InfoSec Blog | Patrick Sauer & Dominik Sauer – Seite 14 – Blog – IT Security – Pentest

Mitgliederversammlung ISACA Germany Chapter 2014

7. März 2014 by Patrick Sauer Leave a Comment

Mitgliederversammlung ISACA

Ich war heute auf der Mitgliederversammlung vom ISACA Germany Chapter e.V. Ich musste leider aus beruflichen Gründen kurz vor dem Mittagessen die Versammlung verlassen, konnte mir aber zwei Vorträge anhören.

Der erste Fachvortrag war von Tobias Glemser, der als OWASP German Chapter Lead das „Open Web Application Security Project“ (OWASP) vorgestellt hat. Inhaltlich zwar für mich nichts neues, dafür war der Vortrag gut gemacht und dennoch unterhaltsam. Einer der besseren Vorträge im Security-Bereich, die ich bisher gesehen habe.

Leitfaden Cyber-Sicherheits-Check

Der zweite Vortragende kam vom BSI (Bundesamt für Sicherheit in der Informationstechnik) und stellte den demnächst offiziell erscheinenden „Leitfaden Cyber-Sicherheits-Check“ vor. Dieser soll eine Möglichkeit darstellen, die „Cyber-Sicherheit“ eines Unternehmens oder einer Behörde zu beurteilen. Die Beurteilungskriterien werden auf einer oder mehreren Veröffentlichungen der „Allianz für Cyber-Sicherheit“ beruhen. Nachdem ich letztes Jahr erst meine Master-Thesis über die „Messung von Informationssicherheit“ geschrieben habe, bin ich gespannt darauf, welche Kriterien sich das BSI ausgedacht hat. Technische Analysen werden dort laut Aussage des BSI während dem Vortrag nicht enthalten sein. Ich bin sehr skeptisch, ob eine Prüfung, die technische Details ausblendet, überhaupt aussagekräftig sein kann. Ich befürchte, dass ein „grüner“ Cyber-Sicherheits-Check Unternehmen eher in falscher Sicherheit wiegen könnte!

Zertifizierung zum Cyber-Security-Practicioner (BSI-CSP)

Zusätzlich dazu wird das BSI demnächst eine Zertifizierung zum Cyber-Security-Practicioner (BSI-CSP) anbieten, welche nachweisen soll, dass eine Person ausreichend Wissen über den durchzuführenden Cyber-Sicherheits-Check besitzt. Die Schulung dafür soll einen Tag dauern. Berufserfahrung muss nicht nachgewiesen werden.

Ich persönlich halte das für fatal. Es gibt in Deutschland schon genug zertifizierte oder geprüfte externe Datenschutzbeauftragte, die kaum oder wenig Ahnung von IT- und Informationssicherheit besitzen. Demnächst kann man dann direkt vom BSI als zertifizierter „Cyber-Security-Practicioner CSP) die Sicherheit eines Unternehmens beurteilen. Ich halt das für eine schlechte Entscheidung, man hätte als Qualifikation entweder auf international anerkannte Zertifizierungen wie CISSP, CISM, CISA oder zumindest auf bereits in Deutschland anerkannte Zertifizierungen wie T.I.S.P. zurückgreifen können. Alle diese Zertifikate setzen nicht nur mehrere Jahre einschlägige Berufserfahrung voraus, sondern auch das Bestehen einer mehrstündigen Prüfung. Wir brauchen keine weitere 1-Tages-Schulungs-Zertifizierung, deren Zweck zwar nicht der Nachweis von Kompetenz und Erfahrung ist, diesen aber suggerieren wird – immerhin kommt das Zertifikat von der obersten deutschen Behörde für Sicherheit in der IT und wir Deutsche haben leider manchmal immer noch einen besonders starken Glauben an formale Qualifikationen insbesondere wenn sie von Behörden kommen.

Most Annoying Security Request You Have Ever Received?

7. März 2014 by Patrick Sauer Leave a Comment

Amüsantes Video von der RSA Konferenz, in dem Tripwire die Frage stellt: „What is the Most Annoying Security Request You Have Ever Received?“

https://www.youtube.com/watch?v=DDt28QX8jG0

Offensive Security Certified Professional (OSCP)

5. März 2014 by Patrick Sauer Leave a Comment

Eben kam die E-Mail:

„Dear Patrick,

We are happy to inform you that you have successfully completed the Penetration Testing with Kali Linux certification challenge and have obtained your Offensive Security Certified Professional (OSCP) certification….“

Der OSCP war bisher die einzige Zertifizierung (neben CISSP, CISM, CPSSE, DSB-TÜV) mit eindeutigem Spaß-Faktor. Dafür deutlich anstrengender, härter und wesentlich zeitaufwendiger als die anderen. Ich kann den OSCP von Offensive Security nur weiterempfehlen!

Erfahrungen zum OSCP: Teil 9 Die Prüfung – Exam Network

4. März 2014 by Patrick Sauer 2 Comments

Hart, härter, OSCP-Prüfung. Ich habe gestern bzw. heute die Prüfung zum OSCP (Offensive Security Certified Professional) hinter mich gebracht. In einem 24-Stunden-Zeitfenster musste ich in mehrere Server (Windows/Linux) eindringen und privilegierte Rechte erlangen. Eine Prüfung zum CISSP oder CISM mit ein paar Stunden ist dagegen eher ein Spaziergang. Der OSCP ist definitiv schwieriger und härter. Bei den anderen Prüfungen kann man sich durch effizientes Lernen darauf vorbereiten, beim OSCP zählt Erfahrung, Wissen und Können.

Ich denke ich habe die Prüfung erfolgreich hinter mich gebracht: Alle Server übernommen, den Bericht geschrieben und abgegeben. In den nächsten 2-3 Tagen sollte dann das offizielle Ergebnis da sein.

Wer in den Bereich Penetration Testing einsteigen möchte oder ein starkes Interesse an Hacking hat, dem kann ich den Kurs nur empfehlen. Man sollte aber viel Zeit mitbringen. Das zur Verfügung gestellte Labor ist sehr groß und umfangreich. Da gehen schnell viele Abende und Sonntage dahin. Die für den CISSP & Co offiziell anrechenbaren 40 CPE (40 Stunden Fortbildung) sind eher ein Witz – ein Vielfaches an Aufwand ist wesentlich realistischer. Dafür darf man dann – zurecht – stolz auf die erlangte Auszeichnung OSCP sein.

Britischer Geheimdienst GCHQ überwacht privaten Webcam-Porn

27. Februar 2014 by Patrick Sauer Leave a Comment

Der britische Geheimdienst GCHQ überwacht private Webcam-Chats, die über Yahoo geführt werden: TheGuardian meldet aufgrund von weiteren Erkenntnissen aus Dokumenten von Edward Snowden, dass der GCHQ über angezapfte Unterseekabel massenhaft Bilddaten von privaten Webcams mitschneidet, speichert analysiert und auswertet.

Zwischen drei und elf Prozent der Billdaten sollen hierbei pornographisch sein. Die Verbreitung von privaten Pornos, die zumindest nach deutschem Recht illegal mitgeschnitten werden, ist den Mitarbeitern vom GCHQ immerhin über die Androhung eins Disziplinarverfahrens verboten. Zumindest kann nicht ausgeschlossen werden, dass Bilddaten auch an die amerikanische NSA übermittelt werden. So hat am Ende auch der große Bruder etwas von der Aktion.

Der massenhaften und unverschämten Überwachung europäischer Bürger von einem Mitglied der europäischen Union kann man nur noch mit Galgenhumor begegnen. In letzter Zeit könnte man meinen, man sitze in einem billigen Spionage-Thriller. Leider handelt es sich hierbei um die Realität.

Telegram besitzt ein schlechtes Sicherheitskonzept

26. Februar 2014 by Patrick Sauer Leave a Comment

Telegrams Sicherheitskonzept wurde von „Unhandled expression“ analysiert. Ich kann dem Autor in seinem Beitrag nur zustimmen: Telegram ist keine sichere Alternative zu WhatsApp & Co! Telegram besitzt keine Ende-zu-Ende-Verschlüsselung und schützt nicht vor Man-in-the-Middle-Angriffen (MITM). Konzeptionell kann das keine vertrauliche Kommunikation gewährleisten!

Zusätzlich werden kryptographische Techniken der Marke „Eigenbau“ benutzt – ein neues Protokoll genannt „MTProto“. Was lernt man über den Einsatz von Verschlüsselungsalgorithmen und –protokollen? Keine selbst konstruieren und auch keine selbst implementieren. Blöde Idee. Wirklich blöde Idee. Wird sicher schief gehen. Selbst in SSL/TLS werden Schwachstellen gefunden. Die Tatsache, dass das Protokoll von promovierten Mathematikern entwickelt wurde, hilft hier nur wenig. Mathematiker sind nicht automatisch Kryptologen und die internationale Gemeinschaft der Kryptologen ist nicht vergleichbar mit ein paar promovierten Mathematikern. Ist jetzt hart aber: Wer mit promovierten Mathematikern für ein neues kryptographisches Protokoll werben muss, hat bereits verloren.

Der Bitcoin-Hype fällt in die Realität zurück

26. Februar 2014 by Patrick Sauer 2 Comments

Der Hype um die Internet-Währung Bitcoin fällt in die Realität zurück. Nachdem China bereits den Handel mit Bitcoin praktisch untersagt, denken weitere Länder über ein Verbot nach. Da sich Zahlungen mit Bitcoin nicht nachvollziehen und somit auch nicht kontrollieren lassen, kann man eigentlich davon ausgehen, dass auch die Industrieländer langfristig nicht eine digitale Schattenwährung neben der eigenen offiziellen Währung akzeptieren werden.

Zudem wird das Vertrauen der Menschen in Bitcoin durch den sich anbahnenden Skandal um die Bitcoin-Börse Mt. Gox erschüttert. Die Börse hat nach einem vermuteten riesigen Diebstahl von Bitcoins den Betrieb eingestellt. Bitcoins sind für Kriminelle ein attraktives Ziel. Sie sind anonym und einfach zu stehlen, wenn nicht ein umfangreiches Sicherheitskonzept vorhanden und umgesetzt wurde. Gestohlene Bitcoins lassen sich im Gegensatz zu gestohlenen Kreditkartendaten einfach gegen echtes Geld eintauschen. Wer heute noch Kreditkartendaten anstatt Bitcoins stiehlt, verpasst gerade einen bessere illegale Einnahmequelle.

Ich halte es zudem für unwahrscheinlich, dass der Preis eines Bitcoins noch weiter steigen wird. Jeder Hype an einer Börse erreicht immer dann den Höhepunkt, wenn die allgemeinen Medien darüber berichten und jeder Bitcoins hat, der sich welche zulegen würde. Das Frühwarnsystem Bildzeitung zeigt ein klares Verkaufssignal: Wenn selbst die BILD darüber berichtet, ist der Höhepunkt erreicht.

Insgesamt denke ich, dass die Internet-Währung Bitcoin zwar nicht untergehen, aber deutlich weiter an Bedeutung verlieren wird. Die Möglichkeiten, die das anonyme Geld bietet, sind leider optimal für Geldwäsche und die Bezahlung von illegalen Waren und Dienstleistungen geeignet. Sobald die illegalen Transaktionen eine gewisse Relevanz vorweisen können, werden die Staaten gegen Bitcoin vorgehen. Spätestens dann wird Bitcoin in der harten Realität angekommen sein.

Erfahrungen zum OSCP: Teil 8 Report fürs Lab

24. Februar 2014 by Patrick Sauer Leave a Comment

Nachdem die meisten Systeme eingenommen sind, wollte ich mit dem Penetration Test Report vom Labor beginnen. Ich hatte bisher meine Dokumentation stichpunkthaft mit Keepnote verfasst. Ich muss zugegeben, ich hätte entweder die Dokumentation parallel zum Hacken im Labor gleich erstellen oder zumindest die Inhalte in Keepnote besser aufbereiten sollen. So muss ich mir wahrscheinlich die meisten Systeme nochmal kurz ansehen. Das war leider keine optimale Vorgehensweise. Ich kann im Nachhinein nur empfehlen, gleich vom Beginn ab mehr Aufwand in den notwendigen Bericht zu stecken.

Der Vergleich: CISSP vs. CISM

22. Februar 2014 by Patrick Sauer 8 Comments

Der CISSP (Certified Information Systems Security Professional) vom Isc² und der CISM (Certified Information Security Manager) von der ISACA gehören zu den weltweit verbreitetsten und anerkanntesten Personenzertifizierungen für Security Professionals. Im Gegensatz zum deutschen T.I.S.P. (TeleTrusT Information Security Professional), entsprechen CISSP und CISM den internationalen Vorgaben für Personenzertifizierungen (ISO/IEC Standard 17024).

CISSP und CISM setzten beide 5 Jahre nachweisbare Berufserfahrung in für die Zertifizierung relevanten Bereichen voraus. Das Nachweisverfahren dafür ist etwas unterschiedlich. Beim CISM prüft die ISACA die einzureichenden Unterlagen, während das Isc² für den CISSP auf ein Endorsement-Verfahren setzt. In diesem muss ein anderer CISSP die Aufrichtigkeit, Erfahrung und Kompetenz des Prüflings bescheinigen und dafür bürgen. Zusätzlich kann es einem passieren, dass man zufällig für einen genaueren Review ausgewählt wird.

Die Prüfungen sind bei beiden vergleichbar: Jeweils eine dreistellige Anzahl von Multiple-Choice-Fragen und ein paar Stunden Zeit. Wer so etwas noch nie erlebt hat sei gewarnt, die Prüfungen sind schwer und Multiple-Choice kann wirklich knifflig sein. Ohne gute Vorbereitung, Wissen & Erfahrung und eine gute Konzentrationsfähigkeit, sind beide Prüfungen nicht zu meistern. Im Gegensatz zum CISM kann man den CISSP auch am Computer durchführen und ist nicht so abhängig von ein paar wenigen Prüfungsterminen im Jahr wie beim CISM. Der CISSP ist hier deutlich moderner, wobei die ISACA ihre zentralen Prüfungstermine mit Qualitätssicherung begründet. Man kann darüber unterschiedlicher Meinung sein, welcher Ansatz der bessere ist.

Der größte Unterschied von CISSP und CISM sind ihre Schwerpunkte. Der CISM behandelt die folgenden vier verschiedenen Kategorien:

Information Security Governance
Information Risk Management und Compliance
Information Security Program Development und Management
Information Security Incident Management

Man sieht auf den ersten Blick wobei es sich beim CISM dreht: Um das Management von Informationssicherheit. Für IT-Sicherheitsexperten ist es das falsche Zertifikat. Für reine Security Manager, die wenig oder gar kein nennenswerten Bezug zur eigentlich IT & IT-Sicherheit haben, ist es das richtige.

Der CISSP ist wesentlich breiter gefasst:

Access Control
Telecommunications und Network Security
Information Security Governance und Risk Management
Software Development Security
Cryptography
Security Architecture und Design
Operations Security
Business Continuity und Disaster Recovery Planning
Legal, Regulations, Investigations und Compliance
Physical (Environmental) Security

Der CISSP beinhaltet auch Inhalte zum Management für Informationssicherheit. Der Fokus liegt aber wesentlich stärker in der IT-Sicherheit. Ich bezweifle, dass man die CISSP-Prüfung ohne Erfahrung und damit ohne praktisches Wissen aus der IT-Sicherheit bestehen kann. Man darf das aber auch nicht falsch verstehen: Der CISSP ist weder eine Prüfung für Penetration Tester noch geht es hier um die Administration von Firewalls und ähnlichen Sicherheitsprodukten. Der CISSP ist eine Zertifizierung für IT-Sicherheitsexperten, Projektleitern im Bereich IT-Sicherheit und Sicherheitsmanagern, die aus der IT kommen. Beim CISSP geht es nicht darum, wie man die Informationssicherheit in einem großen Konzern steuert, sondern z.B. darum welche sicherheitsrelevanten Fragestellungen bei der Softwareentwicklung beachtet werden müssen, wie man Sicherheitssysteme aufsetzt, wie man mit Sicherheitsvorfällen umgeht, welche Vorkehrungen man dafür treffen muss, welche Verschlüsselungstechniken sicher sind, wie ein sicheres Netzwerk aufgebaut ist uvm.

Durch seine wesentlich größere Breite ist der CISSP schwieriger als der CISM. Wer beide anstrebt, sollte erst den CISSP machen. Der CISM ist etwas überspitzt ausgedrückt, dann nur noch eine Wiederholung von 4 Bereichen aus dem CISSP. Der CISM ist nicht schlecht, er ist nur eher für Personen geeignet, die aus dem Umfeld der Security Governance kommen.

Ich halte u.a. selbst beide Zertifikate. Der CISSP ist meine persönliche Number One. Sicherlich ist er nicht perfekt und man kann viele Punkte bei den Inhalten und den Prüfungen kritisieren. Er ist in seiner Qualität und Internationalität dennoch bisher meiner Meinung nach die beste Zertifizierung für diesen Bereich.

Threema ist Dank der WhatsApp-Übernahme von Facebook im Kommen

21. Februar 2014 by Patrick Sauer Leave a Comment

Nachdem Facebook WhatsApp übernommen hat, ist die wesentlich sicherere Alternative Threema aus der Schweiz im Kommen. Interessanterweise waren es nicht die Sicherheitsprobleme in WhatsApp, die Nutzer zum Wechseln brachten, sondern die Übernahme von Facebook. Anscheinend wird die Datenkrake Facebook als schlimmer angesehen wie jedes noch so großes Sicherheitsloch. Wobei Sicherheit und WhatsApp ohnehin nie zueinander passten.

Threema bietet eine sichere Ende-Zu-Ende-Verschlüsselung, d.h. es ist (sofern hoffentlich korrekt implementiert) unmöglich, dass jemand übertragene Nachrichten oder Fotos mitlesen kann. Damit ist Threema sicherer als E-Mail und auch konzeptionell sicherer als DE-Mail, welches keine Ende-Zu-Ende-Verschlüsselung bietet. Aus Security-Sicht kann man nur sagen: Löscht WhatsApp, nutzt Threema!