Home      Themenübersicht / Sitemap      Notizen      Webmaster      
Newsletter Abo

 

1. Newsletter - sicherheitskultur.at

von Philipp Schaumann


Willkommen zu meinem ersten Sicherheitskultur-Newsletter und vielen Dank 
für das unerwartet große Interesse. Viel Spaß beim Stöbern in den weiterführenden Links.

Hier die Meldungen:

1. DropMyRights - für alle, die als Admin surfen (müssen)
----------------------------------------------------------------
Ein durchgehendes Problem für viele Unternehmen ist, dass die Anwender 
eigentlich keine Admin-Rechte haben sollten, es aber letztendlich immer 
gute Gründe gibt, warum diese Rechte doch benötigt werden (Anwendungen, 
die sonst nicht laufen, notwendige Netzumkonfigurationen, etc.)

Gefunden habe ich die Lösung dafür im SANS Jahresbericht: DropMyRights. 
In kleines Programm, das die Rechte für Programme, die von DropMyRights  
gestartet werden, heruntersetzt. Ideal ist dies für E-Mail-Programme und 
Web-Browser.

Die Details mit den Links finden sich auf
http://sicherheitskultur.at/notizen_2_06.htm#dropmyrights


2. Lesenswert: der SANS Top20-Bericht
---------------------------------------
Die neuen (und alten) Trends: Angreifer haben die Angriffe auf 
Betriebssystemebene ergänzt durch noch niedriger hängende Früchte: weit 
verbreitete Anwendungen aller Hersteller (z.B. Flash, WinZip, Shockwave, 
QuickTime, WinAmp, Opera Browser, Adobe PDF Reader, ICQ Messenger, 
RealPlayer, OpenOffice und Shockwave Plug-in), auf die MS Office Produkte. 
Außerdem sind targeted Attacks stärker im Wachsen, 
und das bedeutet, dass der Schutz über Pattern-Erkennung von Schadsoftware 
immer löcheriger wird. 

Die Details mit den Links finden sich auf
http://sicherheitskultur.at/notizen_2_06.htm#sans


3. Die Angriffe werden komplexer
-----------------------------------
Die Analysen von Angriffen zeigen immer komplexere und gefährlichere 
Techniken, die Zeit der Amateur-Gegner (Ego-Hacker und Script-Kiddies) 
ist wirklich vorbei.

Trojaner werden ausfallsicher und mit eingebauen Fail-Save-Konzepten 
entwickelt und die Angreifer legen auch schon mal ein ganzes Land lahm. 

Die Details mit den Links finden sich auf
http://sicherheitskultur.at/notizen_2_06.htm#spamthru
http://sicherheitskultur.at/notizen_2_06.htm#ganzesland


4. Neues aus der schönen neuen Welt des RFID
--------------------------------------------------
Die neuen elektronischen Reisepässe kommen immer mehr unter Beschuss, und 
das auch von unerwarteter Seite, nämlich dem US DHS, Department of Homeland 
Security.
Eine Studiengruppe des DHS hat einen Bericht vorgelegt, der darlegt, dass
Maschinenlesbarkeit zwar eine gute Idee ist (schnellere Verarbeitung), aber 
dass dies nicht unbedingt drahtlos sein muss (Alternativen wäre z.B. 3D Barcodes). 
Und dass durch das nachträgliche Einführen der Basic Access Control der 
Geschwindigkeitsvorteil der drahtlosen Verbindung wieder aufgehoben wird, ohne 
dass eine wirkliche Sicherheit gegen Abhören (und Cracken gegeben ist). Die 
Studie rät aus diesen Gründen von der Nutzung von RFID zur Authentisierung 
von Personen ab.

Gleichzeitig haben in den USA die Kreditkartenfirmen begonnen, RFID in 
Kreditkarten zu integrieren, mit dem Erfolg dass die erste Studie draußen ist, die 
zeigt, welche deutlichen Vorteile dies für die kriminelle Welt bietet.

Die Details mit den Links finden sich auf
http://sicherheitskultur.at/RFID_privacy.htm#epass2


5. Aus dem Social Engineering Lehrbuch
--------------------------------------------
Die Vorgänge rund um die das obere Management von HP geben sehr gute 
Einblicke, was im Bereich Social Engineering abläuft. Eine der Lehren ist z.B., 
dass Informationen, wie z.B. die Sozialversicherungsnummer nicht als 
Authentisierungsmechanismus geeignet ist. Das gilt aber auch für andere 
unveränderliche Informationen, wie z.B. Mädchenname der Mutter.

Hier ein Detail: die Helpdesk-Mitarbeiter von Verizon haben irgendwann 
gemerkt, dass da was "komisches" vorgeht:
"......Verizon Wireless also found that a snooper tried to access the 
director’s spouse’s cell phone account in February and March of this year, 
with at least three attempts made by contacting customer service agents.
While those attempts were unsuccessful, and the service reps even 
made a note for each other not to give out the information without proper 
verification, the snooper did manage to establish a user name and 
password for the account online and likely got access to the 
phone records that way."
http://www.redherring.com/article.aspx?a=18877#

D.h. die Mitarbeiter hatten sehr wohl ein komisches Gefühl, aber nur 
begrenzte Möglichkeiten, dieses Gefühl irgendwie umzusetzen. 
Obwohl da die Notiz vorlag, dass dieser Account eigenartige Aktivitäten 
zeigt, waren die Schnüffler trotzdem weiterhin erfolgreich.

Für mich bedeutet das, dass die Betreiber von solchen Call-Centers dafür 
sorgen müssen, dass die Mitarbeiter sich gegenseitig alarmieren können, 
wenn sie ein schlechtes Gefühl zu einem der Accounts haben, z.B. 
indem der Eintrag zu diesem Kunden mit einer nicht übersehbaren Warnung 
versehen wird. 

Meine These dazu: die Unternehmen lassen die Call-Center Mitarbeiter mit 
widersprüchlichen Vorgaben allein im Regen stehen: Kundenfreundlichkeit 
gegen Sicherheit der Accounts. Mehr dazu in meiner Präsentation:
http://sicherheitskultur.at/pdfs/social_engineering.pdf

Und hier ist ein Trick, den ich noch nicht kante, berichtet aus einem 
früheren Prozess vom Jan. 2006, Verizon gegen Händler mit Telefondaten:

"According to the suit, online cell-phone record vendors placed hundreds of 
thousands of calls to Verizon customer service requesting customer 
account information while posing as Verizon employees from the company's 
"special needs group," a nonexistent department. 
The caller would claim to be making the request on behalf of a 
voice-impaired customer who was unable to request the records himself. 
If the service representative asked to speak with the customer directly, the 
caller would impersonate a voice-impaired customer, using a mechanical 
device to distort his voice and make it impossible 
for the service representative to understand him -- a variant of a widely used 
social-engineering technique known as the "mumble attack."
http://www.wired.com/news/technology/1,70027-0.html


6. Training des Benutzerbewusstseins
------------------------------------------
Benutzerbewusstsein ist auch so ein Aspekt, der
1. stark vernachlässigt und sehr halbherzig angegangen wird und
2. als herhalten muss als Catch-All, wenn die technischen und 
   organisatorischen Mittel  versagt haben.

Und dabei gibt es hier jede Menge Handlungsbedarf und auch Handlungsmöglichkeiten, vorausgesetzt,
ich habe Rückendeckung des oberen Managements.

Mehr Details dazu finden sich auf
http://sicherheitskultur.at/Trainingskonzept.htm


7. Und hier zur noch was nicht-geschäftliches
-------------------------------------------------
Aus meiner riesigen Sammlung von lustigen Kuriositäten auf meiner 
Privatwebsite, köstliche Animated-GIFs.

http://philipps-welt.info/anim_backgrounds.htm
(anklicken für die vollen Versionen, die sind noch verwirrender)

 


 

Philipp Schaumann, http://sicherheitskultur.at/

Zurück zum Archiv-Überblick

Home

 


Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.