Patrick Sauer – Seite 8 – InfoSec Blog | Patrick Sauer & Dominik Sauer

Es war einmal: Bei uns ist bisher noch nie etwas passiert…

5. Juli 2016 by Patrick Sauer Leave a Comment

IT-Sicherheit? Kostet nur Geld, bringt keinen Umsatz und verkompliziert im schlimmsten Fall noch die Arbeitsabläufe. Und außerdem: Bei uns ist bisher noch nie etwas passiert! Punkt. Aus. Ende der Diskussion.

Es ist gar nicht so lange her, da war die Wahrscheinlichkeit sehr hoch bei Unternehmern diese Aussage zu bekommen. Vielleicht 3-4 Jahre? In letzter Zeit, hat sich die Situation aber gewandelt. Während vor ein paar Jahren ein lokaler Virenbefall noch das höchste der Gefühle war, sieht die Welt heute anders aus.

Die de facto Währung der Cyberkriminellen – Bitcoins – hat die Professionalisierung der kriminellen Industrie auf einem hohen Niveau erst möglich gemacht. Habe ich jetzt wirklich das Unwort Cyber in den Mund genommen ? Ich muss kurz duschen… fertig, zurück zum Thema: Natürlich gab es vorher auch Script Kiddies und Hacker, die Unternehmen einen Schaden zufügen konnten und dies auch taten. Die Dimension der Kriminalität ist heute aber eine andere. Heute bekommt man von Unternehmen unter 4-Augen erzählt, dass man schon 1-2mal einen Krypto-Trojaner im Haus hatte oder sich gleich mit DDoS-Erpressungen und -Attacken auseinander setzen musste.

IT-Sicherheit kostet immer noch Geld, bringt immer noch keinen Umsatz und manchmal verkompliziert es im schlimmsten Fall tatsächlich noch die Arbeitsabläufe. Aber den Satz „Bei uns ist bisher noch nie etwas passiert!“ habe ich länger nicht mehr gehört. In gewisser Weise vermisse ich die alte Zeit, in der man als Sicherheitsspezialist noch einen Geschäftsführer von der Notwendigkeit überzeugen musste, in Sicherheit Geld zu investieren. Denn wo geht die Reise hin?

Ich möchte eigentlich nicht erleben, wie in ein paar Jahren fahrende Autos gehackt werden, und man dann während der Fahrt als GF eines Unternehmens per „Neues-Super-Mobile-Zahlungsmittel 6.0“ den Erpressern Geld überweist, damit das Auto nicht „autonom“ gegen die nächste Wand fährt. Oder halt gegen den nächsten LKW, je nach aktuellem Geolocation-Tracking.

Vorlesung Penetration Testing an der Hochschule Darmstadt

23. Juni 2016 by Patrick Sauer Leave a Comment

Ab dem Wintersemester 2016/2017 gibt es an der Hochschule Darmstadt die Vorlesung „Penetration Testing“. Lehrbeauftragter ist der Pentester der binsec GmbH – Dominik Sauer. Die Lerninhalte sind:

Unterschiede zwischen Hacking und Penetration Testing
Klassifizierung eines Penetrationstests (White-, Gray- und Blackboxtest)
Penetration Testing Standards, z.B. OWASP (Open Web Application Security Project), OSSTMM (Open Source Security Testing Methodology Manual)
Anatomie eines Angriffes – von der Informationsbeschaffung bis zur Ausnutzung einer Schwachstelle
Risikobewertung von identifizierten Schwachstellen
Aufbau Dokumentation und Berichterstellung

Link zur hda: Modulbeschreibung

Übersicht Penetrationstest-Dienstleistungsunternehmen in Deutschland

23. April 2016 by Patrick Sauer Leave a Comment

Aus einer Marktanalyse heraus hatte ich eine Liste deutscher Dienstleistungsunternehmen für Penetrationstests bzw. IT-Sicherheitsanalysen zusammengestellt. Diese Liste der Pentest-Dienstleister ist das Ergebnis von persönlicher Erfahrung mit Anbietern, der geschalteten Anzeigen durch Google AdWords sowie normale Google-Suchergebnisse. Falls ein Unternehmen fehlt, das die unten genannten Kriterien erfüllt, nehme ich es gerne zusätzlich auf. An dieser Stelle möchte ich erwähnen, dass ich selbst Gesellschafter eines dieser Unternehmen bin, der binsec GmbH aus Frankfurt am Main. Die Liste in alphabetischer Reihenfolge ist:

binsec GmbH aus Frankfurt am Main
cirosec GmbH aus Heilbronn
it.sec GmbH & Co. KG aus Ulm
RedTeam Pentesting GmbH aus Aachen
Secorvo Security Consulting GmbH aus Karlsruhe
secuvera GmbH aus Gäufelden
SRC Security Research & Consulting GmbH aus Bonn
SySS GmbH aus Tübingen
usd AG aus Neu-Isenburg

Die Kriterien zur Auswahl waren:

Nur Unternehmen mit Stammsitz in Deutschland.
Nur Unternehmen, die speziell auf Informations- oder IT-Sicherheit spezialisiert sind.
Nur Unternehmen, mit einem expliziten Fokus auf Penetration Testing.
Keine Freelancer sowie keine Ein-Personen-GmbHs.

Apache2-CipherSuite-Konfiguration für A+ Rating beim Qualys SSL Labs Server Test

21. April 2016 by Patrick Sauer Leave a Comment

Der Blog hat nun ein A+ Rating beim SSL Server Test von Qualys. Die CipherSuite-Konfiguration des Apache2 dazu sieht wie folgt aus:

SSLProtocol All -SSLv2 -SSLv3
SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4
SSLHonorCipherOrder On

Übersicht QSA-Unternehmen für PCI DSS Audits in Deutschland

16. April 2016 by Patrick Sauer Leave a Comment

PCI DSS Audits dürfen ausschließlich vom PCI Council zugelassene Unternehmen mit als QSA zertifizierte Auditoren durchführen. Unter [1] kann man sich die komplette Liste ansehen. Filtert man auf Unternehmen, die als „Place of Business“ Deutschland und als Sprache „Deutsch“ anbieten, ergibt sich eine Liste mit 8 Unternehmen:

Adsigo AG
Internet Security Systems a wholly owned IBM Company
NTT Com Security (UK) Ltd.
Protiviti
SRC Security Research & Consulting GmbH
TUV SUD Management Service GmbH
usd AG
Verizon/CyberTrust

Als „deutsche Unternehmen“ (mit deutscher Rechtsform) bleiben nur noch

Adsigo AG
SRC Security Research & Consulting GmbH
TUV SUD Management Service GmbH
usd AG

Zu drei dieser Unternehmen hatte ich bisher in irgendeiner Art und Weise Kontakt. Wer gerne eine persönliche Empfehlung haben möchte, darf mich gerne kontaktieren. Aus eigener Erfahrung weiß ich, wie wichtig ein kompetenter und erfahrener QSA für die erfolgreiche und effiziente Durchführung eines PCI DSS Audits ist.

[1] https://de.pcisecuritystandards.org/assessors_and_solutions/qualified_security_assessors

Die Grenzen von Antivirus-Software – Gegen Scriptkiddie top, gegen Hacker relativ nutzlos

15. April 2016 by Patrick Sauer 1 Comment

Eigentlich dachte ich, dass Antivirus-Software unverzichtbar in der Abwehr von Schadsoftware ist. Dieser Glaube wurde durch die Bachelorarbeit „Das Schutzpotential von Antivirenprogrammen“ von Dominik Sauer erschüttert. Bei individuell entwickelter Schadsoftware beißt sich Antivirus-Software regelrecht die Zähne aus. Dominik Sauer zeigte in seiner Arbeit sehr anschaulich, dass jeder Hacker in der Lage ist, seinen bösartigen Schadcode mit relativ einfachen Mitteln vor jeder relevanten Antivirus-Engine zu verstecken. Dabei beschreibt er eine generische Vorgehensweise, wie man dieses reproduzieren kann. In seinem Fazit schreibt er dazu:

„Nach dieser Bachelorthesis und meiner professionellen Meinung als Penetration Tester nach sind Antivirenprogramme dennoch nicht obselet geworden. Antivirus-Software ist erforderlich um breite Malware-Angriffe zu erkennen, aber weitgehend nutzlos in der Abwehr zielgerichteter Angriffe.“

Die Verhaltenserkennungen von Antivirussoftware ist leider nicht optimal und kann durch relativ einfache Mittel ausgetrickst werden. Die Signaturerkennung ist zwar sehr gut, allerdings muss dafür erst ein Schädling als solcher identifiziert und geeignete Signaturen erstellt werden. Wird eine Schadsoftware nur bei einem oder sehr wenigen Zielen eingesetzt, passiert dieses vielleicht nie.

Insgesamt muss man die Grenzen von Antivirus-Software kennen: Gegen breite Angriffe oder gegen mit Scriptkiddie-Tools erzeugter Schadcode helfen Antivirus-Software sehr gut, wenn im Zweifel auch erst zeitverzögert. Gegen zielgerichtete Angriffe von einem Hacker sind sie absolut nutzlos.

Bachelorthesis „Das Schutzpotential von Antivirenprogrammen“ von Dominik Sauer

16. Februar 2016 by Patrick Sauer Leave a Comment

In der Abschlussarbeit „Das Schutzpotential von Antivirenprogrammen“ zur Erlangung des akademischen Grades Bachelor of Science (B.Sc.) zeigt Dominik Sauer die Grenzen aktueller Antivirenprogrammen auf. In seiner Arbeit entwickelte er eine generische Methodik zur Umgehung von Antivirenprogrammen und wies über eine Umfrage in einschlägigen Kreisen diese Fähigkeiten Täterprofilen zu. Im Ergebnis zeigt er, dass Antivirenprogrmme nur ein begrenztes Schutzpotential bieten.

Diese Arbeit wurde auf seinen Wunsch hier veröffentlicht. Er hat sie am 25. Januar 2016 an der Hochschule Darmstadt im Studiengang Informatik (mit einem selbst organisierten Schwerpunkt IT-Sicherheit) eingereicht. Die Arbeit wurde mit 1.0 bewertet.

Übersicht Security-Studiengänge

10. Dezember 2015 by Patrick Sauer 2 Comments

In der „<kes> Zeitschrift für Informationssicherheit“ ist eine Übersicht über Security-Studiengänge erschienen, die ich gerne teilen möchte:

Studium Securitatis

Aspekte der Informations-Sicherheit (ISi) sind heute glücklicherweise Bestandteil vieler Hochschul- Studiengänge. Sucht man nach Ausbildungen mit einem entsprechenden Schwerpunkt, wird es schon schwieriger. Unser Autor hat fünf Bachelor- und dreizehn Master-Studiengänge identifiziert, die eine vertiefte Security-Ausbildung versprechen.

Von Max Luber, Brandenburg

https://www.kes.info/archiv/leseproben/2015/sicherheits-studium/

Vortrag im CCC-FFM: Im Sandkasten wird nur gespielt!

28. November 2015 by Patrick Sauer Leave a Comment

Im Dezember steht im CCC FFM ein Vortrag über generische Methoden zur Virenerkennungsumgehung von Dominik Sauer an.

Die Aufgabe von Antivirenprogrammen ist es Schadsoftware zu erkennen, rechtzeitig eine Ausführung zu verhindern und sie zu beseitigen. Die Vergangenheit zeigt aber, dass Antivirenprogramme keine hundertprozentige Erkennungsrate besitzen. Aber wie aufwendig ist es für einen Angreifer eine erfolgreiche Erkennung zu verhindern – können das nur Regierungsbehörden mit hohen finanziellen Ressourcen oder kann bereits jedes Scriptkiddy Antivirenprogramme austricksen?

Dominik Sauer zeigt in seinem Vortrag eine generische Methodik zur Umgehung einer Virenerkennung auf. Der Vortrag ist ein Auszug aus seiner Bachelorarbeit „Das Schutzpotential von Antivirenprogrammen“. Er arbeitet bei der binsec – binary security UG als Penetration Tester und wurde von Offensive Security als OSCP und OSCE zertifiziert.Wann?

Samstag, 2015-12-12, 16:00 Uhr
Wo? ccc-ffm Hackquarter, F-Bockenheim
Wer? Jeder Interessierte ist herzlich willkommen

Quelle: Chaos Computer Club Frankfurt e.V. – Im Sandkasten wird nur gespielt

Unterlagen zum Wahlpflichtfach PCI DSS im WS2015/2016

19. November 2015 by Patrick Sauer Leave a Comment

Meine Vorlesungsunterlagen für das Wahlpflichtfach PCI DSS an der Fachhochschule Brandenburg im Wintersemester 2015/2016 können hier heruntergeladen werden:

FH-BRB-WPF-WS15-16-PCI-DSS-Unternehmens-Beispiel.pdf

FH-BRB-WPF-WS15-16-PCI-DSS-Präsentation.pdf

Blog - IT Security - Pentest - Fun

Author: Patrick Sauer