| Home Themenübersicht / Sitemap Webmaster |
von Philipp Schaumann
Willkommen zu meinem ersten Sicherheitskultur-Newsletter 11/2006 und vielen Dank für das unerwartet große Interesse. Viel Spaß beim Stöbern in den weiterführenden Links. Hier die Meldungen: 1. DropMyRights - für alle, die als Admin surfen (müssen) ---------------------------------------------------------------- Ein durchgehendes Problem für viele Unternehmen ist, dass die Anwender eigentlich keine Admin-Rechte haben sollten, es aber letztendlich immer gute Gründe gibt, warum diese Rechte doch benötigt werden (Anwendungen, die sonst nicht laufen, notwendige Netzumkonfigurationen, etc.) Gefunden habe ich die Lösung dafür im SANS Jahresbericht: DropMyRights. In kleines Programm, das die Rechte für Programme, die von DropMyRights gestartet werden, heruntersetzt. Ideal ist dies für E-Mail-Programme und Web-Browser. Die Details mit den Links finden sich auf http://sicherheitskultur.at/notizen_2_06.htm#dropmyrights 2. Lesenswert: der SANS Top20-Bericht --------------------------------------- Die neuen (und alten) Trends: Angreifer haben die Angriffe auf Betriebssystemebene ergänzt durch noch niedriger hängende Früchte: weit verbreitete Anwendungen aller Hersteller (z.B. Flash, WinZip, Shockwave, QuickTime, WinAmp, Opera Browser, Adobe PDF Reader, ICQ Messenger, RealPlayer, OpenOffice und Shockwave Plug-in), auf die MS Office Produkte. Außerdem sind targeted Attacks stärker im Wachsen, und das bedeutet, dass der Schutz über Pattern-Erkennung von Schadsoftware immer löcheriger wird. Die Details mit den Links finden sich auf http://sicherheitskultur.at/notizen_2_06.htm#sans 3. Die Angriffe werden komplexer ----------------------------------- Die Analysen von Angriffen zeigen immer komplexere und gefährlichere Techniken, die Zeit der Amateur-Gegner (Ego-Hacker und Script-Kiddies) ist wirklich vorbei. Trojaner werden ausfallsicher und mit eingebauen Fail-Save-Konzepten entwickelt und die Angreifer legen auch schon mal ein ganzes Land lahm. Die Details mit den Links finden sich auf http://sicherheitskultur.at/notizen_2_06.htm#spamthru http://sicherheitskultur.at/notizen_2_06.htm#ganzesland 4. Neues aus der schönen neuen Welt des RFID -------------------------------------------------- Die neuen elektronischen Reisepässe kommen immer mehr unter Beschuss, und das auch von unerwarteter Seite, nämlich dem US DHS, Department of Homeland Security. Eine Studiengruppe des DHS hat einen Bericht vorgelegt, der darlegt, dass Maschinenlesbarkeit zwar eine gute Idee ist (schnellere Verarbeitung), aber dass dies nicht unbedingt drahtlos sein muss (Alternativen wäre z.B. 3D Barcodes). Und dass durch das nachträgliche Einführen der Basic Access Control der Geschwindigkeitsvorteil der drahtlosen Verbindung wieder aufgehoben wird, ohne dass eine wirkliche Sicherheit gegen Abhören (und Cracken gegeben ist). Die Studie rät aus diesen Gründen von der Nutzung von RFID zur Authentisierung von Personen ab. Gleichzeitig haben in den USA die Kreditkartenfirmen begonnen, RFID in Kreditkarten zu integrieren, mit dem Erfolg dass die erste Studie draußen ist, die zeigt, welche deutlichen Vorteile dies für die kriminelle Welt bietet. Die Details mit den Links finden sich auf http://sicherheitskultur.at/RFID_privacy.htm#epass2 5. Aus dem Social Engineering Lehrbuch -------------------------------------------- Die Vorgänge rund um die das obere Management von HP geben sehr gute Einblicke, was im Bereich Social Engineering abläuft. Eine der Lehren ist z.B., dass Informationen, wie z.B. die Sozialversicherungsnummer nicht als Authentisierungsmechanismus geeignet ist. Das gilt aber auch für andere unveränderliche Informationen, wie z.B. Mädchenname der Mutter. Hier ein Detail: die Helpdesk-Mitarbeiter von Verizon haben irgendwann gemerkt, dass da was "komisches" vorgeht: "......Verizon Wireless also found that a snooper tried to access the director’s spouse’s cell phone account in February and March of this year, with at least three attempts made by contacting customer service agents. While those attempts were unsuccessful, and the service reps even made a note for each other not to give out the information without proper verification, the snooper did manage to establish a user name and password for the account online and likely got access to the phone records that way." http://www.redherring.com/article.aspx?a=18877# D.h. die Mitarbeiter hatten sehr wohl ein komisches Gefühl, aber nur begrenzte Möglichkeiten, dieses Gefühl irgendwie umzusetzen. Obwohl da die Notiz vorlag, dass dieser Account eigenartige Aktivitäten zeigt, waren die Schnüffler trotzdem weiterhin erfolgreich. Für mich bedeutet das, dass die Betreiber von solchen Call-Centers dafür sorgen müssen, dass die Mitarbeiter sich gegenseitig alarmieren können, wenn sie ein schlechtes Gefühl zu einem der Accounts haben, z.B. indem der Eintrag zu diesem Kunden mit einer nicht übersehbaren Warnung versehen wird. Meine These dazu: die Unternehmen lassen die Call-Center Mitarbeiter mit widersprüchlichen Vorgaben allein im Regen stehen: Kundenfreundlichkeit gegen Sicherheit der Accounts. Mehr dazu in meiner Präsentation: http://sicherheitskultur.at/pdfs/social_engineering.pdf Und hier ist ein Trick, den ich noch nicht kante, berichtet aus einem früheren Prozess vom Jan. 2006, Verizon gegen Händler mit Telefondaten: "According to the suit, online cell-phone record vendors placed hundreds of thousands of calls to Verizon customer service requesting customer account information while posing as Verizon employees from the company's "special needs group," a nonexistent department. The caller would claim to be making the request on behalf of a voice-impaired customer who was unable to request the records himself. If the service representative asked to speak with the customer directly, the caller would impersonate a voice-impaired customer, using a mechanical device to distort his voice and make it impossible for the service representative to understand him -- a variant of a widely used social-engineering technique known as the "mumble attack." http://www.wired.com/news/technology/1,70027-0.html 6. Training des Benutzerbewusstseins ------------------------------------------ Benutzerbewusstsein ist auch so ein Aspekt, der 1. stark vernachlässigt und sehr halbherzig angegangen wird und 2. als herhalten muss als Catch-All, wenn die technischen und organisatorischen Mittel versagt haben. Und dabei gibt es hier jede Menge Handlungsbedarf und auch Handlungsmöglichkeiten, vorausgesetzt, ich habe Rückendeckung des oberen Managements. Mehr Details dazu finden sich auf http://sicherheitskultur.at/Trainingskonzept.htm 7. Und hier zur noch was nicht-geschäftliches ------------------------------------------------- Aus meiner riesigen Sammlung von lustigen Kuriositäten auf meiner Privatwebsite, köstliche Animated-GIFs. http://philipps-welt.info/anim_backgrounds.htm (anklicken für die vollen Versionen, die sind noch verwirrender)
Philipp Schaumann, http://sicherheitskultur.at/
Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. 
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.
Zurück zum Archiv-Überblick