Author: Patrick Sauer

OWASP Membership mit CVENT – Wie man es nicht macht: Passwörter & CVV

Leave a Comment

Ich habe mich heute dazu entschlossen dem Open Web Application Security Project (OWASP) beizutreten. Zur Anmeldung, Verwaltung und Zahlung des Eintritts wird auf die Dienstleistung von cvent.com zurückgegriffen.

Wie gewöhnlich generiere ich mit Keepass für die Registrierung ein Passwort: Lang + Komplex = Sicher. Man könnte meinen, bei einer Anmeldung bei dem internationalem Projekt für Webanwendungssicherheit sei das kein Problem. Ist es aber – keine Sonderzeichen und maximal 20 Zeichen.

password_policy_owasp_cvent

 

Dass die Webseite optisch nicht auf dem aktuellsten Stand ist, kann ich verschmerzen. Die Beschränkung der Passwortkomplexität aber nicht. Das lässt erahnen, welchen Sicherheitszustand die Anwendung dahinter besitzt.

Der Mitgliedsbeitrag kann nur mit Kreditkarte beglichen werden. Gut, kein Problem. Über das Passwort konnte ich noch schmunzeln, aber jetzt hört der Spaß auf. Der CVV meiner Kreditkarte wird nicht nur beim Eingeben angezeigt, sondern auch vom Browser gespeichert. In der Entwicklung von cvent war es anscheinend nicht nötig, die angemessenen HTML-Parameter beim Formular zu setzen. Hier hört der Spaß auf…

cvv_owasp_cvent
 

Die Registrierung und Zahlung bei OWASP hat, höflich ausgedrückt, noch Möglichkeiten sich an den ansonsten guten Veröffentlichungen von OWASP zu orientieren und zu verbessern…. peinlich ists trotzdem :-(.

Die Verbreitung von Sicherheitszertifizierungen wie CISSP, CISM, CISA, CEH, OSCP & Co

9 Comments

Mich hatte die Verbreitung der unterschiedlichen Sicherheitszertifizierungen interessiert. Ich habe dazu eine kleine Statistik mit der erweiterten Suche in Xing aufgestellt. Als Suchbegriff habe ich die Abkürzung vom Zertifikat (z.B. CISSP) und das Schlagwort „Security“ verwendet. Bei OSCP/OSCE hingegen das Schlagwort „Offensive“.

Die Suche in Xing war nicht auf Deutschland begrenzt, die absoluten Zahlen sind sicherlich ungenau und nicht jeder zertifizierte Security-Spezialist ist in Xing angemeldet und hat auch seine Zertifikate eingetragen.

Ich denke aber, dass die relativen Verhältnisse der Verbreitung der Sicherheitszertifizierungen zueinander einigermaßen gut wiedergegeben werden. Das Ergebnis:

2.135 Certified Information Systems Security Professional (CISSP)
1.484 Certified Information Systems Auditor (CISA)
890 Certified Information Security Manager (CISM)
477 Certified Ethical Hacker (CEH)
255 TeleTrusT Information Security Professional (T.I.S.P.)
74 Offensive Security Certified Professional (OSCP)
35 Certified Secure Software Lifecycle Professional (CSSLP)
28 ISSECO Certified Professional for Secure Software Engineering (CPSSE)
23 Offensive Security Certified Expert (OSCE)

Der CISSP vom Isc² ist die verbreitetste Zertifizierung, danach folgen die Certs von ISACA. Der deutsche TISP ist weit abgeschlagen im Vergleich zum CISSP. Zertifikate im Bereich sicherer Softwareentwicklung sind wenig verbreitet (CSSLP / CPSSE). Es gibt wesentlich mehr „Certified Ethical Hacker“ als OSCP/OSCE.

Ansonsten sind 488 CISSP auch CISA, 354 auch CISM, 204 auch CISM und CISA. Auch gibt es nur etwa 8 in Xing, die OSCP und CEH sind. 153 CISSP sind auch CEH, aber nur 12 CISSP auch OSCP.

Beim inhaltlich sehr krassen Unterschied zwischen OSCP und CISM sind es nur noch 6 mit dieser Kombination. OSCP und CISA sind 7. OSCE + CISM sind nur noch 2 und OSCE + CISA nur noch 1. Es scheint nur sehr wenige zu geben, die Security Management oder Audit mit Penetration Testing / Hacking verbinden.

Preis/Kosten vom Cyber Security Practitioner (CSP vom BSI / ISACA)

Leave a Comment

Die offizielle Presseerklärung vom Kurs „Cyber Security Practitioner“ (vom BSI in Zusammenarbeit mit der ISACA) ist noch nicht veröffentlicht, aber man kann bereits die Preise auf der Webseite der ISACA finden. Der reguläre Preis für das Seminar soll 640€ betragen. Die Prüfung zum „Cyber Security Practitioner CSP)“ kostet weitere 98€. Für manche Gruppe gibt es Vergünstigungen. Die ersten Seminartermine sind am 04.April 2014 und 21.Oktober 2014 beim Hasso-Plattner Institut in Potsdam.

Mitgliederversammlung ISACA Germany Chapter 2014

Leave a Comment

Mitgliederversammlung ISACA

Ich war heute auf der Mitgliederversammlung vom ISACA Germany Chapter e.V. Ich musste leider aus beruflichen Gründen kurz vor dem Mittagessen die Versammlung verlassen, konnte mir aber zwei Vorträge anhören.

Der erste Fachvortrag war von Tobias Glemser, der als OWASP German Chapter Lead das „Open Web Application Security Project“ (OWASP) vorgestellt hat. Inhaltlich zwar für mich nichts neues, dafür war der Vortrag gut gemacht und dennoch unterhaltsam. Einer der besseren Vorträge im Security-Bereich, die ich bisher gesehen habe.

Leitfaden Cyber-Sicherheits-Check

Der zweite Vortragende kam vom BSI (Bundesamt für Sicherheit in der Informationstechnik) und stellte den demnächst offiziell erscheinenden „Leitfaden Cyber-Sicherheits-Check“ vor. Dieser soll eine Möglichkeit darstellen, die „Cyber-Sicherheit“ eines Unternehmens oder einer Behörde zu beurteilen. Die Beurteilungskriterien werden auf einer oder mehreren Veröffentlichungen der „Allianz für Cyber-Sicherheit“ beruhen. Nachdem ich letztes Jahr erst meine Master-Thesis über die „Messung von Informationssicherheit“ geschrieben habe, bin ich gespannt darauf, welche Kriterien sich das BSI ausgedacht hat. Technische Analysen werden dort laut Aussage des BSI während dem Vortrag nicht enthalten sein. Ich bin sehr skeptisch, ob eine Prüfung, die technische Details ausblendet, überhaupt aussagekräftig sein kann. Ich befürchte, dass ein „grüner“ Cyber-Sicherheits-Check Unternehmen eher in falscher Sicherheit wiegen könnte!

Zertifizierung zum Cyber-Security-Practicioner (BSI-CSP)

Zusätzlich dazu wird das BSI demnächst eine Zertifizierung zum Cyber-Security-Practicioner (BSI-CSP) anbieten, welche nachweisen soll, dass eine Person ausreichend Wissen über den durchzuführenden Cyber-Sicherheits-Check besitzt. Die Schulung dafür soll einen Tag dauern. Berufserfahrung muss nicht nachgewiesen werden.

Ich persönlich halte das für fatal. Es gibt in Deutschland schon genug zertifizierte oder geprüfte externe Datenschutzbeauftragte, die kaum oder wenig Ahnung von IT- und Informationssicherheit besitzen. Demnächst kann man dann direkt vom BSI als zertifizierter „Cyber-Security-Practicioner CSP) die Sicherheit eines Unternehmens beurteilen. Ich halt das für eine schlechte Entscheidung, man hätte als Qualifikation entweder auf international anerkannte Zertifizierungen wie CISSP, CISM, CISA oder zumindest auf bereits in Deutschland anerkannte Zertifizierungen wie T.I.S.P.  zurückgreifen können. Alle diese Zertifikate setzen nicht nur mehrere Jahre einschlägige Berufserfahrung voraus, sondern auch das Bestehen einer mehrstündigen Prüfung. Wir brauchen keine weitere 1-Tages-Schulungs-Zertifizierung, deren Zweck zwar nicht der Nachweis von Kompetenz und Erfahrung ist, diesen aber suggerieren wird – immerhin kommt das Zertifikat von der obersten deutschen Behörde für Sicherheit in der IT und wir Deutsche haben leider manchmal immer noch einen besonders starken Glauben an formale Qualifikationen insbesondere wenn sie von Behörden kommen.

Offensive Security Certified Professional (OSCP)

Leave a Comment

Eben kam die E-Mail:

„Dear Patrick,

We are happy to inform you that you have successfully completed the Penetration Testing with Kali Linux certification challenge and have obtained your Offensive Security Certified Professional (OSCP) certification….“

Der OSCP war bisher die einzige Zertifizierung (neben CISSP, CISM, CPSSE, DSB-TÜV) mit eindeutigem Spaß-Faktor. Dafür deutlich anstrengender, härter und wesentlich zeitaufwendiger als die anderen. Ich kann den OSCP von Offensive Security nur weiterempfehlen!

Erfahrungen zum OSCP: Teil 9 Die Prüfung – Exam Network

2 Comments

Hart, härter, OSCP-Prüfung. Ich habe gestern bzw. heute die Prüfung zum OSCP (Offensive Security Certified Professional) hinter mich gebracht. In einem 24-Stunden-Zeitfenster musste ich in mehrere Server (Windows/Linux) eindringen und privilegierte Rechte erlangen. Eine Prüfung zum CISSP oder CISM mit ein paar Stunden ist dagegen eher ein Spaziergang. Der OSCP ist definitiv schwieriger und härter. Bei den anderen Prüfungen kann man sich durch effizientes Lernen darauf vorbereiten, beim OSCP zählt Erfahrung, Wissen und Können.

Ich denke ich habe die Prüfung erfolgreich hinter mich gebracht: Alle Server übernommen, den Bericht geschrieben und abgegeben. In den nächsten 2-3 Tagen sollte dann das offizielle Ergebnis da sein.

Wer in den Bereich Penetration Testing einsteigen möchte oder ein starkes Interesse an Hacking hat, dem kann ich den Kurs nur empfehlen. Man sollte aber viel Zeit mitbringen. Das zur Verfügung gestellte Labor ist sehr groß und umfangreich. Da gehen schnell viele Abende und Sonntage dahin. Die für den CISSP & Co offiziell anrechenbaren 40 CPE (40 Stunden Fortbildung) sind eher ein Witz – ein Vielfaches an Aufwand ist wesentlich realistischer. Dafür darf man dann – zurecht – stolz auf die erlangte Auszeichnung OSCP sein.

Britischer Geheimdienst GCHQ überwacht privaten Webcam-Porn

Leave a Comment

Der britische Geheimdienst GCHQ überwacht private Webcam-Chats, die über Yahoo geführt werden: TheGuardian meldet aufgrund von weiteren Erkenntnissen aus Dokumenten von Edward Snowden, dass der GCHQ über angezapfte Unterseekabel massenhaft Bilddaten von privaten Webcams mitschneidet, speichert analysiert und auswertet.

Zwischen drei und elf Prozent der Billdaten sollen hierbei pornographisch sein. Die Verbreitung von privaten Pornos, die zumindest nach deutschem Recht illegal mitgeschnitten werden, ist den Mitarbeitern vom GCHQ immerhin über die Androhung eins Disziplinarverfahrens verboten. Zumindest kann nicht ausgeschlossen werden, dass Bilddaten auch an die amerikanische NSA übermittelt werden. So hat am Ende auch der große Bruder etwas von der Aktion.

Der massenhaften und unverschämten Überwachung europäischer Bürger von einem Mitglied der europäischen Union kann man nur noch mit Galgenhumor begegnen. In letzter Zeit könnte man meinen, man sitze in einem billigen Spionage-Thriller. Leider handelt es sich hierbei um die Realität.

Telegram besitzt ein schlechtes Sicherheitskonzept

Leave a Comment

Telegrams Sicherheitskonzept wurde von „Unhandled expression“ analysiert. Ich kann dem Autor in seinem Beitrag nur zustimmen: Telegram ist keine sichere Alternative zu WhatsApp & Co! Telegram besitzt keine Ende-zu-Ende-Verschlüsselung und schützt nicht vor Man-in-the-Middle-Angriffen (MITM). Konzeptionell kann das keine vertrauliche Kommunikation gewährleisten!

Zusätzlich werden kryptographische Techniken der Marke „Eigenbau“ benutzt – ein neues Protokoll genannt „MTProto“. Was lernt man über den Einsatz von Verschlüsselungsalgorithmen und –protokollen? Keine selbst konstruieren und auch keine selbst implementieren. Blöde Idee. Wirklich blöde Idee. Wird sicher schief gehen. Selbst in SSL/TLS werden Schwachstellen gefunden. Die Tatsache, dass das Protokoll von promovierten Mathematikern entwickelt wurde, hilft hier nur wenig. Mathematiker sind nicht automatisch Kryptologen und die internationale Gemeinschaft der Kryptologen ist nicht vergleichbar mit ein paar promovierten Mathematikern. Ist jetzt hart aber: Wer mit promovierten Mathematikern für ein neues kryptographisches Protokoll werben muss, hat bereits verloren.

Der Bitcoin-Hype fällt in die Realität zurück

2 Comments

Der Hype um die Internet-Währung Bitcoin fällt in die Realität zurück. Nachdem China bereits den Handel mit Bitcoin praktisch untersagt, denken weitere Länder über ein Verbot nach. Da sich Zahlungen mit Bitcoin nicht nachvollziehen und somit auch nicht kontrollieren lassen, kann man eigentlich davon ausgehen, dass auch die Industrieländer langfristig nicht eine digitale Schattenwährung neben der eigenen offiziellen Währung akzeptieren werden.

Zudem wird das Vertrauen der Menschen in Bitcoin durch den sich anbahnenden Skandal um die Bitcoin-Börse Mt. Gox erschüttert. Die Börse hat nach einem vermuteten riesigen Diebstahl von Bitcoins den Betrieb eingestellt. Bitcoins sind für Kriminelle ein attraktives Ziel. Sie sind anonym und einfach zu stehlen, wenn nicht ein umfangreiches Sicherheitskonzept vorhanden und umgesetzt wurde. Gestohlene Bitcoins lassen sich im  Gegensatz zu gestohlenen Kreditkartendaten einfach gegen echtes Geld eintauschen. Wer heute noch Kreditkartendaten anstatt Bitcoins stiehlt, verpasst gerade einen bessere illegale Einnahmequelle.

Ich halte es zudem für unwahrscheinlich, dass der Preis eines Bitcoins noch weiter steigen wird. Jeder Hype an einer Börse erreicht immer dann den Höhepunkt, wenn die allgemeinen Medien darüber berichten und jeder Bitcoins hat, der sich welche zulegen würde. Das Frühwarnsystem Bildzeitung zeigt ein klares Verkaufssignal: Wenn selbst die BILD darüber berichtet, ist der Höhepunkt erreicht.

Insgesamt denke ich, dass die Internet-Währung Bitcoin zwar nicht untergehen, aber deutlich weiter an Bedeutung verlieren wird. Die Möglichkeiten, die das anonyme Geld bietet, sind leider optimal für Geldwäsche und die Bezahlung von illegalen Waren und Dienstleistungen geeignet. Sobald die illegalen Transaktionen eine gewisse Relevanz vorweisen können, werden die Staaten gegen Bitcoin vorgehen. Spätestens dann wird Bitcoin in der harten Realität angekommen sein.