Der NSA-Skandal als Security Awareness-Kampagne

Leave a Comment

Vielen Dank liebe NSA für diese herausragende Security Awareness-Kampagne in der deutschen Bevölkerung. Erst am Anfang einmal starke Aufmerksamkeit erwecken, dass unverschlüsselte Kommunikation abgehört werden kann. Korrektur, wird. Die meisten Deutschen wissen nun, dass die NSA durch PRISM mitlesen kann, wenn sie möchte. So arbeitet man klar heraus, warum man z.B. bei vertraulicher Kommunikation Verschlüsselung einsetzen sollte. In den Medien wimmelte es von Artikeln, wie man PGP oder ähnliches einrichtet. Ein perfekter Einstieg in die erste deutsche Security Awareness-Kampagne. Und das alles kostenlos.

Bevor wirklich wieder Ruhe einkehrt wird bekannt, dass die NSA angeblich auch Verschlüsselung brechen kann. Panik, nichts ist mehr vor der NSA sicher. Damit so eine Kampagne Erfolg hat, einfach immer mal wieder eine bisschen nachschießen. In wie weit diese Aussagen stimmen, sei einmal dahin gestellt und in den Medien wird viel Blödsinn berichtet. Egal, es kommt in den Köpfen an: Man muss starke Geschütze auffahren, wenn man der NSA etwas entgegensetzen möchte.

Der Skandal ebbt nun ab. Ach nein, stimmt ja gar nicht. Die NSA soll auch die Bundesregierung abhören. Perfekt, niemand ist vor der NSA sicher. Es ist nicht nur die eigene Privatsphäre bedroht, sondern auch die der deutschen Kanzlerin. Dass Frau Merkel eigentlich ein sicheres Mobiltelefon habe sollte, und sie manchen Presseberichten nach auch gerne mit gewöhnlichen Mobiltelefon kommuniziert, passt perfekt als Botschaft: Wer Krypto zur Verfügung hat und sie nicht einsetzt, ist selbst dran schuld. Die NSA hört und liest mit.

Danke NSA. Was kommt nächsten Monat? Vielleicht hat der BND die NSA bei der Abhöraktion von Frau Merkel unterstützt? Man darf gespannt sein.

Wer Ironie findet, darf sie gerne behalten.

Passwortrichtlinien bei 1&1 VServer Initialisierung

Leave a Comment

Ich habe einen VServer bei 1&1 geordert, der direkt mit Centos aufgesetzt wurde. Nachdem ich persönlich eine andere Distribution bevorzuge, wollte ich ihn neu initialisieren lassen. Vor der Initialisierung kann man ein neues Initialpasswort festlegen. Gesagt, getan:

1und1_pw1

Ja natürlich, wie kann ich nur auf die Idee kommen ein Passwort länger als 12 Zeichen zu benutzen. Wer macht das schon und warum auch? Also wieder zurück in den keepassx und ein neues Passwort generieren lassen. Dieses Mal mit 12 Zeichen. Sicher ist sicher.

1und1_pw2

Passwörter länger als 12 Zeichen sind böse, Passwörter mit Sonderzeichen erlaubt das System auch nicht. Das ist jetzt ein schlechter Scherz oder? Ich konnte dann gerade noch widerstehen als Passwort 123456 auszuprobieren.

Erfahrungen zum OSCP: Teil 4 Reverten tut gut

Leave a Comment

Über das eigene Labpanel kann man beim OSCP Server in ihren Ausgangszustand zurückversetzen (reverten). Man kann zwar selbst jeden Tag nur eine begrenzte Anzahl von Servern reverten, dennoch lohnt es sich, dieses vor einem Angriff durchzuführen.

Andere OSCP-Studenten hinterlassen eventuell defekte Applikationen oder Files wie Webshells, die einen eigenen Angriff entweder beeinträchtigen können oder zumindest das Potential haben für Verwirrung zu sorgen.

Erfahrungsbericht zu Google Apps for Business

Leave a Comment

Ich nutze seit ein paar Monaten Google Apps for Business. Davon insbesondere Mail, Drive, Kalender, und Kontakte. Die anderen verfügbaren Apps nur gelegentlich oder gar nicht. Ich zahle aktuell etwas unter 5€ für jeden Nutzer pro Monat.

Das Beste vorweg: Mail, Drive, Kalender & Co funktionieren zuverlässig, auch wenn in der Startphase mein eigener Account nicht richtig funktionierte. Ich konnte keine Mails verschicken oder empfangen noch das Paket administrieren. Nach ein paar Tagen wurden die Probleme behoben und traten auch nicht mehr auf. Wo der Fehler lag, wurde mir leider nicht mitgeteilt.

Ansonsten bin ich mit Google Mail sehr zufrieden, die anderen Apps wie Drive, Kalender oder Kontakte halte ich persönlich nicht für 100% business-ready. Bei Drive gibt es kein (einfach bedienbares) Berechtigungskonzept und die Erstellung von Drive eigenen Dokumenten ist zwar möglich, ich bin mittlerweile aber davon abgekommen und nutze Drive nur noch als Ablage in der Cloud. Drive ist keine Konkurrenz zu Microsoft Office oder Open Office. Für mal eben schnell 1-2  Sätze schreiben ok, fürs Geschäft eher ungeeignet.

Ich kann mit meinem Account Kalendereinträge von anderen verschieben, löschen, erstellen usw. Sicher ist das ein privilegierter Account, aber ich habe noch nicht einmal gefunden, wie ich dieses Verhalten abstellen könnte. Ein gutes Rollen- und Berechtigungskonzept sieht anders aus. Bei den Kontakten bin ich aber verzweifelt. Es gibt ohne auf weitere Software zu setzen, die Google direkt per API anspricht, anscheinend keine Möglichkeit globale unternehmensweise Kontakte zu definieren.

Irgendwann habe ich den Eindruck gewonnen, dass Google Apps for Business zwar eine gutes Produkt ist, aber eher für einen 1-Mann-Betrieb. Ich nutze weiterhin die kostenpflichtigen Produkte von Google, aber in einem geringeren Umfang als ich eigentlich wollte.

Erfahrungen zum OSCP: Teil 3 Erste Bilanz

Leave a Comment

Meine erste Bilanz:

  • 1x Windows (privilegierte Rechte)
  • 5x Linux (unprivilegierte Rechte)
  • Freischaltung DEV-Netz

Ich habe schon in vielen Berichten gelesen, wie steil die Lernkurve beim OSCP ist und wie umfangreich der Kurs. Jetzt kann ich es nachvollziehen. Es stimmt auch, dass der OSCP in keiner Art und Weise vergleichbar mit anderen Sicherheitszertifizierungen ist. Während man bei CISSP, CISM & Co sehr vieles einfach auswendig lernen kann, ist der OSCP absolut praktisch orientiert. Hier wird nichts auswendig gelernt, hier werden Anwendungen und Systeme gehackt. Über z.B. SQL Injections lesen ist die eine Sache, sie praktisch durchzuführen eine andere. Ich empfinde den OSCP bisher als recht anstrengend, aber auch als extrem lehrreich und fesselnd.

Kleiner Tipp am Rande: Wenn man über das eigene Adminpanel versucht einen Rechner zurückzusetzen und es scheint nicht zu funktionieren: Es ist eher kein Systemfehler sondern hat einen relativ einfachen Grund…

Der richtige Umgang mit QSAs / Auditoren für PCI DSS

Leave a Comment

Letztens habe ich für einen Kunden wiederholt den Audit begleitet und erfolgreich abgeschlossen. Ich möchte an dieser Stelle betonen, wie wichtig der richtige Umgang mit dem QSA ist. In manchen (vielleicht auch vielen?) Unternehmen wird der QSA als Feind gesehen, er ist der „böse Auditor“. Das stimmt so nicht und ist auch ein Fehler. Ein zertifiziertes oder demnächst zertifiziertes Unternehmen ist der Kunde und die QSA-Company der Dienstleister. PCI-Audits sind keine behördliche Prüfung einer Aufsichtsbehörde für Datenschutz oder ähnliches. Man bezahlt für den Audit, also sollte man das Beste aus der Situation machen.

Verliert man die Ansicht, dass der Audit der „böse“ ist und ruft sich in Erinnerung, dass man für seine Dienstleistung bezahlt, ändert sich auch automatisch die Herangehensweise. Der beste Umgang mit einem QSA ist die offene Variante. Man sollte eventuelle Probleme offen ansprechen und mit ihm darüber sachlich diskutieren. Nochmals: Offen und sachlich! Wenn man weiß, dass vielleicht ein Compliance-Problem lauert, kann man das am besten gleich ansprechen. Und zwar direkt am Anfang. Warum? Weil man dann nichts mehr zu verbergen hat und ein Auditor nichts mehr finden kann, was man vielleicht ohnehin schon weiß. Hat man in der Vorbereitung seinen Job gut gemacht, findet er gar nichts mehr. Idealerweise gibt es natürlich gar keine Probleme, aber das ist nicht immer der Fall.

Diese Vorgehensweise schafft etwas Vertrauen zwischen den Beteiligten und kann ungemein den Audit erleichtern. Auditoren müssen für ihren Job eine gewisse Grundskepsis mitbringen, das lässt sich nicht vermeiden. Wer sachlich diskutiert, ehrlich und offen ist, wird beim Audit insgesamt besser fahren, als wenn man sich verschließt und sinnlose Diskussionen führt, bei denen man ohnehin nur verlieren kann. Einfach den Auditor als Partner sehen ;-).

Erfahrungen zum OSCP: Teil 2 Die ersten Schritte

Leave a Comment

Die Doku umfasst mehrere hundert Seiten und das Video-Material läuft auch länger als 5min. Ganz zu schweigen davon, dass die Übungen in der Doku auch ihre Zeit kosten. Etwas ungeduldig habe ich mich dann direkt am Labor versucht.

Das war ein Fehler. Ich habe einige Stunden für einen Angriff verschwendet, den ich nicht erfolgreich durchführen konnte. Danach bin ich zurück zur Doku. Auf Seite 305 stand dann auch der entscheidende Hinweis, wieso mein Angriff nicht funktionierte. Abkürzungen funktionieren beim OSCP nicht.

Meine Empfehlung: Doku überfliegen. Video sehen. Doku lesen und Übungen durchführen. Parallel vielleicht ein paar Scans (z.B. nmap oder nikto) gegen das Labor schießen, aber nicht blind drauflos hacken.

Erfahrungen zum OSCP: Teil 1 Der Start

Leave a Comment

Ich habe mich für den Kurs Penetration Testing with BackTrack (PWB) angemeldet, der – sofern erfolgreich bestanden – mit dem Zertifikat Offensive Security Certified Professional (OSCP) abschließt. Nach einem Master in Security Management und Zertifikaten wie CISSP, CISM, T.I.S.P. usw. möchte ich etwas Neues wagen: Einen Einstieg in die Welt des Penetration Testing. Komplett neu ist sie für mich nicht. Ich habe u.a. einige Jahre Erfahrung im Bereich IT-Security, hatte schon einmal mit Backtrack experimentiert und einige Reports von Penetration Testern gelesen und bewertet. Worauf ich mich jetzt aber freue ist, mir selbst die Hände schmutzig machen zu dürfen.

Auf der Website vom offensive-security.com findet sich folgende passende Beschreibung für den Kurs:

Penetration Testing with BackTrack (PWB) is an online training course designed for network administrators and security professionals who need to acquaint themselves with the world of offensive information security. This penetration testing training introduces the latest hacking tools and techniques in the field and includes remote virtual penetration testing labs for practicing the course materials.Penetration Testing with BackTrack attempts to simulate a full penetration test, from start to finish, by injecting the student into a rich, diverse, and vulnerable network environment.

Ich habe bereits meine Zugangsdaten erhalten sowie alle Kursmaterialien: Eine PDF mit 337 Seiten, einiges an Videomaterial und VPN-Keys zum Labor. Ich bin gespannt auf die Erfahrung und werde hier berichten.

Der CISSP ist keine Pentester-Zertifizierung

Leave a Comment

Nachdem ich letztens wieder eine Stellenanzeige für einen Penetration Tester gesehen habe, die eine CISSP-Zertifizierung fordert, möchte ich dazu ein paar Worte verlieren. Die Kurzform: Der CISSP hat nichts mit Penetration Testing oder Ethical Hacking zu tun. Absolut nichts.

Im Gegensatz zum CISM (Certified Information Security Manager) ist der CISSP (Certified Information Systems Security Professional) technischer ausgerichtet. Das ist soweit korrekt. Nichtsdestotrotz richtet sich der CISSP an Security-Spezialisten, die zwar ein klein wenig technischer orientiert sind als reine klassische Manager, aber deren primärer Fokus eben nicht Pentesting ist. Überhaupt nicht. Sicherlich gibt es Pentester, die eine CISSP-Zertifizierung nachweisen können. Aber man sollte vielleicht eher Pentester-Zertifizierungen wie OSCP, OSCE oder CEH in Stellenanzeigen oder Ausschreibungen fordern.