Home      Themenübersicht / Sitemap      Notizen      Webmaster      
Newsletter Abo

 

79. Newsletter - sicherheitskultur.at - 30.05.2013

von Philipp Schaumann


Hier die aktuellen Meldungen: 

1. Reports
----------
F-Secure Mobile Threat Report Q1 2013
    http://www.f-secure.com/weblog/archives/00002553.html




2. Die Vision von Google
------------------------
Eine sehr schöne literarische Geschichte von Mat Honan (der sich alle seine Daten hat 
abnehmen lassen, siehe http://sicherheitskultur.at/Cloud_Security.htm#story ).
Diese Geschichte hat er nach der Google I/O Konferenz geschrieben, wo Larry Page seine
Vision der zukünftigen Welt dargestellt hat:
Welcome to Google Island
   http://www.wired.com/gadgetlab/2013/05/on-google-island/
Die Geschichte fasst die Schrecken einer von den Ideen der Techniker dominierten Welt sehr
schön zusammen.

Hier CNET zu dem Larry Page Auftritt auf den sich das bezieht:
    http://news.cnet.com/8301-1023_3-57584759-93/at-google-i-o-larry-page-preaches-a-tech-fantasia/

Auch zum Thema "wearable devices"
   http://www.androidauthority.com/google-glass-dystopian-215232/

In diesem Zusammenhang auch interessant: die neue Xbox Kinect
   http://futurezone.at/produkte/16008-xbox-kinect-totale-kontrolle-ohne-ausweg.php



3. Für die Toolsammlung
-----------------------
Im vorigen Newsletter hatte ich eine kleine Sammlung von URLs aufgelistet,
die für web-forensische Aktitäten hilfreich sind, z.B. Phishing Vorfälle.
Hier eine Ergänzung:

   http://urlquery.net/
   http://www.websicherheit.at/web-security-check/
Um zu prüfen,ob auf einer Website bereits bekannte Schadsoftware drauf ist.

Die anderen Links finden sich alle im Newsletter-Archiv, in Ausgabe 78
   http://sicherheitskultur.at/Newsletter/Newsletter_78.htm



4. Materialien zum Thema Authentisierung und Absicherung von Gerätekommunikation
--------------------------------------------------------------------------------
Jetzt wird es etwas technischer, ein Text eher für Security Profis:

Ich beschäftige mich mit mehreren Aspekten des Themas Authentisierung.
Von der Aufgabenstellung her geht es einmal um die Implementierung 
von Single Sign-on Lösungen, vor allem im Internet, zum anderen um eine
Device Authentisierung und Absicherung des SSL-Zugangs, z.B. von Apps bei
denen der Benutzer ja das SSL-Server Zertifikat nicht selbst überprüfen kann.

Eine vernünftige Lösung für SSO über das Internet scheint die Kombination von 
SAML und OAuth 2.0 zu sein (SAML für Identifizierung und Authentisierung und
OAuth für die Erstellung eines Zugangstokens zu einer Lösung, bzw. Daten).

Hier ein längerer Hintergrundartikel von Google, speziell im 2. Teil wird 
es interessant:
   http://www.computer.org/cms/Computer.org/ComputingNow/pdfs/AuthenticationAtScale.pdf
During enrollment of a device to a service, when the user is authenticated securely, 
the user device is securely (cryptographically) bound to the service 

Hier ein kürzerer Übersichtsartikel dazu:
   https://threatpost.com/google-has-aggressive-plans-for-strong-authentication/

Der letzte Artikel referenziert auf 
   https://docs.google.com/document/d/1r9qnZUehCbtkQR86Wp-sJR2Zu6sHx47queuqmegW2PY/
Interessant ist in diesem Papier ab Seite 2 unten zu ChannelID: 
Es geht um automatisiertes Erstellen eines Schlüsselpaares auf dem 
mobilen Gerät mit dessen Hilfe ein "Zugriffstoken" (z.B. Cookies) so abgesichert werden
kann, dass dieser nur zusammen mit dem privaten Schlüssel dieses Geräts genutzt 
werden kann.
Ziel von ChannelID soll es sein, für kritische Anwendungen wie
Internetbanking zumindestens die "skalierenden Angriffe" stark zu erschweren.

Hier der Draft-RFC zu ChannelID
   http://tools.ietf.org/html/draft-balfanz-tls-channelid-00
Das war für mich eine herbe Enttäuschung. Statt das Keypair, das auf dem Gerät 
angelegt wird, für eine bessere Absicherung der HTTPS-Verbindung zu nutzen 
(SSL-client Zertifikate), schlägt Google hier vor, dass das TLS-Protokoll 
selbst geändert werden soll um sicherzustlelen, dass "Zugriffstoken" sicher an 
dieses Gerät gebunden werden können. Das ist natürlich wichtig, ich denke jedoch, 
dass auch ohne Protokolländerung möglich sein sollte, anderseits gehört ganz 
wichtig die SSL-Verbindung gegenseitig durch Authentisierung abgesichert wird
(dazu mein eigener Artikel auf
    http://sicherheitskultur.at/notizen_1_13.htm#https )


Hier noch Artikel zum Thema Threat Modelling für solche Anwendungen
- OAuth 2.0 Threat Model and Security Considerations 
   http://tools.ietf.org/html/rfc6819  
- Security and Privacy Considerations for the OASIS Security Assertion Markup Language (SAML) V2.0
    http://docs.oasis-open.org/security/saml/v2.0/saml-sec-consider-2.0-os.pdf 

Wie wichtig dieses Threat Modelling ist, das zeigt der Artikel hier, der aufzeigt, 
dass alle kommerziell verfügbaren SSO Implementierungen wie OpenID und FB-Login 
fehlerhaft sind (bzw. waren).
Trotzdem bin ich davon überzeugt, dass es in diese Richtung gehen muss.
   https://research.microsoft.com/pubs/160659/websso-final.pdf

Hintergrundpapiere zu SAML und OAuth:
   Single Sign-On for Desktop and Mobile Applications using SAML
   https://wiki.developerforce.com/page/Single_Sign-On_for_Desktop_and_Mobile_Applications_using_SAML_and_OAuth
   http://www.scribd.com/doc/22292114/Saml-Oauth




5. Einführung in Kryptographie
------------------------------
Hat mit IT nur am Rande zu tun, ist aber evt. für manche Leser ganz interessant.
   http://adamsblog.aperturelabs.com/2013/05/back-to-skule-one-pad-two-pad-me-pad.html



 


 

Philipp Schaumann, http://sicherheitskultur.at/

Zurück zum Archiv-Überblick

Home

 


Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.