| Home Themenübersicht / Sitemap Webmaster |
von Philipp Schaumann
Hier die aktuellen Meldungen:
1. Reports
----------
F-Secure Mobile Threat Report Q1 2013
http://www.f-secure.com/weblog/archives/00002553.html
2. Die Vision von Google
------------------------
Eine sehr schöne literarische Geschichte von Mat Honan (der sich alle seine Daten hat
abnehmen lassen, siehe http://sicherheitskultur.at/Cloud_Security.htm#story ).
Diese Geschichte hat er nach der Google I/O Konferenz geschrieben, wo Larry Page seine
Vision der zukünftigen Welt dargestellt hat:
Welcome to Google Island
http://www.wired.com/gadgetlab/2013/05/on-google-island/
Die Geschichte fasst die Schrecken einer von den Ideen der Techniker dominierten Welt sehr
schön zusammen.
Hier CNET zu dem Larry Page Auftritt auf den sich das bezieht:
http://news.cnet.com/8301-1023_3-57584759-93/at-google-i-o-larry-page-preaches-a-tech-fantasia/
Auch zum Thema "wearable devices"
http://www.androidauthority.com/google-glass-dystopian-215232/
In diesem Zusammenhang auch interessant: die neue Xbox Kinect
http://futurezone.at/produkte/16008-xbox-kinect-totale-kontrolle-ohne-ausweg.php
3. Für die Toolsammlung
-----------------------
Im vorigen Newsletter hatte ich eine kleine Sammlung von URLs aufgelistet,
die für web-forensische Aktitäten hilfreich sind, z.B. Phishing Vorfälle.
Hier eine Ergänzung:
http://urlquery.net/
http://www.websicherheit.at/web-security-check/
Um zu prüfen,ob auf einer Website bereits bekannte Schadsoftware drauf ist.
Die anderen Links finden sich alle im Newsletter-Archiv, in Ausgabe 78
http://sicherheitskultur.at/Newsletter/Newsletter_78.htm
4. Materialien zum Thema Authentisierung und Absicherung von Gerätekommunikation
--------------------------------------------------------------------------------
Jetzt wird es etwas technischer, ein Text eher für Security Profis:
Ich beschäftige mich mit mehreren Aspekten des Themas Authentisierung.
Von der Aufgabenstellung her geht es einmal um die Implementierung
von Single Sign-on Lösungen, vor allem im Internet, zum anderen um eine
Device Authentisierung und Absicherung des SSL-Zugangs, z.B. von Apps bei
denen der Benutzer ja das SSL-Server Zertifikat nicht selbst überprüfen kann.
Eine vernünftige Lösung für SSO über das Internet scheint die Kombination von
SAML und OAuth 2.0 zu sein (SAML für Identifizierung und Authentisierung und
OAuth für die Erstellung eines Zugangstokens zu einer Lösung, bzw. Daten).
Hier ein längerer Hintergrundartikel von Google, speziell im 2. Teil wird
es interessant:
http://www.computer.org/cms/Computer.org/ComputingNow/pdfs/AuthenticationAtScale.pdf
During enrollment of a device to a service, when the user is authenticated securely,
the user device is securely (cryptographically) bound to the service
Hier ein kürzerer Übersichtsartikel dazu:
https://threatpost.com/google-has-aggressive-plans-for-strong-authentication/
Der letzte Artikel referenziert auf
https://docs.google.com/document/d/1r9qnZUehCbtkQR86Wp-sJR2Zu6sHx47queuqmegW2PY/
Interessant ist in diesem Papier ab Seite 2 unten zu ChannelID:
Es geht um automatisiertes Erstellen eines Schlüsselpaares auf dem
mobilen Gerät mit dessen Hilfe ein "Zugriffstoken" (z.B. Cookies) so abgesichert werden
kann, dass dieser nur zusammen mit dem privaten Schlüssel dieses Geräts genutzt
werden kann.
Ziel von ChannelID soll es sein, für kritische Anwendungen wie
Internetbanking zumindestens die "skalierenden Angriffe" stark zu erschweren.
Hier der Draft-RFC zu ChannelID
http://tools.ietf.org/html/draft-balfanz-tls-channelid-00
Das war für mich eine herbe Enttäuschung. Statt das Keypair, das auf dem Gerät
angelegt wird, für eine bessere Absicherung der HTTPS-Verbindung zu nutzen
(SSL-client Zertifikate), schlägt Google hier vor, dass das TLS-Protokoll
selbst geändert werden soll um sicherzustlelen, dass "Zugriffstoken" sicher an
dieses Gerät gebunden werden können. Das ist natürlich wichtig, ich denke jedoch,
dass auch ohne Protokolländerung möglich sein sollte, anderseits gehört ganz
wichtig die SSL-Verbindung gegenseitig durch Authentisierung abgesichert wird
(dazu mein eigener Artikel auf
http://sicherheitskultur.at/notizen_1_13.htm#https )
Hier noch Artikel zum Thema Threat Modelling für solche Anwendungen
- OAuth 2.0 Threat Model and Security Considerations
http://tools.ietf.org/html/rfc6819
- Security and Privacy Considerations for the OASIS Security Assertion Markup Language (SAML) V2.0
http://docs.oasis-open.org/security/saml/v2.0/saml-sec-consider-2.0-os.pdf
Wie wichtig dieses Threat Modelling ist, das zeigt der Artikel hier, der aufzeigt,
dass alle kommerziell verfügbaren SSO Implementierungen wie OpenID und FB-Login
fehlerhaft sind (bzw. waren).
Trotzdem bin ich davon überzeugt, dass es in diese Richtung gehen muss.
https://research.microsoft.com/pubs/160659/websso-final.pdf
Hintergrundpapiere zu SAML und OAuth:
Single Sign-On for Desktop and Mobile Applications using SAML
https://wiki.developerforce.com/page/Single_Sign-On_for_Desktop_and_Mobile_Applications_using_SAML_and_OAuth
http://www.scribd.com/doc/22292114/Saml-Oauth
5. Einführung in Kryptographie
------------------------------
Hat mit IT nur am Rande zu tun, ist aber evt. für manche Leser ganz interessant.
http://adamsblog.aperturelabs.com/2013/05/back-to-skule-one-pad-two-pad-me-pad.html
Philipp Schaumann, http://sicherheitskultur.at/
Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. 
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.
Zurück zum Archiv-Überblick