Archiv für den Monat: Februar 2014

27 02, 2014

Britischer Geheimdienst GCHQ überwacht privaten Webcam-Porn

von |27. Februar 2014|Netzpolitik|0 Kommentare|

Der britische Geheimdienst GCHQ überwacht private Webcam-Chats, die über Yahoo geführt werden: TheGuardian meldet aufgrund von weiteren Erkenntnissen aus Dokumenten von Edward Snowden, dass der GCHQ über angezapfte Unterseekabel massenhaft Bilddaten von privaten Webcams mitschneidet, speichert analysiert und auswertet.

Zwischen drei und elf Prozent der Billdaten sollen hierbei pornographisch sein. Die Verbreitung von privaten Pornos, die zumindest nach deutschem Recht illegal mitgeschnitten werden, ist den Mitarbeitern vom GCHQ immerhin über die Androhung eins Disziplinarverfahrens verboten. Zumindest kann nicht ausgeschlossen werden, dass Bilddaten auch an die amerikanische NSA übermittelt werden. So hat am Ende auch der große Bruder etwas von der Aktion.

Der massenhaften und unverschämten Überwachung europäischer Bürger von einem Mitglied der europäischen Union kann man nur noch mit Galgenhumor begegnen. In letzter Zeit könnte man meinen, man sitze in einem billigen Spionage-Thriller. Leider handelt es sich hierbei um die Realität.

26 02, 2014

Telegram besitzt ein schlechtes Sicherheitskonzept

von |26. Februar 2014|IT-Sicherheit|0 Kommentare|

Telegrams Sicherheitskonzept wurde von „Unhandled expression“ analysiert. Ich kann dem Autor in seinem Beitrag nur zustimmen: Telegram ist keine sichere Alternative zu WhatsApp & Co! Telegram besitzt keine Ende-zu-Ende-Verschlüsselung und schützt nicht vor Man-in-the-Middle-Angriffen (MITM). Konzeptionell kann das keine vertrauliche Kommunikation gewährleisten!

Zusätzlich werden kryptographische Techniken der Marke „Eigenbau“ benutzt – ein neues Protokoll genannt „MTProto“. Was lernt man über den Einsatz von Verschlüsselungsalgorithmen und –protokollen? Keine selbst konstruieren und auch keine selbst implementieren. Blöde Idee. Wirklich blöde Idee. Wird sicher schief gehen. Selbst in SSL/TLS werden Schwachstellen gefunden. Die Tatsache, dass das Protokoll von promovierten Mathematikern entwickelt wurde, hilft hier nur wenig. Mathematiker sind nicht automatisch Kryptologen und die internationale Gemeinschaft der Kryptologen ist nicht vergleichbar mit ein paar promovierten Mathematikern. Ist jetzt hart aber: Wer mit promovierten Mathematikern für ein neues kryptographisches Protokoll werben muss, hat bereits verloren.

26 02, 2014

Der Bitcoin-Hype fällt in die Realität zurück

von |26. Februar 2014|Netzpolitik|1 Kommentar|

Der Hype um die Internet-Währung Bitcoin fällt in die Realität zurück. Nachdem China bereits den Handel mit Bitcoin praktisch untersagt, denken weitere Länder über ein Verbot nach. Da sich Zahlungen mit Bitcoin nicht nachvollziehen und somit auch nicht kontrollieren lassen, kann man eigentlich davon ausgehen, dass auch die Industrieländer langfristig nicht eine digitale Schattenwährung neben der eigenen offiziellen Währung akzeptieren werden.

Zudem wird das Vertrauen der Menschen in Bitcoin durch den sich anbahnenden Skandal um die Bitcoin-Börse Mt. Gox erschüttert. Die Börse hat nach einem vermuteten riesigen Diebstahl von Bitcoins den Betrieb eingestellt. Bitcoins sind für Kriminelle ein attraktives Ziel. Sie sind anonym und einfach zu stehlen, wenn nicht ein umfangreiches Sicherheitskonzept vorhanden und umgesetzt wurde. Gestohlene Bitcoins lassen sich im  Gegensatz zu gestohlenen Kreditkartendaten einfach gegen echtes Geld eintauschen. Wer heute noch Kreditkartendaten anstatt Bitcoins stiehlt, verpasst gerade einen bessere illegale Einnahmequelle.

Ich halte es zudem für unwahrscheinlich, dass der Preis eines Bitcoins noch weiter steigen wird. Jeder Hype an einer Börse erreicht immer dann den Höhepunkt, wenn die allgemeinen Medien darüber berichten und jeder Bitcoins hat, der sich welche zulegen würde. Das Frühwarnsystem Bildzeitung zeigt ein klares Verkaufssignal: Wenn selbst die BILD darüber berichtet, ist der Höhepunkt erreicht.

Insgesamt denke ich, dass die Internet-Währung Bitcoin zwar nicht untergehen, aber deutlich weiter an Bedeutung verlieren wird. Die Möglichkeiten, die das anonyme Geld bietet, sind leider optimal für Geldwäsche und die Bezahlung von illegalen Waren und Dienstleistungen geeignet. Sobald die illegalen Transaktionen eine gewisse Relevanz vorweisen können, werden die Staaten gegen Bitcoin vorgehen. Spätestens dann wird Bitcoin in der harten Realität angekommen sein.

24 02, 2014

Erfahrungen zum OSCP: Teil 8 Report fürs Lab

von |24. Februar 2014|Pentest|0 Kommentare|

Nachdem die meisten Systeme eingenommen sind, wollte ich mit dem Penetration Test Report vom Labor beginnen. Ich hatte bisher meine Dokumentation stichpunkthaft mit Keepnote verfasst. Ich muss zugegeben, ich hätte entweder die Dokumentation parallel zum Hacken im Labor gleich erstellen oder zumindest die Inhalte in Keepnote besser aufbereiten sollen. So muss ich mir wahrscheinlich die meisten Systeme nochmal kurz ansehen. Das war leider keine optimale Vorgehensweise. Ich kann im Nachhinein nur empfehlen, gleich vom Beginn ab mehr Aufwand in den notwendigen Bericht zu stecken.

22 02, 2014

Der Vergleich: CISSP vs. CISM

von |22. Februar 2014|Zertifizierung|0 Kommentare|

Der CISSP (Certified Information Systems Security Professional) vom Isc² und der CISM (Certified Information Security Manager) von der ISACA gehören zu den weltweit verbreitetsten und anerkanntesten Personenzertifizierungen für Security Professionals. Im Gegensatz zum deutschen T.I.S.P. (TeleTrusT Information Security Professional), entsprechen CISSP und CISM den internationalen Vorgaben für Personenzertifizierungen (ISO/IEC Standard 17024).

CISSP und CISM setzten beide 5 Jahre nachweisbare Berufserfahrung in für die Zertifizierung relevanten Bereichen voraus. Das Nachweisverfahren dafür ist etwas unterschiedlich. Beim CISM prüft die ISACA die einzureichenden Unterlagen, während das Isc² für den CISSP auf ein Endorsement-Verfahren setzt. In diesem muss ein anderer CISSP die Aufrichtigkeit, Erfahrung und Kompetenz des Prüflings bescheinigen und dafür bürgen. Zusätzlich kann es einem passieren, dass man zufällig für einen genaueren Review ausgewählt wird.

Die Prüfungen sind bei beiden vergleichbar: Jeweils eine dreistellige Anzahl von Multiple-Choice-Fragen und ein paar Stunden Zeit. Wer so etwas noch nie erlebt hat sei gewarnt, die Prüfungen sind schwer und Multiple-Choice kann wirklich knifflig sein. Ohne gute Vorbereitung, Wissen & Erfahrung und eine gute Konzentrationsfähigkeit, sind beide Prüfungen nicht zu meistern. Im Gegensatz zum CISM kann man den CISSP auch am Computer durchführen und ist nicht so abhängig von ein paar wenigen Prüfungsterminen im Jahr wie beim CISM. Der CISSP ist hier deutlich moderner, wobei die ISACA ihre zentralen Prüfungstermine mit Qualitätssicherung begründet. Man kann darüber unterschiedlicher Meinung sein, welcher Ansatz der bessere ist.

Der größte Unterschied von CISSP und CISM sind ihre Schwerpunkte. Der CISM behandelt die folgenden vier verschiedenen Kategorien:

  • Information Security Governance
  • Information Risk Management und Compliance
  • Information Security Program Development und Management
  • Information Security Incident Management

Man sieht auf den ersten Blick wobei es sich beim CISM dreht: Um das Management von Informationssicherheit. Für IT-Sicherheitsexperten ist es das falsche Zertifikat. Für reine Security Manager, die wenig oder gar kein nennenswerten Bezug zur eigentlich IT & IT-Sicherheit haben, ist es das richtige.

Der CISSP ist wesentlich breiter gefasst:

  • Access Control
  • Telecommunications und Network Security
  • Information Security Governance und Risk Management
  • Software Development Security
  • Cryptography
  • Security Architecture und Design
  • Operations Security
  • Business Continuity und Disaster Recovery Planning
  • Legal, Regulations, Investigations und Compliance
  • Physical (Environmental) Security

Der CISSP beinhaltet auch Inhalte zum Management für Informationssicherheit. Der Fokus liegt aber wesentlich stärker in der IT-Sicherheit. Ich bezweifle, dass man die CISSP-Prüfung ohne Erfahrung und damit ohne praktisches Wissen aus der IT-Sicherheit bestehen kann. Man darf das aber auch nicht falsch verstehen: Der CISSP ist weder eine Prüfung für Penetration Tester noch geht es hier um die Administration von Firewalls und ähnlichen Sicherheitsprodukten. Der CISSP ist eine Zertifizierung für IT-Sicherheitsexperten, Projektleitern im Bereich IT-Sicherheit und Sicherheitsmanagern, die aus der IT kommen. Beim CISSP geht es nicht darum, wie man die Informationssicherheit in einem großen Konzern steuert, sondern z.B. darum welche sicherheitsrelevanten Fragestellungen bei der Softwareentwicklung beachtet werden müssen, wie man Sicherheitssysteme aufsetzt, wie man mit Sicherheitsvorfällen umgeht, welche Vorkehrungen man dafür treffen muss, welche Verschlüsselungstechniken sicher sind, wie ein sicheres Netzwerk aufgebaut ist uvm.

Durch seine wesentlich größere Breite ist der CISSP schwieriger als der CISM. Wer beide anstrebt, sollte erst den CISSP machen. Der CISM ist etwas überspitzt ausgedrückt, dann nur noch eine Wiederholung von 4 Bereichen aus dem CISSP. Der CISM ist nicht schlecht, er ist nur eher für Personen geeignet, die aus dem Umfeld der Security Governance kommen.

Ich halte u.a. selbst beide Zertifikate. Der CISSP ist meine persönliche Number One. Sicherlich ist er nicht perfekt und man kann viele Punkte bei den Inhalten und den Prüfungen kritisieren. Er ist in seiner Qualität und Internationalität dennoch bisher meiner Meinung nach die beste Zertifizierung für diesen Bereich.

21 02, 2014

Threema ist Dank der WhatsApp-Übernahme von Facebook im Kommen

von |21. Februar 2014|IT-Sicherheit|0 Kommentare|

Nachdem Facebook WhatsApp übernommen hat, ist die wesentlich sicherere Alternative Threema aus der Schweiz im Kommen. Interessanterweise waren es nicht die Sicherheitsprobleme in WhatsApp, die Nutzer zum Wechseln brachten, sondern die Übernahme von Facebook. Anscheinend wird die Datenkrake Facebook als schlimmer angesehen wie jedes noch so großes Sicherheitsloch. Wobei Sicherheit und WhatsApp ohnehin nie zueinander passten.

Threema bietet eine sichere Ende-Zu-Ende-Verschlüsselung, d.h. es ist (sofern hoffentlich korrekt implementiert) unmöglich, dass jemand übertragene Nachrichten oder Fotos mitlesen kann. Damit ist Threema sicherer als E-Mail und auch konzeptionell sicherer als DE-Mail, welches keine Ende-Zu-Ende-Verschlüsselung bietet. Aus Security-Sicht kann man nur sagen: Löscht WhatsApp, nutzt Threema!

20 02, 2014

Erfahrungen zum OSCP: Teil 7 Neustart 2014 nach längerer Pause

von |20. Februar 2014|Pentest|0 Kommentare|

Nicht nur mein letzter Blog-Eintrag zum OSCP-Kurs ist aus November 2013, ich hatte in letzter Zeit auch nichts mehr dafür gemacht. Zudem lief mein Lab-Zugang im Dezember aus. Jetzt geht’s wieder los: 30-Tage-Verlängerung vom Lab geordert. Ziel: OSCP im März!

18 02, 2014

Newsletter: 83% der Sicherheitsexperten sind beunruhigt, mit Schwachstellenscans nicht alle Bedrohungen zu finden

von |18. Februar 2014|IT-Sicherheit|0 Kommentare|

Heute kam ein Newsletter von Tenable in mein Postfach. Betreff: „83% of Security Pros are concerned about missing threats between vulnerability scans.” Jetzt ernsthaft? Und was denken die restlichen 17% der Sicherheitsexperten in der Umfrage? Dass man mit Schwachstellenscans tatsächlich alle Bedrohungen in der IT-Sicherheit findet? Ja ne, ist klar… Der Betreff hätte heißen müssen „100% of Security Pros are thinking that vulnerability scans won’t find all threats.

16 02, 2014

Wie wird man Spezialist bzw. Experte für IT-Sicherheit?

von |16. Februar 2014|IT-Sicherheit|2 Kommentare|

Wie wird man Spezialist bzw. Experte für IT-Sicherheit? Primär durch Erfahrung und Praxis! Es existiert in Deutschland kein spezieller Ausbildungsberuf, dafür mittlerweile ein paar Studiengänge, die sich diesem Thema angenommen haben.

Gab es früher nur weiterbildende Master-Studiengänge in diesem Bereich, starten nun auch Bachelor-Studiengänge. Ich halte spezielle Bachelor-Programme nicht für den richtigen Ansatz. Man kann das Thema IT-Sicherheit nicht ausreichend in 3 Jahren „studieren“, ohne viel zu viele Lücken in der eigentlichen IT oder Informatik vorzuweisen. Ich empfehle eher reine Informatikstudiengänge, bei denen man idealerweise IT-Sicherheit über Wahlpflichtfächer als einen Schwerpunkt im eigenen Studium setzen kann. Danach muss man trotzdem realistisch sagen, dass man nur Grundkenntnisse und meist nur vernachlässigbare Erfahrung in der IT-Sicherheit vorweisen kann. Es ist eine mögliche Grundlage für eine Karriere in der IT-Sicherheit, mehr aber auch nicht.

Einschlägigen Master-Studiengänge wir z.B. Security Management an der Fachhochschule Brandenburg, Digitale Forensik an der Hochschule Albstadt-Sigmaringen oder weiteren Master-Studiengängen an Universitäten/Hochschulen bin ich positiver gestimmt. Man sollte diese nicht ohne vorherige Praxiserfahrung beginnen. Das mag zwar möglich sein, aber auch die Praxis zu kennen ist ein nicht zu unterschätzender Vorteil. Idealerweise arbeitet man parallel zum Studium in einer einschlägigen Position oder Bereich und kann zeitgleich Praxis und Theorie sammeln. Meiner Ansicht nach ist das die ideale Herangehensweise für eine Karriere in der IT-Sicherheit.

Insgesamt ist aber ein Studium nicht zwingend notwendig. Es bedeutet immer Aufwand (Zeit & Geld) und muss sich für die jeweilige Person lohnen. Es gibt genug autodidaktisch veranlagte Sicherheitsspezialisten oder hochmotivierte Technik-Enthusiasten, die ihr Niveau auch ohne ein Studium erreicht haben. Zudem sind die Studiengänge in diesem Bereich noch relativ neu und es soll auch eine Zeit gegeben haben, da existierte noch nicht einmal der Ausbildungsberuf als Fachinformatiker. Insgesamt zeigt es aber, was neben der Erfahrung und der Praxis für ein IT-Sicherheitsspezialist als Grundlage unbedingt notwendig ist: Ein starkes Interesse. Eine hohe Begeisterung für diesen Bereich. Ansonsten wird man in der IT-Sicherheit arbeiten, aber nicht zu einem Experten werden können.

Wie sieht es mit den Lehrgängen aus – z.B. zum CISSP (Certified Information Systems Security Professional) oder zum T.I.S.P. (TeleTrusT Information Security Professional)? Eigentlich sind das Zertifizierungen für Professionals mit Berufserfahrung und kein Einstieg in diesen Beruf. Zudem muss man sich im Klaren darüber sein, dass man durch einen 5-Tage-Lehrgang zwar viel Wissen vermitteln bekommen mag, aber nicht zu einem Experten wird. Praxis und Erfahrung sammelt man damit auch nicht. Wer die finanzielle Investition tragen möchte, wird dennoch das eine oder andere aus solch einem Lehrgang mitnehmen. Ob man am Ende ohne Erfahrung die Prüfung besteht, bezweifle ich aber.

Mein Fazit: Man muss eine Begeisterung für IT bzw. IT-Sicherheit besitzen und in der Praxis Erfahrung sammeln. Als theoretische Grundlage kann man ein Master-Studium absolvieren und später noch eine Zertifizierung ablegen.

14 02, 2014

Wer muss PCI DSS erfüllen?

von |14. Februar 2014|PCI DSS|0 Kommentare|

Im Blog der binsec ist von mir über die Fragestellung, welche Unternehmen PCI DSS erfüllen müssen, ein Beitrag erstellt worden:

Grundsätzlich fallen alle Unternehmen, die Kreditkarteninformationen verarbeiten, speichern oder weiterleiten in das Anwendungsgebiet vom Payment Card Industry Data Security Standard (PCI DSS). Darunter können z.B. Händler, Zahlungsdienstleistern und Finanzinstitutionen fallen. Auch Dienstleister oder Outsourcing-Partner, die z.B. das Fraud-Management übernehmen oder Dienstleister für Hotels unterliegen PCI DSS… mehr