IPv6 ist das Ende vom Black Box Penetration Test

Leave a Comment

In einem gewöhnlichen IPv4-Netz existieren nicht sehr viele IP-Adressen. Ein paar Hundert. Vielleicht auch ein paar Tausend. Es ist relativ unproblematisch diese kleinen Mengen an möglichen Adressen innerhalb eines Netzwerks auf die Erreichbarkeit von verschiedenen Diensten zu prüfen. Für einen Black Box Penetration Test reicht es also aus, wenn der Penetration Tester nur den Netzbereich als Angriffsziel vom Auftraggeber mitgeteilt bekommt.

Dies ändert sich nun mit der Einführung von IPv6. Durch die hohe Anzahl von möglichen IP-Adressen innerhalb eines gewöhnlichen /64-Netzes ist es unmöglich einen kompletten Netzwerkscan eines einzelnen Netzes durchzuführen. Ein /64 umfasst 18.446.744.073.709.551.616 Adressen. Das sind mehr potentiell verwendete Adressen als es rechnerisch überhaupt ipv4-Adressen gibt. Es ist während eines Pentests unmöglich alle Adressen auch nur auf die Erreichbarkeit eines einzelnen Diensts zu prüfen. Da bei einem Black Box Penetration Test nur minimale Informationen über das Ziel bekannt sind, ist die Durchführung eines aussagekräftigen Tests bei ipv6 nicht mehr möglich. Es ist zwingend erforderlich, dass ein Penetration Tester eine exakte Auflistung aller aktiven Hosts bekommt.

IPv6 eschwehrt damit auch White Box oder Grey Box Penetration Testing: Welches Unternehmen verfügt wirklich über eine Dokumentation aller verwendeten IP-Adressen? Welche Aussagekraft besitzen Penetration Tests in IPv6-Netzen zukünftig überhaupt noch?

Was einen guten QSA bzw. PCI-Auditor auszeichnet

Leave a Comment

Auditoren für PCI DSS werden als QSA (Qualified Security Assessor) bezeichnet. Um QSA zu werden und PCI Audits durchzuführen, müssen die jeweiligen Personen verschiedene Anforderungen erfüllen. Zwingend benötigen sie ausreichend Berufserfahrung und in der Regel eine Zertifizierung als CISSP, CISA oder CISM.

Ich bin in den letzten Jahren einigen Auditoren begegnet, ehemaligen und aktiven. Teilweise habe ich auch über Hörensagen von ein paar berichtet bekommen. Insgesamt muss ich feststellen, dass es stellenweise sehr gute Auditoren gibt, die ein hohes Maß an Fachkompetenz besitzen. Dass ein QSA seinen Standard natürlich kennen sollte, versteht sich von selbst. Das PCI Council sorgt über Qualifizierungsmaßnahmen ohnehin dafür. Dennoch stelle ich aus meinen Erfahrungen in den letzten Jahren weitere Anforderungen an einen guten QSA:

  • Ein QSA muss seinen Standard PCI DSS nicht nur kennen, er muss ihn verstehen. Das scheint auf dem ersten Blick selbstverständlich zu sein, ist es aber nicht. Der Punkt wird mit der Auflistung der nächsten Punkte klarer.
  • Er sollte einen CISSP besitzen. Der CISSP ist schon sehr managementlastig, aber man muss zumindest gewisse technische Grundkenntnisse besitzen. Im Gegensatz dazu sind CISM und CISA einfach nicht technisch genug ausgerichtet. Ich kenne Auditoren, die „nur“ eine CISA-Zertifizierung besitzen und dennoch fachlich extrem kompetent sind. Eine höhere Wahrscheinlichkeit einen guten QSA zu erwischen hat man jedoch, wenn man einen nimmt, der CISSP zertifiziert ist.
  • Ein QSA muss Security „verstehen“. Es greift einfach zu kurz, wenn man nur den Wortlaut des Standards folgt. Hinter jeder einzelnen Anforderung des PCI DSS steckt eine Bedeutung. Ein Ziel, welches erreicht werden möchte! Natürlich prüfen QSA den Wortlaut des Standards und sie müssen den definierten Testprozeduren folgen. Das heißt allerdings nicht, dass man Anforderungen im Wortlauft folgt, ohne die Intention oder den Kontextbezug der Anforderung zu betrachten. Ein allseits bekanntes Beispiel ist das Wort „Testdaten im Produktionssystem“. Je nach Kontextbezug ist das sehr tatsächlich sehr „böse“. Aber es hängt vom Kontext ab. Und es gilt nicht grundsätzlich. Bevor man sich für einen QSA entscheidet, einfach einmal nachfragen, ob Testdaten im Produktionssystem erlaubt sind. Man sollte eine differenzierte Antwort erhalten.
  • Auditoren sind keine Götter, sondern Menschen, die für ein Unternehmen arbeiten. Man bezahlt für ihre Dienstleistung. Man ist Kunde. Man kann immer erwarten, dass Auditoren ihre Einschätzungen erläutern und begründen. Der PCI DSS ist nicht exakt, sondern hinterlässt Interpretationsspielraum. Dieser sollte stets im Sinne des Kunden ausgelegt werden, sofern nicht tatsächlich ein Risiko existiert, sodass der jeweilige Punkt streng ausgelegt werden muss. Eigentlich sollte das selbstverständlich sein, ist es aber nicht.

Die Bedeutung der Qualifikation und Erfahrung eines Auditors ist extrem wichtig. Für den „Erfolg“ eines Audits ist das etwas weniger relevant. Aber einem Unternehmen kann eine PCI-Zertifizierung sowie das spätere Daily Business etwas leichter fallen, wenn es einen guten QSA besitzt, mit dem es auch kritische Punkte offen und sachlich diskutieren kann. Ich kenne aktuell 1-2 aktive QSA persönlich, die ich weiter empfehlen kann. Bei Interesse einfach mit mir Kontakt aufnehmen. Ich bekomme keine Provision ;-).

Erfahrungen zum Studiengang Master of Science in Security Management an der FH Brandenburg – Teil 2: 1. Semester

Leave a Comment

Im ersten Semester gab es folgende Veranstaltungen:

  • Grundlagen sicherer Kommunikation
  • Kryptographie
  • Netzwerksicherheit
  • Recht
  • Grundlagen Security Management
  • Semesterarbeit 1

Als Wahlpflichtfächer habe ich IT-Forensik und Non-Proliferation gehört. Besonders gut gefallen haben mir davon die beiden Wahlpflichtfächer sowie Grundlagen Security Management. Die restlichen Vorlesungen waren nicht schlecht, stachen aber auch nicht hervor. Von allen Vorlesungen war der Arbeitsaufwand für Recht mit Abstand am höchsten. Die meisten anderen vielen mir aufgrund meines Erfahrungsschatzes relativ leicht.

Die Vorlesungen Kryptographie, Netzwerksicherheit, Grundlagen sicherer Kommunikation vermitteln solide Grundkenntnisse in diesen Bereichen. Der mathematische Umfang in Kryptographie war sehr beschränkt. Die vermittelten Inhalte waren durch alle Fächer hinweg für einen „Security Manager“ sicherlich ausreichend. Pentester sind hier verkehrt. Die Studenten wissen danach z.B. warum ein DES unsicher ist und wofür man LDAP benötigt. Für Studenten ohne nennenswerte Berufserfahrung und umfangreiche IT- sowie Security-Kenntnisse ist das dennoch viel gewesen. Es hilft sicherlich, wenn man mit tcp, nmap, gpg usw. schon Erfahrungen gesammelt hat. Von 0 auf 100 ist ansonsten hart.

Grundlagen Security Management hielt Prof. Dr. Sachar Paulus, der ohne Zweifel zu einem der besten Professoren in diesem Gebiet zählt. Er kommt aus der Praxis (SAP) und hat eine sehr gute didaktische Art und Weise Inhalte ansprechend zu vermitteln. Das möchte ich an dieser Stelle nochmals explizit lobend erwähnen.

Die Vorlesung IT-Forensik hatte einen sehr hohen praktischen Anteil und war sehr lehrreich. Als Abschlussarbeit bekamen wir ein ISO-Image eines Windows-Clients und mussten eine forensische Untersuchung durchführen sowie den dazugehörigen Report erstellen. Top!

Die Vorlesung Non-Proliferation handelt thematisch von den Bemühungen die Verbreitung von nuklearem, waffenfähigem Material zu kontrollieren. Thematisch etwas außergewöhnlich, war die Vorlesung dennoch interessant. Es war übrigens auch die einzige, die ausschließlich in Englisch gehalten wurde. Als Dozentin wurde Elena K. Sokova eingeflogen. Ich kann diese Veranstaltung nur empfehlen, insbesondere wenn man seinen Horizont erweitern möchte.

PCI DSS: Wie die Änderung der Benutzerpasswörter alle 90 Tage indirekt regelmäßig umgangen wird.

Leave a Comment

Der Payment Card Industry Data Security Standard 2.0 schreibt die Änderung von Benutzerpasswörtern alle 90 Tage vor: “8.5.9 Change user passwords at least every 90 days.” Meistens sehe ich in der Praxis folgende Typen von Nutzern:

  1. Der Nutzer benutzt einen Password-Safe wie z.B. Keepass und er generiert regelmäßig neue Passwörter.
  2. Der Nutzer muss sich das Password tatsächlich merken und iteriert Zahlen durch.

Nutzer von Password-Safes haben aber noch das Problem, dass die Nutzung erst nach der Anmeldung an einen Arbeitsplatz möglich ist. Somit fallen die meisten beim Passwort für den Login am Arbeitsplatz in die Kategorie 2 zurück: Passwörteränderungen werden so realisiert, dass sich der Nutzer ein Schema merkt. Damit ergeben sich sinnlose Passwortänderungen wie z.B.

  • Passwort-01, Passwort-02, Passwort-03, …
  • Passwort!2012-04, Passwort!2013-01, Passwort!2013-02, …

Damit wird in der Praxis die erzwungene Änderung von Passwörtern alle 90 Tage umgangen. „Compliant“ im Sinne von PCI DSS sind diese Passwörter und die damit verbundenen Änderungen dennoch. Ich finde es wäre hilfreich, wenn man die regelmäßige Änderung von Passwörtern beibehält, allerdings die Fristen risikogewichtet und damit flexibler gestaltet. Wenn eine Sicherheitsmaßnahme zu aufwendig ist (hier das Merken neuer Passwörter), und sie umgangen werden kann, wird sie auch umgangen werden.

Erfahrungen zum Studiengang Master of Science in Security Management an der FH Brandenburg – Teil 1: Einführung und Kosten

Leave a Comment

Ich stehe kurz vor dem Abschluss Master of Science in Security Management und warte nur noch auf den Termin zur Verteidigung meiner Master-Thesis. Ich möchte in mehreren Blog-Einträgen meine gemachten Erfahrungen und Empfehlungen weitergeben.

Den Studiengang Security Management gibt es an der Fachhochschule Brandenburg seit dem Wintersemester 2006/2007 und ist in Deutschland auch 2013 immer noch der einzige Studiengang für diesen speziellen Querschnittsbereich zwischen IT, Management und Sicherheit. Er ist ein Vollzeitstudium in 3 Semestern, wobei Teilzeit in 6 in Semestern mittlerweile auch möglich ist. Das Studium ist ein Präsensstudium. Im Gegensatz zu vielen anderen Präsensstudiengängen finden Vorlesungen in der Regel freitags, samstags und montags statt, sodass man den Studiengang neben einer eigentlichen Vollzeitberufstätigkeit besuchen kann, auch wenn man nicht aus dem Land Brandenburg oder Berlin kommt. Das setzt natürlich ein sehr gutes Zeitmanagement und eine selbstquälerische Einstellung voraus. Die meisten Studenten kommen daher auch aus dem geographischen Umfeld wie z.B. aus Potsdam. Es gibt innerhalb des Studiums folgende Profilrichtungen:

  • Informationssicherheit
  • Business Continuity und Krisenmanagement
  • Forensik
  • Anlagen- und Reaktorsicherheit
  • Cyberwar und Cybersecurity

Die Kosten liegen bei etwa 450€ / Semester. Für einen Studium an einer staatlichen Hochschule ist das recht viel. Auf der anderen Seite kosten private Master-Studiengänge gerne ein Vielfaches.  In den Semestergebühren ist wie üblich ein Semesterticket enthalten, dass die kostenlose Nutzung öffentlicher Verkehrsinfrastruktur im Bereich Brandenburg / Berlin ermöglicht. Nachdem der Studiengang kein Fernstudium sondern ein Präsenzstudium ist, fallen je nach eigenem Wohnort natürlich erhebliche Reisekosten an. Anfallende Hotel- und Fahrtkosten sind schnell wesentlich höher als der eigentliche Semesterbeitrag. Allein ein Zugticket nach Brandenburg von Frankfurt/Main (2. Klasse, Bahncard 50) kostet Hin- und Zurück 100€. Muss man dazu noch in einem Hotel Unterkunft suchen, ist man bei mehreren Hundert Euro pro Studienwochenende (Freitag, Samstag, Sonntag, Montag). Immerhin kann man die Kosten von der Steuer absetzen, sodass sich das wieder etwas reduziert. Günstig ist das Studium somit aber auch nur, wenn man dort aus der Umgebung kommt.

Für offizielle Informationen: www.security-management.de

Der sinnlose Hype um E-Mail-Verschlüsselung gegen PRISM

Leave a Comment

Mittlerweile scheint allgemein bekannt zu sein, dass die NSA in der Lage ist große Datenmengen abzugreifen und zu analysieren. Und nun Achtung: Sie macht das wahrscheinlich auch. Was ist daran jetzt neu? Vorher dachte man es sich oder vermutete es, heute weiß man es mit höherer Wahrscheinlichkeit. Also eigentlich nichts neues.

In der Presse ist es nun ein Skandal, dass ein ausländischer Geheimdienst auf seinem Grund und Boden im Geheimen die Kommunikation anderer abhört. Als Resultat wird nun in der  Presse (z.B. in SPIEGEL Online) Verschlüsselungstools wie OpenPGP empfohlen. Damit soll man nun am besten seine Mails verschlüsseln, damit PRISM, TEMPORA & Co diese nicht mehr „mitlesen“ können. Der Sicherheitswelt frohlockt: Danke für die Security Awareness Maßnahme!

Leider wird nicht erwähnt, dass die ausreichend interessanten Verbindungsdaten nicht verschlüsselt werden. Das geht technisch ohnehin nicht. Damit wissen die Geheimdienste immer noch, wer mit wem wann E-Mail-Verkehr hat. Da hilft auch Krypto nicht. Richtig absurd wird das Thema, wenn man seine persönlichen Bilder weiterhin auf Facebook oder Google+ postet.

Tools wie OpenPGP sind top um wirklich vertrauenswürdige Daten auszutauschen. Die Einladung zur nächsten Feier zu verschlüsseln, die nebenbei noch auf Facebook gepostet wird, ist total sinnlos. E-Mails sind wie Postkarten. Niemand regt sich darüber auf, dass der Briefträger und viele andere die Urlaubsgrüße lesen können. Aber bei der E-Mail ist es ein Skandal.

Der Vergleich: CISSP vs. TISP

Leave a Comment

Welche Zertifizierung soll man als IT-Security-Spezialist anstreben: CISSP oder T.I.S.P.?

Merkmale vom CISSP:

  • Höhere Anforderungen an die Berufserfahrung, in der Regel 5 Jahre.
  • Die Berufserfahrung und grundlegende fachliche Qualifikation muss von einem anderen CISSP (es gibt Ausnahmen) bestätigt werden
  • International ausgerichtet; die Ausrichtung auf amerikanische Gesetze nimmt oder nahm bereits ab.
  • Beinhaltet Aspekte zur sicheren Softwareentwicklung.
  • Ist international anerkannt.
  • Die Vorbereitung zur Prüfung ist jedem Prüfling selbst überlassen. Eine Schulung ist kein muss.
  • Ist grundsätzlich thematisch umfangreicher.
  • Es muss zur Erhalt der Zertifizierung eine stetige Weiterbildung nachgewiesen werden.
  • Der CISSP ist ISO 17024:2003 akkreditiert.

Merkmale vom T.I.S.P.

  • Geringere Anforderungen an die Berufserfahrung, nur 3 Jahre.
  • Nur in Deutschland anerkannt (oder vielleicht auch im sonstigen DACH-Raum).
  •  Schulung ist zwingend erforderlich.
  • Aktuell drei Schulungsanbieter: Frauenhofer SIT, secorvo und isits.
  • Leichte Ausrichtung auf „deutsche Themen“ wie BSI, BDSG usw.
  • Keine Aspekte zur sicheren Softwareentwicklung.
  • Auch hier muss zum Erhalt der Zertifizierung ein aber etwas geringerer Weiterbildungsaufwand nachgewiesen werden.
  • Zusätzlich muss einmal alle drei Jahre ein TISP-Community-Meeting besucht werden.
  • Eine Akkreditierung nach ISO 17024:2003 ist nicht vorhanden.

Nachdem ich beide Zertifizierungen halte, würde ich den CISSP dem TISP vorziehen. Die Internationalität schlägt klar die wenigen speziell deutschen Themen vom TISP. Das BDSG & Co kann man sich auch zusätzlich zum CISSP als Einschlaflektüre zu Gemüte ziehen. Auch finde ich es vorteilhaft, wenn man nicht zwingend einen Vorbereitungskurs besuchen muss, wie es beim TISP notwendig ist. Je nach eigenem Kenntnisstand und Berufserfahrung kann das reine Zeit- und Geldverschwendung sein. Vorteilhaft ist meiner Ansicht nach der TISP nur, wenn man nicht die für den CISSP notwendige Berufserfahrung besitzt und ohnehin gerne einen Kurs besuchen möchte oder muss. Zumal die Vorbereitungskurse zum TISP günstiger als die CISSP-Bootcamps sind.

Erfahrungen zur CISM-Prüfung

Leave a Comment

Ich hatte vor ein paar Wochen die CISM-Prüfung abgelegt und nun das Ergebnis erhalten: Bestanden mit 563 Punkten. Insbesondere nachdem ich für die Prüfung weniger als die Hälfte der Zeit – unter 2 von 4 Stunden – benötigt hatte, bin ich mit dem Ergebnis sehr zufrieden.

Meine Vorbereitung zur Prüfung bestand aus dem  CISM Review Manual 2013 und der CISM Practice Question Database v13. Ich finde das Review Manual sehr trocken geschrieben und es ist bei mir nach dem ersten Querlesen wieder im Schrank verschwunden. Das Review Manual kann ich nicht empfehlen. Wesentlich hilfreicher war für mich die CISM Practice Question Database, sodass sich meine gesamte Vorbereitung auf diesen Fragekatalog gestützt hat. Ein bis zwei Wochen vor der Prüfung ab und zu mal ein paar Fragen aus der Datenbank zu beantworten, war für mich am sinnvollsten. Im Gegensatz zum Review Manual war die Practice Question Database sein Geld absolut wert.

Die Prüfung selbst habe ich in einem Frankfurter Hotel abgelegt. Es gab kostenlose Getränke, aber Kaffee habe ich sehr vermisst. Wer an einem Samstagmorgen Kaffee benötigt, sollte vorher seine Koffeinversorgung sicherstellen! Die Organisatoren der Prüfer vor Ort schienen mir mit der Masse an CISA, CISM & Co. Prüflingen etwas überfordert, es lief aber insgesamt alles problemlos ab. Das Hinterherlaufen eines Prüfers, wenn man die Toilette besucht, fand ich etwas übertrieben. Natürlich sind sie draußen vor der Toilettentür stehen geblieben.  Auf dem paranoiden Niveau fehlte eigentlich nur noch eine Prüfung, ob man nicht doch ein Smartphone irgendwo am Körper hat.

Ich fand die CISSP-Prüfung im Vergleich zum CISM anstrengender, nachdem der CISSP wesentlich mehr unterschiedliche Kategorien beinhaltet. Da ist in dieser Hinsicht der CISM mit seinen nur vier nicht-technischen Kategorien einfacher.

Erfahrungen zum TISP

Leave a Comment

Ich habe letzten Samstag die TISP-Prüfung abgelegt und zuvor den Pflicht-Kurs besucht. Im Gegensatz zum CISSP fehlte mir insbesondere der gesamten Themenpunkt von Sicherheit im Softwarelebenszyklus. Hier hinkt meiner Meinung nach der TISP gegenüber dem CISSP inhaltlich sehr hinterher. Ansonsten merkt man dem TISP seine „Verwandtschaft“ zum CISSP deutlich an. Die Hinzunahme relevanter deutscher Punkte wie BSI und diverse Gesetze ist durchaus gelungen. Auch wenn ich die starke Ausrichtung zumindest im Kurs an BSI nicht direkt verstehen kann. Im Gegensatz zur TISP FAQ denke ich auch nicht, dass der IT-Grundschutz in Europe irgendeine nennenswerte Bedeutung hat.[1] Leider negativ ist mir noch aufgefallen, dass z.B. das Frauenhofer SIT und secorvo unterschiedliche Definitionen des ROSI verwenden. Das spricht nicht direkt für ein einheitliches Qualitätsmanagement.

[1] Vgl. http://www.teletrust.de/tisp/tisp-faq/, Stand 02.07.2013