenverschlüsselung) automatisch vergeben und wieder entziehen –abhängig von Aufgabe und Stellenbeschreibung, mit striktem Frei-gabeprozess nach dem Need-to-Know-Prinzip. Schließlich kann derAusweis als Single-Sign-On-Token leidige Mehrfach-Logins ablösen.

Der Sicherheitsgewinn wäre erheblich – keine „vagabundierenden“Accounts mehr, Schluss mit notierten, weitergegebenen oder trivi-alen Passworten, Ende der „Rechteakkumulation“ bei Mitarbeitern,die häufig den Zuständigkeitsbereich wechseln. Administrations-prozesse würden einfach, Hotline-Anrufe zur Passwortrücksetzungentfallen. Die subjektive Wahrnehmung von Sicherheitsmechanis-men als Arbeitsbehinderung wäre endlich Geschichte.

Technisch ist dies keine Zauberei mehr. In der Praxis sind zuvor je-doch ein paar Aufräumarbeiten zu erledigen, die schon in mittel-großen Unternehmen wie die Reinigung des Augiasstalls anmuten:So müssen Rechte in Rollen verdichtet, Freigabeprozesse etabliertund HR-Daten konsolidiert werden. Die Bewältigung dieser Heraus-forderungen, die ohne höchsten Management-Support nicht gelin-gen kann, lohnt jedoch – das zeigten die Vorträge und Diskussionenauf dem ersten „Identity Management Symposium“ in Ettlingen:Wer Ordnung schafft, gewinnt – Geld, Überblick und Sicherheit.

Wer beim Schachspiel nicht einmal die Figuren in Ordnung zu stellen weiß,der wird es schlecht zu spielen verstehen; und wer nicht Schach bieten kann,

der wird auch nie schachmatt setzen können." - Theresa von Ávila

Inhalt

Editorial: „(T)Räumst du nochoder identifizierst du schon?“

Security News

Online-Durchsuchung in der EU

Registry Ripper

Datenschutz international

Voreingestellte WPA-Keys

All Your iFrames Point to Us

Wurm inklusive

Finger-Logger

Vorratsdatenspeicherung

Secorvo News

Secorvo College aktuell

DuD 2008 – die zehnte

Pimp your web

Veranstaltungshinweise

Fundsache

April 2008

Secorvo Security News 04/2008, 7. Jahrgang, Stand 28.04.2008 2

Security News

Online-Durchsuchung in der EU

Am 09.04.2008 hat die 42köpfige interministerielleArbeitsgruppe „Online-Durchsuchung“ des österrei-chischen BMJ/BMI ihren Schlussbericht zur Online-Durchsuchung vorgelegt. In dem knapp 100seitigenDokument kommen die Autoren zu dem Schluss,„dass die geheime Überwachung von privaten Rech-nern ein besonders schwer wiegender Eingriff ist“,der unter Gesetzesvorbehalt stehe – und für den esderzeit in Österreich keine Rechtsgrundlage gibt.Der öffentlich gewordene Einsatz einer „RemoteForensik“-Software vom Herbst 2007, bei dem inkurzen Abständen Screenshots eines überwachtenSystems an die Strafverfolgungsbehörden gesandtworden waren, wird in einem rechtlichen „Graube-reich“ angesiedelt. Lesenswert ist die vergleichendeaktuelle Übersicht der Regulierung und des Standesder politischen Diskussion zur Online-Durchsuchungin den Mitgliedsstaaten der EU.

Registry Ripper

Immer öfter erfordert die forensische Analyse vonWindows-Rechnern eine zeitaufwändige Untersu-chung der Registry (NTUSER.DAT, etc.), da das Be-triebssystem dort eine Vielzahl von Aktionen proto-kolliert, beispielsweise die zuletzt geöffneten Datei-en und eine Liste gestarteter Anwendungen, geöff-neter Netzwerk-Ports und besuchter Webseiten.

Obwohl nicht nur frei verfügbare Registry-Viewer,sondern auch (fast) alle Forensik-Toolkits detaillierteAuswertungsmöglichkeiten für die Registry bieten,artet die Analyse in der Praxis oft in "Herumgesto-

chere" mit manueller Auswertung bestimmter Re-gistry-Schlüssel aus. Dagegen hilft das am 09.04.2008 veröffentlichte Tool RegRipper (v2.01A vom20.04.2008): Es wertet die ca. 50 wichtigsten in derRegistry vorhandenen Schlüssel aus, kodiert dabeiBinärwerte in eine lesbare Form, extrahiert vorhan-dene Zeitstempel und speichert das Ergebnis ineiner effizient weiter zu bearbeitenden Textdatei.Die zu untersuchenden Teilbäume der Registry wer-den über programmierbare, leicht anpassbare Plug-ins gesteuert. Das Tool erfordert dabei keine Instal-lation und verfügt neben einer Kommandozeileauch über eine graphische Benutzeroberfläche;außerdem wird der Perl-Quellcode mitgeliefert.Bereits diese vom Autor "Basic edition" genannteVersion sollte in keiner forensischen Tool-Samm-lung fehlen – der Autor hat bereits angekündigt, aneiner stark erweiterten Version zu arbeiten.

Datenschutz international

Im Auftrag der Europäischen Kommission erstelltenwik-Consult und RAND Europe eine Gegenüberstel-lung der Datenschutz-Regulierung in Europa, denUSA, Japan, Südkorea, Malaysia und Indien. Die vom20.07.2007 datierende Endfassung der Studie wurdeam 29.02.2008 von der EU-Kommission publiziert.

Bewertet wurden insbesondere der Rechtsschutz,der Grad an Selbstregulierung, die Effektivität, dieRechtsdurchsetzung und das Spannungsverhältniszu Sicherheitsgesetzen. Die 230seitige Studie basiertauf rund 40 Interviews mit Experten aus unter-schiedlichen gesellschaftlichen Bereichen (Unterneh-men, Regierungen, Datenschutzbehörden, Juristenund Verbraucherschutzverbänden) und bietet einenguten Überblick der Datenschutz-Gesetzgebung derjeweiligen Länder sowie des dahinter stehendenRegulierungskonzepts.

Voreingestellte WPA-Keys

Am 14.04.2008 veröffentlichte Kevin Devine untergnucitizen.org den von Britisch Telekom für denWLAN-Router Thompson Speedtouch verwendetenAlgorithmus zur Erzeugung der voreingestelltenWEP- und WPA-Schlüssel: ein einfacher SHA-1-Hash der hexadezimal dargestellten Seriennummer.Für die WEP-Keys von Netopia-Routern entdeckteund publizierte er das Verfahren schon am 29.09.2007: ein SHA-1-Hash der Seriennummer mit ange-hängter Textzeile aus „Third Stone From The Sun"von Jimi Hendrix liefert den Schlüssel. Von„James67“ wurde kürzlich auch der Erzeugungsalgo-rithmus der Default-Keys des Routers Netgear V1DG834GT gefunden – am 21.02.2008 riet SkyBroadband zum sofortigen Wechsel des WiFi-Keys.

Ursache des Übels, von dem viele weitere WLAN-Router unterschiedlicher Hersteller und vielleichtauch deutsche Provider betroffen sein dürften, sinddas fehlende Verständnis für die Wichtigkeit einerzufälligen Schlüssel-Wahl – und die Bequemlichkeitder meisten Nutzer, die den voreingestelltenSchlüssel nicht wechseln. Dazu raten wir dringend –denn auch wenn der Erzeugungsalgorithmus nichtveröffentlicht ist oder sogar Zufallswerte erzeugt,kennen Hersteller oder Online-Provider den Schlüs-sel. Damit ist die Kommunikation – auch ohne„Bundestrojaner“ – potentiell Dritten zugänglich.

All Your iFrames Point to Us

Seit mehr als 1,5 Jahren untersucht Google Web-seiten auf Malware, die automatisch beim Aufrufder Seite installiert wird. Dabei wurden über dreiMillionen unterschiedliche, mit Malware verseuchteURLs auf mehr als 180.000 Webseiten gefunden,wie Niels Provos am 11.02.2008 berichtete. Der

April 2008

Secorvo Security News 04/2008, 7. Jahrgang, Stand 28.04.2008 3

Anteil infizierter Seiten hat sich dabei von April 2007bis Januar 2008 auf ca. 1,3% verdreifacht; mehr alsdie Hälfte (über 60%) der Seiten stammt aus China.

Details der zusammen mit der Johns Hopkins Uni-versity durchgeführten Untersuchung finden sich ineinem von Niels Provos veröffentlichten, 22seitigenTechnical Report. Besonders lesenswert ist das vom07.04.2007 datierende (9seitige) GrundlagenpapierThe Ghost in the Browser, in dem Provos mitseinen Koautoren an Javascript-Beispielen erläutert,wie Webseiten-Malware arbeitet – und entdecktwerden kann.

Wurm inklusive

Am 03.04.2008 wurde bekannt, dass „USB FloppyDrive Keys“ der Firma HP, eine optionale Ergänzungfür ca. 40 Modellvarianten der Proliant-Serie, mitzwei Würmern verseucht ausgeliefert worden wa-ren. Bei den Würmern handelte es sich um Fakerecyund SillyFDC, die sich auf alle angeschlossen lokalenund vernetzen Laufwerken verbreiten. Sie warenerstmals Mitte Januar bzw. Ende Februar 2008aufgetaucht. Über eine Schadfunktion verfügenbeide Würmer glücklicherweise nicht, und aktuelleVirenscanner erkennen und beseitigen sie vollstän-dig. Dennoch zeigt der Vorfall, was bei mangelhaf-ter Qualitätssicherung in der Hardwareproduktiondrohen kann – erst im September 2007 waren ein-zelne iPods mit dem Virus RavMon.Exe ausgeliefertworden. Der nächste Wurm kommt bestimmt.Hoffentlich einer, den der Virenscanner erkennt.

Finger-Logger

Nicht erst seit der Ausspähung und Publikation desFingerabdrucks des Bundesinnenministers durchden Chaos Computer Club Ende März 2008 ist be-

kannt, dass biometrische Merkmale gefälscht wer-den können – siehe z.B. den von Matsumoto aufder Eurocrypt 2002 publizierten Beitrag „GummiFingers“ (SSN 1/2002).

Auf der Blackhat Europe wurde am 04.04.2008 eineexemplarische Analyse für einen biometrischenScanner nebst Infrastruktur (Türzugang) vorgestellt.Durch eine Man-in-the-Middle-Attacke wurden dieDaten aus dem Kommunikationsstrom erfolgreichrekonstruiert, da sie unverschlüsselt übertragenwurden. Die gewonnen Datenschablonen (Position,Datensatz und Fingerfolge) und Bilddaten wurdennach einem bekannten Verfahren zu einem funk-tionsfähigen Fingerabdruck weiterverarbeitet. NachKeyloggern, Mini-Videokameras und Skimming-Attrappen müssen wir uns möglicherweise baldauch nach Biodaten-Loggern umschauen.

Vorratsdatenspeicherung

Am 11.3.2008 entschied das Bundesverfassungs-gericht im Eilverfahren über die Verfassungsbe-schwerde von über 34.000 Beschwerdeführern ge-gen die mit der Änderung von TKG und StPOeingeführte Vorratsdatenspeicherung. Zwar setztees nicht – wie von den Beschwerdeführern erhofft –die Speicherung selbst außer Vollzug, sondernverbot befristet bis zum 11.09.2008 lediglich dieDatenherausgabe an die Strafverfolgungsbehörden.

Das Gericht verpflichtete die Bundesregierung zurAbfassung eines Berichts über die praktischen Aus-wirkungen der Sperrung. Damit traf das BVerfGkeine Vorentscheidung über die Speicherung, son-dern vermied zunächst nur etwaige negative Folgenfür die Betroffenen im Falle einer späteren Feststel-lung der Verfassungswidrigkeit der Regelungen.

Secorvo News

Secorvo College aktuell

Einen tiefen Einblick in IT-Sicherheitsaudits in derPraxis bietet Secorvo College am 06.-08.05.2008.Am 27.-30.05.2008 findet wieder der „aktuelleKlassiker“ statt – IT-Sicherheit heute. Nur noch we-nige Plätze gibt es für das TISP-Seminar, das Secor-vo College am 02.-06.06.2008 mit anschließenderPrüfung durchführen wird. Programm und Online-Anmeldung unter http://www.secorvo.de/college.

DuD 2008 – die zehnte

Für die diesjährige 10. Fachkonferenz „DuD 2008“am 09.-10.06.2008 in Berlin unter der fachlichenLeitung der Herausgeber der Zeitschrift „Daten-schutz und Datensicherheit“ konnten wieder span-nende Vorträge gewonnen werden. Darunter fin-den sich die Themen Whistleblowing, Internet-Be-wertungen von Lehrkräften, IT-Virtualisierung, dasAudit-Gesetz, Computerkriminalität und das „Web2.0“. Burkhard Hirsch, Bundesinnenminister a.D.,wird zu den gesellschaftlichen Folgen staatlicherÜberwachung Stellung beziehen, Prof. Christof Paarseine Attacke auf Wegfahrsperren vorstellen undJan Krissler vom Chaos Computer Club über diejüngsten Angriffe auf Biometrie-Systeme berichten.

Pimp your web

Am 29.05.2008 widmet sich die Karlsruher IT-Sicherheitsinitiative (KA-IT-Si) dem Schutz vonWeb-Applikationen. Maximilian Dermann von Luft-hansa Technik wird vorstellen, wie diese sich insbe-sondere vor DoS-Angriffen schützen lassen.

Secorvo Security News 04/2008, 7. Jahrgang, Stand 28.04.2008 4

Veranstaltungshinweise

Auszug aus http://www.veranstaltungen-it-sicherheit.de

Mai 2008

06.-07.05. 9. Datenschutzkongress 2008 (Euroforum, Berlin)

06.-08.05. IT-Sicherheitsaudits in der Praxis (Secorvo College)

26.-29.05. IT Sicherheitsforum 2008 (GAI Netconsult, Frankfurt)

27.-30.05. IT-Sicherheit heute (Secorvo College)

29.05. Pimp your web (KA-IT-Si, Karlsruhe)

Juni 2008

02.-06.06. T.I.S.P.-Schulung (Secorvo College)

09.-10.06. DuD 2008 (Computas, Berlin)

17.-18.06. 6. Security Awareness Symposium(Secorvo, Karlsruhe-Ettlingen)

24.-25.06. D-A-CH Security 2008 (GI/OCG/Bitkom/TTT, Berlin)

24.-26.06. Sichere Softwareentwicklung (Secorvo College)

Juli 2008

01.-03.07. Forensik (Secorvo College)

FundsacheDas freie E-Book „Security Concepts“ von Travis Howard, veröffentlichtam 12.04.2008, hat zwar mit 120 Seiten noch Projektcharakter, aber dieübersichtliche Struktur, die Inhalte und insbesondere die starke Verlin-kung zu externen Quellen machen das Werk zu einem lesenswertenReiseführer für Sicherheitsinteressierte. Bemerkenswert ist der Versuchdes Autors, zentrale und allgemeingültige Sicherheitsprinzipien heraus-zuarbeiten.

Impressum

http://www.secorvo-security-news.de

ISSN 1613-4311

Redaktion: Dirk Fox, Stefan Gora, Stefan Kelm, Jochen Schlichting

Herausgeber (V. i. S. d. P.): Dirk FoxSecorvo Security Consulting GmbHEttlinger Straße 12-1476137 KarlsruheTel. +49 721 255171-0Fax +49 721 255171-100

Zusendung des Inhaltsverzeichnisses:security-news@secorvo.de(Subject: „subscribe security news“)

Wir freuen uns über Ihr Feedback anredaktion-security-news@secorvo.de

Secorvo Security News 05/2008, 7. Jahrgang, Stand 24.06.2008 1

Secorvo Security NewsMai 2008

Editorial: Geistige Brandstifter

Der 11. September 2001 wird uns nicht nurals der Tag eines schockierenden Massen-mords in Erinnerung bleiben. Er wird auchals Wendepunkt in die Annalen der InnerenSicherheit eingehen. Mit beispielloser Ge-schwindigkeit zauberten Sicherheitsbehör-den westlicher Regierungen gleich welcherpolitischen Couleur in den darauffolgenden

Monaten neue Sicherheitsgesetze aus den Schubladen, die ohnenennenswerten politischen oder öffentlichen Widerstand die demo-kratischen Entscheidungsgremien passierten. Auch bestehende Be-fugnisse wurden ausgeweitet. In Deutschland stieg die ohnehinschon rekordverdächtig hohe Zahl angeordneter Telekommunika-tionsüberwachungen rapide: sie verdoppelte sich seit 2001 aufknapp 45.000 Fälle. 2007 war es für einen Bundesbürger 74 mal sowahrscheinlich, abgehört zu werden, wie für einen Nordamerikaner.

Erst in den vergangenen Monaten regt sich nennenswerter öffent-licher Widerstand – gegen die Pläne einer Online-Durchsuchung, denbiometrischen Personalausweis und die Vorratsdatenspeicherung;ermutigt vom Bundesverfassungsgericht, das die rechtsstaatlichenGrenzen staatlicher Überwachung in Erinnerung gebracht hat.

Schlimmer noch als die schleichende Ausdehnung von Über-wachungsbefugnissen ist jedoch der Geist, den die scheinbar wider-spruchsfreie Beschränkung bürgerlicher Freiheitsrechte gesät hat. Sosollte es eigentlich niemanden wundern, dass in der herrschendenAtmosphäre des Misstrauens Verantwortliche in Unternehmen aufdie Idee kommen, Mitarbeiter, Aufsichtsräte und Investoren zuüberwachen. Das Bewusstsein der Strafbarkeit solcher Maßnahmenkann in einem politischen Kontext abhanden kommen, in demDatenschutz als „Täterschutz“ diffamiert wird, Abschüsse von Lini-enflugzeugen, Online-Überwachung und Vorratsdatenspeicherungohne Rücksicht auf elementare Grundrechte in Gesetze gegossenwerden und Nachrichtendienste rechtswidrig Journalisten bespit-zeln. Die geistigen Brandstifter – die sitzen in den Innenministerien.

Inhalt

Editorial: Geistige Brandstifter

Security News

WLAN-Missbrauch strafbar

Botnetz-Analyse

Schwerer Lotus Domino Bug

Verbindungsdatenauskünfte

Pseudozufall

Leitfäden zum “Hackerparagraf”

Malware mit Copyright

Firewire macht Feuer

Secorvo News

Secorvo College aktuell

Security Awareness Symposium

Veranstaltungshinweise

Fundsache

Mai 2008

Secorvo Security News 05/2008, 7. Jahrgang, Stand 24.06.2008 2

Security News

WLAN-Missbrauch strafbar

Erstmalig hat ein deutsches Gericht den Missbraucheines ungeschützten privaten WLANs als Straf-tatbestand gewertet: Das Amtsgericht Wuppertalverurteilte in einem am 03.04.2008 publiziertenUrteil (Az. 22 Ds 70 Js 6906/06) den „Schwarzsurfer“wegen unerlaubten Abhörens eines Funknetzes(§ 89 TKG) sowie nach § 44 BDSG wegen der wider-rechtlichen Aneignung einer privaten IP-Adresse –die ihm der Router zugeteilt hatte. Die Strafe (20Tagessätze) wurde zur Bewährung ausgesetzt, derLaptop des Täters jedoch als „Tatwerkzeug“ einge-zogen (NStZ 03/2008, S. 161 ff.). Auch wenn Kritikan der Rechtsauffassung des Gerichts angebrachterscheint, sollte man von der ungenehmigten Nut-zung fremder WLANs tunlichst Abstand nehmen.

Botnetz-Analyse

Vitaly Kamluk, Virenanalyst bei Kaspersky Lab, ver-öffentlichte am 13.05.2008 eine lesenswerte Ana-lyse über Botnetze. Neben einer systematischenKlassifizierung nach Architektur und verwendetenNetzprotokollen und einer anschaulichen Darstel-lung der Entwicklung der Botnetz-Technologiebeleuchtet der Autor den gefährlichen Trend zuPeer-to-Peer-Botnetzen. Diese kommen ohne einezentrale Kommandostelle aus, indem sie Befehlemit ihren „Nachbarn“ austauschen. Besonders das„Sturmwurm“-Botnetz (SSN 08/2007) stellt eineerhebliche Bedrohung dar, da es sich über stündlichneue Mutationen verbreitet und bis zu seinemEinsatz unauffällig und „ruhig“ verhält.

Die Analyse, die bei Kaspersky Lab auch als pdf-Datei heruntergeladen werden kann, schließt mitder Veranschaulichung einiger Geschäftsmodelle der„Botnetz-Industrie“. Die zunehmende Professionali-sierung von Konzeption, Infizierung und Steuerungvon Zombie-PCs über Botnetze belegt, dass mit derNutzung von Bots Geld verdient werden kann. Aus-trocknen lässt sich dieser Cyber-Sumpf nur an denWurzeln: den Löchern in Systemen, die die Einnis-tung von Bots erst ermöglichen.

Schwerer Lotus Domino Bug

Am 20.05.2008 meldete MWR InfoSecurity einenStack Overflow für IBMs Lotus Domino Web Server,der einem Angreifer die Ausführung beliebigenCodes unter System-Privilegien erlaubt – und dervia Fernzugriff ausgelöst werden kann. Nachgewie-sen wurde der Bug für die Versionen 7.0.3 und 8.0;mit hoher Wahrscheinlichkeit sind auch ältere Ver-sionen betroffen. IBM hat passende Update-Pat-ches bereitgestellt. Wer einen Lotus Domino WebServer im Internet betreibt sollte schnell reagieren.

Verbindungsdatenauskünfte

Neben den Inhalten unterliegen auch die „näherenUmstände“ der Telekommunikation (Wer? Wo? Mitwem? Wann? Wie lange?), „Verbindungsdaten“ ge-nannt, dem Fernmeldegeheimnis (§ 88 TKG). DessenVerletzung ist eine Straftat (§ 206 StGB) und kannmit bis zu fünf Jahren Freiheitsstrafe geahndetwerden. Ausnahme: Strafverfolgungsbehörden dür-fen im Zusammenhang mit Straftaten von „im Ein-zelfall erheblicher Bedeutung“ (insbesondere die„Katalogstraftaten“ des § 100a Abs. 2 StPO) auchohne Wissen des Betroffenen Verkehrsdaten erhe-ben (§ 100g StPO).

Das Max-Planck-Institut für ausländisches und in-ternationales Strafrecht in Freiburg hat am13.02.2008 ihre knapp 500 Seiten starke, im Auftragdes BMJ erstellte Langzeitstudie zur „Rechtswirk-lichkeit der Auskunftserteilung über Telekommuni-kationsverbindungsdaten nach §§ 100g, 100h StPO“vorgelegt. Danach ist die Zahl der Verkehrsdatenab-fragen in den vergangenen Jahren explodiert:Waren es im Jahr 2000 noch 5.000, stieg die Anzahl2005 auf das Achtfache (40.000 Abfragen). Einewachsende Rolle spielen dabei offenbar Standort-und Funkzellenabfragen (18% bzw. 10%), mit denender Aufenthaltsort Verdächtiger ermittelt werdenkann – oder auch alle Personen, die sich zumTatzeitpunkt mit eingeschaltetem Handy in einerbestimmten Funkzelle aufhielten.

Mängel stellt die Untersuchung insbesondere beider Benachrichtigung der Betroffenen fest: lediglichin 4% der Fälle war die Benachrichtigung in denAkten dokumentiert; die Vernichtung der Datenkonnte nur in 3% der untersuchten Verfahren denAkten entnommen werden. Wer mag sich da nochwundern, dass die derzeit vor dem Bundesverfas-sungsgericht verhandelte Vorratsdatenspeicherungvon Verbindungsdaten Befürchtungen weckt?

Pseudozufall

Am 13.05.2008 veröffentliche das Debian Projekteine korrigierte Version des OpenSSL-Packets, daalle OpenSSL-Versionen seit September 2006 (Ver-sionen 0.9.8c-1 bis 0.9.8g-9) auf Debian-Distributio-nen wie Ubuntu kompromittierbare kryptografischeSchlüssel erzeugen. Ursache: Die Funktion, die fürzufällige Startwerte im Zufallszahlengenerator sor-gen sollte, war im Quellcode auskommentiert. DerZufallszahlengenerator nutzte daher die LinuxProzess ID als Zufallswert, die nur 32.767 mögliche

Mai 2008

Secorvo Security News 05/2008, 7. Jahrgang, Stand 24.06.2008 3

Werte annehmen kann. Daher lassen sich die ge-heimen Schlüssel von u.a. SSL, SSH, DNSSEC sowieX.509-Zertifikaten via Brute-Force-Angriff finden.Betroffen sind alle Programme, die OpenSSL zurErzeugung kryptografischer Schlüssel verwenden,darunter Apache, Sendmail, Exim und OpenVPN.

Zweck der nicht mit dem OpenSSL-Entwicklungs-team abgestimmten Auskommentierung durchden Debian OpenSSL Maintainer war die Unterdrüc-kung von Fehlermeldungen, die das Softwareana-lysewerkzeug valgrind festgestellt und fälschlich alsSoftwarefehler interpretiert hatte. Da kommt derDraft der NIST-Publikation SP 800-108 „Recom-mendation for Key Derivation Using PseudorandomFunctions“ vom 01.05.2008 leider zu spät: Jetztmüssen zahlreiche Schlüssel getauscht werden – eingutes Geschäft für Certificate Authorities.

Leitfäden zum “Hackerparagraf”

Am 17.04.2008 hatte die EICAR einen von ChristianHawellek und Dennis Jlussi von der Universität Han-nover entwickelten Leitfaden zur strafrechtlichenRelevanz von IT-Sicherheitsaudits veröffentlicht, derEmpfehlungen zur Durchführung von Audits imKontext des neuen § 202c StGB (der „Hacker-paragraf“, siehe SSN 07/2007) zusammenfasst. Ergeht unter anderem ausführlich auf die Gestaltungvon Einverständniserklärungen zur Vermeidung vonStrafbarkeitsrisiken ein. Ebenfalls 16 Seiten umfasstder am 23.05.2008 vom Bitkom publizierte Prakti-sche Leitfaden für die Bewertung von Software imHinblick auf den § 202c, StGB. Neben einer Kriteri-enliste zur Beurteilung, ob eine Software unter dieBestimmungen des § 202c fällt, schlägt der Leitfa-den „Best Practice“-Regelungen für den Umgangmit „Dual-Use“-Software im Unternehmen vor.Beide enthalten vernünftige Empfehlungen zur

Absicherung, insbesondere im Falle einer externenDurchführung von IT-Sicherheitsaudits.

Malware mit Copyright

Am 25.04.2008 veröffentlichte Liam O. Murchu imSymantec Security Response Blog beispielhaft dieCopyright- und Lizenzhinweise der ZeuS-Crimeware– eines russischen Malware-Construction-Kits zumAufbau von Botnetzen. Darin droht der „Anbieter“damit, jede nicht vertragskonforme Nutzung durchdie Versendung der Signatur der spezifischenBinärdatei an führende Antiviren-Hersteller zuunterbinden. Eine interessante Rolle für die AV-Industrie – Copyright Enforcement für Schadsoft-ware-Baukästen. Möglicherweise kann sie sichdieser Rollenzuweisung nicht einmal entziehen.

Firewire macht Feuer

In der Theorie ist es ein alter Hut: Schon am 30.09.2006 hatte Adam Boileau auf der damaligenRuxcon über Angriffe via Firewire vorgetragen.Seine ausführliche Präsentation „Hit by a bus:Physical Attacks with Firewire“ wurde damals voneiner Live-Demo begleitet. Knapp zwei Jahre späternun unterlegt er seine akademische Attacke miteinem „Proof of concept“: Anfang März 2008 stellteBoileau das Tool winlockpwn auf seiner Website zurVerfügung. Mit diesem Tool kann von einem viaFirewire verbundenen Computer ein Login an einemRechner unter Windows XP (SP2) als Administratorerzwungen werden. Die erschreckende Eleganz die-ses Angriffs lässt sich auf YouTube bewundern.Boileau nutzt dabei die Eigenschaft der Firewire-Schnittstelle, den Speicher des angeschlossenenRechners direkt zu adressieren – und ihm so z.B.eine modifizierte DLL unterzuschieben.

Die Existenz von winlockpwn fordert in vielen Berei-chen das Überdenken existierender Sicherheitskon-zepte. Beispielhaft sei hier der – nicht zu empfeh-lende – Einsatz von Festplattenvollverschlüsselungs-lösungen ohne „Pre Boot Authentication“ genannt.

Secorvo News

Secorvo College aktuell

Die Nachfrage nach dem TISP-Zertifikat wächst un-gebrochen: Schon weit über 200 deutsche SecurityProfessionals dürfen sich mit diesem Titel schmüc-ken, und 2008 werden voraussichtlich weitere 100Absolventen das Zertifikat erwerben. Noch zweiletzte freie Plätze für Kurzentschlossene gibt es aufdem TISP-Seminar am 02.-06.06.2008.

Die nächste Gelegenheit zur TISP-Zertifizierungbietet College nach der Sommerpause vom 08.-12.09.2008. Vorher führt College vom 01.-03.07.2008 noch mit einem dreitägigen Seminar indie Durchführung von forensischen Analysen ein.

Security Awareness Symposium

Vom 17.-18.06.2008 findet das sechste „SecurityAwareness Symposium“ statt, das sich zum jährli-chen Treffpunkt von Security-Awareness-Verant-wortlichen entwickelt hat. Auf dem von Secorvozusammen mit den E-Learning-Experten von digitalspirit und der Agentur DauthKaun veranstaltenSymposium in den stilvollen Räumen der BuhlschenMühle in Ettlingen werden unter anderem die Er-fahrungen der Münchener Rück, SAP, T-Systemsund MDS vorgestellt und diskutiert.

Secorvo Security News 05/2008, 7. Jahrgang, Stand 24.06.2008 4

Veranstaltungshinweise

Auszug aus http://www.veranstaltungen-it-sicherheit.de

Mai 2008

29.05. Pimp your web (KA-IT-Si, Karlsruhe)

Juni 2008

02.-06.06. T.I.S.P.-Schulung (Secorvo College)

09.-10.06. DuD 2008 (Computas, Berlin)

17.-18.06. 6. Security Awareness Symposium(Secorvo, Karlsruhe-Ettlingen)

24.-25.06. D-A-CH Security 2008 (GI/OCG/Bitkom/TTT, Berlin)

24.-26.06. Sichere Softwareentwicklung (Secorvo College)

Juli 2008

01.-03.07. Forensik (Secorvo College)

10.-11.07. DIMVA 2008 (GI)

28.07.-1.08. 17th USENIX Security Symposium 2008 (San José/US)

August 2008

17.-21.08. Crypto 2008 (IACR, Santa Barbara/US)

Fundsache

Symantec hat am 08.04.2008 den 13. „Global Internet Thread Report“für den Sechsmonatszeitraum Juli bis Dezember 2007 publiziert. Er ent-hält eine umfangreiche Analyse der Entwicklung aktueller Bedrohungendurch Malware, Botnetze und sicherheitskritische Softwarefehler. Explo-diert ist die Menge bösartigen „Malicious Code“: Gegenüber dem Vorjah-reszeitraum hat sich deren Zahl auf 500.000 mehr als versechsfacht.

Impressum

http://www.secorvo-security-news.de

ISSN 1613-4311

Redaktion: Dirk Fox, Kai Jendrian, Jochen Schlichting

Herausgeber (V. i. S. d. P.): Dirk FoxSecorvo Security Consulting GmbHEttlinger Straße 12-1476137 KarlsruheTel. +49 721 255171-0Fax +49 721 255171-100

Zusendung des Inhaltsverzeichnisses:security-news@secorvo.de(Subject: „subscribe security news“)

Wir freuen uns über Ihr Feedback anredaktion-security-news@secorvo.de

Secorvo Security News 06/2008, 7. Jahrgang, Stand 26.06.2008 1

SSecorvo Security NewsJuni 2008

Editorial: Reden ist SilberSchweiger erfreuen sich in westlichen Ge-sellschaften eines guten Rufs. Wer wenigredet, den umgibt der Nimbus des Vergeis-tigten – denn „Stille Wasser sind tief“, wieder Volksmund weiß. Oder er gilt gar alsweise: Von Ernest Hemingway (1899-1961)ist der Ausspruch überliefert, man brauche„zwei Jahre, um sprechen zu lernen, undfünfzig, um schweigen zu lernen“. Zumeist

gilt Schweigen als ein Indiz für Nachdenken – wenigstens bis zumBeweis des Gegenteils: „Wo Männer schweigen, reden dieGedanken“ (Carl Spitteler, 1845-1924).

Nicht immer aber stimmt das Klischee. Denn Schweigen kann auchmehr Schein als Sein verbergen. Das wird oft erst deutlich, wenn sichein stilles Wasser als seichte Pfütze outet. Ein fast 1.500 Jahre altesBonmot belegt die lange Tradition des Schweigens als potem-kinsches Dorf: „Si tacuisses, philosophus mansisses“ reimte derPhilosoph Boethius (ca. 475–525 n. Chr.) – „Hättest Du geschwiegen,wärst Du Philosoph geblieben.“ Die Motivation des taktischenSchweigens hat der französische Schriftsteller François Duc de LaRochefoucauld (1613-1680) auf den Punkt gebracht: „Schweigen istder beste Ausweg für den, der seiner Sache nicht sicher ist." Beihartnäckigem Schweigen ist daher Vorsicht angeraten.

Die Geschichte der Kryptographie kennt unzählige Beispiele für dün-ne Bretter, die allein durch Schweigen hielten: Crypto-1 (Mifare) undKeeLoq sind zwei der jüngsten. Auch wenn es immer wieder be-hauptet wird: Die Sicherheit eines (Krypto-)Verfahrens steigt nichtdurch Geheimhaltung. Im Gegenteil: „Security by Obscurity“ erhöhtdas Risiko eines schlagartigen Sicherheitsverlustes, falls das Verfah-ren bekannt wird. Immer wieder bestätigt sich der von AugusteKerckhoffs vor 125 Jahren in „La Cryptographie Mililtaire“ formulier-te Fundamentalsatz der modernen Kryptographie: Die Sicherheiteines kryptographischen Mechanismus’ darf nur von der Geheimhal-tung des Schlüssels abhängen. Oder kurz: Reden ist Silber.Schweigen ist ... Mist. Zumindest in der Kryptographie.

Inhalt

Editorial: Reden ist Silber

Security News

OpenSSL Nachwehen

ISO-Risikomanagement

Cisco Rootkits

Automatische Exploits

PTK Forensics

Exponierte Leittechnik

Reaktorabschaltung per Patch

Nessus-Lizenz

Secorvo News

Secorvo College aktuell

Team(ver)stärkung

Veranstaltungshinweise

Fundsache

Juni 2008

Secorvo Security News 06/2008, 7. Jahrgang, Stand 26.06.2008 2

Security News

OpenSSL Nachwehen

Die meisten Probleme des am 13.05.2008 bekanntgewordenen Sicherheits-Desasters von OpenSSL inDebian-basierten Linux-Distributionen sind umfän-glich beschrieben und diskutiert worden (siehe auchSSN 05/2008). Möglicherweise betroffene Server-Schlüssel können seit dem 09.06.2008 mit dem SSL-Online-Check des Heise-Verlags überprüft werden.

Auf ein etwas vernachlässigtes Risiko wollen wirjedoch hinweisen: Auch Schlüssel, die auf Systemenerzeugt wurden, die von der OpenSSL-Problematiknicht betroffen waren, müssen als kompromittiertgelten, wenn sie auf einem betroffenen System zurPublic-Key-Authentifizierung mit DSA, wie z. B. beiSSH, eingesetzt wurden. DSA benötigt zum Sig-nieren eine vom Client-System erzeugte Zufallszahl,die geheim bleiben muss. Mit Kenntnis dieser Zu-fallszahl kann mit einfacher Mathematik in wenigenSchritten der private Schlüssel aus einer veröffent-lichten DSA-Signatur herausgerechnet werden.Noch einfacher ist es bei einem Diffie-Hellman-Schlüsselaustausch: Die kleine Menge möglicher Zu-fallszahlen auf einem betroffenen Client erlaubt eseinem Angreifer, mit begrenztem Aufwand denSession-Key aus mitgeschnittenen SSH-Sessions zugewinnen.

ISO-Risikomanagement

Mit dem am 04.06.2008 veröffentlichten StandardISO/IEC 27005:2008 “Information technology – Se-curity techniques – Information security risk mana-gement” hat die ISO die Normenreihe ISO/IEC 2700xum einen wichtigen Baustein ergänzt. Neben einerverallgemeinerten Herangehensweise an das The-

ma Risikomanagement werden darin wesentlicheProzessschritte wie beispielsweise die Risiko-Iden-tifikation, -Bewertung und -Akzeptanz beschriebenund konkrete Hilfestellung zur Anwendung gege-ben. Der neue Standard konkretisiert damit die An-forderungen an das Risikomanagement aus ISO/IEC27001:2005.

Cisco Rootkits

Am 22.05.2008 stellte Sebastian Muniz auf derEuSecWest in London ein funktionsfähiges Rootkitfür Cisco IOS vor. Dessen Wirksamkeit wurde inzwi-schen durch eine offizielle Stellungnahme des Her-stellers bestätigt. Einen Tag zuvor hatte Cisco dreiaußerplanmäßige Patches veröffentlicht, die mitder IOS-Rootkit-Thematik zusammenhängen dürf-ten. Insbesondere der Cisco IOS SSHService Denial ofService-Fehler wird als reengineer-bar eingestuft,daher sollte mit Angriffen auf diese Schwachstellegerechnet werden. Wir empfehlen, betroffeneSysteme umgehend zu patchen.

Automatische Exploits

David Brumley, Pongsin Poosankam, Dawn Song,und Jiang Zheng veröffentlichten am 18.04.2008einen Ansatz zur automatischen Erzeugung von Ex-ploits aus Patches. Die Kernidee: Sie vergleichen dasgepatchte mit dem ursprünglichen Programm.Identifizieren sie dabei beispielsweise eine Input-Va-lidierung, so erzeugen sie daraus Angriffscode, dergegen genau diese Validierung verstößt – und kön-nen nun jedes ungepatchte System attackieren.Zwar lassen sich mit diesem Ansatz (noch) nicht alleExploits zu jedem Patch finden; für ausgewählteMicrosoft-Patches konnten sie jedoch in weniger als30 Sekunden funktionsfähige Exploits gewinnen.Sollte dieser Ansatz weiter entwickelt werden,

könnten Hersteller und Anwender in Zugzwanggeraten und müssten sich um geeignete Gegen-maßnahmen und zügigeres Patchen bemühen.

PTK Forensics

Seit dem 30.05.2008 läuft der öffentliche Beta-Testfür PTK – eine neue, völlig überarbeitete graphischeBenutzeroberfläche für das altehrwürdige Forensik-Tool The Sleuthkit (TSK). Dabei handelt es sich nichtbloß um eine aktuellere Version der bereits etwas indie Tage gekommenen Sleuthkit-Benutzeroberflä-che Autopsy. Die Entwickler der italienischen DFLABS srl wollten vielmehr komplett neue Funktio-nen zur Verfügung stellen.

Wir haben das Tool einem ausgiebigen Test unter-zogen. Vor der eigentlichen Analyse extrahiert dieneue "Indexing Engine" Textpassagen, sucht nachbekannten Dateitypen, führt File-Carving durch, be-rechnet bei Bedarf kryptographische Prüfsummenund legt die Ergebnisse in einer SQL-Datenbank ab.Anschließend kann der Forensiker über eine Ajax-basierte Web-Schnittstelle auf zahlreiche Funktio-nen zugreifen. Dabei überzeugen Features wie die"Gallery", die eine Vorschau auf gefundene Bildererlaubt, oder eine nützliche "Bookmark"-Funktionzur Hervorhebung wichtiger Suchtreffer.

Der Beta-Test läuft bis September 2008. Da es gele-gentlich zu Fehlermeldungen kommt und nochnicht alle Funktionen aus TSK und Autopsy imple-mentiert sind, stellt PTK zur Zeit noch keinen voll-wertigen Ersatz dar.

Exponierte Leittechnik

Nun ist es ja nicht so, dass analoge Leittechnikunangreifbar wäre: Ein durchgetrenntes Kabel kanndie Verfügbarkeit von Anlagen gefährden, und das

Juni 2008

Secorvo Security News 06/2008, 7. Jahrgang, Stand 26.06.2008 3

Drehen an einem Potentiometer könnte Signaleverfälschen. Allein der Umstand, dass man hierzueinen physikalischen Zugriff vor Ort benötigt, er-schwert derartige Angriffe erheblich. Anders siehtes dagegen bei der digitalen Leittechnik aus: DurchTCP/IP verbundende Systeme können über hun-derte von Kilometern hinweg beeinflusst werden.

Schutz bieten hier durchdachte Netzwerk-Zonen-konzepte und entsprechend restriktiv konfigurierteFirewalls. Dass es daran gelegentlich mangelt, zei-gen die Feststellungen der US-amerikanischenÜberwachungsbehörde Government AccountabilityOffice (GOA) bei einem der größten Energieversor-ger, der Tennessee Valley Authority (TVA); nachles-bar in einem Prüfbericht vom 21.05.2008. Darinwerden unter anderem Verbindungen zwischenAnlagennetzen und Office-Netzsegmenten und zuoffen konfigurierte Firewallsysteme bemängelt.Kein Wunder, dass in den USA die Angst vor einemHacker-Angriff auf die Energieversorgung umgeht.

Reaktorabschaltung per Patch

Am 05.06.2008 wurde ein peinlicher Zwischenfall ineinem amerikanischen Atomkraftwerk bekannt: EinService-Techniker hatte im Kraftwerk Hatch aufeinem PC im Office-Netzsegment ein Update instal-liert, das durch eine fehlerhafte SynchronisierungDaten auf einem Kontrollsystem im Anlagennetzlöschte. Die fehlenden Daten wurden von denSchutzsystemen des Reaktors als zu niedrigerKühlwasserstand interpretiert – und daher eineNotabschaltung ausgelöst, so die Darstellung imNRC-Bericht (Nuclear Regulatory Commission).

Zwar ist zu hoffen, dass ein solcher Vorfall in einemdeutschen Kraftwerk nicht möglich wäre. Aber be-unruhigend ist auch schon die Vorstellung, dass eineinfaches Systemupdate solche Aktionen auslösen

kann – selbst bei einem 7.400 km entfernten Kern-kraftwerk.

Nessus-Lizenz

Der Security-Scanners Nessus, einstmals OpenSource, seit 2005 als Closed Source weiterentwickelt(vgl. SSN 02/2005), erfreut sich auch in Unterneh-men großer Beliebtheit. Mit dem bisherigen Nut-zungsmodell, nach dem Updates und Plugins mitetwas Verzögerung kostenfrei zum Download be-reitgestellt wurden, ist es für den kommerziellenEinsatz am 31.07.2008 vorbei: In einem Schreibeninformierte der Hersteller Tenable registrierteNutzer am 14.05.2008 über die bevorstehenden Än-derungen der Lizenzbedingungen.

Ab dem 01.08.2008 ist nur noch die private Nut-zung kostenfrei. Auf die Reaktion der Nessus-Fan-gemeinde darf man gespannt sein. Vielleicht hätteTenable lieber die Reaktion des Marktes auf die am06.06.2008 angekündigte 33%ige Preiserhöhung desKultgetränks Bionade (um sich so „von seinen Nach-ahmern abzusetzen“) abgewartet – schließlich lerntman immer am billigsten aus den Fehlern anderer.Die Kommerzialisierung von Nessus dürfte demvom BSI unterstützen und am 21.05.2008 auf demLinuxTag 2008 vorgestellten Projekt OpenVAS Vor-trieb leisten: einem auf Basis der letzten frei ver-fügbaren Quellen von Nessus entwickelten kosten-freien Security-Scanner.

Secorvo News

Secorvo College aktuell

Vom 01.-03.07.2008 entführen Stefan Kelm,Stefan Gora und Jochen Schlichting in die Tiefen derForensik – inklusive praktischer Übungen an ele-

mentaren Tools und einer Einführung in den recht-lichen Kontext. Der Termin ist seit einigen Wochenausgebucht – die nächste Gelegenheit zur Teilnah-me bietet sich am 11.-13.11.2008. Interessiertenempfehlen wir eine frühzeitige Anmeldung.

Das Programm des zweiten Halbjahrs beginnt nachder Sommerpause mit einer T.I.S.P.-Schulung vom08.-12.09.2008 mit anschließender Zertifizierung.Die große Nachfrage nach dem T.I.S.P.-Zertifikatlässt erwarten, dass sich die Zahl der Absolventen in2008 erneut verdoppelt.

Programm und Online-Anmeldung unterhttp://www.secorvo.de/college

Team(ver)stärkung

Das Secorvo-Team ist zum 01.06.2008 weiter ge-wachsen: Alexander Göbel – T.I.S.P., CISM, CISO undBSI-zertifizierter Audit-Teamleiter für ISO 27001-Audits auf der Basis von IT-Grundschutz – bringtvieljährige Erfahrung aus dem IT-Risk-Managementeines DAX-Unternehmens und der Zertifizierungeines Rechenzentrums nach ISO 27001 auf der Basisvon IT-Grundschutz mit. Neben allen Facetten desSicherheitsmanagements ist der betriebliche Da-tenschutz eines seiner Schwerpunktthemen.

Ebenfalls gewachsen ist die inzwischen lange Listeder Zertifizierungen der Secorvo-Consultants: PetraBarzin erhielt die Zertifizierung als CISSP, undJochen Schlichting darf neben seinen Zertifizierun-gen als CISA und CISSP nun auch das CISM-Zertifikat(Certified Information Security Manager) der ISACAführen.

Secorvo Security News 06/2008, 7. Jahrgang, Stand 26.06.2008 4

Veranstaltungshinweise

Auszug aus http://www.veranstaltungen-it-sicherheit.de

Juli 2008

01.-03.07. Forensik (Secorvo College)

10.07. Die Mifare-Attacke und andere Krypto-Desaster(KA-IT-Si, Karlsruhe)

10.-11.07. DIMVA 2008 (GI, Paris)

28.07.-01.08.

17th USENIX Security Symposium 2008(Usenix, San José/US)

August 2008

17.-21.08. Crypto 2008 (IACR, Santa Barbara/US)

September 2008

07.-10.09. OSSCoNF 08 (IFIP, Mailand)

08.-12.09. T.I.S.P.-Schulung (Secorvo College)

23.-25.09. IMF 2008 (GI, Mannheim)

23.-26.09. PKI – Grundlagen, Vertiefung, Realisierung(Secorvo College)

Oktober 2008

07.-10.10. IT-Sicherheit heute (Secorvo College)

FundsacheAm 09.05.2008 veröffentlichte die schweizerische Melde- und Analyse-stelle Informationssicherung (Melani) den Halbjahresbericht 2007/2, derdie Entwicklung der Gefährdungslage in der Schweiz und internationalbeleuchtet. Als Beispiel wird ein sehr professioneller Phising-Angriff aufSysteme der Schweizer Bundesverwaltung detailreich dargestellt – derdie Wirkungslosigkeit des etablierten Virenschutzes aufzeigte.

Impressum

http://www.secorvo-security-news.de

ISSN 1613-4311

Redaktion: Dirk Fox, Stefan Gora, Kai Jendrian, Stefan Kelm,Jochen Schlichting

Herausgeber (V. i. S. d. P.): Dirk FoxSecorvo Security Consulting GmbHEttlinger Straße 12-1476137 KarlsruheTel. +49 721 255171-0Fax +49 721 255171-100

Zusendung des Inhaltsverzeichnisses:security-news@secorvo.de(Subject: „subscribe security news“)

Wir freuen uns über Ihr Feedback anredaktion-security-news@secorvo.de

Secorvo Security News 07/2008, 7. Jahrgang, Stand 04.08.2008 1

Secorvo Security NewsJuli 2008

Editorial: GeburtstagstorteWer Kinder hat, kennt Pettersson und Fin-dus – den alten, schrulligen, liebenswertenBauern mit seinem quirligen sprechendenKater in grüner Hose, detailreich gezeich-net von Sven Nordqvist. „Eine Geburtstags-torte für die Katze“ heißt das 1984 erschie-nene erste Bilderbuch der Kultserie. DieGeschichte ist fix erzählt: Findus beschließt,

Geburtstag zu haben – denn dann gibt es Pfannkuchentorte. Das istjedoch leichter gesagt als getan: Das Mehl ist ausgegangen, und dasFahrrad hat einen Platten. Pettersson muss es reparieren, bevor erzum Einkaufen fahren kann – das Werkzeug aber liegt im verschlos-senen Schuppen, und den Schlüssel entdeckt Findus im Brunnen. Umihn herauszufischen braucht er die Angel vom Dachboden, aber ander Leiter lehnt ein schlafender Stier. Also muss Findus mit einerGardine den Matador geben, reißt aber dabei den Eierkorb um.

Natürlich kommt der Kater doch noch zu seiner Geburtstagstorte.Aber das war jedenfalls für meine Kinder ganz unwichtig – gebanntverfolgten sie die immer neuen Widrigkeiten und deren kreative Be-seitigung. Der Umweg war das Ziel, und die Torte bestenfalls dieBelohnung für die erfolgreiche Problemlösung.

Sehr ähnlich müssen die Autoren von Malware empfinden. Wieanders ist zu erklären, dass sie sich weder von immer besserenSchutzmaßnahmen noch von schärferen Strafgesetzen abschreckenlassen? Statt dessenersinnen sie raffi-niertere Angriffs-methoden. Offen-bar spornt der Wi-derstand an, dasbelegen die Zahlen.Und dahinter stehtheute meist ein In-vestor, der auf dieTorte scharf ist.

Inhalt

Editorial: Geburtstagstorte

Security News

BSI-Krypto-Richtlinie

Survival of the Fittest

Schlecht versteckt

Evilgrade

CrypTool 1.4.2x

BSI-Standards 2.0

Bluetooth Security

Link-Prefetching im Firefox

WAF-Pflicht

Secorvo News

Secorvo College aktuell

Symposium Wirtschaftsspionage

Veranstaltungshinweise

Fundsache

Quelle: Symantec Internet Security Threat Report,March 2008Quelle: Symantec Internet Security Threat Report,March 2008

Juli 2008

Secorvo Security News 07/2008, 7. Jahrgang, Stand 04.08.2008 2

Security News

BSI-Krypto-Richtlinie

Seit Inkrafttreten des deutschen Signaturgesetzesvor mehr als 10 Jahren erstellt das BSI jährlich eineaktuelle Übersicht geeigneter kryptographischer Al-gorithmen und Schlüssellängen für digitale Signatu-ren. Verschlüsselungsverfahren spielen darin natur-gemäß keine Rolle – gleichwohl sind sie in der Praxisviel verbreiteter als digitale Signaturen.

Mit der Veröffentlichung einer technischen Richt-linie „Kryptographische Verfahren: Algorithmen undSchlüssellängen“ (TR 02102) hat das BSI am 20.06.2008 nun auch bei Verschlüsselungsverfahren, Au-thentisierungsmechanismen, Zufallszahlengenera-toren und Schlüsselvereinbarungsprotokollen Farbebekannt. Eine wertvolle Orientierung für die Praxis.

Survival of the Fittest

Am 14.07.2008 veröffentlichte Torsten Holz in sei-nem Blog die Ergebnisse einer 12monatigen Honey-netanalyse zur Überlebenszeit ungepatchter IT-Systeme. Untersucht wurde die Dauer einer erfolg-reichen Kompromittierung durch autonome Mal-ware, die alte, lange bekannte Schwachstellen aus-nutzen. Ergebnis: Im Schnitt überlebt ein Systemca. 12 Minuten, etwas länger als die vom InternetStorm Center gemessenen knapp fünf Minuten.

Die Analyse, die auf den Vorarbeiten von Laura Itzelaufbaut, weist eine erhebliche Abhängigkeit derÜberlebenszeit vom jeweiligen Internet ServiceProvider nach: ISPs, die bevorzugt von Malwaregenutzte Ports sperren, erhöhen die Überlebenszeitangeschlossener Systeme um ein Vielfaches. Ange-sichts des deutlich größeren Zeitfensters zwischen

Bekanntwerden einer Schwachstelle und Verfügbar-keit des Patches („Window of Exposure“) erscheintes jedoch in keinem Fall angeraten, eine Internet-Verbindung ohne gut konfigurierte Personal Firewallaufzubauen.

Schlecht versteckt

Dass Blicke über den Tellerrand auch in der Krypto-graphie wichtig sind, belegt eine Arbeit, die Forscherder University of Washington zusammen mit BruceSchneier am 29.07.2008 auf einem USENIX Work-shop vorgestellt haben. Darin untersuchten sie dieSicherheit von „Deniable File Systems“, mit derenHilfe die Existenz verschlüsselter Daten verschleiertwerden soll – beispielsweise mit „Hidden Volumes“des Verschlüsselungstools TrueCrypt. Aber auch ver-steckte Dateisysteme hinterlassen im Betriebssys-tem unvermeidlich Spuren, wenn sie aktiviert wer-den, z. B. als kürzlich geöffnete „Recent Items“. Imschlimmsten Fall findet sich, lange nach der Deakti-vierung des „Hidden Volumes“, Klartext-Inhalt einerversteckten Datei im Cache von Google-Desktop.

Was des einen Leid, ist des anderen Freud’ – dieForensiker reiben sich die Hände. Einige der aufge-deckten Probleme wurden in der am 06.07.2008erschienenen Version 6 von TrueCrypt behoben.

Evilgrade

Am 28.07.2008 veröffentlichte Francisco Amato dasFramework Evilgrade. Der Schadsoftware-Baukas-ten nutzt als Verbreitungsmechanismus verbreiteteUpdatemechanismen und tarnt sich als automa-tischer Patch. Derzeit werden u.a. Java Plugins,Winzip, Winamp und iTunes simuliert; Schadcodekann für beliebige Zielplattformen ergänzt werden.Die Integration der am 08.07.2008 von DanKaminsky publizierten DNS Cache Poisoning Varian-

te in das Metasploit-Attackframework vereinfachtdie Anwendbarkeit von Evilgrade erheblich – undmacht es sehr gefährlich: Fast alle DNS-Serverwaren bzw. sind ohne aktuelle Updates von dieserSchwäche betroffen. Wer nicht Teil des Problemssein möchte, sollte schnell patchen.

CrypTool 1.4.2x

Fast genau ein Jahr nach der Veröffentlichung vonVersion 1.4.10 ist am 11.07.2008 CrypTool als neuesRelease 1.4.21 erschienen. Neben vielen kleinen Kor-rekturen und akribischer Detailpflege an Bedie-nungsfreundlichkeit und Dokumentation wurdender Passwort-Qualitätsmesser optimiert und dieHashfunktionenfamilie SHA-2 integriert. Der Pass-wort-Generator erzeugt zufällige Passworte auseinem voreinstellbaren Alphabet – auch für WLANs.

Besonders erwähnenswert ist die jüngste Auszeich-nung des Open Source Projekts: In einer Festveran-staltung wurde CrypTool am 22.07.2008 an der UniSiegen im Rahmen der Kampagne „DeutschlandLand der Ideen“ als „Ausgewählter Ort 2008“ aus-gezeichnet.

BSI-Standards 2.0

Am 23.06.2008 hat das Bundesamt für Sicherheit inder Informationstechnik (BSI) die zweite Auflage derüberarbeiteten BSI-Standards 100-1 „Manage-mentsysteme für Informationssicherheit“, 100-2„IT-Grundschutz-Vorgehensweise“ und 100-3 „Risi-koanalyse auf Basis von IT-Grundschutz“ veröf-fentlicht. Diese drei Standards bilden die Grundlagefür den nach ISO 27001 ausgerichteten IT-Grund-schutz. Die Neuauflage verschiebt den Blickwinkelvon der reinen IT-Sicherheit zur Informationssicher-heit; außerdem wurden die Standards um Daten-schutzaspekte erweitert. Und schließlich wurde die

Juli 2008

Secorvo Security News 07/2008, 7. Jahrgang, Stand 04.08.2008 3

Fortschreibung der relevanten ISO-Standards der2700x-Reihe berücksichtigt. Der neue BSI-Standard100-4 zum Notfall-Management liegt nach wie vornur als Entwurf vor.

Bluetooth Security

Zwar ist Bluetooth schon lange keine neue Technikmehr – kaum ein IT-Gerät, das etwas auf sich hält,kommt noch ohne daher. Und obwohl Security-Me-chanismen und potentielle Schwachstellen schonlange dokumentiert sind, kommt es immer wiederzu fehlerhaften Implementierungen – Handys, diesich via Bluetooth Malware einfangen oder fernge-steuert werden können, oder Headsets, die aus derFerne als Überwachungsmikrofon missbraucht wer-den können. Mit den 2004 und 2005 entwickeltenTools der trifinity-Gruppe – darunter Bluebug, Blue-snarf, Blueprint, Bluedump und Car Whisperer – istdas bei betroffenen Systemen ein Kinderspiel.

Nun hat offenbar auch das US-amerikanische NISTgemerkt, dass hier ein reales Risiko steckt und am09.07.2008 einen Guide to Bluetooth Security (DraftSP 800-121) publiziert – mit der Bitte um Kommen-tierung bis 22.08.2008. Eine nette Urlaubslektüre ...

Link-Prefetching im Firefox

Nicht neu, aber nicht überall bekannt: Im Mozilla-Browser Firefox ist die Funktion Link-Prefetching inden Voreinstellungen aktiviert. Webseiten, die dieseFunktion zum Einbinden von Links verwenden,sorgen dafür, dass die Inhalte der Links schon imVoraus geladen werden, ohne dass der Nutzer denLink angeklickt hat – in der Regel merkt er davonnicht einmal etwas.

Dafür liegt der möglicherweise rechtswidrige Inhaltder verlinkten Seite im Cache. Auch aus Sicherheits-

perspektive ist diese Funktion nicht unbedenklich:Da sich Trojaner angesichts immer wirksamererSpam- und Virenscanner in wachsendem Umfangüber präparierte Webseiten statt per E-Mail ver-breiten, können Angreifer Prefetching-Links aufeine einzige mit Schadcode versehene Webseite aufvielen unzureichend geschützten Seiten Dritter ver-stecken und so zahlreiche Systeme unbemerkt infi-zieren. Vorteil für den Angreifer: Schadcode-Up-dates muss er nur auf einer Webseite einspielen,und zur Spurenverwischung genügt die Entfernunggenau dieses Codes. Abhilfe ist jedoch einfach: ZumDeaktivieren muss unter der URL „about:config“ derWert des Parameters „network.prefetch-next“durch Anklicken von true auf false gesetzt werden.

WAF-Pflicht

Die Anforderungen des Payment Card Industry (PCI)Data Security Standard V.1.1 vom 15.04.2008 anden Schutz von Web-Applikationen (Abschnitt 6.6)sind seit dem 30.06.2008 keine Empfehlung mehr,sondern eine verbindliche Vorgabe: Code-Reviews,eine automatisierte Schwachstellen-Analyse unddie Nutzung von Web Application Firewalls (WAF)sind nunmehr Pflicht. Ein ergänzendes Dokumentdes PCI Security Standards Council erläutert dieAnforderungen stichwortartig auf wenigen Seiten –für einige Anbieter sicher eine Herausforderung.

Secorvo News

Secorvo College aktuell

Nach der Sommerpause startet das Programm vonSecorvo College am 08.-12.09.2008 mit einerT.I.S.P.-Schulung in das zweite Halbjahr – gefolgtvon einer komplett unabhängigen Zertifikats-Prü-fung durch iSQI am 13.09.2008 in den Räumen von

Secorvo. Es folgt ein Klassiker in aktuellem Gewand:PKI – Grundlagen, Vertiefung, Realisierung am 23.-25.09. 2008 – baldige Anmeldung empfohlen.

Schon jetzt möchten wir Sie auf unser Forensik-Seminar vom 11.-13.11.2008 hinweisen. Die „Pre-miere“ im Juli war ausgebucht – und wurde vonden Teilnehmern euphorisch gelobt („Mit demSeminar hat sich Secorvo selbst übertroffen. (...) Ichkann jedem, der mit IT-Security zu tun hat, diesesSeminar nur wärmstens empfehlen. Drei Tagevoller Information, Spannung, Überraschungen,Aha-Effekte und optimaler Mischung aus Theorieund Praxis.“ – Matthias Grund, Siemens AG).

Termine, Programme und Online-Anmeldung unterhttp://www.secorvo.de/college

Symposium Wirtschaftsspionage

Schutzmassnahmen gegen die ungezielte Bedro-hung durch Schadsoftware und Hacker sind beiUnternehmen heute eine Selbstverständlichkeit.Seit etwa zwei Jahren belegen Studien jedoch einenunheilvollen Trend: Im Schatten wachsender Spam-und Trojaner-Wellen nehmen gezielte Spionage-attacken zu – nicht nur unter Nutzung technischerHilfsmittel.

Das "Symposium Wirtschaftsspionage" von Econound Secorvo wird sich am 03.09.2008 diesemThema widmen. Ulf Tietge, Chefredakteur vonEcono, wird das Symposium moderieren, auf demsowohl Fachexperten (u. a. Dr. Udo Ulfkotte undHans Schlumpberger vom Landesamt für Verfas-sungsschutz BaWü) als auch Unternehmen die tat-sächliche Bedrohungslage analysieren und ihreSchutzmaßnahmen vorstellen (vollständiges Pro-gramm, Online-Anmeldung und Anfahrtskizze).

Secorvo Security News 07/2008, 7. Jahrgang, Stand 04.08.2008 4

Veranstaltungshinweise

Auszug aus http://www.veranstaltungen-it-sicherheit.de

August 2008

17.-21.08. Crypto 2008 (IACR, Santa Barbara/US)

September 2008

03.09. Symposium Wirtschaftsspionage (Secorvo, Ettlingen)

08.-12.09. T.I.S.P.-Schulung (Secorvo College)

23.-26.09. PKI – Grundlagen, Vertiefung, Realisierung(Secorvo College)

23.-25.09. IMF 2008: 4th International Conference on IT-IncidentManagement & IT-Forensics (GI, Mannheim)

Oktober 2008

07.-09.10. ISSE 2008 (EEMA/TeleTrusT, Madrid/ES)

07.-10.10. IT-Sicherheit heute – Angriffe, Konzepte, Lösungen(Secorvo College)

28.-30.10. IT-Sicherheitsaudits in der Praxis – Konzeption,Durchführung, Bewertung (Secorvo College)

Fundsache

Das Verizon Business RISK Team hat im 2008 Data Breach Investiga-tions Report die Ergebnisse seiner forensischen Analysen der letztenvier Jahre ausgewertet und zusammengefasst. Dabei wurde nebender Komplexität der Angriffe analysiert, wie der Datendiebstahl zuStande kam und wer der Urheber war. Abweichend von der verbrei-teten Überzeugung, dass Insider die meisten Angriffe verursachen,zeigt die Auswertung, dass in fast 80% der untersuchten Fälle derZugriff von außen erfolgte, dabei allerdings häufig Geschäftspartnerinvolviert waren.

Impressum

http://www.secorvo-security-news.de

ISSN 1613-4311

Redaktion: Dirk Fox, Stefan Gora, Kai Jendrian,Hans-Joachim Knobloch, Natalie Mareth, Jochen Schlichting

Herausgeber (V. i. S. d. P.): Dirk FoxSecorvo Security Consulting GmbHEttlinger Straße 12-1476137 KarlsruheTel. +49 721 255171-0Fax +49 721 255171-100

Zusendung des Inhaltsverzeichnisses:security-news@secorvo.de(Subject: „subscribe security news“)

Wir freuen uns über Ihr Feedback anredaktion-security-news@secorvo.de

Secorvo Security News 08/2008, 7. Jahrgang, Stand 25.08.2008 1

Secorvo Security NewsAugust 2008

Editorial: Vom UrteilenEin Urteil, so die eingängige Definition inWikipedia, ist „eine wertende Entscheidungüber einen Sachverhalt oder Erkenntnisge-genstand“. Entscheidungen zwischen alter-nativen Bewertungsmöglichkeiten treffenwir ständig – mit mehr oder weniger guterKenntnis der Zusammenhänge. Viele unse-rer Urteile sind daher genau besehen Vor-

urteile, also eine „im Allgemeinen wenig reflektierte Meinung –ohne vollständige Würdigung aller relevanten Eigenschaften einesgewerteten Sachverhalts oder einer Person“. Vorurteile sind voreiligeUrteile, sie verallgemeinern ohne Berücksichtigung des Einzelfalls.

Das ist nicht notwendig schlecht und manchmal überlebenswichtig.Für viele unserer wertenden Entscheidungen steht uns zu wenig Zeitzur Verfügung, um den Sachverhalt angemessen zu analysieren.Vorurteile geben eine (erste) Orientierung und erlauben sofortigesHandeln. Dabei müssen wir uns aber bewusst machen, dass dasVorurteil nur ein vorläufiges Urteil sein kann, das durch zusätzlicheInformationen oder Erkenntnisse in ein reiferes münden sollte.

Die „vollständige Würdigung aller relevanten Eigenschaften“ erfor-dert Disziplin, Zeit und die Offenheit für die Revision eines (Fehl-)Ur-teils. Daher wurde für Urteile mit besonderer Tragweite für Betrof-fene das Amt des Richters geschaffen und die Möglichkeit zur Revi-sion institutionalisiert. Im Finanzwesen ist derzeit jedoch ein Trendzur vermeintlichen Objektivierung von z. B. Kreditentscheidungendurch den Rückgriff auf personenbezogene Informationen Dritter zubeobachten, verschleiernd „Rating“ genannt. Verständlich vielleicht,dass ein Online-Anbieter nicht gegenüber einem notorischen Zah-lungsverweigerer in Vorleistung gehen möchte. Aber soll eine Bankdie Kreditbedingungen verschärfen dürfen, weil ein direkter Ver-wandter des Kunden Privatinsolvenz angemeldet hat? Oder einenKredit verweigern, weil der Kunde in einem schlecht beleumundetenViertel wohnt? Da fehlt nicht viel, und aus „automatisierten Einzel-entscheidungen“ werden nicht-revidierbare Vorurteile – und damitgesamtgesellschaftliche Freiheitsbegrenzer.

Inhalt

Editorial: Vom Urteilen

Security News

Rutkowska strikes again

Schwachstellen-Primus Browser

Phalanx2-Rootkit

Update legt ESX-Server lahm

Eisspray gegen Krypto-Schlüssel

Verflüchtigung 1.3

Secorvo News

Secorvo College aktuell

Symposium Wirtschaftsspionage

Gut gemeint

10 Jahre weiser

Veranstaltungshinweise

Fundsache

August 2008

Secorvo Security News 08/2008, 7. Jahrgang, Stand 25.08.2008 2

Security News

Rutkowska strikes again

Die auf virtuelle Rootkits spezialisierte ForscherinJoanna Rutkowska hat wieder zugeschlagen: Aufder diesjährigen Blackhat stellte sie am 07.08.2008mit ihren Kollegen Rafal Wojtczuk und AlexanderTershkin vor, wie man den Hypervisor der Virtuali-sierung Xen mit Rootkits trojanisieren kann. Dietechnischen Details sind anspruchsvoll und interes-sant: Der modifizierte Code wird dem bereits lau-fenden Hypervisor über eine Netzwerkkartentrei-ber-Software oder den Festplattencontroller unter-geschoben und im laufenden Betrieb über DirectMemory Access (DMA) zur Ausführung gebracht.

Wie bereits bei ihrem 2006 vorgestellten RootkitBluePill (siehe SSN 8/06), das die Virtualisierungs-funktionen von AMD-Prozessoren nutzt, ist die Er-kennung dieser Angriffssoftware sehr schwierig.Derzeit entwickeln Rutkowska und ihre Kollegen imProjekt HyperGuard die BIOS-Funktionen von Main-boards weiter, um einen Integritätsschutz derHypervisor-Software zu ermöglichen – damit wärewirksame Abhilfe möglich.

Schwachstellen-Primus Browser

In einer am 14.08.2008 vom Deutschen Sicherheits-netz e.V. vorgestellten Untersuchung wurde festge-stellt, dass von 253 geprüften privaten PC-Syste-men gut die Hälfte Browserschwachstellen aufwies.Deutlich repräsentativer, aber im Ergebnis ver-gleichbar sind die am 10.08.2008 vorgestellten Er-gebnisse einer von der ETH Zürich gemeinsam mitGoogle und IBM durchgeführten Studie: Von ca. 1,4Milliarden PCs setzten danach 45,2 % nicht die aktu-ellen Versionen der jeweiligen Browser ein.

Je nach Art der Schwachstelle reicht es aus, eineentsprechend präparierte Website zu besuchen, umim schlimmsten Fall einem Angreifer die vollstän-dige Kontrolle über das System zu überlassen. In derTat tauchen – wie beispielsweise eine von Googleam 30.07.2008 vorgestellte Studie zeigt – geradevor Großereignissen wie den olympischen Spielenimmer wieder zahlreiche manipulierte Webseitenauf, deren Besuch mit anfälligen Browsern zurKompromittierung des Systems führen kann.

Dabei ist zu beachten, dass die Schwachstellen nichtnur die Kernkomponenten des Browsers, sondern invielen Fällen auch Erweiterungen wie Java, Flashund Quicktime betreffen. Diese Komponenten wer-den gelegentlich beim Patch-Management überse-hen. Eine Überprüfung der Aktualität eigener Brow-ser-Erweiterungen und die Suche nach weiterenSchwachstellen kann bei Secunia online erfolgen.Empfehlenswert sind auch die Browserchecks vomDeutschen Sicherheitsnetz und Heise online.

Phalanx2-Rootkit

Das DFN-CERT warnte am 04.08.2008 vor einerneuen Version des bereits seit 2005 bekannten Li-nux-Rootkits „Phalanx“, welches in aktuellen An-griffen aus dem Internet beobachtet wurde.Phalanx2 manipuliert dabei – wie andere Rootkitsauch – bestimmte Systemdateien, um sich vor Be-nutzer und Administrator zu verstecken. Die Infek-tion des Systems erfolgt überwiegend über gestoh-lene SSH-Schlüssel.

Linux-Administratoren sollten demnach kurzfristigüberprüfen, ob ihre Systeme betroffen sind: DasDFN-CERT stellt in dem entsprechenden SecurityAdvisory ein einfaches Shell-Skript zur Verfügung,welches nach Phalanx2-Spuren sucht.

Update legt ESX-Server lahm

Wer der Überzeugung ist, seine Sicherheit durchden Einsatz von Virtualisierung automatisch gestei-gert zu haben, ist einem populären Irrglauben erle-gen. Zwar kann beispielsweise durch den Einsatzvon VMware ESX Server die Verfügbarkeit von Ser-versystemen erhöht werden. Damit handelt mansich jedoch auch zusätzliche Risiken ein. So führteein Update für ESX in den Versionen 3.5/3.5i vom12.08.2008 dazu, dass virtuelle Systeme auf demESX Server nicht mehr gestartet werden konnten.Kritisch ist dabei, dass von ESX-Fehlfunktionenunvermeidlich zahlreiche virtualisierte Serversys-teme betroffen sein können. Schlimmstenfallskönnen komplette Serverlandschaften ausfallen.

Das Beispiel zeigt, dass bei der Einführung von Vir-tualisierung die damit verbundenen Risiken zu be-trachten sind und – wie bei jeder kritischen Kompo-nente einer Infrastruktur – ein besonderes Augen-merk auf den Patch-Prozess gelegt werden muss.

Eisspray gegen Krypto-Schlüssel

Dass die Inhalte des Hauptspeichers (RAM) wenigerflüchtig sind als lange Zeit angenommen, weiß manaufgrund forensischer Analysen bereits seit einigerZeit: Je nach betroffener Hardware-Betriebssys-tem-Kombination „überleben“ große Mengen inte-ressanter Daten sogar das (mehrfache) Booten desRechners.

Forscher aus Princeton, die ihre (vorab schon am21.02.2008 unter anderem als Film in YouTube pub-lizierten) Ergebnisse am 30.07.2008 auf dem dies-jährigen USENIX Security Symposium präsentierten,gingen noch einige Schritte weiter. So fanden sieheraus, dass sich auch mehr als 60 Sekunden nachdem kompletten Ausschalten des Rechners Inhalte

August 2008

Secorvo Security News 08/2008, 7. Jahrgang, Stand 25.08.2008 3

aus bestimmten DRAM-Speicherchips größtenteilsrekonstruieren lassen. „Behandelten“ sie die Spei-cherriegel eines Laptops zusätzlich mit Eisspray,bevor sie den Rechner ausschalteten, und bautensie die gekühlten RAM-Bausteine in ein anderesLaptop ein, so konnten sie auch noch nachmehreren Minuten ohne Strom problemlos aufsämtliche RAM-Inhalte zugreifen.

Spektakulärer wird dieser Angriff durch die Tat-sache, dass die Forscher zeitgleich Algorithmen undTools zum Auffinden kryptographischer RSA- sowieAES-Schlüssel entwickelten: Mit deren Hilfe mussauf der Suche nach BitLocker-, FileVault-, dm-crypt-oder TrueCrypt-Schlüsseln nicht mehr der kom-plette Speicherinhalt manuell „durchstöbert“ wer-den. Vielleicht sollten Laptop-Nutzer zukünftig einWärmepflaster als Zubehör mit sich führen.

Verflüchtigung 1.3

Die künstliche Verlängerung der Flüchtigkeit vonRAM-Inhalten könnte zukünftig auch bei forensi-schen Analysen interessant werden, da die Unter-suchung des Hauptspeichers im Rahmen so ge-nannter „Live-Analysen“ immer wichtiger wird.Längst spielt die dynamische Analyse in vielenForensik-Projekten eine größere Rolle als die reinstatische. Anzahl und Qualität der entsprechendenTools zur Untersuchung des Hauptspeichers hieltensich bislang jedoch in Grenzen – viele Tools besaßendiesbezüglich nur rudimentäre Funktionen.

Die am 14.08.2008 erschienene neue Version derTool-Sammlung Volatility – von ihren Entwicklernals v1.3_Beta bezeichnet – ist eine sehr mächtige,aus der Open-Source-Welt stammende kostenloseSoftware für Live-Analysen. Sie unterstützt Spei-cherdumps von Windows XP (SP2 und SP3) sowieansatzweise Linux, kann die laufenden Prozesse an-

zeigen, Binaries extrahieren und offene Netzwerk-verbindungen auflisten. Sie darf in keinem forensi-schen Werkzeugkasten fehlen.

Secorvo News

Secorvo College aktuell

Für die nächste T.I.S.P.-Schulung in der zweitenSeptemberwoche (08.-12.09.2008) mit anschlie-ßender Zertifikats-Prüfung durch iSQI gibt es nurnoch wenige freie Plätze, und auch unser „aktuellerKlassiker“ mit umfangreichem Demo- und Praxis-teil, das Seminar PKI – Grundlagen, Vertiefung, Rea-lisierung am 23.-25.09. 2008, erfreut sich großerNachfrage – baldige Anmeldung empfohlen. ImOktober folgen das Grundlagenseminar IT-Sicher-heit heute am 07.-10.10.2008 und IT-Sicherheits-audits in der Praxis am 28.-30.10.2008. Termine,Programme und Online-Anmeldung unterhttp://www.secorvo.de/college

Symposium Wirtschaftsspionage

Im Schatten wachsender Spam- und Trojaner-Wel-len nehmen gezielte Spionageattacken zu. Ange-sichts dieser besorgniserregenden Entwicklung füh-ren wir gemeinsam mit dem WirtschaftsmagazinEcono am 03.09.2008 ein eintägiges Symposiumzur "Wirtschaftsspionage" durch. Ulf Tietge, Chefre-dakteur von Econo, wird das Symposium moderie-ren, für das wir zahlreiche Fachexperten wie Dr. UdoUlfkotte und Unternehmensvertreter gewinnenkonnten, die die tatsächliche Bedrohungslage ana-lysieren und Schutzmaßnahmen vorstellen. Mitvoraussichtlich über 70 Teilnehmern verspricht auchdas Auditorium spannende Diskussionen. FürSchnellentschlossene gibt es noch freie Plätze(Programm, Online-Anmeldung und Anfahrtskizze).

Gut gemeint

Was ist ein "gutes" Passwort? Verbessern die ver-breiteten Komplexitätsanforderungen tatsächlichdie Güte gewählter Passworte? Und wie lässt sichverhindern, dass die Passworte notiert oder weiter-gegeben werden? Auf diese Fragen gibt eine aktu-elle Untersuchung überraschende Antworten, dieThomas Maus auf dem nächsten Event der Karls-ruher IT-Sicherheitsinitiative am 25.09.2008 imSchlosshotel Karlsruhe vorstellen wird. Er räumt miteinigen liebgewonnenen "Glaubenssätzen" auf undlegt ein Umdenken im Umgang mit Passwortennahe. Anmeldung und weitere Informationen unterhttp://www.ka-it-si.de.

10 Jahre weiser

In wenigen Tagen, am 01.09.2008, wird Secorvozehn Jahre alt. Dann werden über 550 herausfor-dernde Projekte, mehr als 200 veröffentlichte Auf-sätze, über 70 Ausgaben der "Security News" undmehrere hundert Seminare, Symposien und Vor-tragsveranstaltungen hinter uns liegen. Dass wir dieChance hatten, über einen solchen - im IT-Zeitaltergeradezu astronomisch langen – Zeitraum die IT-Sicherheit und den Datenschutz in Deutschlandmitzugestalten, verdanken wir nicht zuletzt unse-ren Kunden: Deren Vertrauen in unsere Arbeit, diefruchtbare Zusammenarbeit und wohl auch die eineoder andere Empfehlung waren wesentlicheVoraussetzung für diesen Erfolg.

Auch bei unseren treuen Lesern der Security Newsmöchten wir uns bei dieser Gelegenheit bedanken.Die monatlich mehreren tausend Abrufe der Newssind eine wichtige Motivation für unsere Arbeit.Und falls Sie uns schon immer einmal ein Lob aus-sprechen wollten – anlässlich unseres runden Ge-burtstags würde uns das besonders freuen.

Secorvo Security News 08/2008, 7. Jahrgang, Stand 25.08.2008 4

Veranstaltungshinweise

Auszug aus http://www.veranstaltungen-it-sicherheit.de

September 2008

03.09. Symposium Wirtschaftsspionage (Secorvo, Ettlingen)

07.-10.09. OSS 2008 – 1st Workshop on Open Source Softwarefor Computer and Network Forensics (IFIP, Milano/IT)

08.-12.09. T.I.S.P.-Schulung (Secorvo College)

23.-26.09. PKI – Grundlagen, Vertiefung, Realisierung(Secorvo College)

23.-25.09. IMF 2008 – 4th International Conference on IT-IncidentManagement & IT-Forensics (GI, Mannheim)

Oktober 2008

07.-10.10. IT-Sicherheit heute (Secorvo College)

28.-30.10. IT-Sicherheitsaudits in der Praxis (Secorvo College)

November 2008

04.-05.11. Security Awareness - Methoden, Konzepte,Best Practice (Secorvo College)

11.-13.11. Forensik - Verfahren, Tools, Praxis (Secorvo College)

Fundsache

Die Kryptoanalyse mathematischer Algorithmen ist seit vielen Jahr-hunderten eine anspruchsvolle Wissenschaft. Zahlreiche Fachbücherexistieren zu diesem Thema; nicht immer sind die Erläuterungenaber für Einsteiger verständlich. Der Google-Mitarbeiter Mark Chu-Carroll hat am 15.08.2008 in seinem Blog eine sehr informative Ein-führung in die Kryptoanalyse „zum Nachmachen“ gegeben – auch dieKommentare sind lesenswert.

Impressum

http://www.secorvo-security-news.de

ISSN 1613-4311

Redaktion: Dirk Fox, Stefan Gora, Stefan Kelm

Herausgeber (V. i. S. d. P.): Dirk FoxSecorvo Security Consulting GmbHEttlinger Straße 12-1476137 KarlsruheTel. +49 721 255171-0Fax +49 721 255171-100

Zusendung des Inhaltsverzeichnisses:security-news@secorvo.de(Subject: „subscribe security news“)

Wir freuen uns über Ihr Feedback anredaktion-security-news@secorvo.de

Secorvo Security News 09/2008, 7. Jahrgang, Stand 25.09.2008 1

Secorvo Security NewsSeptember 2008

Editorial: VerhältnisunmäßigGroße Erregung: Millionen Kontendaten,für kleines Geld zu erwerben, bieten fetteBeute für Betrüger, die Banken glaubhaftversichern, im Besitz von Einzugsermächti-gungen zu sein. Verbraucherschützertrommeln, die Republik ist empört, undder Bundesinnenminister gipfelt.

Die richtige Aufregung, aber zum falschenAnlass. Seit 1998 wertet Google täglich Milliarden Suchanfragen zurErstellung und Verfeinerung von Abfrageprofilen aus. Zähneknir-schend hat Google am 08.09.2008 auf Druck der Artikel-29-Gruppeden europäischen Datenschutzbeauftragten angekündigt, „damit zubeginnen“, die IP-Adressen in den Such-Logs schon (sic!) nach neunMonaten zu anonymisieren. Sechs Tage zuvor hatte Google seinenneuen Browser Chrome publiziert. Welch Koinzidenz. Millionenfachheruntergeladen, erlaubt Chrome die Verknüpfung von Suchanfra-gen mit Webseitenaufrufen – und einer eindeutigen Browser-ID.Abgleiche der Suchprofile mit den Webseiten von Social Networks,Personensuchmaschinen wie 123people oder yasni, den Adressanga-ben in Telefonbüchern oder Nachbarbeschimpfungen liefern Google(und z.T. auch dessen Nutzern) von immer mehr Menschen einPersönlichkeitsprofil. Von da zum Großen Bruder ist es nur nocheinen klitzekleiner Klick. Wer braucht da noch die sechsmonatigeVorratsdatenspeicherung?

Immerhin regt sich inzwischen etwas im Innenministerium. Sogar indie seit sieben Jahren überfällige Verabschiedung eines Datenschutz-Audit-Gesetzes, an die kein Datenschützer mehr zu Glauben wagte,kommt Bewegung. Allerdings lassen einige der Gipfelergebnisse eheroperative Hektik befürchten: Durch die Abschaffung des Listen-privilegs würde keine einzige Kontonummer gerettet, und einKopplungsverbot wiese Google nicht in die Schranken.

„Wer weiß, wie Gesetze und Würste zu Stande kommen, kannnachts nicht mehr gut schlafen“, soll Otto von Bismarck gesagthaben. Den meisten Metzgern würde er heute damit Unrecht tun.

Inhalt

Editorial: Verhältnisunmäßig

Security News

WASC Studie

Nmap auswerten

Rootkit für Jedermann

Botnetz-Wachstum

Endlich DNSSEC?

Datenschutz-Bußen

Secorvo News

Secorvo College aktuell

Gut gemeint

Jubiläums-Nachlese

Veranstaltungshinweise

Fundsache

September 2008

Secorvo Security News 09/2008, 7. Jahrgang, Stand 25.09.2008 2

Security News

WASC Studie

Am 08.09.2008 hat das Web Appliction SecurityConsortium (WASC) die Ergebnisse des Projekts„Web Application Security Statistics 2007” veröf-fentlicht. Im Rahmen dieser Studie wurden zumbesseren Verständnis der Sicherheitslage bei Web-Anwendungen über 32.000 Sites automatisiert undmanuell untersucht. Die im Detail vorgestelltenErgebnisse sind aufschlussreich und erschreckendzugleich: Wenn auch nur knapp über 7% der unter-suchten Anwendungen automatisiert kompromit-tiert werden konnten, wurden in über 96% der An-wendungen bei manueller Suche schwerwiegendeSchwachstellen gefunden. Insbesondere handelte essich um Anfälligkeiten für Cross-Site-Scripting,Information Leakage, SQL-Injection und PredictableResource Location.

Als Basis diente die WASC Threat Classification 1.0aus dem Jahr 2005. Trotz der etwas betagterenGrundlage bietet die Studie eine umfassende Ana-lyse der benutzten Methoden und erzielten Ergeb-nisse. In diesem Zusammenhang triff es sich gut,dass am 15.09.2008 der Aufruf zur Mitarbeit an derWeiterentwicklung zur WASC Threat Classification2.0 erfolgte. Allen an Web-Sicherheit Interessiertenlegen wir die Beobachtung dieser Entwicklung sehrans Herz.

Nmap auswerten

Am 07.09.2008 ist der Netzwerkscanner Nmap inVersion 4.75 erschienen. Darin wurde das GUI Zen-map um die Visualisierungskomponente Radialneterweitert. Zwei sehr sinnvolle Funktionen –Datenaggregation mehrerer Scans und eine Netz-

topologiedarstellung – stehen nun zur Verfügung,sofern die Scan-Ergebnisse im XML-Format vor-liegen.

Dies vereinfacht die Analyse der Scanergebnisseerheblich, da zeitlich auseinanderliegende Scans ineiner Auswertung darstellbar sind – der Praktikerweiß: Nicht immer sind alle Hosts online oderdürfen im selben Arbeitsablauf gescannt werden.Erfreulicherweise funktioniert die Aggregation auchmit älteren XML-Dateien des 4.60-Releases. DieTopologie des Netzwerks ist konzentrisch und mitrelativer Hopdistanz darstellbar, inklusive Ergebnis-details für gescannte IPs. Ein übersichtlicher Netz-plan als Nebenprodukt eines Audits ist ein erheb-licher Mehrwert. Ein Wermutstropfen bleibt: Fürumfangreiche IP-Ranges braucht man viel CPU-Zeit– und scharfe Augen.

Rootkit für Jedermann

Am 03.09.2008 wurde das voll funktionsfähigeOpen Source Rootkit „Debug Register“ (DR) in derVersion 0.1 für Linux-Kernels 2.6.x (Intel-IA32-Archi-tekturen) vom Penetrationstest-Werkzeugherstel-ler Immunity Inc. zum Download veröffentlicht.Seine Funktionen umfassen die Unterstützung fürversteckte Prozesse, Netzwerksockets, Daten sowieeine Backdoor.

Das Rootkit arbeitet wie ein Kernel-Debugger undnutzt vorhandene System-Interrupts der Intel-CPUs– eine Technik, die bisher von Malware kaum einge-setzt wurde, da dafür ein tiefes Systemverständniserforderlich ist. Mit einem Entwicklungsaufwandvon ca. zwei Wochen lässt sich der Code um eineTarnung auf Kernel-Ebene erweitern.

Damit wurde die Entwicklung leistungsfähigerMalware im Linux-Umfeld erheblich beschleunigt.

Ohne einen wirksamen Integritätsschutz der Sys-temumgebung ist gegen derartige Low-Level-Angriffe kein Kraut gewachsen.

Botnetz-Wachstum

Die 2004 gegründete Shadowserver Foundation hatsich zur Aufgabe gemacht, die „dunklen Seiten desInternet“ zu beleuchten. Von Sicherheitsspezialistenwerden die Entwicklungen bei Viren und Malwaresowie von Botnetzen beobachtet; Ergebnisse undweitere Informationen werden auf den Webseitender Initiative veröffentlicht.

Dabei wurde in den vergangenen drei Monaten einsprunghaftes Wachstum von Botnetzen beobach-tet: Die geschätzte Anzahl der übernommenenSysteme hat sich fast vervierfacht. Ursache hierfürdürften unter anderem Malware-Mailings anlässlichder Olympiade sein. Auch wurden PCs verstärktüber kompromittierte Webserver infiziert.

Die Entwicklung zeigt, dass es weiterer technischerund organisatorischer Maßnahmen bedarf, umClient-Systeme adäquat zu schützen. Nutzern em-pfehlen wir die Beachtung entsprechender Warnun-gen, beispielsweise unter www.bsi-fuer-buerger.de.

September 2008

Secorvo Security News 09/2008, 7. Jahrgang, Stand 25.09.2008 3

Endlich DNSSEC?

Die Schwächen des Internet Domain Name Systems(DNS), die bei den unlängst veröffentlichten CachePoisoning Attacken (siehe SSN 07/08) zu Tage tra-ten, kommen nicht überraschend. Bereits im Januar1997 wurde in RFC 2065 die erste Version der DNSSecurity Extensions (DNSSEC) veröffentlicht. Nachzwei Überarbeitungen ist DNSSEC seit März 2005 inden RFCs 4033 ff. spezifiziert und in verbreiteterDNS-Software, z. B. BIND, integriert – kann alsonach Internet-Zeitmaßstäben als ausgereift gelten.

DNSSEC nutzt elektronische Signaturen zur Siche-rung der erteilten Auskünfte. Die dabei benötigtePKI wird jedoch nicht wie üblich über X.509-Zertifi-kate realisiert; statt dessen erteilen Nameserverdirekt Auskunft über die Public Keys der Nameser-ver darunter liegender Ebenen. Hierin liegt aucheiner der Gründe, dass DNSSEC trotz langer Vorlauf-zeit noch nicht global eingesetzt wird: Genau soumstritten wie die Kontrolle über die Root-Name-server ist auch die politische Frage, wer derenSchlüsselpaar als „Trust Anchor“ des Internet kon-trollieren soll.

Mit Erlass vom 22.08.2008 ordnete die US-Regie-rung – kaum zufällig zeitgleich mit den jüngstenDNS-Attacken – für die von ihr kontrollierteGovernment Top-Level Domain („gov“) die flächen-deckende Einführung von DNSSEC bis Ende 2009 an.Die einschlägigen Umsetzungsempfehlungen derNIST Special Publication 800-81 sind für jeden DNS-Verantwortlichen einen Blick wert.

Ein Multiplikator-Effekt könnte sich einstellen,wenn Service-Provider, die für einzelne Behördenderen .gov-Domains hosten, ihre Insfrastruktur fitfür DNSSEC machen müssen und diesen Zusatz-Dienst dann auch anderen Kunden anbieten.

Datenschutz-Bußen

Weder die öffentliche Zerknirschung noch der Rück-griff auf den ehemaligen Bundesdatenschutzbeauf-tragten Jakob haben Lidl geholfen: Am 11.09.2008verkündeten die Datenschutzaufsichtsbehörden dieVerhängung von Bußgeldern in einer Gesamthöhevon knapp 1,5 Mio. Euro, nachdem Lidl seine Mit-arbeiter in persönlichkeitsverletzender Weise hatteausspionieren lassen. Eigenwillige Interpretationenvon Arbeitnehmerrechten hatten bereits 2004 zurVerleihung des BigBrotherAward geführt.

Dass es sich beim persönlichkeitsverletzenden Ein-satz von Videoüberwachung nicht um ein Kavaliers-delikt handelt, wird auch durch das am 15.09.2008von der nordrhein-westfälischen Aufsichtsbehördegegen den Fleischverarbeiter Tönnies verhängteBußgeld in Höhe von 80.000 Euro bekräftigt. ZurDiebstahlsvorbeugung wurden die Beschäftigtenmit über 200 Kameras unter anderem auch in Um-kleidekabinen und Sozialräumen überwacht.

Eine gesetzeskonforme Gestaltung der Verarbei-tung personenbezogener Daten gebietet inzwi-schen auch die ökonomische Vernunft. Die Zeiten,in denen sich Datenschutzverstöße aussitzen ließen,sind vorbei.

Secorvo News

Secorvo College aktuell

Pünktlich zu den in Karlsruhe gelegentlich auch imSpätsommer noch südländischen Temperaturenlockt Secorvo College nun mit klimatisiertenRäumen. Das scheint sich schnell herumgesprochenzu haben, denn mehrere Seminare waren schonkurz nach dem Ende der Urlaubszeit ausgebucht.

Noch freie Plätze gibt es für die Seminare IT-Sicherheit heute (07.-10.10.), IT-Sicherheitsaudits(28.-30.10.), Security Awareness (04.-05.11.) unddas T.I.S.P.-Seminar (24.-28.11.).

Programm und Online-Anmeldung unterhttp://www.secorvo.de/college

Für das Seminar Forensik, das sich ganz besondererNachfrage erfreut, haben wir eine Warteliste einge-richtet. Voraussichtlich im Januar 2009 wird eseinen zusätzlichen Termin geben. Bitte wenden Siesich bei Interesse an college@secorvo.de.

Gut gemeint

„Das Gegenteil von gut ist nicht böse, sondern gutgemeint.“ Das gilt leider auch für verbreitete Pass-wort-Policies, wie Thomas Maus in seinem Vortragim Rahmen der Karlsruher IT-Sicherheitsinitiative(KA-IT-Si) am 25.09.2008 (18 Uhr im SchlosshotelKarlsruhe) zeigen wird. Dabei räumt er mit vielenlieb gewonnenen und, wie das obige Zitat vonGottfried Benn, gerne kopierten „Wahrheiten“ auf.Im Anschluss an den Vortrag gibt es, wie gewohnt,Gelegenheit zum Buffet-Networking. Um Anmel-dung wird gebeten.

Jubiläums-Nachlese

Für die zahlreichen Glückwünsche, die uns zu unse-rem 10jährigen Firmenjubiläum erreicht haben, be-danken wir uns auch an dieser Stelle sehr herzlich.Auch die vielen „Geburtstagslob“-E-Mails zu unse-ren News haben uns sehr gefreut – wir bleiben amBall, versprochen. Mit den Vorbereitungen für den20sten Jahrestag haben wir auch schon begonnen.

Secorvo Security News 09/2008, 7. Jahrgang, Stand 25.09.2008 4

Veranstaltungshinweise

Auszug aus http://www.veranstaltungen-it-sicherheit.de

September 2008

25.09. Das Gegenteil von gut ist - gut gemeint (KA-IT-Si)

Oktober 2008

07.-10.10. IT-Sicherheit heute (Secorvo College)

07.-09.10. ISSE (TeleTrust), Madrid/ES

27.-30.10. Hack-in-the-Box 2008, Kuala Lumpur/MY

28.-30.10. IT-Sicherheitsaudits in der Praxis (Secorvo College)

November 2008

04.-05.11. Security Awareness - Methoden, Konzepte,Best Practice (Secorvo College)

11.-13.11. Forensik – Verfahren, Tools, Praxis (Secorvo College)

18.-21.11. Information Security Management (Secorvo College)

24.-28.11. T.I.S.P.-Schulung (Secorvo College)

Dezember 2008

02.-04.12. Sichere Softwareentwicklung (Secorvo College)

Fundsache

Bei der Betätigung des „Home Buttons“ eines iPhones schrumpft dieaktuell offene Anwendung und blendet sich aus. Dieser optische Effektwird im iPhone durch das Erstellen von Bildschirmfotos realisiert –SubSeven lässt grüßen. Das iPhone löscht ältere Fotos zwar, aber beieiner forensischen Untersuchung des iPhones treten diese Spurenoffenbar wieder hervor. Ein Feature für die Strafverfolgung – oder einWestentaschenspion?

Impressum

http://www.secorvo-security-news.de

ISSN 1613-4311

Redaktion: Dirk Fox, Stefan Gora, Kai Jendrian, Karin Schuler,Hans-Joachim Knobloch, Jochen Schlichting

Herausgeber (V. i. S. d. P.): Dirk FoxSecorvo Security Consulting GmbHEttlinger Straße 12-1476137 KarlsruheTel. +49 721 255171-0Fax +49 721 255171-100

Zusendung des Inhaltsverzeichnisses:security-news@secorvo.de(Subject: „subscribe security news“)

Wir freuen uns über Ihr Feedback anredaktion-security-news@secorvo.de

Secorvo Security News 10/2008, 7. Jahrgang, Stand 01.11.2008 1

Secorvo Security NewsOktober 2008

Editorial: One man – no vote?Wählen mit Computerhilfe – der Traumaller Wahlhelfer, die unter Zeitdruck tau-sende Stimmzettel auszählen müssen. Ein-fach bestechend: Per Mausklick lassen sichAuszählung und Wahlvorgang beschleu-nigen und Zählfehler ausschließen.

Elektronische Wahlen sind nichts Neues inDeutschland. Die Gesellschaft für Informa-

tik wählt ihr Präsidium seit 2004 über das Internet, an Universitätenwird die Selbstverwaltung mit Computerhilfe bestimmt und in meh-reren Bundesländern werden Wahlcomputer bei Kommunal-, Land-tags- und Bundestagswahlen eingesetzt. Am 24.10.2008 erhieltBingo Voting, ein an der Universität Karlsruhe entwickeltes Verfah-ren mit der Möglichkeit zur Prüfung der korrekten Zählung der eige-nen Stimme, den Deutschen Sicherheitspreis 2008.

Tatsächlich ist E-Voting nicht so einfach, wie es scheint. Denn ausder Perspektive des Wählers ist ein Wahlcomputer eine Black Box,der er bei Stimmabgabe blind vertrauen muss. Nicht immer ist die-ses Vertrauen berechtigt. So wird in Deutschland der Nedap-Wahl-computer eingesetzt, ein Gerät, dessen Version ES3B der ChaosComputer Club (CCC) 2006 analysiert hat – mit bitteren Ergebnissen:Der Manipulationsschutz beruht auf simplen, leicht fälschbaren Pa-piersiegeln, das Master-Passwort war mit „GEHEIM“ vorbelegt, unddurch einen Firmwaretausch ließ sich der Wahlcomputer in einenSchachcomputer verwandeln (siehe SSN 10/2006). In Brandenburgstellten Wahlbeobachter des CCC am 28.09.2008 – wie zuvor inHessen – erhebliche Mängel beim Umgang mit den Wahlcomputernfest: Fehlende Siegel, unbeaufsichtigte Lagerung, Fehlbedienung undunerklärliche Zähldifferenzen.

Manipulierbare Wahlcomputer wären eine gefährliche Waffe in denHänden einer Partei oder Regierung. Stimmzettel lassen sich durchUnabhängige nachzählen – Computerdaten nicht. Das wurde auch inder öffentlichen Anhörung vor dem Bundesverfassungsgericht am28.10.2008 deutlich. Bleibt zu hoffen, dass Papier und Bleistift nocheine Chance haben – wenigstens dann, wenn der Souverän wählt.

Inhalt

Editorial: One man – no vote?

Security News

Clickjacking

Forensische Spirale 2.0

Neue Hash-Funktionen

Virenschutz für VMs

Surf-CD vom BSI

OWASP Appsec 2008

Mifare-Exploit online

BSI meets ISACA

Secorvo News

Secorvo College aktuell

Original oder Fälschung?

Veranstaltungshinweise

Fundsache

Oktober 2008

Secorvo Security News 10/2008, 7. Jahrgang, Stand 01.11.2008 2

Security News

Clickjacking

Auf der diesjährigen amerikanischen OWASP-Kon-ferenz sorgte das Zurückziehen eines Vortrags zumThema „Clickjacking“ durch die Autoren Robert„RSnake“ Hansen und Jeremiah Grossman für eini-ges Aufsehen. Inzwischen sind durch einen Blog-Eintrag Robert Hansens vom 07.10.2008 sowie dieVeröffentlichung eines Proof of Concept und einesVideos erste Details zu der architektonisch beding-ten Schwachstelle bekannt. Darin werden verschie-dene Ausprägungen vorgestellt.

Clickjacking wird das Platzieren eines „unsichtbaren“Click-Buttons auf einer Webseite genannt, auf dender Nutzer klickt, während er vermeintlich einendarunter liegenden Link auswählt. Bis zur Beseiti-gung dieser Browserschwachstelle bietet das – auchin anderem Kontext sehr nützliche – Firefox Add-On„NoScript“ mit „ClearClick“ einen gewissen Schutz.

Forensische Spirale 2.0

Seit vielen Jahren schon gehört die Live-CD Helix inden virtuellen Werkzeugkasten jeder Forensikerin.Helix ist eine der wenigen umfangreichen Tool-Sammlungen, die sowohl unter Windows als auchunter Linux zu verwenden sind – sie war allerdingsschon etwas in die Jahre gekommen.

Am 15.09.2008 wurde endlich die von vielen herbeigesehnte Helix Version 2.0 veröffentlicht. Wir habendie neue Version in unserem forensischen Laborausgiebig getestet. Ergebnis: Das Warten hat sichgelohnt. Zunächst wurden die einzelnen Tools aufden neuesten Stand gebracht bzw. um neue Soft-ware ergänzt. Die größte Änderung ist jedoch der

Umstieg der Boot-Partition auf Ubuntu, was u. a.die Unterstützung neuer Hardware spürbar verbes-sert. Helix 2.0 ist und bleibt damit eine interessanteErgänzung oder sogar Alternative zu kommerziellenforensischen Tools. Wir werden Helix 2.0 bereits imkommenden Forensik-Seminar berücksichtigen.

Neue Hash-Funktionen

SHA, der Secure Hash Standard, war die erste stan-dardisierte Hashfunktion, 1994 vom US-amerikani-schen NIST veröffentlicht. Am 01.08.2002 legte dasNIST mit einer erweiterten Spezifikation nach, dievier Varianten der nun SHA-2 genannten Algorith-menfamilie mit unterschiedlich langen Hashwertenumfasste (FIPS PUB 180-2). 2004 wurde die Spezifi-kation um die Variante SHA-224 ergänzt; eine End-fassung des Standards erschien am 17.10.2008 (FIPSPUB 180-3).

Doch die Tage des in die Jahre gekommenen SHA-2sind gezählt. Da für einen Nachfolger keine geeig-neten alternativen Verfahren in Sicht waren, schriebdas NIST am 02.11.2007 – wie beim AES – einenWettbewerb für SHA-3 aus. Wenige Tag vor derEinreichungsfrist (31.10.2008) waren schon über 30Verfahren beim NIST eingegangen. Ein sehr aus-sichtsreicher Kandidat ist der Skein getaufte Algo-rithmus einer Kryptographengruppe um BruceSchneier. Auch ein „Veteran“ ist dabei: Ron Rivest,einer der Väter des RSA-Verfahrens, hat MD6 insRennen geschickt.

Virenschutz für VMs

Vom Virenschutz-Anbieter McAfee wurden am17.09.2008 Lösungen zum Scannen von virtuellenMaschinen vom Virtualisierungs-Host aus (VMwareESX) vorgestellt. Auf den ersten Blick ein vorteil-hafter Ansatz: Virtuelle Maschinen werden, auch

wenn sie nicht verwendet werden, zentral über-prüft, und bei Bedarf wird sogar der auf den Gast-systemen installierte Virenschutz aktualisiert.

Aber Vorsicht: Jedes Gastsystem sollte – wie bei„echten“ physikalischen Servern – über eineninstallierten und regelmäßig aktualisierten Viren-schutz verfügen. Einen Mehrwert bietet die neueProduktserie nur dann, wenn die Systeme geradeausgeschaltet sind. Auch besteht die Gefahr, sichdurch die zusätzliche Software auf dem HostsystemAngriffsmöglichkeiten und Sicherheitsproblemeeinzuhandeln. Denn in den Listen von Produktenmit sicherheitskritischen Fehlern fanden sich in denvergangenen Jahren zahlreiche Hersteller undProdukte von Sicherheitssoftware.

Unsere Empfehlung lautet daher: Keep it simple.ESX-Systeme sollten ohne Verwässerung der Sicher-heitsfunktionen wie guter schottischer Whisky ge-nossen werden: pur – und ohne Eis.

Surf-CD vom BSI

Am 08.08.2008 wurde vom BSI eine auf Knoppixbasierende „Surf-CD“ vorgestellt. Die Idee dahinterist, durch Booten von CD ein sauberes System zuerhalten und damit bspw. sicheres Online-Bankingzu ermöglichen. Dazu wurde das von CD zu starten-de System durch mehrere Maßnahmen gehärtetund der verwendete Browser „Iceweasel“, dieDebian-Variante von Firefox, durch Sicherheits-Plugins aufgepeppt. Im Vergleich zu anderen Boot-CDs überzeugt unter anderem, dass ein schreiben-der Zugriff auf weitere Datenträger, beispielsweiseauf interne oder externe Festplatten des Systems,kernelseitig unterbunden wird.

Eine gute Lösung für Anwender, die ihr Systembeim Surfen vor eingefangener Schadsoftware

Oktober 2008

Secorvo Security News 10/2008, 7. Jahrgang, Stand 01.11.2008 3

schützen möchten – oder dem vom Filius zumSpielen genutzten System nicht mehr ihre PINs undTANs anvertrauen mögen.

OWASP Appsec 2008

Am 24.-25.09.2008 fand die OWASP NYC Appsec2008 Conference im Big Apple statt. Das wachsendeInteresse an Applikationssicherheit wurde durch dieansehnliche Zahl von über 850 Teilnehmern ein-drucksvoll verdeutlicht. Die an der einen oder ande-ren Stelle dadurch verursachten Reibungsverlustewurden durch die engagierte Konferenzorganisa-tion überkompensiert.

Fachlich hatte die Tagung einige Highlights zu bie-ten. Hervorzuheben sind die Vorträge von GunterOllmann zum Thema „Multidisciplinary BankAttacks“, Ausflüge in die Praxis von Angriffen wie„Get Rich or Die Trying – Making Money on TheWeb, The Black Hat Way“ von Tom Brennan,Jeremiah Grossman und Trey Ford. Für Interessier-te, die nicht an der Konferenz teilnehmen konntenoder verpasste Parallelvorträge ansehen möchten,stehen die Videos der Vorträge online bereit.

Die vorgestellten theoretischen und praktischen Ar-beiten sind für die Beschäftigung mit verschiedenenAspekten der Applikationssicherheit wertvoll. Dahersollte man den Termin der OWASP Germany 2008Conference am 25.11.2008 in Frankfurt vormerken.

Mifare-Exploit online

Jetzt ist es passiert: Am 27.10.2008 hat ein Hackerunter dem Pseudonym ‘Bla’ eine C-Implementie-rung des von der Radboud Universiteit Nijmegenauf der europäischen Sicherheitskonferenz Esoricsam 06.-08.10.2008 publizierten Angriffs auf MifareClassic mit dem Titel „crapto1“ auf der Open Source

Platform Google Code veröffentlicht. Zwar fehlt zueiner „Plug-and-Play“-Attacke noch die Softwarefür Proxmark oder den OpenRFID Sniffer. Für derenImplementierung sind jedoch keine kryptologischenKenntnisse erforderlich; die öffentliche Bereitstel-lung ist daher nur eine Frage der Zeit.

Jetzt hilft kein Abwiegeln mehr: Das Clonen undManipulieren von Mifare-basierten Chipkarten wirdin Kürze ein Kinderspiel sein. Wer Mifare Classic ein-setzt, sollte sich daher baldigst geeignete Migra-tionsstrategien einfallen lassen, um nicht gegenSorgfaltspflichten zu verstoßen.

BSI meets ISACA

Der bereits am 01.09.2008 veröffentlichte „Leit-faden für die IS-Revision auf Basis von IT-Grund-schutz“ bildet die Grundlage für die Durchführungvon IS-Revisionen in Bundesbehörden gemäß desUP Bund. Das konzeptionell klar strukturierte, 37-seitige Dokument enthält neben den konkretenDurchführungsschritten auch eine Aufwandsschät-zung über 30 bis 100 Personentage für die sogenannte Querschnittsprüfung. Daraus wird er-sichtlich, dass Initial- und Betriebsaufwand für dasThema Informationssicherheit deutlich höher sindals das, was viele Behörden operativ investieren. AlsFachqualifikation für die Befähigung zur IS-Revisionwird allgemein auf einen „Nachweis der Qualifika-tion durch Zertifikate“ verwiesen. Eine Chance fürden IT-Grundschutz?

Im Oktober 2008 hat das ISACA Germany Chapterden – nur in Papierform erhältlichen – „Leitfadenzur Durchführung eines Quality Assurance Reviewsder Internen IT-Revision (QAR-IT)“ veröffentlicht.Der zehnseitige Prüfungskatalog ist eindeutig undsehr aussagefähig und wird durch eine vollständigeListe aller Prüfungsstandards abgerundet. Er ist

zudem so universal einsetzbar, dass damit aucheine QAR für eine IS-Revision durchgeführt werdenkann. In Kombination mit dem Leitfaden des BSIlässt sich damit auch die Frage nach der „Kontrolledes Kontrolleurs“ beantworten.

Secorvo News

Secorvo College aktuell

Für Schnellentschlossene bietet Secorvo College2008 noch zwei Weiterbildungschancen:

· Information Security Management von A(udit)bis Z(erzifizierung) am 18.-21.11.2008 sowieeine

· T.I.S.P.-Schulung am 24.-28.11.2008 mit an-schließender Prüfung.

Die Termine der Seminare 2009 stehen inzwischenebenfalls fest – eine praktische Übersicht bietet derganzjährige College-Kalender.

Detaillierte Seminarprogramme und die Möglichkeitzur Online-Anmeldung (auch schon für 2009) findenSie unter http://www.secorvo.de/college.

Original oder Fälschung?

Seit fast 20 Jahren prägt ein Karlsruher Unterneh-men, die WIBU-Systems AG, die weltweite Entwick-lung des „Digital Rights Managements“ zum Schutzdigitaler Produkte – Software, Dokumente, Medien.Auf dem letzten diesjährigen Event der KarlsruherIT-Sicherheitsinitiative (KA-IT-Si) am 04.12.2008wird Rüdiger Kügler spannende Einblicke in dierasante Entwicklung der DRM-Technologie geben –und zeigen, was uns hinsichtlich des Schutzes digi-taler Güter in den kommenden Jahren erwartet.

Secorvo Security News 10/2008, 7. Jahrgang, Stand 01.11.2008 4

Veranstaltungshinweise

Auszug aus http://www.veranstaltungen-it-sicherheit.de

November 2008

04.-05.11. Praxistage Datenschutz (BvD, Stuttgart)

11.-13.11. Forensik (Secorvo College)

18.-21.11. Information Security Management (Secorvo College)

24.-28.11. T.I.S.P - Schulung (Secorvo College)

25.11. OWASP Germany 2008 Conference(www.owasp.org, Frankfurt)

29.-30.11. ruxcon 2008 (ruxcon.org, Sydney/AU)

Dezember 2008

04.12. „Das Original ist die beste Kopie“(KA-IT-Si, Karlsruhe)

27.-30.12. 25th Chaos Communication Congress (CCC, Berlin)

Januar 2009

20.-22.01. Omnicard 2009 (inTIME, Berlin)

Fundsache

Am 29.09.2008 hat das US-amerikanische NIST in der Reihe SpecialPublication einen 80seitigen „Technical Guide to Information SecurityTesting and Assessment“ (NIST Special Publication 800-115) veröffent-licht, das eine sehr hilfreiche und praktisch-konkrete Handreichung zurDurchführung von Information Security Audits darstellt. Alle wesent-lichen Risiken einer Netzwerkinfrastruktur werden betrachtet und einesystematische Vorgehensweise für deren Analyse vorgeschlagen. Abge-rundet wird das instruktive Dokument durch eine aktuelle Liste freiverfügbarer Tools und Informationsquellen über bekannte Schwächen.

Impressumhttp://www.secorvo-security-news.de

ISSN 1613-4311

Redaktion: Dirk Fox, Alexander Göbel, Stefan Gora, Kai Jendrian,Stefan Kelm, Jochen Schlichting

Herausgeber (V. i. S. d. P.): Dirk FoxSecorvo Security Consulting GmbHEttlinger Straße 12-1476137 KarlsruheTel. +49 721 255171-0Fax +49 721 255171-100

Zusendung des Inhaltsverzeichnisses:security-news@secorvo.de(Subject: „subscribe security news“)

Wir freuen uns über Ihr Feedback anredaktion-security-news@secorvo.de

Secorvo Security News 11/2008, 7. Jahrgang, Stand 25.11.2008 1

Secorvo Security NewsNovember 2008

Editorial: GeschichtsvergessenDas aktuelle Politbarometer der Mannhei-mer Forschungsgruppe Wahlen vom 21.11.2008 enthält die erste repräsentative Be-fragung zur geplanten Ermächtigung desBKA zu Online-Durchsuchungen. Das er-nüchternde Ergebnis: 57% der Deutschenhalten die Befugnis für grundsätzlich rich-tig, 39% sprachen sich dagegen aus.

Ist das stereotype „ceterum censeo“ des BKA-Präsidenten, eine ver-breitete „Ich-hab-nichts-zu-verbergen“-Mentalität oder die medialeBeschwörung der terroristischen Bedrohung (zum Vergleich: 2007starben in Deutschland 340 Menschen durch Mord, 600 bei Brand-katastrophen und knapp 5.000 bei Verkehrsunfällen – und niemandbei einem Terroranschlag) für dieses Ergebnis verantwortlich?

Vor 40 Jahren, im Sommer 1968, trieben die als „Ermächtigungsge-setz“ geziehenen Notstandsgesetze der Großen Koalition Jugend-liche und Studenten zu Tausenden auf die Straßen. Die Ermächti-gung der Nachrichtendienste im G-10-Gesetz zu Eingriffen in dasPost- und Fernmeldegeheimnis – unter strenger parlamentarischerKontrolle durch die G-10-Kommission – war eines der zentralenpolitischen Reibungspunkte der Außerparlamentarischen Opposition,aus deren Trümmern zwei Jahre später die RAF hervorging.

Heute bleibt Deutschland angesichts der fortschreitenden Aushöh-lung des Fernmeldegeheimnisses gelassen. Während die Liste derKatalogstraftaten in § 100 StPO, die Abhörmaßnahmen rechtferti-gen, schrittweise ausgeweitet wurde und die Zahl der Abhöranord-nungen von 1985 (1.400) bis 2007 (44.280) auf das 30-fache anstieg(vgl. SSN 06/2006), wirkt selbst die Aufregung über die Auswertungder Verbindungsdaten von Journalisten durch die Deutsche Telekomangestrengt. Bei der verfassungswidrigen Durchsuchung der Redak-tionsräume des „Spiegel“ im Jahr 1962 hatte es noch zu einer Ent-scheidung des BVerfG, dem Spiegel-Urteil vom 05.08.1966 gereicht.

Wie formulierte Alexis de Tocqueville 1835 doch so zutreffend: „Dieschlimmsten Feinde der Freiheit – sind die glücklichen Sklaven.“

Inhalt

Editorial: Geschichtsvergessen

Security News

Kryptographie bleibt schwierig

Neue Schlüssel – gute Schlüssel?

WPA-Erbsünde rächt sich

Sicherere Software

Mühsam nährt sich derSpammer

Social Communities für Eltern

Neuer NIST-Signaturstandard

Secorvo News

Secorvo College aktuell

Über Originale und Fälschungen

Veranstaltungshinweise

Fundsache

November 2008

Secorvo Security News 11/2008, 7. Jahrgang, Stand 25.11.2008 2

Security News

Kryptographie bleibt schwierig

Mitglieder des Google Security Teams meldeten am11.08.2008 in ihrem Blog eine Lösung für das Pro-blem, wie Anwendungsentwickler Kryptoverfahreneinfach und sicher einsetzen können: das bei Googlegehostete Open-Source Crypto-Toolkit Keyczar.Zielpublikum für die in Java und Phyton vorliegendeKeyczar-Implementierung sind primär Web-Ent-wickler – und zwar solche, die den Keyczar-Autorenzufolge schlimmstenfalls Schlüssel fest im Quellcodeihrer Anwendung hinterlegen würden.

Für Entwickler der letztgenannten Ignoranzklassemag das Toolkit tatsächlich eine Hilfe sein. Ansons-ten aber zeigt ein Blick in das Designdokument,dass Keyczar keine Konkurrenz für die direkte Nut-zung von OpenSSL & Co. ist und hinter den eigenenAnsprüchen zurück bleibt. Denn nicht nur für dieBundesnetzagentur zählen SHA-1 und 1024 Bit DSAschon lange nicht mehr zu den „safe default algo-rithms and key lengths“.

Schlimmer wiegt, dass Keyczar zwar optional gehei-me Schlüssel auch verschlüsselt ablegt, dafür abereinen unverschlüsselten Masterkey im eigenen For-mat braucht. Die Gefahr ist groß, dass Web-Ent-wickler die Schlüssel zwar nicht mehr im Quellcode„verstecken“, dafür aber den Masterkey offen alsDatei ablegen - und sich dabei sicher wähnen.

Das Zweitschlimmste nach dem Irrtum, Sicherheits-verfahren wären einfach selbst zu entwickeln, sindwohl Systeme, die vorgeben, dem Entwickler dienötigen Kenntnisse zu deren Einsatz zu ersparen.

Neue Schlüssel – gute Schlüssel?

Die am 07.11.2008 veröffentlichte NIST Special Pub-lication 800-108 zum Thema „Key Derivation“ zeigt,dass ein erläuternder Standard anstelle eines Black-Box-Toolkits wie Keyczar die Anwendung von Kryp-toverfahren vielleicht nachhaltiger erleichtern kann.

Auf 20 Seiten wird dargestellt, wie sich aus einemvorhandenen Schlüssel viele (z. B. für automatisier-te Schlüsselwechsel) ableiten lassen, wird hingewie-sen, worauf beim Einsatz dieser Verfahren zu ach-ten ist, und wird motiviert, warum manch schein-bar unnützer „Schnörkel“ dabei hilfreich ist.

Das Dokument legen wir jedem Entwickler dringendans Herz, der eine sichere Schlüsselverwaltung ent-werfen will.

WPA-Erbsünde rächt sich

Als im Jahr 2001 nach erfolgreichen Angriffen aufdas Wired Equivalent Privacy (WEP) Protokoll drin-gend Abhilfe für die Sicherung von WLANs gesuchtwurde, war der erste Wurf für das neue WifiProtected Access (WPA) Verfahren gar nicht so neu:Das Temporal Key Integrity Protocol (TKIP) desStandards IEEE 802.11i setzt auf der WEP-Ver-schlüsselung auf, ergänzt um weitere Sicherheits-mechanismen und regelmäßige Schlüsselwechsel.Durch diesen Trick wurde es möglich, allein perFirmware-Update aus vorhandenen, unsicherenWEP-Produkten neue WPA-Produkte zu machen.

Am 08.11.2008 veröffentlichten Martin Beck undErik Tews, Forscher der Unis Dresden und Darm-stadt (woher 2007 schon die bis heute schnellsteWEP-Attacke stammt, vgl. SSN 04/07), einen Weg,um trotz der zusätzlichen Vorkehrungen in TKIPüber eine ererbte WEP-Schwachstelle einen Teil desRC4-Schlüsselstroms von WEP bzw. TKIP zu ermit-

teln. Diese Information erlaubt es, einige wenigeDatenpakete vom Access Point an WLAN-Clients zufälschen, beispielsweise zum gezielten Umleiten vonVerbindungen.

Wie vor zehn Jahren bei Daniel BleichenbachersAngriff auf SSL mit RSA hilft hier wieder das Entge-genkommen der Protokolldesigner: Erst die Rück-meldung, die verrät, an welcher Stelle Entschlüsselnund Prüfen eingeschleuster Daten fehlschlagen,zeigt dem Angreifer, wie weit er vorgedrungen ist.Der neue alte Angriff ist nicht so fatal wie die WEP-Attacken und eröffnet keine völlig neuen Angriffs-wege gegen WPA oder den Nachfolger WPA2.Dennoch sollte man der AES-CCMP Verschlüsselungvon WPA2 den Vorzug vor TKIP geben – oder zu-mindest die TKIP-Schlüsselwechsel auf unter 120 sbeschleunigen.

Sicherere Software

Die Entwicklung sicherer Software liegt im Trend:Endlich wird das Problem „unsichere Software“ ander Wurzel gepackt. Am 08.10.2008 hat das Soft-ware Assurance Forum for Excellence in Code (kurzSAFECode) den Leitfaden Fundamental Practices forSecure Software Development veröffentlicht. DieOrganisation, der u. a. Microsoft, EMC und SAP an-gehören, hat sich zum Ziel gesetzt, zur Verbesse-rung von Methoden der Softwareentwicklung bei-zutragen – mit dem besonderen SchwerpunktSicherheit.

Das 22-seitige Dokument fasst nach Einschätzungder Autoren die zur Zeit effektivsten Methoden zursicheren Entwicklung von Software zusammen. DieDarstellung praxiserprobter Vorgehensweisen wirdergänzt durch Verweise auf weiterführende Infor-mationen. Daher kann der Leitfaden gut als Ein-stieg in die sichere Softwareentwicklung genutzt

November 2008

Secorvo Security News 11/2008, 7. Jahrgang, Stand 25.11.2008 3

werden. Er ergänzt die Übersicht über Fallstudienzum Thema sichere Softwareentwicklung, SoftwareAssurance: An Overview of Current Industry BestPractices, die im Februar 2008 von SAFECode publi-ziert wurde.

Mühsam nährt sich der Spammer

Nicht nur Stammzellenforschung bringt Ethikkon-flikte mit sich – bisweilen auch die IT-Sicherheit:Dürfen Forscher Spam-Mails verschicken, um derenErfolg oder Misserfolg zu bestimmen? Ein Team ausBerkeley und San Diego (UCSD) stellt in einemKonferenzbeitrag vom 28.10.2008 dar, wie es einenTeil eines Bot-Netzes „zurückkaperte“, um die oh-nehin darüber versandten Spam-Mails zur statisti-schen Auswertung zu markieren. Neben dem Wir-kungsgrad verschiedener Spam-Filter zeigte sich:Nur knapp eine von zehn Millionen Mails führt zumKauf der beworbenen blauen Pillen.

Wie die Forscher aus der Strichprobe hochrechnen,dürfte die Marge bei diesem Aufwand-Ertrags-Ver-hältnis so gering sein, dass weiter verbesserte Anti-Spam-Techniken das Geschäftsmodell empfindlichtreffen könnten. Das gibt Hoffnung auf ein mög-liches Ende der Plage.

Social Communities für Eltern

Am 04.09.2008 veröffentlichte die Medienkompe-tenz-Initiative Klicksafe, ein Projekt der Landeszen-trale für Medien und Kommunikation Rheinland-Pfalz (LMK), der Landesanstalt für Medien Nord-rhein-Westfalen (LfM) und des Europäischen Zen-trums für Medienkompetenz (ecmc) eine Handrei-chung für Eltern zum Thema Social Communities.

Der Kurzratgeber erklärt auf 12 Seiten kompakt undgut verständlich, welche Risiken auf Kinder und Ju-gendliche bei der Nutzung von Communities wieSchülerVZ & Co. sowie in den beliebten Chatroomslauern. Die wichtigsten Punkte, die man mit seinenKindern besprechen sollte, werden erläutert unddurch Links auf weiterführende Informationen undKontaktadressen ergänzt.

Unserer Ansicht nach eine empfehlenswerteLektüre und ein gutes Hilfsmittel für Eltern – imübrigen nicht das einzige, das sich in derumfangreichen Materialsammlung der Initiativefindet.

Neuer NIST-Signaturstandard

Das US-amerikanische National Institute of Stan-dards and Technology (NIST) hat am 12.11.2008 dieEntwurfsfassung eines neuen Standards für DigitaleSignaturen (FIPS-186-3) veröffentlicht. Der Nachfol-ger des angejährten FIPS 186-2 vom Januar 2000unterscheidet sich schon im Umfang erheblich: Aus76 Seiten wurden 125, allein der „Kern“ des Stan-dards (ohne Anhänge) wuchs von vier auf 19 Seiten.Neben den auf dem Diskreten Logarithmusproblembasierenden Signaturverfahren DSA und ECDSA sindnun auch RSA-Signaturen Teil des Standards – nichtmehr nur als kurzer Verweis auf ANSI X.9.31, son-dern mit einer mehrseitigen Darstellung der Anfor-derungen z. B. an die Schlüsselgenerierung. Deutlicherweitert wurden die Anhänge zur Primzahl- undParameterberechnung.

Die Neufassung des Standards geht deutlich überden eigentlichen Zweck hinaus: Er wurde zu einemausgewachsenen Leitfaden für Einsteiger und Pro-grammierer erweitert. Der Qualität zukünftiger Im-plementierungen könnte das zuträglich sein.

Secorvo News

Secorvo College aktuell

Für die rechtzeitige Planung der Weiterbildung 2009lohnt ein Blick in den Seminarkalender 2009. Nebenvier Terminen zum Abschluss der TISP-Zertifizierungbietet Secorvo College 2009 erstmals – im Februarund im Oktober – die Zertifizierung zum CPSSE an:dem Certified Professional for Secure SoftwareEngineering. Das Zertifikat wurde von ISSECO, demInternational Secure Software Engineering Council,unter Beteiligung von u. a. der SAP AG entwickelt.

Detaillierte Seminarprogramme und die Möglichkeitzur Online-Anmeldung finden Sie unterhttp://www.secorvo.de/college.

Über Originale und Fälschungen

Mit Dongles fing alles an – zwanzig Jahre späterspricht man vom „Digital Rights Management“,wenn es um den Schutz digitaler Güter geht. Wares zunächst nur Software, die vor lizenzwidrigerVerbreitung geschützt werden musste, zählen heu-te auch Daten zu den Schutzgütern – Musikaufnah-men, (Hör-) Bücher, Filme.

Auf dem letzten diesjährigen Event der KarlsruherIT-Sicherheitsinitiative (KA-IT-Si) wird Rüdiger Küg-ler von Wibu Systems, einem der Pioniere auf die-sem Gebiet, am 04.12.2008 (Schlosshotel Karlsruhe,Beginn: 18 Uhr) spannende Rück-, Ein- und Ausblic-ke in die rasante Entwicklung des Lizenzmanage-ments geben. Im Anschluss gibt es wie gewohntGelegenheit zum „Buffet-Networking“. Um Anmel-dung wird gebeten.

Secorvo Security News 11/2008, 7. Jahrgang, Stand 25.11.2008 4

Veranstaltungshinweise

Auszug aus http://www.veranstaltungen-it-sicherheit.de

November 2008

25.11. OWASP Germany 2008 Conference(www.owasp.org, Frankfurt)

Dezember 2008

02.-04.12. Sichere Softwareentwicklung (Secorvo, Karlsruhe)

04.12. Das Original ist die beste Kopie (KA-IT-Si, Karlsruhe)

27.-30.12. 25th Chaos Communication Congress (CCC, Berlin)

Januar 2009

20.-22.01. Omnicard 2009 (inTIME, Berlin)

Februar 2009

03.-04.02. 19. SmartCard-Workshop (Fraunhofer, Darmstadt)

10.-12.02. Certified Professional for Secure SoftwareEngineering (CPSSE) (Secorvo College, Karlsruhe)

22.-25.02. 16th Int. Workshop on Fast Software Encryption(IACR, Leuven/BE)

23.-26.02. 13th Financial Cryptography and Data Security 2009(Int. Financial Cryptography Association, Barbados)

Fundsache

Der lesenswerte Leitfaden zur Nutzung von E-Mail und Internet imUnternehmen des BITKOM erschien im Januar 2008 in der aktuali-sierten Version 1.5. Das Dokument gibt einen Überblick über dieRechtslage, leitet daraus Empfehlungen für die rechtskonforme Ge-staltung der E-Mail- und Internetnutzung ab und schließt mitFormulierungsvorschlägen für eine Betriebsvereinbarung.

Impressumhttp://www.secorvo-security-news.de

ISSN 1613-4311

Redaktion: Dirk Fox, Stefan Gora, Kai Jendrian, Hans-JoachimKnobloch

Herausgeber (V. i. S. d. P.): Dirk FoxSecorvo Security Consulting GmbHEttlinger Straße 12-1476137 KarlsruheTel. +49 721 255171-0Fax +49 721 255171-100

Zusendung des Inhaltsverzeichnisses:security-news@secorvo.de(Subject: „subscribe security news“)

Wir freuen uns über Ihr Feedback anredaktion-security-news@secorvo.de

Secorvo Security News 12/2008, 7. Jahrgang, Stand 23.12.2008 1

Secorvo Security NewsDezember 2008

Editorial: PyrrhussiegeEinige zehntausend Kreditkartennummernder Landesbank Berlin auf Microfiche, vomKurier gegen einen Christstollen getauscht.Bankverbindungen von 21 Mio. Bundesbür-gern auf dem Schwarzmarkt, für kleinesGeld von Call-Center-Mitarbeitern einge-sammelt. CD mit 17 Mio. Kundendaten vonT-Mobile aufgetaucht, von einem Dienst-

leister mit umfangreichen Berechtigungen entwendet. Alles Varia-tionen desselben Themas: Zunehmend vertrauen Unternehmensensible Unternehmens- und Personendaten Dritten an – die dasVertrauen nicht immer verdienen.

Zwar sind die Motive für eine Auslagerung von Tätigkeiten an exter-ne Dienstleister ebenso berechtigt wie nachvollziehbar. Für größereFlexibilität und transparentere Kosten zahlt man aber einen ver-steckten Preis: geringere Loyalität und Bindung an das beauftragen-de Unternehmen, eingeschränkter Einfluss auf die Prozesse undgeringes Verständnis der Kerngeschäftsprozesse beim Dienstleister.

Für zahlreiche Tätigkeiten mag das unproblematisch sein. Immeröfter aber sind sensible Daten betroffen, die eine hohe Zuverlässig-keit und Vertrauenswürdigkeit des Personals erfordern: Reinigungs-kräfte, die sich außerhalb der regulären Arbeitszeiten im Unter-nehmen bewegen; Kuriere, die vertrauliche Daten unverschlüsselttransportieren; IT-Dienstleister, die Zugriff auf unternehmenskriti-sche Daten erhalten.

Unabhängig von der erforderlichen Basis-Qualifikation, die für eineDienstleistung erforderlich ist, erfordert ein angemessener Umgangmit sensiblen Daten jedoch sowohl hohe Loyalität und Vertrauens-würdigkeit als auch ein Mindestmaß an Verständnis für die Bedeu-tung der Daten, um Schäden durch Nachlässigkeit zu vermeiden.

So entpuppen sich die schönen Reduktionen auf der Ausgabenseiteder Bilanz immer öfter als Pyrrhussieg. Denn externe Dienstleistungerfordert sorgfältige Auswahl und Kontrolle – wer das vernachläs-sigt, zahlt meist einen hohen Preis, wenn etwas schief geht.

Inhalt

Editorial: Pyrrhussiege

Security News

Autorun deaktiviert?

Handys aller Orten

Blackberry zertifiziert

ePA-Akteptanzstellen gesucht

Forensische Päckchen

OWASP-Start in Deutschland

Flickwerk Patchen

Secorvo News

Secorvo College aktuell

Zum Schluss ...

Veranstaltungshinweise

Fundsache

Dezember 2008

Secorvo Security News 12/2008, 7. Jahrgang, Stand 23.12.2008 2

Security News

Autorun deaktiviert?

Seit vielen Jahren predigen Security-Experten, wiegefährlich das automatische Starten von Anwen-dungen auf Wechseldatenträgern mittels Autorun-Funktionalität ist, haben Viren und Würmer so dochleichtes Spiel. Glücklicherweise ist das Deaktivierender Autorun-Funktion in Windows technisch trivialund wird daher in vielen Unternehmen zentral überGroup Policy Objekte durchgesetzt.

Aber ist es wirklich so trivial? Still und heimlichgestand Microsoft in einem Technet-Artikel vom10.10.2008, dass das Setzen von NoDriveTypeAuto-run in der Windows-Registry nicht ausreicht – undbeschrieb die korrekte Erzwingung der Deaktivie-rung des Autorun-Registrierungsschlüssels in Win-dows. In vielen Umgebungen wird „die Autorun-Features nicht ordnungsgemäß deaktiviert“, selbstwenn die Registry-Schlüssel korrekt gesetzt waren.Microsoft reagierte nun mit zahlreichen Updatessowie einem weiteren Registry-Schlüssel, genannt„HonorAutorunSetting“. Nomen est omen. Peinlich,peinlich.

Handys aller Orten

Die Positionsbestimmung von Mobiltelefonen durcheifersüchtige Ehepartner und andere Bedarfsträgerist schon seit einer Weile einer der gefragtestenLocation Based Serivices (LBS) für Mobilfunknetze.Zwar lassen sich LBS am Handy deaktivieren; dazuhaben die deutschen Provider am 14.10.2008 eineSelbstverpflichtung auf ein einheitliches Verfahrenveröffentlicht. Aber auch wenn auf dem Handykeine LBS aktiviert sind, werden Bewegungsdatenan Dritte weiter gegeben: So meldete T-Traffic am

03.11.2008, dass für die Stauprognose auf die Be-wegungsdaten von 34 Millionen Handys im Netz derT-Mobile zugegriffen wird – „natürlich anonym“.Pikant: T-Traffic wurde am 20.11.2008 von einerNokia-Tochter in den USA übernommen; die Datenverlassen also den Geltungsbereich der EU-Daten-schutzrichtlinie. Auch der Mitbewerb gibt sich nichtzugeknöpfter: Bereits am 14.01.2008 vereinbarteVodafone Ähnliches mit TomTom.

Dass Handy-Ortung mit besseren Funkmessdatennoch präziser funktioniert als auf den Radius dermehr oder minder großen Funkzelle genau, gehörtzur Lehrbuchweisheit. Am 01.12.2008 verkündeteBayerns Innenminister den praktischen Vollzug: Dasdortige LKA hat in einer Art „Wardriving per Strei-fenwagen" einen Großteil der Mobilfunkzellen imLand vermessen und kartografiert. Eingesetzt wirddas System zur Suche nach Verunglückten – und„noch nicht" zur Fahndung.

Alles in allem ein paar gute Gründe (mehr), dasHandy immer öfter einfach abzuschalten.

Blackberry zertifiziert

Vor mehr als drei Jahren wurde nach einem um-strittenen Kurzgutachten des BSI das Testlabor desFraunhofer Instituts SIT in Darmstadt vom Herstel-ler Research in Motion (RIM) mit einer Analyse derSicherheit des Blackberry-Dienstes beauftragt. Am24.11.2008 wurden nun das lange erwarteteZertifikat (gültig für BES v4.1.6) und der 33seitigeZertifizierungsbericht veröffentlicht.

Das Ergebnis ist eindeutig und belegt die Sorgfalts-mängel des BSI-Gutachtens vom Herbst 2005: „Inour analysis of the BlackBerry Enterprise Solution,we did not find any evidence for the existence of amaster key, back door or a function that would

allow RIM to read customer’s emails.” Es ergänztdie von Secorvo im November 2005 publizierte Ana-lyse der Blackberry-Architektur um eine Bestätigungder korrekten Implementierung des AES-256 unddes Schlüsselmanagements.

Neben den im Zertifizierungsbericht enthaltenenHinweisen zur sicheren Konfiguration des BES istder „Blackberry Hardening Guide“ des australischenDepartment of Defense vom 18.12.2007 zu em-pfehlen. Er enthält auf 27 Seiten zahlreiche detail-lierte Konfigurationstipps für die sichere Nutzungdes Blackberry – einschließlich Vorgaben für dieNutzung von S/MIME, PGP und TLS.

ePA-Akteptanzstellen gesucht

Es hat etwas von einem Gewinnspiel: Aus Unter-nehmen, Institutionen und Behörden, die bis zum28.02.2009 dem Aufruf zum Anwendungstest fürden elektronischen Personalausweis (ePA) – nicht zuverwechseln mit EPa – folgen, werden zehn aus-gewählt. Sie können schon ab 01.10.2009 mit fach-licher Unterstützung des Bundesministeriums desInnern (BMI) die Nutzung des Identitätsnachweisesüber den ePA im Internet, an Automaten oderanderen Akzeptanzstellen erproben.

Leichtfertig sollte man dem Aufruf vom IT-Gipfel inDarmstadt am 20.11.2008 jedoch nicht mit seinerRegistrierung folgen. Denn auch dieses Gewinnspielhat einen Haken: Alle Bewerber – auch die nichtausgewählten, deren Testphase nach Zeitplan am01.12. 2009 beginnt – verpflichten sich, zahlreicheEigenleistungen zu erbringen, von der Beschaffungbisher noch nicht verfügbarer Komponenten überdie Akquise von Probanden bis zu gemeinsamenMarketing-Aktionen mit dem BMI. Bei positivemTestverlauf müssen sie ab dem Stichtag der ePA-Ausgabe am 01.11.2010 den ePA-Identitätsnach-

Dezember 2008

Secorvo Security News 12/2008, 7. Jahrgang, Stand 23.12.2008 3

weis auch produktiv allen Ausweisinhabern unterihren Nutzern anbieten.

Forensische Päckchen

Helix hat es vorgemacht (vgl. SSN 10/2008) – nunhaben zwei weitere Anbieter neue Versionen ihrerkostenlosen forensischen Live-CDs veröffentlicht.

DEFT Linux (Digital Evidence & Forensic Toolkit)erschien am 28.11.2008 bereits in Version 4.01. DieUnterschiede zu Helix sind allerdings marginal: ne-ben zu erwartenden Tools wie Autopsy, Sleuthkitoder foremost umfasst DEFT Linux Tools für Pene-trationstests, bspw. Nessus und nmap. Vorsicht istjedoch beim Anschluss externer Analyseplatten ge-boten: entgegen forensischer Best Practice werdendiese nicht „read only“ eingebunden.

Äußerst vielversprechend sieht Version 0.4 vonCAINE (Computer Aided INvestigative Environment)aus, die am 05.12.2008 veröffentlicht wurde. AuchCAINE bringt Standard-Tools mit, beinhaltet aberauch unbekanntere Forensiktools wie guymager,SFDumper oder Fundl. Herausragend ist das fürForensiker so wichtige Erstellen von Reports: CAINEstellt Mechanismen zur Verfügung, den Output derunterschiedlichen Tools in einem einheitlichen For-mat zu integrieren und erleichtert damit denAnalyseprozess erheblich.

OWASP-Start in Deutschland

Über 100 Teilnehmer konnten sich am 25.11.2008 inFrankfurt davon überzeugen, dass das Thema WebApplication Security inzwischen auch in Deutschlandangekommen ist. Trotz äußerst kurzer Vorlaufzeitwar die erste OWASP-Konferenz OWASP Germany2008 sowohl im Hinblick auf die inhaltliche Qualitätals auch auf die Teilnehmerzahl ein voller Erfolg. Es

wurden technische Themen wie z. B. "Server- undBrowser-basierte XSS Erkennung" oder "SOA Sicher-heitsarchitektur" und nicht-technische Themen wiez. B. "Wirtschaftlichkeitsbetrachtungen von IT-Sicherheitsmaßnahmen" behandelt. Den Besuchernfrüherer KA-IT-Si-Veranstaltungen wird der Vortrag"Goldene Regeln der IT-Sicherheit bei der Beauftra-gung und Erstellung von Software" bekannt vorge-kommen sein. Auch diese Konferenz bestätigt, dasssich die OWASP-Organisation national und interna-tional zu einer festen Größe im Zusammenhangmit der Sicherheit von (Web-)Applikationen entwic-kelt hat. Allen, die die Konferenz nicht besuchenkonnten oder die Vorträge noch einmal nachvollzie-hen möchten, stehen die Präsentationsfolien aufder Konferenzseite zur Verfügung.

Flickwerk Patchen

Dass das Aktualisieren von Systemen und Anwen-dungen inzwischen eine herausfordernde und auf-wändige Aufgabe darstellt, ist nichts Neues. Lückenim Patch-Management finden sich daher nicht sel-ten – und sollten zügig geschlossen werden. Dasunterstreicht eine aktuelle Veröffentlichung des An-bieters Secunia, der am 25.11.2008 Version 1.0 desfür den Privatgebrauch kostenlosen Personal Soft-ware Inspector veröffentlichte. Die Auswertung derAnalyseergebnisse von über 20.000 (überwiegendprivaten) Client-Systemen nach einer Woche zeigte,dass weniger als 2 % der Systeme sowohl beimBetriebssystem als auch bei weiteren installiertenProgrammen auf einem aktuellen Stand waren.

Angesichts der Zunahme aufgedeckter sicherheits-kritischer Bugs und immer kürzerer Reaktionszeitender Angreifer-Szene ist eine regelmäßige Analysedes Patch-Stands sehr zu empfehlen.

Secorvo News

Secorvo College aktuell

Für Ihr großes Interesse am Weiterbildungsangebotvon Secorvo College im Jahr 2008 danken wir Ihnen.Die starke Nachfrage und die vielen positiven Rück-meldungen haben uns sehr gefreut. Wir hoffen, Sieim kommenden Jahr auf einer unserer Veranstal-tungen wiederzusehen – einen aktuellen Überblickfinden Sie in unserem Seminarkalender 2009.

Auch für Ihre Anregungen und Themenwünsche ancollege@secorvo.de sind wir dankbar. DetaillierteSeminarprogramme und die Möglichkeit zur Online-Anmeldung finden Sie unterhttp://www.secorvo.de/college.

Zum Schluss ...

Hinter uns liegen 10 Jahre aktiver Mitwirkung an IT-Sicherheit und Datenschutz in Deutschland – unddas erfolgreichste Jahr unserer Firmengeschichte.Wir danken Ihnen für Ihr Vertrauen und freuen unsauf viele weitere herausfordernde und spannendeJahre der Zusammenarbeit.

Wir wünschen Ihnen besinnliche Feiertage – und für2009 neue Ideen, Visionen und gutes Gelingen!

Secorvo Security News 12/2008, 7. Jahrgang, Stand 23.12.2008 4

Veranstaltungshinweise

Auszug aus http://www.veranstaltungen-it-sicherheit.de

Dezember 2008

27.-30.12. 25th Chaos Communication Congress (CCC, Berlin)

Januar 2009

20.-22.01. Omnicard 2009 (inTIME, Berlin)

Februar 2009

03.-04.02. 19. SmartCard-Workshop (Fraunhofer, Darmstadt)

10.-12.02. Certified Professional for Secure SoftwareEngineering (CPSSE) (Secorvo College, Karlsruhe)

19.02. Bingo-Voting - verifizierbare elektronische Wahlen(KA-IT-Si, Karlsruhe)

22.-25.02. 16th Int. Workshop on Fast Software Encryption(IACR, Leuven/BE)

März 2009

09.-13.03. T.I.S.P.-Schulung (Secorvo College)

17.-18.03. 16. DFN Workshop - Sicherheit in vernetztenSystemen (DFN-CERT, Hamburg)

17.-19.03. IT-Sicherheitsaudits (Secorvo College)

Fundsache

Microsoft hat am 10.11.2008 eine öffentliche Beta-Version des "SDLThreat Modelling Tool v3.1" zum Download bereitgestellt. Die Bedro-hungsanalyse (Threat Modelling) spielt im Secure Development Lifecycle(SDL) eine wichtige Rolle. Erste Tests mit diesem Tool hinterließen einenpositiven Eindruck. Das Threat Modelling Tool findet sich u. a. im ToolsRepository zum SDL.

Impressum

http://www.secorvo-security-news.de

ISSN 1613-4311

Redaktion: Dirk Fox, Stefan Gora, Kai Jendrian, Stefan Kelm,Hans-Joachim Knobloch

Herausgeber (V. i. S. d. P.): Dirk FoxSecorvo Security Consulting GmbHEttlinger Straße 12-1476137 KarlsruheTel. +49 721 255171-0Fax +49 721 255171-100

Zusendung des Inhaltsverzeichnisses:security-news@secorvo.de(Subject: „subscribe security news“)

Wir freuen uns über Ihr Feedback anredaktion-security-news@secorvo.de