Author: Patrick Sauer

Threema: Sichere Alternative zu WhatsApp

1 Comment

Nachdem Whistle.im ein gutes Beispiel dafür ist, wie man Verschlüsselungstechniken nicht in der Praxis umsetzt, scheint es hingegen bei Threema gelungen zu sein: Threema setzt eine Ende-zu-Ende-Verschlüsselung ein, bei der die kryptographischen Schlüssel auf dem Endgerät des Benutzers liegen. Die Entwickler von Whistle.im sind im Gegensatz dazu auf die wahnsinnige Idee gekommen, alle Schlüssel zentral auf ihren eigenen Servern zu speichern.

Threema ist leider nicht Open Source, sodass man nicht wie bei Whistle.im zur Analyse den kompletten Zugriff auf den  Quelltexts besitzt. Ausgehend von den offiziellen Informationen von Threema scheint das Sicherheitskonzept durchdacht zu sein. Threema generiert das eigene Schlüsselpaar lokal und geheime Schlüssel werden niemals übertragen. Besonders gut finde ich die drei verschiedenen Stufen, in denen die Echtheit des Absenders eingeteilt wird. Die höchste Sicherheitsstufe erreicht man, wenn man dem Absender zuvor persönlich begegnet ist und die beiden beteiligten Smartphones sich per QR-Code verifiziert haben. Ein persönliches Treffen ist jedoch nicht zwingend Voraussetzung für eine verschlüsselte Kommunikation.

Die verwendeten kryptographischen Verfahren dürften als sicher angesehen werden. Die schlimmsten Fehler entstehen im Einsatz von Krypto wie bei Whistle.im eher im grundsätzlichen Design einer Anwendung. Solange man nicht auf die blöde Idee kommt, kryptographische Verfahren selbst zu implementieren, sollte man auf der sicheren Seite sein. Das ist ohnehin weder bei Whistle.im noch bei Threema der Fall. Dafür ist die Sicherheit in Whistle.im broken by design.

Ausgehend von den vorliegenden Informationen, kann man Threema als sicher betrachten. Die Verschlüsselung wird eher nicht angreifbar sein. Der einzige offensichtlich mögliche Angriffsvektor besteht in der Applikation selbst: Ist sie nicht Open Source, lässt sich nur sehr schwer nachvollziehen, was im Hintergrund passiert. In wie weit man ihr vertraut, muss jeder selbst wissen. Sicherer als WhatsApp oder das security broken by design Whistle.im wird es sein.

Whistle.im ist unsicher

Leave a Comment

Whistle.im soll eine sichere Alternative zu WhatsApp sein. Whistle wirbt mit der Aussage: „Sichere Sofortnachrichten. Made in Germany.“ Wir wissen ja auch dank Wirtschaftsminister Rösler, dass wir bei Verschlüsselungstechnologien einen technischen Vorsprung besitzen.

Leider ist es total blöd, dass sich jemand mit Know-How Whistle angesehen hat: Die Jungs vom CCC Hannover. Sofern die beschriebene Analyse dort auch nur einen Funken Wahrheit besitzt, kann man auch gleich weiter WhatsApp benutzen. Whistle ist unsicher und offenbar wurden grundsätzliche Prinzipien beim Einsatz von Verschlüsselungstechnologien nicht beachtet. Ein gutes Beispiel für jeden Anwendungsentwickler, wie man Kryptographie nicht einsetzt. Sicherheit ist etwas anderes. Die Analyse vom CCC ist absolut lesenswert.

PCI DSS Requirement 8.5.9 bei Endkundenzugängen

Leave a Comment

Die PCI DSS Anforderung 8.5.9 besagt, dass Benutzerpasswörter mindestens alle 90 Tage gewechselt werden müssen. Unter Requirement 8 existiert jedoch eine Notiz im Standard, die den Umfang der Anwendbarkeit präzisiert:

„Note: These requirements are applicable for all accounts, including point of sale accounts, with administrative capabilities and all accounts used to view or access cardholder data or to access systems with cardholder data. However, Requirements 8.1, 8.2 and 8.5.8 through 8.5.15 are not intended to apply to user accounts within a point of sale payment application that only have access to one card number at a time in order to facilitate a single transaction (such as cashier accounts).”

Hier wird u.a. die Anwendbarkeit der Anforderung 8.5.9 deutlich eingeschränkt. Exakt beschreibt der Hinweis im Standard dennoch nicht, wie mit Accounts von Endkunden verfahren werden soll. Hier hilft die zweite Testing Procedure zur Anforderung 8.5.9 etwas weiter:

„For service providers only, review internal processes and customer/user documentation to verify that non-consumer user passwords are required to change periodically and that non-consumer users are given guidance as to when, and under what circumstances, passwords must change.”

Hierdurch wird nun klar, dass sich die Prüfung der 90-Tage-Regelung primär an „non-consumer user passwords“ richtet. Kombiniert man die zuvor zitierte Notiz inhaltlich mit der zweiten Testprozedur der Anforderung 8.5.9, richtet sich der Zwang zur Änderung eines Passworts alle 90 Tage primär nicht an Benutzer-Accounts von Endkunden. Nachdem Endkunden keinen Zugang zu Kreditkatendaten besitzen (z.B. bei Amazon, Paypal), weder zu anderen noch zur eigenen, besteht kein Risiko für einen Diebstahl von Kreditkartendaten. Das PCI DSS Requirement 8.5.9 zum Wechsel des Passworts alle 90 Tage findet hier keine Anwendung.

Erfahrungen zum Studiengang Master of Science in Security Management an der FH Brandenburg – Teil 7: Der E-Mail-Verteiler

Leave a Comment

Ich bekomme eigentlich genug E-Mails, privat sowie beruflich. Auch über SPAM kann ich mich nicht beschweren, meine Filter haben genug zu tun. Sobald man an der FH Brandenburg studiert, erhöht sich das Mailaufkommen nochmals. Und zwar subjektiv gefühlt enorm. Es kommen regelmäßig Mails in das eigene Postfach, z.B. über:

  • AStA-Sitzung am xx.xx.2013 um 13:00 Uhr
  • [Ferienkurs Segeln] Beginn So, xx. Aug ++ Jetzt Anmelden ++
  • Amtliche Mitteilungen Nr. XX
  • GründungsMelder XX.2013
  • Fwd: WICHTIGE MITTEILUNG
  • Fwd: [BrandStuVe] E i n l a d u n g BbgHG-Konferenzen XX.XX.13
  • WLAN Sprechstunde Freitag, den XX.XX. wird verschoben auf Dienstag, den .XX.

Mindestens 95% der Informationen in den Mails sind für mich wertlos. Nachdem jedoch alle Mails an offizielle Verteiler der FH geschickt werden, kann man nicht einfach alle per Filter in den Papierkorb verschieben. Es könnte etwas wirklich Wichtiges dabei sein.

Ich finde es total sinnlos, z.B. alle FH-Angehörige über einen Ausfall der WLAN-Sprechstunde zu informieren. Man muss auch nicht den 3. in der Woche verlorenen bzw. gefundenen USB-Stick an alle melden. Kann man solche Informationen nicht einfach auf der Homepage der FH unter Fundstelle veröffentlichen? Man stelle sich mal vor, man würde in einem Unternehmen jede Kleinigkeit an ALLE verschicken. Das macht man einfach nicht. Nur weil Mails nichts kosten, kann man sie als Werkzeug dennoch sinnvoll einsetzen. Bitte ändert das zukünftig und lehrt euren Studenten lieber einen sinnvollen Umgang mit Mailverteilern!

ISSECO Certified Professional for Secure Software Engineering

Leave a Comment

Ich hatte meinen CPSSE vor ein paar Jahren gemacht. Im Gegensatz zum CSSLP von Isc² kommt der CPSSE sowie die dazugehörige Organisation ISSECO (International Secure Software Engineering Council) aus Deutschland. Die ISSECO wurde 2008 in Potsdam gegründet. Inhaltlich beschäftigt sich der CPSSE mit der Sicherheit im Softwarelebenszyklus:

  • Viewpoints of attackers and customers
  • Trust & threat models
  • Methodologies
  • Requirements engineering with respect to security
  • Secure design
  • Secure coding
  • Security testing
  • Secure deployment
  • Security response
  • Security metrics
  • Code & resouce protection

Für die Prüfung zum CPSSE muss ein dreitägiger Schulungskurs absolviert werden. Die Kurse werden von mehreren Anbietern durchgeführt. Für die Vorbereitung gibt es zusätzlich auch ein Buch „Basiswissen Sichere Software“ von Sachar Paulus, welches meiner Meinung nach recht gut ist. Ich hatte keinen Kurs der Anbieter besucht, sondern mir wurde als Kurs die Vorlesung „Sichere Softwareentwicklung“ an der Fachhochschule Brandenburg anerkannt. Die Vorlesung hielt Prof. Dr. Sachar Paulus.

Ich fand den CPSSE leichter als die aus den USA stammenden Zertifikate von Isc² (CISSP) und ISACA (CISM), dennoch sollte man schon über Erfahrung im Bereich Security und Softwareentwicklung besitzen, wenn man die Prüfung zum CPSSE bestehen möchte. Nachdem ich den CSSLP von Isc² nicht habe, kann ich die beiden Zertifizierungen CPSSE und CSSLP nicht vergleichen. Der „deutsche“ CPSSE ist nicht speziell auf deutsche Bereiche ausgerichtet, wie z.B. der T.I.S.P., sondern ist thematisch länderunabhängig. Nachdem ohnehin nur wenige Angebote zur Weiterbildung bzw. Zertifizierung existieren, kann ich den CPSSE durchaus empfehlen.

Erfahrungen zum Studiengang Master of Science in Security Management an der FH Brandenburg – Teil 6: Die Mensa

Leave a Comment

Die Mensa der Fachhochschule Brandenburg ist mit Abstand die beste Mensa gewesen, in der ich gegessen habe. Das Essen dort ist natürlich nicht vergleichbar mit einem richtigen Restaurant, aber für eine Mensa durchaus akzeptabel. Günstig war es ohnehin immer und auch die Salatbar war vollkommen in Ordnung.

In der Cafeteria unterhalb der Mensa gab es neben Brötchen & Co sogar richtig guten Kaffee inklusive kostenloser laktosefreier Milch. Für einen Euro ist der Kaffee aus dem Vollautomaten sein Geld wert gewesen. Wenn man Abstriche im Geschmack gemacht hat, gab es auch noch günstigeren Kaffee.

Schlechtes Beispiel: Passwörter bei Meine Schufa

Leave a Comment

Ich wollte mich eben bei www.meineschufa.de registrieren.  Wie gewöhnlich hinterlege ich meine Zugangsdaten im Passwortsafe Keepass und lasse Keepass auch gleich ein ausreichend komplex Passwort generieren. Damit schlägt eine Anmeldung bei Meine Schufa leider fehl:

Man kann Nutzer natürlich auch zur Verwendung einfacherer Passwörter erziehen, indem man Sonderzeichen komplett ausschließt: Wer kommt auf so etwas?

Erfahrungen zum Studiengang Master of Science in Security Management an der FH Brandenburg – Teil 5: Die Professoren

Leave a Comment

Die Leitung des Studiengangs hatte zu meiner Zeit Prof. Dr. Friedrich Holl inne, der in Zusammenarbeit mit Prof. Dr. Sachar Paulus den Studiengang koordinierte. Andere Professoren waren meist Honorarprofessoren aus der Wirtschaft (z.B. in Forensik) oder andere Professoren der Hochschule (z.B. in Kryptographie).

Meiner Ansicht nach ist Sachar Paulus ein hervorragender Dozent, der u.a. als Chief Security Officer für SAP gearbeitet hatte. Friedrich Holl hatte ich selbst nie in einer Vorlesung gehört. Er betreute bzw. koordinierte die Betreuung der Semesterarbeite 1 und 2 sowie der Projektarbeit. Beide waren stets sehr fair und sind auch auf die Bedürfnisse ihrer Studenten sehr gut eingegangen. Top!

Die Atmosphäre im Studiengang fand ich einzigartig. Ich hatte zuvor bereits an der Technischen Hochschule Mittelhessen (THM) sowie an der Johann Wolfgang Goethe-Universität studiert, aber ein solche direktes und offenes Verhältnis zwischen Studenten und Professoren war mir neu. Der Kulturschock am Anfang: Die meisten Profs in diesem Studiengang duzen nicht nur ihre Studenten, die Studenten duzen auch ihre Profs. Daraus ergibt sich eine viel bessere Atmosphäre, solange die Studenten das „Duzen“ nicht falsch verstehen.

Aus anderen Studiengängen kenne ich Aussagen wie: „Es ist ihr Problem, wenn Sie nicht zu meiner Sprechstunde kommen können, weil sie arbeiten. Sie sind schließlich Student.“ Unvorstellbar, dass das im Studiengang Security Management an der Fachhochschule Brandenburg passieren kann. Es können natürlich keine Prüfungstermine verschoben werden, aber grundsätzlich konnte man auf Verständnis hoffen, wenn es zwischen Studium und Beruf Probleme gab. Nochmals: Top!

NAT ist keine Sicherheitsmaßnahme

Leave a Comment

NAT (Network Address Translation) ist keine Sicherheitsmaßnahme. Der Glaube an die schützende Kraft von NAT zur Sicherung eines Netzwerks stirbt nicht aus. NAT dient ausschließlich dazu, dem Mangel an ipv4-Adressen zu begegnen. NAT übersetzt meistens private im Internet nicht vorhandene IP-Adressen wie 192.168.1.1/32 in öffentlich erreichbare Adressen.

Im privaten Bereich „schützt“ NAT am DSL-Router das private Netzwerk. Das stimmt. Aber auch nur als Nebeneffekt, weil durch NAT die Clients im privaten Netzwerk nicht von außen erreichbar sind. Das ist aber nicht der eigentliche Zweck von NAT. Den gleichen Schutz erreicht man, indem man auf einem Router oder einer Firewall den eingehenden Verkehr limitiert. Man schützt ein Unternehmensnetzwerk nicht, indem man es hinter einen NAT-Router steckt. Dazu sind Firewalls da. Und nicht NAT.

Erfahrungen zum Studiengang Master of Science in Security Management an der FH Brandenburg – Teil 4: Die Studenten

Leave a Comment

Nachdem ich das Studium in sechs Semestern und nicht in drei Semestern absolviert hatte, bin ich zwei Jahrgängen an Studenten begegnet.  Beide Jahrgänge bestanden aus etwas weniger als 20 Studenten, wobei ich nicht die offiziellen Immatrikulationszahlen kenne. In den Vorlesungen saßen meist etwa 15, manchmal mehr und manchmal weniger. Der größte Teil der Studenten kam immer aus dem Raum Brandenburg, Berlin, Potsdam und Umgebungen. Der größte Teil hatte zuvor bereits an der Fachhochschule Brandenburg seinen Bachelor gemacht. Es waren viele Wirtschaftsinformatiker vertreten. Die meisten dürften davon etwa in der Altersgruppe 25-30 gewesen sein.

In beiden Jahrgängen gab es Studenten, die eine regelmäßig deutlich größere Anfahrt für den Studiengang in Kauf genommen hatten. Diese waren meist deutlich älter und standen bereits fest im Berufsleben. Nachdem das Studium eine Mindestberufserfahrung benötigt, hatte ich bei meiner Immatrikulation mit einem größeren Anteil dieser Gruppe gerechnet. Immerhin gehört zu einem Security Manager nicht unbedingt ein Abschluss, sondern zwingend ausreichend Berufserfahrung. Der Master ist nur nice to have.

Die beiden „Gruppen“ haben aber immer gut zusammen harmonisiert. Es gab auch keine Gruppierungen, das wäre vielleicht auch etwas überzeichnet ausgedrückt. Ich fand es insgesamt sehr harmonisch, aber gut durchmischt. Wenn die Studenten etwas mehr Berufserfahrung besessen hätten, wäre es kein Nachteil gewesen.