Offensive Security Certified Professional (OSCP)

Leave a Comment

Eben kam die E-Mail:

„Dear Patrick,

We are happy to inform you that you have successfully completed the Penetration Testing with Kali Linux certification challenge and have obtained your Offensive Security Certified Professional (OSCP) certification….“

Der OSCP war bisher die einzige Zertifizierung (neben CISSP, CISM, CPSSE, DSB-TÜV) mit eindeutigem Spaß-Faktor. Dafür deutlich anstrengender, härter und wesentlich zeitaufwendiger als die anderen. Ich kann den OSCP von Offensive Security nur weiterempfehlen!

Erfahrungen zum OSCP: Teil 9 Die Prüfung – Exam Network

2 Comments

Hart, härter, OSCP-Prüfung. Ich habe gestern bzw. heute die Prüfung zum OSCP (Offensive Security Certified Professional) hinter mich gebracht. In einem 24-Stunden-Zeitfenster musste ich in mehrere Server (Windows/Linux) eindringen und privilegierte Rechte erlangen. Eine Prüfung zum CISSP oder CISM mit ein paar Stunden ist dagegen eher ein Spaziergang. Der OSCP ist definitiv schwieriger und härter. Bei den anderen Prüfungen kann man sich durch effizientes Lernen darauf vorbereiten, beim OSCP zählt Erfahrung, Wissen und Können.

Ich denke ich habe die Prüfung erfolgreich hinter mich gebracht: Alle Server übernommen, den Bericht geschrieben und abgegeben. In den nächsten 2-3 Tagen sollte dann das offizielle Ergebnis da sein.

Wer in den Bereich Penetration Testing einsteigen möchte oder ein starkes Interesse an Hacking hat, dem kann ich den Kurs nur empfehlen. Man sollte aber viel Zeit mitbringen. Das zur Verfügung gestellte Labor ist sehr groß und umfangreich. Da gehen schnell viele Abende und Sonntage dahin. Die für den CISSP & Co offiziell anrechenbaren 40 CPE (40 Stunden Fortbildung) sind eher ein Witz – ein Vielfaches an Aufwand ist wesentlich realistischer. Dafür darf man dann – zurecht – stolz auf die erlangte Auszeichnung OSCP sein.

Britischer Geheimdienst GCHQ überwacht privaten Webcam-Porn

Leave a Comment

Der britische Geheimdienst GCHQ überwacht private Webcam-Chats, die über Yahoo geführt werden: TheGuardian meldet aufgrund von weiteren Erkenntnissen aus Dokumenten von Edward Snowden, dass der GCHQ über angezapfte Unterseekabel massenhaft Bilddaten von privaten Webcams mitschneidet, speichert analysiert und auswertet.

Zwischen drei und elf Prozent der Billdaten sollen hierbei pornographisch sein. Die Verbreitung von privaten Pornos, die zumindest nach deutschem Recht illegal mitgeschnitten werden, ist den Mitarbeitern vom GCHQ immerhin über die Androhung eins Disziplinarverfahrens verboten. Zumindest kann nicht ausgeschlossen werden, dass Bilddaten auch an die amerikanische NSA übermittelt werden. So hat am Ende auch der große Bruder etwas von der Aktion.

Der massenhaften und unverschämten Überwachung europäischer Bürger von einem Mitglied der europäischen Union kann man nur noch mit Galgenhumor begegnen. In letzter Zeit könnte man meinen, man sitze in einem billigen Spionage-Thriller. Leider handelt es sich hierbei um die Realität.

Telegram besitzt ein schlechtes Sicherheitskonzept

Leave a Comment

Telegrams Sicherheitskonzept wurde von „Unhandled expression“ analysiert. Ich kann dem Autor in seinem Beitrag nur zustimmen: Telegram ist keine sichere Alternative zu WhatsApp & Co! Telegram besitzt keine Ende-zu-Ende-Verschlüsselung und schützt nicht vor Man-in-the-Middle-Angriffen (MITM). Konzeptionell kann das keine vertrauliche Kommunikation gewährleisten!

Zusätzlich werden kryptographische Techniken der Marke „Eigenbau“ benutzt – ein neues Protokoll genannt „MTProto“. Was lernt man über den Einsatz von Verschlüsselungsalgorithmen und –protokollen? Keine selbst konstruieren und auch keine selbst implementieren. Blöde Idee. Wirklich blöde Idee. Wird sicher schief gehen. Selbst in SSL/TLS werden Schwachstellen gefunden. Die Tatsache, dass das Protokoll von promovierten Mathematikern entwickelt wurde, hilft hier nur wenig. Mathematiker sind nicht automatisch Kryptologen und die internationale Gemeinschaft der Kryptologen ist nicht vergleichbar mit ein paar promovierten Mathematikern. Ist jetzt hart aber: Wer mit promovierten Mathematikern für ein neues kryptographisches Protokoll werben muss, hat bereits verloren.

Der Bitcoin-Hype fällt in die Realität zurück

2 Comments

Der Hype um die Internet-Währung Bitcoin fällt in die Realität zurück. Nachdem China bereits den Handel mit Bitcoin praktisch untersagt, denken weitere Länder über ein Verbot nach. Da sich Zahlungen mit Bitcoin nicht nachvollziehen und somit auch nicht kontrollieren lassen, kann man eigentlich davon ausgehen, dass auch die Industrieländer langfristig nicht eine digitale Schattenwährung neben der eigenen offiziellen Währung akzeptieren werden.

Zudem wird das Vertrauen der Menschen in Bitcoin durch den sich anbahnenden Skandal um die Bitcoin-Börse Mt. Gox erschüttert. Die Börse hat nach einem vermuteten riesigen Diebstahl von Bitcoins den Betrieb eingestellt. Bitcoins sind für Kriminelle ein attraktives Ziel. Sie sind anonym und einfach zu stehlen, wenn nicht ein umfangreiches Sicherheitskonzept vorhanden und umgesetzt wurde. Gestohlene Bitcoins lassen sich im  Gegensatz zu gestohlenen Kreditkartendaten einfach gegen echtes Geld eintauschen. Wer heute noch Kreditkartendaten anstatt Bitcoins stiehlt, verpasst gerade einen bessere illegale Einnahmequelle.

Ich halte es zudem für unwahrscheinlich, dass der Preis eines Bitcoins noch weiter steigen wird. Jeder Hype an einer Börse erreicht immer dann den Höhepunkt, wenn die allgemeinen Medien darüber berichten und jeder Bitcoins hat, der sich welche zulegen würde. Das Frühwarnsystem Bildzeitung zeigt ein klares Verkaufssignal: Wenn selbst die BILD darüber berichtet, ist der Höhepunkt erreicht.

Insgesamt denke ich, dass die Internet-Währung Bitcoin zwar nicht untergehen, aber deutlich weiter an Bedeutung verlieren wird. Die Möglichkeiten, die das anonyme Geld bietet, sind leider optimal für Geldwäsche und die Bezahlung von illegalen Waren und Dienstleistungen geeignet. Sobald die illegalen Transaktionen eine gewisse Relevanz vorweisen können, werden die Staaten gegen Bitcoin vorgehen. Spätestens dann wird Bitcoin in der harten Realität angekommen sein.

Erfahrungen zum OSCP: Teil 8 Report fürs Lab

Leave a Comment

Nachdem die meisten Systeme eingenommen sind, wollte ich mit dem Penetration Test Report vom Labor beginnen. Ich hatte bisher meine Dokumentation stichpunkthaft mit Keepnote verfasst. Ich muss zugegeben, ich hätte entweder die Dokumentation parallel zum Hacken im Labor gleich erstellen oder zumindest die Inhalte in Keepnote besser aufbereiten sollen. So muss ich mir wahrscheinlich die meisten Systeme nochmal kurz ansehen. Das war leider keine optimale Vorgehensweise. Ich kann im Nachhinein nur empfehlen, gleich vom Beginn ab mehr Aufwand in den notwendigen Bericht zu stecken.

Der Vergleich: CISSP vs. CISM

8 Comments

Der CISSP (Certified Information Systems Security Professional) vom Isc² und der CISM (Certified Information Security Manager) von der ISACA gehören zu den weltweit verbreitetsten und anerkanntesten Personenzertifizierungen für Security Professionals. Im Gegensatz zum deutschen T.I.S.P. (TeleTrusT Information Security Professional), entsprechen CISSP und CISM den internationalen Vorgaben für Personenzertifizierungen (ISO/IEC Standard 17024).

CISSP und CISM setzten beide 5 Jahre nachweisbare Berufserfahrung in für die Zertifizierung relevanten Bereichen voraus. Das Nachweisverfahren dafür ist etwas unterschiedlich. Beim CISM prüft die ISACA die einzureichenden Unterlagen, während das Isc² für den CISSP auf ein Endorsement-Verfahren setzt. In diesem muss ein anderer CISSP die Aufrichtigkeit, Erfahrung und Kompetenz des Prüflings bescheinigen und dafür bürgen. Zusätzlich kann es einem passieren, dass man zufällig für einen genaueren Review ausgewählt wird.

Die Prüfungen sind bei beiden vergleichbar: Jeweils eine dreistellige Anzahl von Multiple-Choice-Fragen und ein paar Stunden Zeit. Wer so etwas noch nie erlebt hat sei gewarnt, die Prüfungen sind schwer und Multiple-Choice kann wirklich knifflig sein. Ohne gute Vorbereitung, Wissen & Erfahrung und eine gute Konzentrationsfähigkeit, sind beide Prüfungen nicht zu meistern. Im Gegensatz zum CISM kann man den CISSP auch am Computer durchführen und ist nicht so abhängig von ein paar wenigen Prüfungsterminen im Jahr wie beim CISM. Der CISSP ist hier deutlich moderner, wobei die ISACA ihre zentralen Prüfungstermine mit Qualitätssicherung begründet. Man kann darüber unterschiedlicher Meinung sein, welcher Ansatz der bessere ist.

Der größte Unterschied von CISSP und CISM sind ihre Schwerpunkte. Der CISM behandelt die folgenden vier verschiedenen Kategorien:

  • Information Security Governance
  • Information Risk Management und Compliance
  • Information Security Program Development und Management
  • Information Security Incident Management

Man sieht auf den ersten Blick wobei es sich beim CISM dreht: Um das Management von Informationssicherheit. Für IT-Sicherheitsexperten ist es das falsche Zertifikat. Für reine Security Manager, die wenig oder gar kein nennenswerten Bezug zur eigentlich IT & IT-Sicherheit haben, ist es das richtige.

Der CISSP ist wesentlich breiter gefasst:

  • Access Control
  • Telecommunications und Network Security
  • Information Security Governance und Risk Management
  • Software Development Security
  • Cryptography
  • Security Architecture und Design
  • Operations Security
  • Business Continuity und Disaster Recovery Planning
  • Legal, Regulations, Investigations und Compliance
  • Physical (Environmental) Security

Der CISSP beinhaltet auch Inhalte zum Management für Informationssicherheit. Der Fokus liegt aber wesentlich stärker in der IT-Sicherheit. Ich bezweifle, dass man die CISSP-Prüfung ohne Erfahrung und damit ohne praktisches Wissen aus der IT-Sicherheit bestehen kann. Man darf das aber auch nicht falsch verstehen: Der CISSP ist weder eine Prüfung für Penetration Tester noch geht es hier um die Administration von Firewalls und ähnlichen Sicherheitsprodukten. Der CISSP ist eine Zertifizierung für IT-Sicherheitsexperten, Projektleitern im Bereich IT-Sicherheit und Sicherheitsmanagern, die aus der IT kommen. Beim CISSP geht es nicht darum, wie man die Informationssicherheit in einem großen Konzern steuert, sondern z.B. darum welche sicherheitsrelevanten Fragestellungen bei der Softwareentwicklung beachtet werden müssen, wie man Sicherheitssysteme aufsetzt, wie man mit Sicherheitsvorfällen umgeht, welche Vorkehrungen man dafür treffen muss, welche Verschlüsselungstechniken sicher sind, wie ein sicheres Netzwerk aufgebaut ist uvm.

Durch seine wesentlich größere Breite ist der CISSP schwieriger als der CISM. Wer beide anstrebt, sollte erst den CISSP machen. Der CISM ist etwas überspitzt ausgedrückt, dann nur noch eine Wiederholung von 4 Bereichen aus dem CISSP. Der CISM ist nicht schlecht, er ist nur eher für Personen geeignet, die aus dem Umfeld der Security Governance kommen.

Ich halte u.a. selbst beide Zertifikate. Der CISSP ist meine persönliche Number One. Sicherlich ist er nicht perfekt und man kann viele Punkte bei den Inhalten und den Prüfungen kritisieren. Er ist in seiner Qualität und Internationalität dennoch bisher meiner Meinung nach die beste Zertifizierung für diesen Bereich.

Threema ist Dank der WhatsApp-Übernahme von Facebook im Kommen

Leave a Comment

Nachdem Facebook WhatsApp übernommen hat, ist die wesentlich sicherere Alternative Threema aus der Schweiz im Kommen. Interessanterweise waren es nicht die Sicherheitsprobleme in WhatsApp, die Nutzer zum Wechseln brachten, sondern die Übernahme von Facebook. Anscheinend wird die Datenkrake Facebook als schlimmer angesehen wie jedes noch so großes Sicherheitsloch. Wobei Sicherheit und WhatsApp ohnehin nie zueinander passten.

Threema bietet eine sichere Ende-Zu-Ende-Verschlüsselung, d.h. es ist (sofern hoffentlich korrekt implementiert) unmöglich, dass jemand übertragene Nachrichten oder Fotos mitlesen kann. Damit ist Threema sicherer als E-Mail und auch konzeptionell sicherer als DE-Mail, welches keine Ende-Zu-Ende-Verschlüsselung bietet. Aus Security-Sicht kann man nur sagen: Löscht WhatsApp, nutzt Threema!