Archiv für den Monat: März 2014

17 03, 2014

FAZ zum Flug MH370: „Wo ist eigentlich die NSA, wenn man sie braucht?“

von |17. März 2014|Presse|0 Kommentare|

In der heutigen FAZ steht ein Kommentar zum verschollenen Flug MH370, den ich gerne teilen möchte:

„Wie kann es sein, dass in unserer angeblich so überkontrollierten Welt ein Flugzeug mehr als eine Woche lang verschwunden bleibt? […] Überspitzt gesagt: „Wo ist eigentlich die NSA, wenn man sie braucht?“

Richtig. Die NSA mag zwar Unmengen Daten & Informationen abgreifen, Untersehkabel anzapfen und die Größte Datenkrake vor oder nach Google und Facebook sein, aber wirklich effektiv ist sie nicht. Den Einmarsch Russlands in die Krim hat die NSA auch verpasst. Schlechte Performance für den weltweit größten Geheimdienst..

14 03, 2014

OWASP Membership mit CVENT – Wie man es nicht macht: Passwörter & CVV

von |14. März 2014|IT-Sicherheit|0 Kommentare|

Ich habe mich heute dazu entschlossen dem Open Web Application Security Project (OWASP) beizutreten. Zur Anmeldung, Verwaltung und Zahlung des Eintritts wird auf die Dienstleistung von cvent.com zurückgegriffen.

Wie gewöhnlich generiere ich mit Keepass für die Registrierung ein Passwort: Lang + Komplex = Sicher. Man könnte meinen, bei einer Anmeldung bei dem internationalem Projekt für Webanwendungssicherheit sei das kein Problem. Ist es aber – keine Sonderzeichen und maximal 20 Zeichen.

password_policy_owasp_cvent

 

Dass die Webseite optisch nicht auf dem aktuellsten Stand ist, kann ich verschmerzen. Die Beschränkung der Passwortkomplexität aber nicht. Das lässt erahnen, welchen Sicherheitszustand die Anwendung dahinter besitzt.

Der Mitgliedsbeitrag kann nur mit Kreditkarte beglichen werden. Gut, kein Problem. Über das Passwort konnte ich noch schmunzeln, aber jetzt hört der Spaß auf. Der CVV meiner Kreditkarte wird nicht nur beim Eingeben angezeigt, sondern auch vom Browser gespeichert. In der Entwicklung von cvent war es anscheinend nicht nötig, die angemessenen HTML-Parameter beim Formular zu setzen. Hier hört der Spaß auf…

cvv_owasp_cvent
 

Die Registrierung und Zahlung bei OWASP hat, höflich ausgedrückt, noch Möglichkeiten sich an den ansonsten guten Veröffentlichungen von OWASP zu orientieren und zu verbessern…. peinlich ists trotzdem :-(.

8 03, 2014

Die Verbreitung von Sicherheitszertifizierungen wie CISSP, CISM, CISA, CEH, OSCP & Co

von |8. März 2014|Zertifizierung|9 Kommentare|

Mich hatte die Verbreitung der unterschiedlichen Sicherheitszertifizierungen interessiert. Ich habe dazu eine kleine Statistik mit der erweiterten Suche in Xing aufgestellt. Als Suchbegriff habe ich die Abkürzung vom Zertifikat (z.B. CISSP) und das Schlagwort „Security“ verwendet. Bei OSCP/OSCE hingegen das Schlagwort „Offensive“.

Die Suche in Xing war nicht auf Deutschland begrenzt, die absoluten Zahlen sind sicherlich ungenau und nicht jeder zertifizierte Security-Spezialist ist in Xing angemeldet und hat auch seine Zertifikate eingetragen.

Ich denke aber, dass die relativen Verhältnisse der Verbreitung der Sicherheitszertifizierungen zueinander einigermaßen gut wiedergegeben werden. Das Ergebnis:

2.135 Certified Information Systems Security Professional (CISSP)
1.484 Certified Information Systems Auditor (CISA)
890 Certified Information Security Manager (CISM)
477 Certified Ethical Hacker (CEH)
255 TeleTrusT Information Security Professional (T.I.S.P.)
74 Offensive Security Certified Professional (OSCP)
35 Certified Secure Software Lifecycle Professional (CSSLP)
28 ISSECO Certified Professional for Secure Software Engineering (CPSSE)
23 Offensive Security Certified Expert (OSCE)

Der CISSP vom Isc² ist die verbreitetste Zertifizierung, danach folgen die Certs von ISACA. Der deutsche TISP ist weit abgeschlagen im Vergleich zum CISSP. Zertifikate im Bereich sicherer Softwareentwicklung sind wenig verbreitet (CSSLP / CPSSE). Es gibt wesentlich mehr „Certified Ethical Hacker“ als OSCP/OSCE.

Ansonsten sind 488 CISSP auch CISA, 354 auch CISM, 204 auch CISM und CISA. Auch gibt es nur etwa 8 in Xing, die OSCP und CEH sind. 153 CISSP sind auch CEH, aber nur 12 CISSP auch OSCP.

Beim inhaltlich sehr krassen Unterschied zwischen OSCP und CISM sind es nur noch 6 mit dieser Kombination. OSCP und CISA sind 7. OSCE + CISM sind nur noch 2 und OSCE + CISA nur noch 1. Es scheint nur sehr wenige zu geben, die Security Management oder Audit mit Penetration Testing / Hacking verbinden.

7 03, 2014

Preis/Kosten vom Cyber Security Practitioner (CSP vom BSI / ISACA)

von |7. März 2014|Zertifizierung|0 Kommentare|

Die offizielle Presseerklärung vom Kurs „Cyber Security Practitioner“ (vom BSI in Zusammenarbeit mit der ISACA) ist noch nicht veröffentlicht, aber man kann bereits die Preise auf der Webseite der ISACA finden. Der reguläre Preis für das Seminar soll 640€ betragen. Die Prüfung zum „Cyber Security Practitioner CSP)“ kostet weitere 98€. Für manche Gruppe gibt es Vergünstigungen. Die ersten Seminartermine sind am 04.April 2014 und 21.Oktober 2014 beim Hasso-Plattner Institut in Potsdam.

7 03, 2014

Mitgliederversammlung ISACA Germany Chapter 2014

von |7. März 2014|IT-Sicherheit|0 Kommentare|

Mitgliederversammlung ISACA

Ich war heute auf der Mitgliederversammlung vom ISACA Germany Chapter e.V. Ich musste leider aus beruflichen Gründen kurz vor dem Mittagessen die Versammlung verlassen, konnte mir aber zwei Vorträge anhören.

Der erste Fachvortrag war von Tobias Glemser, der als OWASP German Chapter Lead das „Open Web Application Security Project“ (OWASP) vorgestellt hat. Inhaltlich zwar für mich nichts neues, dafür war der Vortrag gut gemacht und dennoch unterhaltsam. Einer der besseren Vorträge im Security-Bereich, die ich bisher gesehen habe.

Leitfaden Cyber-Sicherheits-Check

Der zweite Vortragende kam vom BSI (Bundesamt für Sicherheit in der Informationstechnik) und stellte den demnächst offiziell erscheinenden „Leitfaden Cyber-Sicherheits-Check“ vor. Dieser soll eine Möglichkeit darstellen, die „Cyber-Sicherheit“ eines Unternehmens oder einer Behörde zu beurteilen. Die Beurteilungskriterien werden auf einer oder mehreren Veröffentlichungen der „Allianz für Cyber-Sicherheit“ beruhen. Nachdem ich letztes Jahr erst meine Master-Thesis über die „Messung von Informationssicherheit“ geschrieben habe, bin ich gespannt darauf, welche Kriterien sich das BSI ausgedacht hat. Technische Analysen werden dort laut Aussage des BSI während dem Vortrag nicht enthalten sein. Ich bin sehr skeptisch, ob eine Prüfung, die technische Details ausblendet, überhaupt aussagekräftig sein kann. Ich befürchte, dass ein „grüner“ Cyber-Sicherheits-Check Unternehmen eher in falscher Sicherheit wiegen könnte!

Zertifizierung zum Cyber-Security-Practicioner (BSI-CSP)

Zusätzlich dazu wird das BSI demnächst eine Zertifizierung zum Cyber-Security-Practicioner (BSI-CSP) anbieten, welche nachweisen soll, dass eine Person ausreichend Wissen über den durchzuführenden Cyber-Sicherheits-Check besitzt. Die Schulung dafür soll einen Tag dauern. Berufserfahrung muss nicht nachgewiesen werden.

Ich persönlich halte das für fatal. Es gibt in Deutschland schon genug zertifizierte oder geprüfte externe Datenschutzbeauftragte, die kaum oder wenig Ahnung von IT- und Informationssicherheit besitzen. Demnächst kann man dann direkt vom BSI als zertifizierter „Cyber-Security-Practicioner CSP) die Sicherheit eines Unternehmens beurteilen. Ich halt das für eine schlechte Entscheidung, man hätte als Qualifikation entweder auf international anerkannte Zertifizierungen wie CISSP, CISM, CISA oder zumindest auf bereits in Deutschland anerkannte Zertifizierungen wie T.I.S.P.  zurückgreifen können. Alle diese Zertifikate setzen nicht nur mehrere Jahre einschlägige Berufserfahrung voraus, sondern auch das Bestehen einer mehrstündigen Prüfung. Wir brauchen keine weitere 1-Tages-Schulungs-Zertifizierung, deren Zweck zwar nicht der Nachweis von Kompetenz und Erfahrung ist, diesen aber suggerieren wird – immerhin kommt das Zertifikat von der obersten deutschen Behörde für Sicherheit in der IT und wir Deutsche haben leider manchmal immer noch einen besonders starken Glauben an formale Qualifikationen insbesondere wenn sie von Behörden kommen.

7 03, 2014

Most Annoying Security Request You Have Ever Received?

von |7. März 2014|IT-Sicherheit|0 Kommentare|

Amüsantes Video von der RSA Konferenz, in dem Tripwire die Frage stellt: „What is the Most Annoying Security Request You Have Ever Received?“

https://www.youtube.com/watch?v=DDt28QX8jG0

5 03, 2014

Offensive Security Certified Professional (OSCP)

von |5. März 2014|Zertifizierung|0 Kommentare|

Eben kam die E-Mail:

„Dear Patrick,

We are happy to inform you that you have successfully completed the Penetration Testing with Kali Linux certification challenge and have obtained your Offensive Security Certified Professional (OSCP) certification….“

Der OSCP war bisher die einzige Zertifizierung (neben CISSP, CISM, CPSSE, DSB-TÜV) mit eindeutigem Spaß-Faktor. Dafür deutlich anstrengender, härter und wesentlich zeitaufwendiger als die anderen. Ich kann den OSCP von Offensive Security nur weiterempfehlen!

4 03, 2014

Erfahrungen zum OSCP: Teil 9 Die Prüfung – Exam Network

von |4. März 2014|Pentest|2 Kommentare|

Hart, härter, OSCP-Prüfung. Ich habe gestern bzw. heute die Prüfung zum OSCP (Offensive Security Certified Professional) hinter mich gebracht. In einem 24-Stunden-Zeitfenster musste ich in mehrere Server (Windows/Linux) eindringen und privilegierte Rechte erlangen. Eine Prüfung zum CISSP oder CISM mit ein paar Stunden ist dagegen eher ein Spaziergang. Der OSCP ist definitiv schwieriger und härter. Bei den anderen Prüfungen kann man sich durch effizientes Lernen darauf vorbereiten, beim OSCP zählt Erfahrung, Wissen und Können.

Ich denke ich habe die Prüfung erfolgreich hinter mich gebracht: Alle Server übernommen, den Bericht geschrieben und abgegeben. In den nächsten 2-3 Tagen sollte dann das offizielle Ergebnis da sein.

Wer in den Bereich Penetration Testing einsteigen möchte oder ein starkes Interesse an Hacking hat, dem kann ich den Kurs nur empfehlen. Man sollte aber viel Zeit mitbringen. Das zur Verfügung gestellte Labor ist sehr groß und umfangreich. Da gehen schnell viele Abende und Sonntage dahin. Die für den CISSP & Co offiziell anrechenbaren 40 CPE (40 Stunden Fortbildung) sind eher ein Witz – ein Vielfaches an Aufwand ist wesentlich realistischer. Dafür darf man dann – zurecht – stolz auf die erlangte Auszeichnung OSCP sein.