Beruflich Dokumente
Kultur Dokumente
5/2009 HAKIN9 4
10/2010
INHALTSVERZEICHNIS
PRAXIS
17 Penetration Testing im Jahre 2010
Dimitri Roschkowski
Viele Administratoren übersehen leider bei der Absi-
cherung des Netzwerkes seine physikalische Sicher-
heit. Die Bedrohung kommt nicht nur durch das Ether-
net-Kabel.
ABWEHR
25 OCTAVE – Hier macht das Risiko die Musik
Helmut Kaufmann
Die überwiegende Mehrheit von Unternehmen sind
nach regulativen Vorgaben wie z.B. Basel II, Solvency
II, SOX, 8. EU Auditrichtlinie oder SAS 70 angehalten
ein nachhaltiges und nachvollziehbares Risikomanage-
ment und Business Continuity Planning zu implemen-
tieren.
4 6/2010
InhaltsverzeIchnIs
ANGRIFF
37 DNS Cache Poisoning
Patrick Schmid
Als Ergänzung zu meinem ersten Artikel Java Applet
Attacke erfahren wir hier, wie wir ein Opfer mittels DNS
Spoofing unbemerkt eine präparierte Seite unterschie-
ben können.
INTERVIEW
41 Interview mit Tobias Glemser
„Sicherheit darf nicht erst am Ende von neuen Anwen-
dungen, Produkten oder Projekten als Kontrollinstru- 44 Interview mit Ulrike Peter
ment einbezogen, sondern muss als integraler und vor „Die IT ist (und bleibt es sicher auch) eine Männerdo-
Allem unterstützender Bestandteil eines erfolgreichen mäne – Frauen in der IT-Branche sind Paradiesvögel.“
Produkts gesehen werden.“ Mehr erfahren Sie aus dem Interview mit Ulrike Peter –
Mehr erfahren Sie aus dem Interview mit Tobias Glem- freie Journalistin und seit zehn Jahren für unterschiedli-
ser – leitender IT-Sicherheitsberater bei der Tele-Con- che Unternehmen und Medien in der IT-Branche tätige
sulting security networking training GmbH in Gäufelden PR-Spezialistin.
bei Stuttgart und verantwortlich für den Geschäftsbe-
reich Penetrationstests.
REZENSIONEN
46 SAP for DFPS Implementierung und Custo-
mizing
Nicole Huck
Das Buch SAP for DFPS Implementierung und Cus-
tomizing, basiert auf mehr als 20 Jahren Erfahrung,
die die Autoren insgesamt bei der Entwicklung, Imple-
mentierung, aber auch Schulung der Lösung sammeln
konnten.
hakin9.org/de 5
FÜR EINSTEIGER
D
dem Ausland – dafür sind diese Plattformen ja schließ-
dass sie nur maximal so sicher sind, wie ihr lich auch bestens geeignet. Doch was, wenn jemand ihr
schwächstes Glied. Durch das Web 2.0 wird im- Konto übernimmt und unter Ihrem Namen dort Humbug
mer mehr auf Komfort und Benutzerfreundlichkeit ge- treibt? Stellen Sie dies nicht sofort fest, so kann diese
setzt, wodurch einfache Sicherheitsmechanismen ihre Internetplattform schnell zu einem sehr großen Problem
Wirkung verfehlen. Bruteforce Angriffe galten durch werden. Schon bei der Anmeldung bei diesen Seiten le-
die schier unendlichen Kombinationsmöglichkeiten als gen wir unsere wichtigen Daten in die Hände der Betrei-
„nicht mehr praktikabel“. Viele Seiten erlauben es uns ber, ohne das uns eigentlich wirklich interessiert, wofür
aber, die Anzahl an Versuchen drastisch einzuschrän- diese weiter verwendet werden. Erst wenn mal wirklich
ken, da sie Informationen preisgeben, die einen Angriff ein großer Skandal an die Oberfläche dringt, herrscht
oftmals bedeutend einfacher machen. Empörung und die allgemeine „ich hab‘s doch gesagt“-
Wenn Sie sich heute im Internet herumtreiben, finden Stimmung kommt auf. Bei Spammern und Crackern
Sie sich zwischen Social Networks, Auktionsplattfor- sind Accounts zu Auktionsplattformen, Email-Konten
men und Tauschbörsen wieder. Identitäten werden im und Social Networks sehr beliebt da viele Benutzer für
Netz frei und für jedermann zugänglich eingestellt, und mehrere Zugänge das selbe Passwort verwenden und
manch einem kommt es vor, wie wenn er durch Twit- so zum Beispiel durch den eBay-Account auf Rechnung
ter und Co. mehr über seinen Nachbarn wüsste, wie des Opfers eingekauft werden kann. Ein Benutzer kann
über seinen langjährigen Freund. Obwohl viele immer hier nur wenige, trotzdem aber effektive Maßnahmen
noch der Ansicht sind, sich frei und anonym im Internet ergreifen. Ein sicheres Passwort zu wählen ist der erste
bewegen zu können, so stellen sie doch Details über und wichtigste Schritt, wobei immer mehr Passwörter
ihr Leben jedem frei zur Verfügung. Sie denken ein frei über nicht-verschlüsselte Verbindungen und Keylogger
erfundener Benutzername halte die meisten davon ab abgefangen werden und somit auch das sicherste Pass-
ihre wahre Identität herauszufinden? Lassen Sie sich wort nutzlos ist. Ein zweiter Schritt wäre verschiedene
gesagt sein das dies ein Irrtum ist – ein sehr großer Irr- Passwörter für die unterschiedlichen Seiten zu verwen-
tum! Die Gefahr, die all dies mit sich bringt, ist leicht zur den und diese regelmäßig zu erneuern. Dieser Schritt
erklären: Stellen Sie sich vor, sie arbeiten in einem gro- wird aber leider nur sehr selten wirklich umgesetzt, da
ßen Telekommunikationsunternehmen. Über Facebook er mit grossem Aufwand verbunden ist und die meisten
und Xing halten Sie gerne Kontakt mit Kollegen aus Benutzer keine Lust haben sich mehrere verschiedene
6 9/2010
User Enumeration bei Web-Applikationen
Passwörter zu merken. Oftmals werden zwar viele ver- anders vorgehen: er überprüft den Login-Mechanismus
schiedene Zugangsdaten verwendet, durch das häufige auf Ausgaben, welche den Benutzernamen verraten
wechseln, werden dann aber eher einfache Passwörter oder Hinweise darauf geben könnten ob der zum Test
verwendet, damit der Benutzer sich diese leicht merken angegebene Name ein wahrer Benutzername ist. Hin-
kann. weise darauf geben Rückgaben wie „Das für diesen Be-
Um einen Zugang zum Benutzerkonto des Anwen- nutzernamen angegebene Passwort ist nicht korrekt!“
ders zu bekommen, sind meist ein Benutzername und oder ähnliches. Gegengeprüft werden kann dies durch
ein Passwort nötig. Oftmals fangen hier schon die Pro- die Eingabe eines fiktiven Benutzers. Variiert die Aus-
bleme an. Hat der Angreifer herausgefunden, dass sich gabe von der obigen so ist es sehr wahrscheinlich dass
die Benutzer durch eine Email-Passwort-Kombination der zuvor verwendete Name korrekt war.
anmelden können, muss er schon mal viel weniger Zeit Ein weiterer Angriffsvektor ist die „Passwort-verges-
investieren, den Benutzernamen herauszufinden, was sen-Funktion“. Ist solch eine Funktion schlecht ge-
bei einem Bruteforce-Angriff ein Zeitvorteil sein, wel- schrieben, oder ist diese einfach nur zu leichtsinnig
cher zwischen durchführbar und nicht durchführbar, al- dem Benutzer Komfortfunktionen anzubieten, können
so Erfolg und Misserfolg entscheidet. Oftmals reicht al- für den Angreifer wichtige Informationen preisgeben
so schon eine simple Registrierung bei einer Zielseite werden. Eine Fehlkonfiguration, bzw. leichtsinnige Web
um die Feinheiten einer Anmeldefunktion herauszufin- 2.0 Funktion, wie die eben angesprochene, kann zum
den und auszunutzen. Kann ein Benutzer seinen Nick- Beispiel bei Eingabe der Mailadresse auf der Passwort-
namen frei wählen, so sind die Möglichkeiten bei einem Vergessen-Seite mit einem Satz wie „Eine Email mit
Bruteforce-Angriff wieder immens, sodass der Angrei- Ihrem neuen Passwort für den Benutzeraccount <na-
fer eine andere Taktik wählen muss. Er wird versuchen me> wurde erfolgreich an Sie zugestellt“ antworten,
ohne mühsames Durchprobieren von Kombinationen wodurch der wahre Benutzer zwar eine Email, der An-
an den Benutzernamen zu kommen oder einen ande- greifer jedoch auch den Benutzernamen erhält. Ist die
ren Schwachpunkt im System ausnutzen. In diesem angegebene Sicherheitsadresse inaktiv oder wird nur
Artikel werde ich ein paar einfache Möglichkeiten dar- sporadisch verwendet, so geht diese Email leicht un-
stellen um einer Web-Applikation Benutzernamen zu ter und der Angreifer kann mit seiner Arbeit fortfahren.
entlocken (User Enumeration) und diese automatisch Ein gutes Beispiel hierfür ist Wordpress. Auch in seiner
aufzunehmen. neuesten Version kann über die „Passwort-vergessen-
Wie bereits oben beschrieben kann sich der Angrei- Funktion“ der Benutzername herausgefunden werden.
fer, sofern er dazu berechtigt ist, zuerst ein Bild vom Re- Ein sogenannter Bot-Schutz ist nicht vorhanden, so-
gistrierungs- bzw. Login-Mechanismus machen. Findet dass wir das ganze mit einem Webproxy, in unserem
er beispielsweiße heraus dass der Benutzername eine Fall Burpsuite, automatisieren können.
Mailadresse ist, so kann er leicht Suchmaschinen oder Durch eine lokale Recherche an einem Wordpress
Social Networks verwenden, um diese herauszufinden. haben wir herausgefunden, dass beim Eingeben eines
Werden frei wählbare Benutzernamen verwendet, so falschen Benutzernamens ein Fehler zurückgegeben
fällt diese Art von Recherche weitestgehend aus, wo- wird: ERROR: Invalid username or e-mail. Verwenden
bei natürlich auch hier manchmal ein Glückstreffer da- wir jedoch den richtigen Benutzernamen erhalten wir
bei sein kann. In so einem Fall wird der Angreifer aber ein: Check your e-mail for the confirmation link.
Request Response
Bruteforce
hakin9.org/de 7
FÜR EINSTEIGER
Nun müssen wir uns genauer ansehen was zwischen POST-Anfrage und deren Antwort von Burpsuite aufge-
unserem Client und dem Webserver kommuniziert wird. zeichnet werden. Dort können wir unter request -> pa-
Hierfür starten wir Burpsuite und konfigurieren unseren rams unsere gerade eingegebenen und noch weitere
Browser so dass er als Proxy localhost auf Port 8080 Daten betrachten (Abbildung 2).
verwendet. Als nächstes wechseln wir in den Proxy-Tab Als nächstes senden wir den Request per Rechts-
und setzen Intercept auf Off. Durch das Deaktivieren klick an den Intruder. Das Target-Tab lassen wir unbe-
dieser Funktion verhindern wir, das uns Burpuite bei rührt, wir werden erst bei den Positions-Optionen aktiv.
jedem Schritt frägt, ob wir die Daten wirklich zu unse- Wir klicken rechts auf „clear $“. Als Attacke verwenden
rem Webserver senden wollen. Als nächstes besuchen wir Sniper. Ganz unten im Textfeld sehen wir eine Zeile
wird unsere Zielseite. Wordpress verwendet immer mit „user_login“. Dies sind die Parameter die per POST
das gleiche Schema: http://www.zielseite.de/wp-login. übergeben werden. Ich markiere den zum Test einge-
php?action=lostpassword. Wir geben absichtlich ei- gebenen Benutzername und klicke auf „add $“ (Abbil-
nen falschen Benutzernamen an und verfolgen wie die dung 3).
8 9/2010
User Enumeration bei Web-Applikationen
Nun müssen wir noch unser Payload konfigurieren. Hier funktioniert dies auch mit Registrierungssystemen die
verwenden wir „Payload Set 1, present list“. Man kann nun angeben ob ein Benutzername schon vergeben ist. Den
optional eine ganze Liste mit Benutzernamen laden, oder Möglichkeiten sind hier nur durch die eigene Kreativi-
einfach per Hand einige eintragen. Nun müssen wir noch tät Grenzen gesetzt. Mit dieser simplen Methode gelingt
unterscheiden lassen wann ein Benutzer gefunden wur- es einem Angreifer automatisiert Benutzernamen zu fin-
de und wann nicht. Dazu gehen wir in den Option-Tab und den – doch was kann noch passieren?
scrollen zu grep. Wir aktivieren die Checkboxen bei „search Eine oft übersehene Tatsache ist dass das Problem
responses for these expressions“ und „simple pattern oft vor der Tastatur sitzt. Sprich, der Admin hat etwas
match“. Außerdem drücken wir auf clear. Die voreingestell- falsch konfiguriert. So kann es vorkommen dass gan-
ten Pattern brauchen wir nicht zu verwenden. Wir wissen ze Mitgliederlisten in Foren öffentlich zugänglich sind
dass bei Eingabe eines existierenden Benutzernamens ein oder im Cache von Suchmaschinen gefunden werden
„Check your e-mail for the confirmation link“ zurückgeliefert können. Durch Suchmaschinen wie Google lassen sich
wird. Also tragen wir genau diesen Satz ein und klicken auf solche falsch konfigurierten Seiten leicht auffinden. Ei-
add. Nun geben wir noch an, dass wird redirects folgen wol- ne kleine Liste an Google Dorks ist in Listing 1 angege-
len. Damit haben wir alles nötige konfiguriert. Wir klicken ben. Eine weitere Möglichkeit Benutzernamen zu identi-
in der Menuleiste auf intruder -> start attack. Nach einer fizieren sind URLs. Twitter ist hier ein schönes Beispiel.
kurzen Zeit erhalten wir erste Ergebnisse - der Intruder hat Jeder Benutzer kann sich unter twitter.com/benutzerna-
zwei Benutzer identifiziert (Abbildung 3)! Eine gute Wörter- me austoben. Dies stellt eine weitere Möglichkeit dar
liste erhöht die Effizient natürlich deutlich! automatisch Namen zu entlarven. Wie bereits erwähnt
Somit konnten wir leicht über die Passwort-Verges- gibt es unzählige Möglichkeiten User Enumeration zu
sen Funktion automatisiert Benutzer erfassen. Natürlich betreiben wodurch Bruteforce eine nicht zu unterschät-
zende Möglichkeit bleibt.
Listing 1. Google Dorks
hakin9.org/de 9
2010
www.sigs-datacom.de
www.sigs-datacom.de www.sigs-datacom.de
Malware-Doppelschlag per JavaScript und JavaApplet
Malware-Doppelschlag per
JavaScript und JavaApplet
Automatischer Download durch JavaScript und
Ausbruch aus der Virtuellen Java Umgebung
Michael Peick
Besonders in diesem Jahr steigt die Anzahl der E-Mails
die ohne Zutun des Anwenders oder nur mit sehr wenig
Einflussnahme des Anwenders Schadsoftware installieren.
Das eleven Research-Team hat ein Beispiel näher untersucht.
E
Wird die Datei "39035xls.html" im Anhang im Brow-
haft versandt wird und eine Website/HTML-Datei ser aufgerufen, dann wird der Nutzer mittels des Ja-
als Anhang enthält. Die E-Mail hat eine unver- vaScripts an eine bestimmte Internetseite weitergeleitet,
fängliche Betreffzeile wie „Re: Vacation“ oder „Ran- die Schadcode enthält. Schreibt man das JavaScript-
dolph Plans“ und einen ebenfalls unverdächtigen Text Codefragment leserlicher, dann sieht man, dass eine
wie beispielsweise: Weiterleitung zur Seite "http://numerouno-india.com/x.
„Thank you very much for meeting with me on Satur- html" führt1 (vgl. Listing 2.).
day. Attached are the plans for the Randolph Street De- Auf der weitergeleiteten WebSite sieht man eine
velopment project we discussed. If you have any ques- weitere Weiterleitung an die URL "http://scaner-g.
tions please don't hesitate to contact me. cz.cc/scanner10/?afid=24". Interessant ist hier nicht
Thanks again.“ die Weiterleitung an eine weitere Seite, sondern die
Im HTML-Anhang befindet sich ein eingebetteter Tatsache, dass ein unsichtbares iFrame mit Brei-
JavaScript Code. Um die Erkennung des JavaScript te 0 Pixel und Höhe 0 Pixel geladen wird. Schauen
Codes zu erschweren, wurde er verschleiert/unleserlich wir uns die dahinterliegende Seite "http://arestyute.
gemacht, in der Fachsprache auch als Obfuscation be- com/sadhbdsa879321jbdas/index.php" etwas ge-
zeichnet (vgl. Listing 1.). nauer an (vgl. Listing 3.).
hakin9.org/de 11
FORTGESCHRITTENE
Hier ist ein Java-Applet eingebettet, welches beim Version ein bestimmter Codeblock angesprungen, wel-
Aufruf der Seite von der Java-Virtual-Machine ausge- cher eine Schwachstelle in der JVM ausnutzt, wodurch
führt wird, sofern diese im Browser installiert und akti- ein Jailbreak ermöglicht wird. Ursprünglich sollen Ja-
viert ist. Ein weiterer verschleierter JavaScript-Code fin- va-Anwendungen in einer Art sicheren Sandbox lau-
det sich ebenfalls. fen und keinen Schaden im Computer anrichten2. Die-
Zunächst analysieren wir das Java-Applet "tmp/des. se Barriere ist in unserem Beispiel durchbrochen. In
jar". In der Datei befinden sich drei Java-Klassen von dem Codefragment unten (vgl. Listing 4a, 4b), betrifft
denen eine Namens dev.s.AdgredY als Einsprungs- die ausgenutzte Schwachstelle vor allem die Java Ver-
punkt für das Applet dient. Mit einem Java-Decompiler sion bis einschließlich 1.6.0_16. Unter "http://vreugden-
kann man die Klassen, welche momentan in Java-Byte- hilresearch.nl/2010/05/java-midi-parse-vulnerabilities/"
code vorliegen, in leserlichen Java-Quelltext überfüh- kann jeder Interessierte detaillierte Informationen zur
ren. Dies entspricht nicht ganz dem originalem Quell- verwendeten Schwachstelle erhalten. Ausgangspunkt
text, kommt ihm aber recht nahe. Wir benutzen dafür ist ein Fehler in der Verarbeitung von URLs im einge-
den Decompiler von http://java.decompiler.free.fr/. bauten Midiplayer von Java.
Schaut man sich nun den Java-Quelltext an, stellt man Beim Ausnutzen der Schwachstelle wird der Shell-
fest, dass keine Obfuscation für Java, wie z.B. das un- code ausgeführt, welcher nun vollen Zugriff auf das
ter der GPL 2+ stehende ProGuard, benutzt wurden. System hat und Schadsoftware mitsamt Trojaner von
Was zu erwarten gewesen wäre, um die Erkennung zu der externen Quelle (URL) nachladen kann.
erschweren. Sollte der Benutzer eine ältere Java Version instal-
Nach einer Verifikation der als Parameter übergebe- liert haben, so wird eine andere Codepassage ange-
nen URL "http://arestyute.com/sadhbdsa879321jbdas/l. sprungen, die Schwachstellen älterer Java Versionen
php?deserialize=6e&i=1" wird abhängig von der Java- ausnutzt.
12 10/2010
Malware-Doppelschlag per JavaScript und JavaApplet
hakin9.org/de 13
FORTGESCHRITTENE
Zusätzlich wird noch das oben erwähnte verschleierte Zusammenfassend lässt sich feststellen, dass
JavaScript auf der ursprünglichen HTML Seite geladen. Schadsoftware auf verschiedensten Wegen ins Sys-
Dieses ist noch erstaunlicher, denn es enthält gleich ei- tem gelangen kann. Es ist nicht mehr notwendig
ne ganze Ladung von Exploits für Java, Adobe Flash Programme zu installieren oder ähnliches. Die hier
sowie Adobes PDF Reader bereit. Der ‚Author‘ der Sei- beschriebene HTML-Datei könnte auch in einem
te war auf höchste Kompatibilität aus, denn auch hier HTML-fähigen E-Mail-Client ausgeführt werden.
werden nur bestimmte – vor allem neuere – Versionen Ebenso kann die iFrame-Konstruktion in E-Mails
der Browser Plugins unterstützt (vgl. Listing 5.). platziert werden. Es sind nicht nur einzelne Pro-
Unter "http://www.exploit-db.com/exploits/12117/" fin- gramme oder PlugIns für Browser betroffen, son-
det man eine Beschreibung der Schwachstelle. Diese dern es wird versucht gezielt neue Schwachstellen
betrifft zusätzlich zum analysierten Applet die Java Ver- für mehrere populäre Programme zu finden, was der
sion 1.6.0_19. letzte Ausschnitt des JavaScript Codes zeigt. Auch
14 10/2010
Malware-Doppelschlag per JavaScript und JavaApplet
das Verbieten von JavaScript 3, was moderne, Ajax- nen, bevor entsprechende Signaturen bereitstehen.
basierte Internetseiten nahezu unbenutzbar macht, Weiterhin sollte der ausgehende E-Mail-Verkehr mit
hätte auf das Laden des Java Applets keine Auswir- gleicher Sorgfalt auf Spam und Viren geprüft wer-
kung. den wie der eingehende. Nur so kann man feststel-
Wie kann man derartigen heterogenen Bedrohun- len, ob man bereits ungewollt zum Spam- und Viren-
gen begegnen? Das häufigste Einfallstor für Schad- versender geworden ist. Am besten funktioniert dies
software bleibt die E-Mail. Also ist die Absicherung mit einer ausgelagerten E-Mail-Sicherheitslösung, da
der E-Mail-Kommunikation der erste und wichtigs- der Anbieter meist von der Masse der empfangenen
te Schritt zur Sicherung des Systems. Moderne An- und analysierten E-Mails profitiert, sprich Bedrohun-
ti-Spam und Anti-Virenprogramme sind in der Lage gen meist schneller erkennt als der einzeln agieren-
Massenmails mit gefährlichen Anhängen zu erken- de Mail-Server-Administrator. Und letzen Endes gilt
immer noch: Öffnen Sie keine E-Mails oder Anhänge
t <>'àSEJF"OBMZTFLBOOIJFS[#4QJEFSNPOLFZPEFS'JSF von Unbekannten.
CVHCFOVU[UXFSEFO
t <>v%JF+BWB7JSUVBM.BDIJOFCJFUFUOFCFOEFS1MBUUGPSN
VOBCIÊOHJHLFJU BVDI FJOFO (FXJOO BO 4JDIFSIFJU 4JF
àCFSXBDIU [VS -BVG[FJU EJF "VTGàISVOH EFT 1SPHSBNNT
WFSIJOEFSU BMTP [#
EBTT FJO 1SPHSBNN àCFS "SSBZHSFO
[FO IJOXFH MJFTU PEFS TDISFJCU *N TQF[JFMMFO 'BMM WPO +B
WB GÊMMU EJFTF ÃCFSXBDIVOH TFIS FJOGBDI BVT
EB +BWBLF
JOF;FJHFSVOUFSTUàU[U4PNJUXFSEFO1VòFSàCFSMÊVGFWFS
IJOEFSU
EJFWPSBMMFNCFJEFOJO$PEFS$HFTDISJFCF
OFO 1SPHSBNNFO WPSLPNNFO LÚOOFOi 2VFMMF http://de-
.wikipedia.org/wiki/Java_Virtual_Machine
t <>.JU#SPXTFSFSXFJUFSVOHFOXJFCTQXOPTDSJQUGàS'JSF
fox. MICHAEL PEICK
Entwickler und Mitglied des eleven Research Teams
hakin9.org/de 15
Penetration Testing im Jahre 2010
Penetration Testing
im Jahre 2010
Dimitri Roschkowski
Viele Administratoren übersehen leider bei der Absicherung
des Netzwerkes seine physikalische Sicherheit. Die
Bedrohung kommt nicht nur durch das Ethernet-Kabel.
I
Kundenverkehrs nicht abgeschlossen. Die Tür zum
vor Gefahren zu schützen. Firewall-Hardware gibt es Serverraum stand wohl wegen der Abwärme sperran-
mittlerweile zu erschwinglichen Preisen. IT-System- gelweit offen, im Schloss des Racks steckte der Schlüs-
häuser holen sich Sicherheitsexperten und richten mit sel. Es gab nichts und niemanden, der mich davor ab-
deren Unterstützung ein sicheres Netzwerk ein. Mitar- halten konnte, aus jedem Server jeweils eine Festplatte
beiter werden im Umgang mit der IT-Technik geschult, einzustecken und blitzschnell das Gelände zu verlas-
sodass Phishing und Social Engineering Angriffe erfolg- sen. Weder der Geschäftsführer noch die IT-Adminis-
los verlaufen. IDS und IPS Systeme finden verdächtige tration hat mit einem so dreisten und einfachen Angriff
Aktivitäten im Netzwerk und zeigen diese dem Adminis- gerechnet.
trator an. Die IEEE 802.1X Authentifizierung an Access In dem folgenden Artikel werde ich die aktuelle Si-
Points und Netzwerkswitches verhindern den Zugang cherheitstechnik vorstellen und aufzeigen, wie ein-
von unbekannten Computern zum Netzwerk. Mit IEEE fach diese Technik zerstörungsfrei mit und fast spurlos
802.1Q (Virtual Local Area Network oder kurz VLAN) überlistet werden kann. Dieser Artikel ist keine Anlei-
werden Netzwerke segmentiert, obwohl alle Compu- tung, wie man einbricht, er soll lediglich die Schwach-
ter hardwareseitig an einem Switch hängen. Mit diesen stellen der heute massenhaft eingesetzten Systeme
Techniken ist man in der Lage ein Netzwerk sowohl vor aufzeigen. Aus diesem Grund habe ich mich bei den
Angriffen aus dem WAN als auch aus dem Inneren LAN Beschreibungen kurz gefasst sowie einige Details
zu schützen – würde man meinen. weggelassen.
hakin9.org/de 17
PRAXIS
be dabei nicht an der Schlossfalle freigegeben, sondern Um so etwas zu verhindern, bieten sich sogenannte
am Schließblech. Doppelfalztüren an. (Abbildung 2.) Diese Türen haben
einen zweiten Knick im Rahmen und Türblatt. Eine an-
Wie lässt sich eine zugefallene Tür öffnen? gesetzte Öffnungsnadel kommt damit nicht mehr an die
Zugefallene Türen lassen sich ganz einfach öffnen. Schlüs- Schließfalle ran und eine Öffnung wird damit verhindert.
seldienste verwenden hierfür Öffnungsnadeln. (Abbildung Mit einer sogenannten „Mach Auf“ Faltkarte lässt sich
1.) Diese Öffnungsnadeln werden in Höhe der Schlossfalle aber auch dieses Hindernis überwinden.
zwischen Türzarge und Türblatt angesetzt, zieht man jetzt Damit eine Tür mit diesen Techniken nicht geöffnet
den hinteren Teil der Öffnungsnadel nach oben, drückt der werden kann, hilft es nur diese Tür abzuschließen.
vordere Teil die Schließfalle wieder ins Schloss zurück – die Dabei wird mindestens ein Riegel in das Schließblech
Tür ist damit offen. Mit etwas Übung dauert es nicht länger geschoben, der ohne Schlüssel nicht mehr zurückge-
als fünf Sekunden, um eine Tür zu öffnen. schoben werden kann. Das Abschließen einer Tür mit
Schlüssel ist jedoch nicht komfortabel. Diese Schwä-
che haben die Schlosshersteller erkannt und bie-
ten selbstschließende Schlösser an. Diese Schlös-
ser schieben automatisch beim zufallen die Riegel
in das Schließblech. Betätigt man die Türklinke, wird
gleichzeitig die Schlossfalle und die Riegel zurückge-
schoben, die Tür ist wieder offen. Je nach Modell des
Schlosses braucht man aber weiterhin eine bis zwei
Umdrehungen mit dem Schlüssel, um diese Tür zu öff-
nen.
Diese Schlösser sind allerdings nicht für Türen ge-
eignet, die über eine Elektronik geöffnet werden sol-
len. Hierfür gibt es allerdings auch eine Lösung. Es
Abbildung 1. Zwei Sätze Öffnungsnadeln gibt Schlösser mit einer Elektronik und einem Elekt-
romotor, der dann bei einem entsprechenden Signal
das Schloss aufschließt und damit die Funktion eines
Schlüssels simuliert. Allerdings sind solche Schlösser
recht teuer.
18 10/2010
Penetration Testing im Jahre 2010
ten genau zwischen dem Kern und dem Gehäuse ist. te Werkzeug meiner Sammlung vor – benutzt man das
In diesem Zustand lässt sich der Kern drehen und ein „Flip-It“ Werkzeug. Dieses Werkzeug nutzt die physika-
Schloss aufschließen. lische Trägheit aus, indem der Zylinder so schnell dreht
Ich möchte hier drei Methoden vorstellen, mit denen wird, dass die Federn es nicht schaffen, die Stifte in den
ein Schließzylinder ohne Schlüssel zerstörungsfrei ge- Kern zu drücken. Dazu spannt man den „Flip-It“ erst
öffnet werden kann. Beim klassischen Handpicken geht einmal in der Richtung vor, in der der Zylinder gedreht
es darum, die Sperrstifte eines Schlosses so zu mani- werden soll, dann führt man es in den Schließkanal ein
pulieren, dass diese den Kern freigeben. Zunächst wird und drückt den Auslöser. Der Zylinder wird dann über
ein Spanner in den Schließkanal eingeführt und um ein die oberste Position gedreht und man kann das Schloss
paar Grad gedreht, sodass ein minimaler Drehmoment weiter öffnen.
auf die Sperrstifte wirkt. Geht man jetzt mit einem Hand- Man benötigt viel Übung, um einen Zylinder ohne
pick die einzelnen Sperrstifte ab, so lässt sich mit etwas Schlüssel öffnen zu können. Denn macht man es mit
Übung erfühlen, welcher Stift gerade am meisten Wi- Gewalt, kann die Mechanik im inneren beschädigt wer-
derstand bietet. Drückt man diesen Stift mit dem Hand- den. Dann lässt sich das Schloss nicht einmal mit dem
pick herunter, lässt sich der Kern ein kleines bisschen richtigen Schlüssel öffnen.
drehen, sobald der der Gehäusestift den Kern verlas-
sen hat. Diesen Stift hat man jetzt gesetzt. Nun sperrt Sichere Schließzylinder
ein anderer Sperrstift. In einem normalen Schloss gibt Sichere Schließzylinder gibt es in meinen Augen nicht.
es etwa fünf solcher Stifte. Hat man alle Stifte richtig Je nachdem welchen Aufwand und Kosten man auf sich
gesetzt, lässt sich der Kern drehen ist der Zylinder ist nimmt, wird man in der Lage sein, alle Zylinder zu um-
damit geöffnet. gehen. Einen aus meiner Sicht relativ sicheren Zylin-
Eine weitere Methode um einen Schließzylinder zu der bietet die Firma EVVA mit dem MCS (Magnet Code
öffnen sind Schlagschlüssel. Ein Schlagschlüssel ist System) an. Statt normaler Stifte arbeitet dieser Zylin-
ein spezieller aus Stahl gefertigter Schlüssel, der nur im der mit insgesamt acht Magnetrotoren. Wird ein Schlüs-
Profil in einen Zylinder passt. Die Zähne des Schlüssels
wurden auf die tiefst mögliche Position gefräst, außer-
dem wurde der Anschlag des Schlüssels um etwa ei-
nen Millimeter verkürzt, sodass der Schlüssel sich mit
leichtem Druck etwas tiefer ins Schloss einführen lässt
als vorgesehen. Zum Öffnen des Zylinders führt man
den Schlagschlüssel in den Zylinder ein und schlägt an-
schließend mit einem flexiblen Hammer auf den Schlüs-
sel. Den Schlagimpuls übertragen die Kernstifte auf die
Gehäusestifte, die dann nach unten gedrängt werden
und damit den Kern freigeben. Dreht man den Schlag-
schlüssel genau in diesem Moment (wenige Millisekun-
den nach dem Schlag), lässt sich der Kern drehen und
das Schloss öffnen.
Die dritte Methode ist ein Elektro-Pick. Ein Elek-
tropick arbeitet nach dem gleichen Prinzip, wie ein Abbildung 3. Ein Schließzylinder im Querschnitt. Links ist der
Schlagschlüssel, nur dass hier mehrere Schläge pro Zylinder abgeschlossen, rechts offen (Bildquelle: Wikipedia.de)
Sekunde auf die Sperrstifte erfolgen. Um einen Zylin-
der mit dieser Methode zu öffnen, führt man die Na-
del des Elektro-Picks sowie einen Spanner (entwe-
der einen normalen oder einen Drehspanner) in den
Schließkanal ein und schaltet den Pick ein. Anstatt
den Pick durchgehend laufen zu lassen, empfiehlt es
sich ihn in kurzen Sequenzen ein- und auszuschalten.
Sind die Sperrstifte in passender Position, lässt sich
der Kern drehen.
Bei allen drei vorgestellten Öffnungsmethoden hat
man bei abgeschlossenen Schlössern immer ein Pro-
blem. Hat man einen Zylinder um 360° gedreht, drü-
cken die Federn die Gehäusestifte wieder in den Kern
und man müsste den Zylinder erneut öffnen (picken). Abbildung 4. Werkzeugsatz zur zerstörungsfreien Öffnung von
Um das zu verhindern – und damit stelle ich das letz- Schlössern
hakin9.org/de 19
PRAXIS
Codeschlösser
Codeschlösser sind in der Regel zugefallene Türen und
lassen sich am einfachsten mit den bereits oben vor-
gestellten Methoden öffnen. In diesem Artikel möchte
ich aber auf eine weitere Schwachstelle hinweisen. Die
Abbildung 5. zeigt ein typisches Codeschloss, anhand
des Zylinders auf der rechten Seite kann jeder darauf
schließen, wie groß die Code-Tasten dieses Schlosses
in der Realität sind. Würde man eine Codeeingabe fil-
men, könnte man anhand der langen Handbewegun-
gen auf den Code schließen können.
Diese Schwachstelle lässt sich aber ganz einfach
schließen, indem man den Eingabetasten die Ziffern für
Abbildung 5. Ein EVVA-MCS Schlüssel jede Codeeingabe per Zufallsgenerator zuweist. Das
bedeutet, dass die obere linke Taste nicht permanent
die Ziffer 1 eingibt, sondern bei jeder Codeeingabe ei-
ne andere. Durch diese zufällige Anordnung der Zif-
fern auf den Tasten lässt sich nicht mehr anhand der
Handbewegung feststellen, welche Ziffer eingegeben
wurde. Umsätzen lässt sich eine solche Eingabetech-
nik mit Siebensegmentanzeigen oder mini-OLED-Bild-
schirmen unter durchsichtigen Tasten bzw. mit einem
Touchscreen.
In Indoor-Bereich trifft man vor einigen Räumen auf
eine einfachere Version von Codeschlössern. Bei die-
sen Schlössern liegt das Eingabeterminal direkt am
Schloss an, die Energieversorgung erfolgt über Bat-
terien. Im geschlossenen Zustand lässt sich die Tür-
klinke ohne Funktion herunterdrücken. Gibt man den
richtigen Code ein, wird ein Elektromagnet mit Strom
versorgt und Zieht einen Stift an, der die Türklinke mit
dem Schloss verbunden. Betätigt man jetzt die Türklin-
ke, so lässt sich die Tür öffnen. Da die Batterien in ei-
nem solchen Schloss möglichst lange halten sollen,
arbeiten die Schlösser mit einem recht geringen Ma-
gnetfeld. Dieses Magnetfeld kann man jedoch mit ei-
nem von außen angebrachten starken Magneten (sie-
he auch Abschnitt über Reed-Relais) simulieren und so
das Schloss öffnen. Im Übrigen lassen sich mit einem
starken Magneten auch einige ältere elektronische Zy-
linder öffnen.
20 10/2010
Penetration Testing im Jahre 2010
hakin9.org/de 21
PRAXIS
ter zu finden. Der Anfang der Übertragung ist immer berechtigte Tag wird ein privater und ein öffentlicher
gleich, in der Mitte gibt es einen variablen Bereich Schlüssel erzeugt. Der private Schlüssel wird in einer
und das Ende ist bei allen Aufzeichnungen ebenfalls Datenbank gespeichert, auf die das Lesegerät zu-
gleich. Damit ein Lesegerät nun dem virtuellen Tag greifen kann. Der öffentliche Schlüssel wird auf dem
den Zugang gewährt, säubert man zunächst einmal Tag gespeichert. Die Identifizierung erfolgt dann in
die Aufzeichnungen mit einigen Filtern. GNU-Radio mehreren Schritten. Wie oben bereits beschrieben,
bietet hierfür zahlreiche Möglichkeiten. Dann stellt fängt das Tag mit der Identifikation an, indem es dem
man sich aus mehreren Aufzeichnungen ca. drei Lesegerät seine Seriennummer mitteilt. Das Lesege-
möglichst ideale (hier braucht man etwas Erfahrung, rät generiert daraufhin eine Zufallszahl und sendet
ein gutes Auge und etwas Fingerspitzengefühl) Kom- diese mit der Seriennummer des Tags wieder zurück.
munikationen zusammen und sendet diese an das (Da die Kommunikation über Funk erfolgt, kann es
Lesegerät. Mindestens eine dieser Aufzeichnungen sein, dass zur gleichen Zeit mehrere RFID Tags aktiv
wird dann das Lesegerät akzeptieren und dem An- sind. Deshalb muss man während der Kommunikati-
greifer den Zugang gewähren. on stets angeben, für welchen Empfänger eine Nach-
Aus der Praxis kann ich sagen, dass etwa 90% al- richt bestimmt ist.) Das Tag empfängt die Nachricht,
ler RFID-Karten-Systeme sich nur mit der Serien- verschlüsselt diese mit dem öffentlichen Schlüssel
nummer des Tags zufrieden geben. Ältere Garagen- und sendet sie an das Lesegerät zurück. Kann das
toröffner arbeiten mit einem statischen Code. Neuere Lesegerät die empfangene Nachricht mit dem priva-
Garagentoröffner und einige Autohersteller nutzen ei- ten Schlüssel des Tags entschlüsseln und stimmt die
nen Rolling Code, um den Nutzer zu identifizieren. Im Nachricht mit der Zufallszahl überein, wird der Zu-
März 2008 wurde auch dieses System von Forschern gang gewährt.
der Ruhr-Universität Bochum geknackt. Zwei aufge-
zeichnete Kommunikationen genügen bereits für ei- Bewegungsmelder
ne Seitenkanalattacke. Ebenfalls wurde im Jahr 2008 Bewegungsmelder verwenden für die Bewegungsde-
die Verschlüsselung des Mifare-Systems per Rever- tektion Passiv Infrarot Sensoren (PIR). Jedes Objekt
se Engineering geknackt. Solche Verschlüsslungen emittiert eine Wärmestrahlung, ein PIR Sensor kann
verlangsamen nur den Angriff und machen ihn teurer. diese Strahlung messen. Um Bewegungen detektieren
zu können, wird der Sensor mit Bündellinsen in Be-
Gibt es auch sichere RFID-Systeme? reiche aufgeteilt. Ändert sich die einfallende Strahlung
Die gibt es durchaus. Hier verwendet man eine in einem Bereich um einen bestimmten Schwellwert,
asymmetrische Verschlüsselung. Für jedes zugangs- wird dies als Bewegung interpretiert. Der Schwellwert
sorgt außerdem dafür, dass statische Temperaturver-
Magnete sind kein Spielzeug änderungen der Umgebung nicht als Bewegung ge-
.BHOFUF EJFTFS %JNFOTJPO IBCFO FJO FYUSFN TUBSLFT .B deutet werden. Diese Funktionsweise ist leider Fehler-
HOFUGFME .BHOFUFO LÚOOFO CFJ GBMTDIFS )BOEIBCVOH OJDIU
anfällig, so kann z.B. ein kalter Luftstrom bereits einen
OVS 2VFUTDIVOHFO BO ,ÚSQFSUFJMFO IFSWPSSVGFO
TPOEFSO
4DIÊEFO BO 5FDIOJL IFSWPSSVGFO .FOTDIFO NJU )FS[TDISJUU Bewegungsmelder auslösen. Hierfür setzen bessere
NBDIFSO TPMMUFO EFTIBMC FJOFO 4JDIFSIFJUTBCTUBOE WPO NJO Bewegungsmelder (Dualmelder) zusätzlich noch ei-
EFTUFOT[XFJ.FUFSO[VTPFJOFN.BHOFUFOIBMUFO(MFJDIFT nen Ultraschall-Sensor ein. Nur wenn beide Sensoren
HJMUàCSJHFOTBVDIGàS#SJFGUBTDIFONJU.BHOFULBSUFO auslösen, wird eine Bewegung gemeldet. Damit sol-
len Fehlalarme verhindert werden. VdS-Anerkannte
Bewegungsmelder, die in Alarmanlagen verwendet
werden, lösen zusätzlich Alarm aus, wenn diese ab-
gedeckt werden.
22 10/2010
Penetration Testing im Jahre 2010
beigeht, wird keine Bewegung angezeigt. Zwar merkt Magnet wird auf dem beweglichen Element in Höhe
bei einem Dualmelder der Ultraschall-Sensor die Be- des Kontaktes befestigt. Wirkt ein Magnetfeld auf den
wegung, da jedoch der Infrarot Sensor keine Bewe- Reed-Kontakt, ziehen sich die Schaltkontakte gegen-
gung meldet, findet keine Alarmierung statt. Würde seitig an und ein Stromkreis wird geschlossen. Lässt
man dieses Tuch etwa 30cm vor dem Bewegungsmel- das Magnetfeld nach, wenn z.B. eine Tür geöffnet wird
der aufspannen, würde man den Bewegungsmelder und sich der Magnet dem Reed-Kontakt entfernt, wird
außer Funktion setzen. Auch eine Abdeckerkennung der Stromkreis geöffnet. In diesem Fall wird dann der
würde hier nicht auslösen, da diese in der Regel bis Alarm ausgelöst.
20cm funktioniert.
Wie lassen sich Reed-Relais überlisten?
Gibt es Alternativen? Das ist vergleichbar einfach. Die Antwort auf diese Fra-
Sicherlich gibt es sie. Zunächst einmal gibt es Bewe- ge lautet natürlich: mit einem Magnetfeld. Hierfür eig-
gungsmelder, die auf Basis von Radarstrahlung funk- nen sich sogenannte „Todesmagneten“ (Abbildung 9.).
tionieren. Diese aktiven Bewegungsmelder können Diese Permanentmagneten haben ein extrem starkes
verdeckt z.B. unter einer Tapete oder Abdeckplatte in- Magnetfeld. Unter Laborbedingungen hat ein Reed-
stalliert werden. Dadurch ist ein solcher Bewegungs- Kontant bereits bei einer Entfernung von 40cm zum
meder sowohl optisch nicht wahrnehmbar als auch Magneten seine Schaltkontakte geschlossen. Holz-,
vor Sabotage und Vandalismus geschützt. Ein solcher Plastik- oder sogar Metall-Türen (sogar 2mm Stahl)
Bewegungsmelder arbeitet nach dem Dopplerprinzip bieten keine ausreichende Dämpfung für das Magnet-
und strahlt im 9GHz oder 24GHz-Mikrowellenbereich. feld.
Zwar halten sich die Hersteller solcher Geräte an die Eine bessere Alternative zu Reed-Relais sind Licht-
gesetzlichen Bestimmungen, ich würde allerdings im- oder Laserschranken. Diese Schranken bringt man so
mer auf eine zusätzliche Strahlenquelle verzichten, wo an, dass die Tür den Strahl beim öffnen unterbrechen
es geht. muss.
Eine weitere Alternative zu Bewegungsmeldern sind
Kameras. Zwar halte ich persönlich nichts von Über- Ziele eines solchen Angriffes
wachung und ständiger Videoaufzeichnung, doch Es sind viele Angriffsziele denkbar. Es kommt immer
Kameras sind sehr gute Bewegungsmelder. Im Ge- auf das Unternehmen an, dass angegriffen wird. Vor
gensatz zu den klassischen PIR, Ultraschall oder Ra- einigen Monaten berichtete die Presse über einen sol-
darbewegungsmeldern gibt es bei Kameras zahlrei- chen Angriff auf einen Baumarkt. Kriminelle Einbre-
che Bildpunkte, die ausgewertet werden können. Mit cher haben hier statt waren zu stehlen, die Elektronik
entsprechender Software kann man detektierte Bewe- der Karten-Terminals an den Kassen sabotiert, sodass
gungen analysieren und z.B. mit einer Objekterken- diese die eingelesenen Daten von EC- und Kreditkar-
nung interpretieren. Verdächtige Bilder lassen sich an ten samt der vom Kunden eingegebenen PIN per Funk
ein Sicherheitsunternehmen in Echtzeit übertragen, übermittelt wurden. Auf dem Parkplatz des Baumark-
wo ein Mensch beurteilt, ob ein Alarm ausgelöst wer- tes stand dann der Angreifer und hat die Daten emp-
den muss oder nicht. fangen.
Ein anderes Angriffsziel könnte der Anschluss eines
Reed-Relais Mini-Computers am Netzwerk sein, der ein Loch durch
Reed-Relais werden heute verwendet, um z.B. Tür- die Firewall bohrt und dem Angreifer einen permanen-
oder Fensteröffnungen zu detektieren. Ein Reed-Re- ten Zugriff auf das Netzwerk über das Internet gestat-
lais besteht einem Reed-Kontakt und einem Magne- tet. Auch ist die Installation eines Hardware-Keylogers
ten. Der Reed-Kontakt wird am Rahmen befestigt und denkbar, um die Zugangsdaten eines Mitarbeiters aus-
ist an die Einbruchmeldezentrale angeschlossen. Der zuspionieren.
Im Internet
t http://de.wikipedia.org/wiki/Lockpicking – Wikipedia Ein-
trag zum Thema Lockpicking
t http://www.evva.deo&JOGàISFOEFS)FSTUFMMFSWPO4DIMJF
zylindern
t http://de.wikipedia.org/wiki/Reed-Relais – Wikipedia Ein-
trag zum Reed-Relais DIMITRI ROSCHKOWSKI
t http://www.elv.de – Artikel-Nr. 68-835-10 – Radar Bewe- Der Autor arbeitet bereits seit vielen Jahren als selbstständi-
gungsmelder ger IT-Sicherheitsexperte und Consultant. Er führt außerdem
t http://www.ettus.com/o)FSTUFMMFSEFT64314%34ZTUFNT
bei Unternehmen Penetration Tests durch.
Kontakt mit dem Autor: dimitri@roschkowski.biz
hakin9.org/de 23
12-11-2010
hnell
Themen: Jetzt noch sc r:
te
anmelden un
stp.ac.at
Biometrie
:/ / it s e c x .f h
Penetration Testing http
Hackz und Crackz a h m e is t ko stenlos!
Privacy Die Teiln
Forensische Analyse
Intrusion Prevention, Malwarededection
Rootkits und deren Erkennung
U
ne Risikoanalyse erhält man einen organisationsweiten
Business Needs maßzuschneidern sind Risiko- Überblick über vorhandene Risiken und ist somit integ-
erkennung (Risikoanalyse) und deren anschlie- raler Bestandteil des Risikomanagements (vergl. Abb.
ßende Bewertung (Business Impact Analyse) die ersten 1).
Schritte, die gemacht werden müssen. OCTAVE ist eine risikobasierende, strategische Si-
Eine effektive Informations-Sicherheitsbewertung be- cherheitsbewertungs und -planungstechnik.
trachtet nicht nur den technologischen sondern auch OCTAVE® ist ein Kunstwort und setzt sich aus den
den dahinter liegenden organisatorischen Aspekt. Bei- Begriffen: Operationally Critical Threat, Asset, and Vul-
spielsweise die Handhabung der IT-Infrastruktur durch nerability Evaluation zusammen. Sie wurde von der
die MitarbeiterInnen bei ihrer täglichen Arbeit. Durch ei- Carnegie Mellon University, welche auch die populäre
hakin9.org/de 25
ABWEHR
Web-Site www.cert.org betreibt, passend für die unter- heitspraxis und Technologie ins Gleichgewicht zu setz-
schiedlichsten Unternehmensgrößen, als lizenzfreie ten. Getrieben von zwei Grundaspekten – operationel-
Risikoanalyse Methode entwickelt. les Risiko und aktuell eingesetzte Sicherheitspraktiken,
OCTAVE ist eine selbstgesteuerte Methode. Das be- wird die dahinter liegende Technologie in Zusammen-
deutet, dass die MitarbeiterInnen einer Organisation hang mit der Sicherheitspraxis gegen die drei Eckpfeiler
eine wesentliche Rolle bei der Erstellung der Sicher- der Sicherheit geprüft (vergl. Abb 2.)
heitsstrategie übernehmen. Risiken von hoch kritisch OCTAVE ist ein wertegetriebener Bewertungsansatz.
erkannten Assets, werden dazu verwendet um eine Das Analysis Team
entsprechende Priorisierung der Sicherheitsbereiche
durchzuführen. ,GHQWL¿]LHUW LQIRUPDWLRQVEH]RJHQH $VVHWV GLH IU
Im Gegensatz zu typischen technologielastigen Be- die Organisation wichtig sind.
wertungsmethoden, die technologische Risiken und )RNXVVLHUW GLH $NWLYLWlWHQ GHU 5LVLNRDQDO\VH DXI
taktische Sachverhalte in den Mittelpunkt der Betrach- diejenigen Werte, die als besonders kritisch beur-
tung stellen, ist OCTAVE auf organisatorische Risiken teilt werden Berücksichtigt die Zusammenhänge
und deren dazu notwendigen Technologieeinsatz aus- zwischen den kritischen Assets, den Bedrohungen
gerichtet. Sie ist eine äußerst flexible Methode, die für und den Verwundbarkeiten
fast alle Organisationen speziell angepasst werden %HXUWHLOW 5LVLNHQ LQ HLQHP RSHUDWLRQHOOHQ =XVDP
kann. Aus der Sichtweise des Autors ist einer der be- menhang
merkenswertesten Vorteile jedoch, dass die Methode (QWZLFNHOW HLQH SUD[LVRULHQWLHUWH 6FKXW]VWUDWHJLH
von den MitarbeiterInnen selbst schnell erlernt und kon- (organisatorisch und auch einen Plan zur Reduzie-
tinuierlich durchgeführt werden kann und somit nach- rung der Risiken auf kritische Infrastrukturen)
haltig in den Risikomanagementprozess ohne weitere
Kosten integrierbar ist. Daraus resultiert ein dreiphasiges Vorgehensmo-
Ein ausgewähltes kleines Team aus allen operatio- dell für die Erhebung des gesamtorganisatorischen
nellen Bereichen der Organisation inklusive der IT Ab- Schutzbedürfnisses. (vergl. Abb. 3)
teilung arbeiten zusammen um die Sicherheitsbedürf-
nisse der Organisation zu identifizieren und versuchen 3KDVH Aufbau von Asset-basierenden Bedro-
die Gebiete: Operationelles Risiko, eingesetzte Sicher- KXQJVSUR¿OHQ– Das Analyse Team stellt informati-
26 10/2010
OCTAVE
onsbezogene Assets und deren Impact auf die Or- onseinheiten und von allen hierarchischen Ebenen
ganisation sowie deren derzeitige Schutzmechanis- – also von den MitarbeiterInnen über operationa-
men fest. Darauf aufbauend werden die kritischsten les und strategisches Management bis hin zum Ma-
$VVHWV GH¿QLHUW XQG GLH 6LFKHUKHLWVDQIRUGHUXQJHQ nagement der ersten Ebene, alle Sichtweisen und
dafür bestimmt. Anschließend wird für jedes kri- die damit verbundenen Bewertungen der kritisch-
WLVFKH $VVHW GLH %HGURKXQJHQ LGHQWL¿]LHUW XQG HLQ VWHQ $VVHWV LQ GLH *HVDPWEHXUWHLOXQJ PLW HLQÀLHHQ
HQWVSUHFKHQGHV%HGURKXQJVSUR¿OHUVWHOOW können.
3KDVH Erkennen von Verwundbarkeiten der Infra- OCTAVE generiert so eine organisationsweite Sicht
struktur – Hier wird die, hinter den kritischen Assets auf die aktuellen Informationssicherheitsrisiken.
liegende, Infrastruktur bewertet. Dabei werden kriti- )ROJHQGH6FKULWWHVLQGQDFKGHU5LVLNRDQDO\VH]XVHW
sche Infrastrukturpfade und informationstechnolo- zen:
gische Komponentenklassen aufgestellt und einer
technischen Überprüfung – dem Penetration Test – (UVWHOOXQJ HLQHV GHWDLOOLHUWHQ +DQGOXQJV3ODQHV
]XJHIKUW 'DV (UJHEQLV ÀLHW GDQQ LQ GLH %HZHU wie die erstellte Schutzstrategie und der Plan zur
tung direkt ein. Risikoreduzierung umgesetzt werden kann.
3KDVH (QWZLFNHOQ HLQHU 6LFKHUKHLWVVWUDWHJLH XQG =HLWOLQLHQJHVWHXHUWH 8PVHW]XQJ GHV HQWZRUIHQHQ
HLQHV 6LFKHUKHLWVSODQHV – In dieser Phase ent- Handlungs-Planes.
scheidet das Analyse-Team wie mit den kritischen
Assets umgegangen werden soll. Basierend auf die Überwachen/Beobachten des Handlungsplanes nach
ELV GDKLQ HUDUEHLWHWHQ 'DWHQ XQG )DNWHQ ZLUG HLQH Effektivität. Das beinhaltet z.B. das Beobachten der
organisationsweite Schutzstrategie und ein Plan für Risiken für jede Änderung.
die Reduzierung der erkannten Risiken, die auf die
kritischen Assets und deren Infrastrukturen einwir- .RQWUROOH GHV $EODXISODQHV GXUFK JHHLJQHWH 0HWUL
ken können erstellt. ken.
Die einzelnen Prozesse, die den drei Phasen hinter- Die OCTAVE Methode ersetzt kein Risikomanagement
legt sind, stellen sicher, dass von allen Organisati- sondern gehört in ein strukturiertes Risikomanage-
hakin9.org/de 27
ABWEHR
Mehr Informationen:
t 0$5"7&www.cert.org/octave/
t $0#*5www.isaca.org MAG. HELMUT KAUFMANN, MSC
t *40 Y www.standards-online.net/InformationSecurity- Dozent an der Fachhochschule St. Pölten und u.a. tätig im Be-
Standard.htm reich Secure Data Center Management, Cloud Computing, Di-
saster Recovery and Business Continuity, Fraud Detection.
28 10/2010
News
hakin9.org/de 29
ABWEHR
IT-Risikomanagement
– Wozu brauche ich das?
Andreas Lentwojt
In der letzten Ausgabe habe ich Ihnen ausführlich die Norm
ISO/IEC 27001 vorgestellt und einen kurzen Einblick in die
27000-Familie gegeben. Ein Teil dieser Familie ist die ISO 27005, die
sich mit dem IT-Risikomanagement befasst.
I
Größere Unternehmen sind schon von Gesetz her
warum es nützlich ist, sich mit dem Risikomanage- verpflichtet, sich mit dem Themenbereich Risiko-
ment der IT zu beschäftigen und dabei auf das Mo- management zu beschäftigen (Aktiengesetz, Kon-
dell der ISO 27005 zurück zu greifen. TraG, GmbH-Gesetz u.Ä.). Ein Teil dieses Risikoma-
Auf dieses Thema wurde bereits in einer früheren nagements ist das IT-Risikomanagement, welches
Ausgabe eingegangen, in diesem Artikel wird aber sich – wie der Name es schon sagt – mit den Risi-
mehr auf die Norm und den eigentlichen Prozess mit ken im IT-Bereich beschäftigt. Eine Problematik beim
den einzelnen Schritten eingegangen. Risikomanagement, allgemein und speziell bei der
30 10/2010
IT-Risikomanagement – Wozu brauche ich das?
Informationstechnologie, ist die Bewertung der er- entgegenwirkt. Richtlinien wie Basel II oder Euro-SOX
kannten Risiken. Bereits seit einigen Jahren gab es fordern diese Ausrichtung seit langem.
nationale Normen, die sich mit einem standardisier- Die ISO 27005 ist branchen- und größenunabhängig.
ten Vorgehensmodell beschäftigten. Im Juni 2008 Somit können auch kleinere und mittlere Unternehmen
wurde daraus die international anerkannte Norm durch die Adaption der Inhalte auf die betrieblichen An-
ISO/IEC 27005:2008 (ehem. BS 7799-3:2006). ISO forderungen ein schlankes und effektives IT-Risikoma-
27005:2008 ist eine spezielle Ausprägung der ISO/IEC nagement aufbauen. Gerade sensible Branchen wie
31000:2009, die sich mit dem Risikomanagement all- Automotive, Healthcare, Software oder Telekommuni-
gemein befasst. Die genauen Bezeichnungen lauten: kation werden hier angesprochen. Aufgrund ähnlicher
Strukturen lässt sich die ISO 27005 ohne größeren Auf-
,62,(& Ä5LVN 0DQDJHPHQW ± SULQFLS wand in ein unternehmensweites Risikomanagement
les and guidelines“ integrieren, kann aber auch »solo« umgesetzt werden.
,62,(&Ä,QIRUPDWLRQVHFXULW\ULVNPD Im Gegensatz zur ISO/IEC 27001 ist die ISO/IEC 27005
nagement“ selbst nicht zertifizierbar.
hakin9.org/de 31
ABWEHR
32 10/2010
IT-Risikomanagement – Wozu brauche ich das?
Diese Option kombiniert die Vorteile des Grund- werte entsprechen, da sich die Werte in Kombination er-
schutz- und des Risikoanalyseansatzes, da alle IT- gänzen und einen höheren Wert darstellen.
Systeme mit hohem Schutzbedarf wirksam und ange- Die zu schützenden Werte sind vielfältigen Be-
messen geschützt werden. Maßnahmen können für die drohungen ausgesetzt. Im Rahmen der Risikoana-
anderen Systeme mit Hilfe des Grundschutzes schnell lyse ist nun die Eintrittswahrscheinlichkeit abzu-
und effektiv ausgewählt werden. Diese Methode stellt in schätzen.
den meisten Einsatzumgebungen eine empfehlenswer- Bedrohungen sind charakterisiert durch:
te Strategie zur Risikoanalyse dar.
Zu den einzelnen Kriterien, die festgelegt werden LKUHQ8UVSUXQJ1DWXU0HQVFK
müssen gehören u.a. LKUH 0RWLYDWLRQ ¿QDQ]LHOOH *UQGH :HWWEHZHUEV-
vorteile, Rache)
(LQÀXVVJU|HQIUGLH%HZHUWXQJ GLH+lX¿JNHLWGHV$XIWUHWHQV
.ULWHULHQIUGLH5LVLNRDN]HSWDQ] GLH *U|H GHV 6FKDGHQV GHU GXUFK GLHVH %HGUR-
8PIDQJXQG*UHQ]HQGHV50 hung verursacht werden kann.
2UJDQLVDWLRQXQG9HUDQWZRUWOLFKNHLWHQ
)UHLQLJHXPZHOWEHGLQJWH%HGURKXQJHQHWZD(UGEH-
Risikobewertung ben, Blitzschlag, ...) liegen statistische Daten vor, die
Die Risikobewertung gliedert sich in die beiden Vor- für die Einschätzung hilfreich sein können.
gänge Risikoanalyse und der Priorisierung der Risiken. Die Bedrohungsanalyse umfasst im Einzelnen:
Die Risikoanalyse ist sicherlich der schwierigste und
aufwendigste Teil, müssen doch zunächst die Risiken GLH,GHQWL¿NDWLRQP|JOLFKHU%HGURKXQJHQ
LGHQWLIL]LHUWXQGGDQDFKEHZHUWHWZHUGHQ)UDOOHÄ$V- GLH(UPLWWOXQJGHU(LQWULWWVZDKUVFKHLQOLFKNHLWHQ
sets“ des Unternehmens wird folgender Prozess durch-
laufen: Bedrohungen können unterteilt werden in:
hakin9.org/de 33
ABWEHR
Bewährt haben sich hier etwa drei- bis fünfteilige Ska- Im Rahmen dieses Schrittes sollte auch geprüft wer-
len (z.B. 4: sehr häufig … 0: sehr selten) den, ob die bereits existierenden Sicherheitsmaßnah-
Diese allgemeinen Bedeutungen der Skalenwerte PHQNRUUHNW]XP(LQVDW]NRPPHQ)DOVFKRGHUXQYROO
können für jeden einzelnen spezifischen Anwendungs- ständig eingesetzte Sicherheitsmaßnahmen stellen eine
bereich konkretisiert werden. zusätzliche potentielle Schwachstelle eines Systems dar.
Nachdem Werte, Bedrohungen und Eintrittswahr- Die eigentliche Risikobewertung ist nun das Zusammen-
scheinlichkeiten definiert sind, wird eine Schwachstellen- führen der in den vorherigen Abschnitten beschriebenen
analyse durchgeführt. Unter einer Schwachstelle (Vulne- Maßnahmen und die Erstellung einer Risikomatrix (vergl.
rability) versteht man eine Sicherheitsschwäche eines Abb. 4). Darin werden die bewerteten Risiken gemäß ihres
oder mehrerer Objekte, die durch eine Bedrohung ausge- Risikopotenzials in einer Matrix angeordnet und dem ge-
nützt werden kann. Eine Schwachstelle selbst verursacht wünschten SOLL gegenüber gestellt. Im Anhang der Norm
noch keinen Schaden, sie ist aber die Voraussetzung, befinden sich einige Beispiele für eine Risikobewertung.
die es einer Bedrohung ermöglicht, wirksam zu werden. Anhand der Risikomatrix erfolgt die Priorisierung der
Typische Beispiele für Schwachstellen sind etwa: Risiken, in Abhängigkeit des zur Verfügung stehenden
Mangelnder baulicher Schutz von Räumen mit IT-Ein- Budgets und der Ressourcen.
richtungen
Risikobehandlung
1DFKOlVVLJH+DQGKDEXQJYRQ=XWULWWVNRQWUROOHQ Die Phase der Risikobehandlung ist das „tägliche Tun“
VFKZDFKH3DVVZRUWPHFKDQLVPHQ GHV 5LVLNRPDQDJHPHQWV ,P )DOOH GHU ,62
XQ]XUHLFKHQGH $XVELOGXQJ PDQJHOQGHV 6LFKHU bezogen auf die Informationstechnologie das Ge-
heitsbewusstsein genüberstellen der Anforderungen aus der Risikobe-
« wertung mit dem Ergebnis der durchgeführten Maß-
nahmen und eine neue Bewertung dieser: vergl. Abb.
(LQH 6FKZDFKVWHOOHQDQDO\VH LVW GLH hEHUSUIXQJ YRQ 5.
Sicherheitsschwächen und muss sowohl das Umfeld Die Optionen zur Risikobehandlung werden in 4 Ka-
als auch bereits vorhandene Schutzmaßnahmen mit tegorien eingeteilt:
einbeziehen. Es ist wichtig, jede Schwachstelle da-
raufhin zu bewerten, wie leicht es ist, sie auszunutzen. 5LVLNRUHGXNWLRQ]%GXUFK6FKXOXQJHQ(LQIKUXQJ
(LQH EHLVSLHOKDIWH $XÀLVWXQJ YRQ 6FKZDFKVWHOOHQ EH bestimmter Maßnahmen, etc.)
¿QGHWVLFKLP$QKDQJ'GHU1RUP 5LVLNREHLEHKDOWXQJGDV5LVLNRZLUGDN]HSWLHUW
Vor der eigentlichen Risikobewertung werden noch 5LVLNRYHUPHLGXQJ]%GXUFK(LQVWHOOHQULVLNRWUlFK
die bestehenden Sicherheitsmaßnahmen betrachtet tiger Verfahren)
und bewertet. Stellt sich heraus, dass eine bereits exis- 5LVLNRYHUODJHUXQJ]%GXUFK2XWVRXUFLQJ
tierende oder geplante Maßnahme ihren Anforderun-
gen nicht gerecht wird, so ist zu prüfen, ob sie ersatz- Risikoüberwachung und –akzeptanz
los entfernt, durch andere Maßnahmen ersetzt oder aus Basierend hierauf erfolgt eine neue Bewertung des
Kostengründen belassen werden soll. Restrisikos und der Risikomanagementprozess geht
34 10/2010
IT-Risikomanagement – Wozu brauche ich das?
über in die Risikoüberwachung. Diesen Ablauf – auch tierte Denkweise und das strukturierte Vorgehen be-
PDCA-Prozess genannt (Plan-Do-Check-Act) – ken- reits vertraut sind.
nen Sie bereits aus dem vorherigen Artikel über die ISO Ohne Informations- und Kommunikationstechnik
27001. Eine neue Bewertung ist ebenfalls durchzufüh- kann heute kaum noch ein Unternehmen auskommen,
ren, wenn sich Vorgaben ändern, neue Assets imple- auch nicht zeitweise. Das gilt auch für kleinere und mitt-
mentiert werden oder die Bedrohungssituation sich än- lere Unternehmen genauso wie für Großunternehmen
dert. und Konzerne. Deshalb sollte das Management wissen,
Bei der Risikoakzeptanz ist es wichtig, die Entschei- welche Risiken gerade im IT-Bereich bestehen und wie
dungskriterien detailliert zu dokumentieren, damit sich diesen begegnet werden kann. Gerade im Bereich der
auch später noch nachvollziehbar sind. Informations- und Telekommunikationssysteme sind
die immateriellen Werte, also diejenigen Werte, denen
Risikoreporting nicht eine Einkaufsrechnung gegenübergelegt werden
Sinn des Risikoreportings ist zum einen die Informati- kann, häufig kaum bekannt.
on des Managements über den aktuellen Stand der Ri- Die Norm ISO/IEC 27005:2008 bietet den Vorteil,
sikosituation und der eingeleiteten Maßnahmen, zum dass mit einem kleinen Teilbereich (z.B. Netzwerk) be-
anderen dient diese natürlich auch der Dokumentation. gonnen werden kann und sukzessive weitere Assets
Weitere Inhalte können z.B. sein, das Sicherheitsbe- einbezogen werden können. Zudem bietet die Norm im
wusstsein zu verbessern oder das Einfordern von Ent- Anhang Beispiele und Checklisten für das Vorgehen.
scheidungen.
Die Ergebnisse von Risikobewertungen sind i.d.R.
vertraulich und dementsprechend zu handhaben.
hakin9.org/de 35
)MRJEGL
WMGLIV
WYVJIR
%FWXERHWGLEJJX7MGLIVLIMX
%RKVMJJIEYJ(EXIRYRH7]WXIQI¾FIV
7GL[EGLWXIPPIRMRMRXIVRIXKIFYRHIRIR
%TTPMOEXMSRIRHVSLIRX¦KPMGL
,EPXIR7MIHMI+IJELVIRHIW-RXIVRIXWEYJ
(MWXER^ÕQMX6IQSXI'SRXVSPPIH&VS[WIV
7]WXIQW6I'S&7
HIVQTVMZEG]+QF,
QTVMZEG]+QF, &IWYGLIR7MIYRW
"N,¤MMOJTDIFO1BSL .FTTF/SOCFSH
#FSMJO 0LUPCFS
'PO )BMMF
4UBOE7PSUSBH.JI
'BY +VEXMW^YV1IWWI8JSMBEFO4JFFJO
JOGP!NQSJWBDZEF XXXNQSJWBDZEFQSFTTFWFSBOTUBMUVOHFO
XXXNQSJWBDZEF
ECCGPSVN#FSMJO
0LUPCFS
4UBOE7PSUSBH.JI
DNS Cache Poisoning
V
Um ein Opfer auf eine präparierte Seite umzuleiten,
wie man mit SET auf einfache Art und Wei- ist DNS Cache Poisoning (auch DNS Spoofing ge-
se eine Java Applet Attacke durchführen nannt) eine effektive und schnelle Möglichkeit. Darunter
kann. Dieser Artikel lies aber offen, wie man das versteht man ein Angriff, wobei Einträge in einem DNS
Opfer auf die präparierte URL umleitet, was mitun- zu eigenen Gunsten manipuliert werden.
ter wahrscheinlich der schwierigste Teil des ganzen Das Opfer merkt dabei im Idealfall nichts davon: Die-
Angriffes ist. Damit eine solche Attacke aber auch ses tippt wie üblich zum Beispiel www.google.ch ein,
erfolgreich eingesetzt werden kann, dient dieser Ar- nur anstatt bei der DNS-Abfrage die IP-Adresse der
tikel als Ergänzung, um diese Informationslücke zu Google-Server zurückkommt, erhält das Opfer die IP-
füllen. Adresse einer präparierten Seite.
hakin9.org/de 37
ANGRIFF
Für diese Attacke werden wir das Tool ettercap ver- Wieder ein Beispiel dazu (Bild 2):
wenden, da es relativ einfach aufgebaut ist, dabei aber
trotzdem viele Einstellungsmöglichkeiten bietet. 'HU $QJUHLIHU YHUlQGHUW GHQ $53&DFKH GHV 2S
Unsere Attacke wird in zwei Stufen aufgebaut sein. IHUVPLWWHOV$536SRR¿QJVRGDVV]XU,3GHV=LH
Als erstes müssen wir das Opfer oder besser dessen les nicht mehr die MAC-Adresse des Zieles, son-
Computer dazu bringen, seinen ganzen Traffic auf un- dern die des Angreifers zugeordnet ist.
seren Computer umzuleiten, also eine sogenannte 'HU &OLHQW IUDJW QXQ ZLHGHU EHLP (UVWHOOHQ HLQHV
Man-in-the-middle-Attacke ausführen. Paketes seinen ARP-Cache nach der MAC-Adres-
Dazu werden wir ARP Spoofing verwenden. ARP ist se des Zieles ab. Aber anstatt von seinem ARP-
ein Protokoll auf Layer 2 (Sicherung), um anhand einer Cache auch die MAC-Adresse des Zieles zu erhal-
IP-Adresse die zugehörige MAC-Adresse abzufragen. ten, bekommt er die des Angreifers, welche er in to-
Die Funktionsweise von ARP Spoofing ist einfach. Der taler Unwissenheit in sein Paket packt.
Grund für dessen Erfolg ist der dynamische ARP-Cache 'HU 6ZLWFK OLHVW QXQ GLH 0$&$GUHVVH DXV GHP
auf jedem Client und eine Zuordnungstabelle auf jedem Pakete aus und vergleicht diese mit seiner Zuord-
Switch: Ein Switch führt eine Zuordnungstabelle, worin die nungstabelle. Anhand der MAC-Adresse (die des
MAC-Adressen der angeschlossenen Geräte dem jeweili- Angreifers) sendet er das Paket an Port 2 und so-
gem Port zugeordnet sind. Diese gibt es deshalb, weil ein mit an den Angreifer und nicht wie vom Opfer ge-
Switch somit genau weiss, welches System an welchem plant an das Ziel.
Port angeschlossen ist und somit auch, an welchen Port
ein einzelnes Datenpaket weitergeleitet werden muss. Somit geht der Verkehr aber erst vom Opfer zum An-
Der Client führt einen eigenen ARP-Cache, worin er greifer.
eine MAC-Adresse einer IP-Adresse zuordnet, sodass Damit das Oper davon aber nichts merkt, muss der
er nicht vor jedem Versenden eines Paketes die MAC- Angreifer die abgefangene Anfrage an das Ziel weiter-
Adresse zu einer IP neu abfragen muss. leiten.Nun verläuft die Kommunikation schon vom Op-
Veranschaulicht könnte das dann so ablaufen (Bild 1): fer über den Angreifer zum Ziel.
Damit man aber auch den gesamten Verkehr in die an-
'HU &OLHQW IUDJW EHLP (UVWHOOHQ HLQHV 3DNHWHV VHL dere Richtungen, also Anfragen und Antworten mitkriegt,
nen ARP-Cache nach der MAC-Adresse des Zieles macht man ARP-Attacken immer auf den Client und den
ab und packt diese danach mit in das Paket. Router / Gateway gleichzeitig, womit nun eine Kommuni-
'HU 6ZLWFK OLHVW GLH 0$&$GUHVVH DXV GHP 3DNHW kation vom Opfer über den Angreifer zum Ziel und auch
aus und weiss anhand seiner Zuordnungstabelle wieder zurück möglich ist. Damit ist die Man-in-the-Middle-
das zu dieser MAC-Adresse der Port 1 gehört, wo- Attacke komplett und der Angreifer ist in der Lage, den
rauf er das Paket an Port 1 und somit an das Ziel gesamten Netzwerkverkehr seines Opfers nicht nur ab-
weiterleitet. zufangen und mit zuhören, sondern auch beliebig zu ver-
ändern, was uns auch sogleich zu Schritt 2 bringt.
%HL $53 6SRR¿QJ NDQQ GHU $QJUHLIHU GHQ $53&DFKH Im ersten Artikel haben wir als Beispiel die Seite Gmail
seines Opfers so verändern, dass eine IP-Adresse einer kopiert und präpariert. Also wollen wir auch gleich dort
total neuen, beliebigen MAC-Adresse zugeordnet wird. anknüpfen.
38 10/2010
DNS Cache Poisoning
Nun gilt es für den Angreifer darauf zu warten, bis das Somit sind wir auch schon bereit und können bereits
Opfer den A-Record von gmail.com abfragt. Sehen wir mit Schritt 1 beginnen.
nun in unserem mitgehörten Traffic eine solche Anfra- Dazu starten wir ettercap und wählen unter dem
ge, so muss das Antwortpaket soweit verändert werden, Punkt Sniff den Unterpunkt Unified sniffing aus. Dabei
dass anstatt die tatsächliche IP-Adresse nun die IP-Ad- werden wir nach dem Interface gefragt, über welches
resse zu unserer präparierten Seite übermittelt wird. der Angreifer mit dem Netzwerk des Opfers verbunden
Das Opfer selbst empfängt und akzeptiert das so, ist. Im Falle einer Verbindung via Kabel ist das meist
weil es selbst von der Veränderung nichts mitbekommt. eth0, bei WLAN meist wlan0.
Alle Anfragen, welche das Opfer von nun an an Gmail Ist auch das vollbracht, so können das oder die Ziele
macht, werden nicht an Gmail selbst, sondern an un- identifiziert werden. Dazu wählen wir den Punkt Hosts >
sere präparierte Seite gesandt, womit unser Vorhaben Scan for hosts, wodurch automatisch alle 255 Hosts im
erfüllt wäre. Subnet angepingt werden (Bild 3).
So nun genug Theorie, schreiten wir zur Tat! Ist auch das durchgestanden, so können die Ziele un-
Beide Schritte können direkt mit ettercap durchge- ter Hosts > Hosts list ausgewählt werden. Als Target 1
führt werden. muss der Router oder Gateway und das Opfer als Tar-
Dabei handelt es sich um ein Stück Software mit Spe- get 2 ausgewählt werden. Hier muss gegebenenfalls
zialisierung auf Man-in-the-Middle-Attacken, welches mit nmap nach geprüft werden um die IP des Opfers zu
unter der GPL wahlweise für Windows, Linux oder Mac identifizieren.
veröffentlicht wurde. Nun kann mit dem Selektieren von Mitm > Arp poiso-
Leider wurde es seit einiger Zeit nicht mehr weiter- ning die ARP-Attacke gestartet und Schritt 1 somit be-
entwickelt, was sich jedoch nicht auf die Funktionalität endet werden.
auswirkt. Wird nun Wireshark oder tcpdump gestartet, so kann
Ettercap kann wahlweise via GUI oder Konsole be- man allen Netzwerkverkehr des Opfers und des Rou-
dient werden, doch erstmal wird alles konfiguriert. ters / Gateways mitgehört werden.
Zuerst müssen wir unsere eigenen A-Rekords für Nun gleich weiter zu Schritt 2. Nachdem die Man-in-
gmail.com anlegen. Dazu editieren wir die Datei /usr/ the-Middle-Attacke steht, können wir dem Opfer nun
share/ettercap/etter.dns und erweitern diese um einen unsere DNS-Records aufzwingen.
Eintrag wie in Listing 1 dargestellt. Dazu verwenden wir die ettercap-Plugins unter dem
Wenn wir nun speichern, so haben wir festgelegt, Punkt Plugins > Manage the plugins. Da wählen wir den
dass Anfragen nach der IP von gmail.com oder *.gmail. Punkt dns_spof aus.
com mit 127.0.0.1 beantwortet werden sollen. Und somit ist unser DNS-Spoofing-Angriff einsatzfä-
hig und aktiv.
Listing 1. ein A-Record für eine präparierte Seite von Wem als Angreifer kein GUI zur Verfügung steht, der
gmail.com kann auch den interaktiven Modus von ettercap ver-
wenden. Dazu muss ettercap nur mit der Option -T auf-
*.gmail.com A 127.0.0.1 gerufen werden. Alles weitere ist dann in der Hilfe (h-
gmail.com A 127.0.0.1 Taste) nachzulesen.
Nun ist alles getan! Jedes mal wenn nun unser Op-
fer die Webseite von Gmail aufruft, wird es auf unsere
präparierte Seite umgeleitet, ohne dass es davon etwas
merkt.
In Kombination mit SET erhält ein Angreifer so mühe-
los Zugriff auf ein fremdes System.
Links
t http://seicon.ch Unternehmen des Autors
t http://blog.encodingit.ch #MPHEFT"VUPST
PATRICK SCHMID
Der Autor ist System Engineer im Bereich Linux / Unix und
unterstützt nebenbei die Entwicklung und Verbreitung von Li-
nux und Opensource im privaten wie auch im professionellen
Abbildung 3. GTK-GUI von ettercap Umfeld.
hakin9.org/de 39
Interview mit Tobias Glemser
hakin9: Erzählen Sie uns bitte ein wenig über sich work und Webfrontend für die grundsätzliche Prüfung
selbst: wer sind Sie, was machen Sie und wie ist es eines Systems mit automatisierten Port- und Vulnera-
dazu gekommen, dass Sie sich mit IT-Sicherheit bility-Scans und einheitlichem Reporting pro System.
Branche beschäftigen? Wir haben dabei das Ziel verfolgt, nicht das Rad neu
Tobias Glemser: Mein Name ist Tobias Glemser, ich zu erfinden, sondern etablierte Programme für die ei-
bin leitender IT-Sicherheitsberater bei der Tele-Consul- gentlichen Prüfungen zu nutzen. Die Ergebnisse der
ting security networking training GmbH in Gäufelden bei einzelnen Schritte werden analog zu einer manuellen
Stuttgart und verantwortlich für den Geschäftsbereich Prüfung mit den jeweiligen Programmen automatisiert
Penetrationstests. Zu Schul- und Zivildienstzeiten hatte verknüpft. Dies ermöglicht eine wesentliche schnellere
ich bereits den ersten Kontakt mit technischen Audits Durchführung bei gleicher Ergebnis-Qualität. Darüber
und habe schlicht das Hobby zum Beruf gemacht. Seit hinaus ist die Oberfläche so gehalten, dass nur die not-
über zehn Jahren bin ich in entsprechenden Projekten wendigsten Optionen zur Verfügung stehen.
tätig. Am Wichtigsten ist der kreative Umgang mit Sys- Neben der Schwachstellen-Prüfung ist auch eine
temen und Anwendungen. Funktionen, die ein Entwick- Erreichbarkeitsprüfung integriert, um einen schnellen
ler nach besten Wissen und Gewissen implementiert Überblick über aktive Systeme in Netzen zu erhalten.
hat so zu nutzen, dass sie nicht mehr dem ursprüngli- Es ist wichtig zu verstehen, dass Penetrationstests
chen Zweck dienen. Im Projektumfeld erhält man viele ohne automatisierte Tests nicht funktionieren. Die schie-
Einblicke in Techniken und Prozesse in unterschiedli- re Anzahl an Schwachstellen lässt sich nur sinnvoll mit
chen Firmen und Behörden, z. B. Energie, Flugraum- entsprechenden Programmen prüfen. Die Ergebnisse
überwachung, Banken. Neben den technischen Aspek- sind dann die Basis für weitere, manuelle Tests. Dabei
ten ist es mein und unser Ziel mit allen Beteiligten des wird mit Know-How und Kreativität versucht, weitere
Kunden ein gemeinsames Ziel zu erreichen. So wäre es Lücken zu finden, um und diese dann auszunutzen.
aus meiner Sicht unsinnig, technische Schwachstellen
mit rein technischen Hilfestellungen zu beheben. Der hakin9: Wie erfolgt die Bedienung des Scanners, und
Ansatz springt deutlich zu kurz. Vielmehr geht es auch welche Lizenzen und Module existieren?
darum, auf Prozesse abzuleiten und diese zu verbes- Tobias Glemser: Die Bedienung erfolgt vollständig
sern. Diese Nachhaltigkeit und die positiven Rückmel- über eine webbasierte Oberfläche. tajanas wird als VM-
dungen treiben an. Darüber hinaus bin ich frei in der ware- oder Hardware-Appliance ausgeliefert, der End-
Beratung, d. h. wir haben keine Produkte im Portfolio, benutzer kann alle Funktionen – dazu gehören auch Ak-
die bei einem technischen Audit möglichst gleich mit an- tualisierungen – über die Weboberfläche nutzen, Jeder
gepriesen werden müssen. Nutzer erhält natürlich trotzdem vollständigen Root-Zu-
griff auf das System. Die Lizenzierung erfolgt pro In-
hakin9: Bereits bei mehreren tausend Tests stallation, eine Limitierung auf IP-Adressen oder eine
von Netzen und Systemen haben Sie den gewisse Anzahl Scans erfolgt nicht. Neben dem Audit-
selbstentwickelten Security Scanner tajanas genutzt. Modul, gibt es auch ein Modul für die Erreichbarkeits-
Was unterscheidet tajanas von anderen solchen prüfung.
Werkzeugen?
Tobias Glemser: Wir haben tajanas zunächst für ei- hakin9: Woher kommt der Name tajanas?
gene Zwecke entwickelt und setzten es auch heute als Tobias Glemser: tajanas steht für „this ain’t just ano-
Basis in Penetrationstests ein. tajanas ist ein Frame- ther network scanner” – weil es ein wie beschrieben ein
hakin9.org/de 41
INTERVIEW
Framework darstellt und nicht den n-ten Port- oder Vul- Nach der Durchführung erhält der Kunde einem umfas-
nerability-Scanner. Wenn wir Bugs in den verwendeten senden, auf seine Umgebung und Realität angepass-
Programmen feststellen oder Ideen für Erweiterungen ten Ergebnisbericht, der im Rahmen eines Abschluss-
haben, geben wir diese direkt in die Community zurück. Workshops mit den technischen verantwortlichen
besprochen wird. Auf Wunsch erfolgt auch die Darstel-
hakin9: Wer sind Benutzer von tajanas? lung vor dem Vorstand bzw. der Leitungsebene.
Tobias Glemser: Zum einen natürlich wir selbst. Zum Das Spektrum eines Penetrationstests ist sehr viel-
anderen setzten IT-Sicherheitsbeauftragte und IT-Revi- fältig und lässt sich nur schwer darstellen. Es handelt
soren das Tool für regelmäßige Sicherheitsprüfungen sich dabei jedoch nicht zwingend um die „bekannten“
ihrer Netze ein. Prüfungen auf Serversysteme. Häufige Einfallstore für
Angreifer sind schlecht gesicherte lokale Netzwerke,
hakin9: Für welche Fälle reichen Penetrationstests Client-Systeme oder auch Multifunktionsdrucker. Bei
nicht aus? Interesse finden sich Informationen z. B. in der Studie
Tobias Glemser: Das hängt von der Zieldefinition des Penetrationstests des BSI, dem Whitepaper Penetrati-
Kunden ab, und was man unter einem Penetrationstest onstests der Tele-Consulting oder auch dem Whitepa-
versteht. Bei Tele-Consulting sind alle Mitarbeiter nicht per Projektierung der Sicherheitsprüfung von Weban-
nur in technische Audits wie Penetrationstests eingebun- wendungen der OWASP.
den, sondern auch in prozessorientierte Beratungen und
Audits wie z. B. ISO 27001 oder BSI IT-Grundschutz. hakin9: Welche Pläne die IT-Sicherheit Branche
Dies ermöglicht es uns, in technischen Audits nicht nur betreffend haben Sie noch vor?
die technischen Lücken aufzuzeigen, sondern auch auf Tobias Glemser: Abseits von technischen Audits ver-
fehlende oder mangelhafte Prozesse hinzuweisen und suchen wir ganzheitliche Prozesse vor allem, aber nicht
konkrete Vorschläge zur Verbesserung zu geben. nur in den IT-Abteilungen zu etablieren und dabei Ad-
ministratoren die Hilfestellungen zu geben, die sie da-
hakin9: Können Sie uns ein konkretes Beispiel bei benötigen. Als Sicherheitsberater oder auch Sicher-
nennen? heitsbeauftrager eines Unternehmens nimmt man meist
Tobias Glemser: Nehmen wir an, dass aus Wirtschaft- die Rolle eines Kontrolleurs ein, der darauf achtet, dass
lichkeitsgründen nicht alle Server in einem Netz in ein Regeln eingehalten werden. Hier ist ein Wandel erfor-
technisches Audit einbezogen werden, sondern nur eine derlich, sowohl bei denen, die sich „Sicherheit“ auf die
definierte Anzahl. Stellt man hier Schwachstellen fest, Fahnen schreiben, als auch bei den Administratoren
so genügt es nicht, die erkannten Schwachstellen oder und Verantwortlichen für Geschäftsbereiche und deren
gar Lücken zu schließen, sondern man muss sich fra- Technik. Sicherheit darf nicht erst am Ende von neuen
gen, wie es zu den Schwachstellen kommen konnte. In Anwendungen, Produkten oder Projekten als Kontrollin-
den seltensten Fällen haben hier Administratoren indi- strument einbezogen, sondern muss als integraler und
viduelle Fehler gemacht, vielmehr scheinen offensicht- vor Allem unterstützender Bestandteil eines erfolgrei-
lich die Vorgaben zur Serverkonfiguration bzw. Härtung chen Produkts gesehen werden. Hier müssen auch und
nicht ausreichend zu sein bzw. diese in ein Information vor allem Sicherheitsberater umdenken, um vorrangig
Security Management System (ISMS) integriert zu sein. als Unterstützer, die sie sind, gesehen und akzeptiert
Darauf weisen wir nachdrücklich in unseren Ergebnis- zu werden. Nur so begreifen die technisch verantwort-
berichten hin, um eine Gesamtverbesserung zu erzie- lichen Mitarbeiter Sicherheitsprüfungen nicht als Prü-
len und unterstützen bei Bedarf auch bei der Umset- fungen ihrer persönlichen Kompetenz, sondern als kon-
zung der organisatorischen Anteile. krete Unterstützung für die Verbesserung vorhandener
Geht man diesen Schritt nicht, werden erfahrungs- Sicherheitsprozesse.
gemäß nur die Systeme verändert, bei denen im Test Im Bereich der technischen Schwachstellen werden
Schwachstellen erkannt wurden. Der Verbesserung der weiterhin Webanwendungen eine große Rolle spielen.
Gesamtsicherheit hilft dies dann allerdings nicht. Daher bin ich seit geraumer Zeit beim Open Web Appli-
cation Security Project (OWASP), den meisten vermut-
hakin9: Wie sieht eine Sicherheitsüberprüfung lich durch die OWASP Top 10 bekannt, ehrenamtlich
mithilfe des Penetrationstests aus? tätig und seit diesem Jahr im Board der deutschen Sek-
Tobias Glemser: Zunächst bedarf es einer klaren Ziel- tion. Beim OWASP Stammtisch Stuttgart (und Stamm-
vorstellung. Entweder haben Kunden diese bereits, tischen in anderen Städten) tauschen sich hier auch
oder sie wird im Rahmen eines Workshops gemeinsam Menschen rund um das Thema zwanglos aus. Wer
erarbeitet. Dabei ist es meist sinnvoll mehrstufig vorzu- Lust hat vorbeizukommen, kann sich auf der deutschen
gehen und die Themen in verschiedenen Arbeitspake- OWASP Webseite informieren.
ten abzuarbeiten. Im Rahmen eines Kick-Offs werden
die Beteiligten informiert und in den Ablauf integriert. Wir bedanken uns für das Gespräch!
42 10/2010
INTERVIEW
„Erfolgreiche Frauen
in der IT-Branche - ein
Erfahrungsbericht“
Interview mit Ulrike Peter
hakin9: Lassen Sie uns bitte ein wenig über sich selbst Aber wie heißt es so schön: „Ausnahmen bestätigen
wissen: wer sind Sie, was machen Sie und wie ist es die Regel“. Und der Trend zeigt beispielsweise, dass
dazu gekommen, dass Sie in der IT-Branche tätig sind? Frauen zunehmend technische Studiengänge bele-
Ulrike Peter: Ich bin PR-Spezialistin und Journalis- gen.
tin durch und durch. Die Liebe zum Schreiben ent-
deckte ich früh. Nach ersten Gehversuchen als freie hakin9: Heutzutage sind wir überall von Computern
Mitarbeiterin bei einer Tageszeitung absolvierte ich umgeben. In der IT-Branche herrscht trotzdem ein
vor zehn Jahren ein Volontariat in einer PR-Agentur Frauenmangel. Woran liegt dies Ihrer Meinung nach?
mit parallelem Fernstudium „Journalismus“. Die ers- Ulrike Peter: Noch lockt es wesentlich mehr Männer in
ten Tage in der Agentur waren wie ein Kopfsprung technische Berufe als Frauen. Ich denke, das Verhältnis
ins kalte Wasser. Denn obwohl ich das journalistische wird auch in Zukunft so bleiben – auch wenn sich die
Rüstzeug besaß, wusste ich anfangs nicht mal, wo klassische Rollenverteilung verschiebt und die „Gren-
sich die Escape-Taste an meinem PC befand, hatte
aber die Aufgabe, ohne spezielles Hintergrundwissen
über komplexe Technologien detaillierte Berichte zu
formulieren. Da dies den Ehrgeiz in mir weckte, ar-
beitete ich mich schnell in die Materie ein und stell-
te fest, dass Public Relations in Verbindung mit der
Erstellung technologischer Texte mein Steckenpferd
ist. Heute bin ich Geschäftsführerin meiner eigenen
PR-Agentur und obwohl ich mittlerweile auch in wei-
teren Branchen und Aufgabengebieten zuhause bin,
ist die Freude daran, „trockene“ und komplexe Inhalte
lebendig werden zu lassen, noch genauso vorhanden
wie am ersten Tag.
44 10/2010
Interview mit Ulrike Peter
zen“ in beide Richtungen mehr und mehr verschwim- Vorgesetzten und zum anderen nach den Fähigkeiten
men. Denn auch Männer finden wir heute in Berufen, der Frau. Jeder Mitarbeiter, der neu eingestellt wird,
die vor Jahren ausschließlich Frauen zugeordnet wur- steht vor der Aufgabe, sich zu beweisen – und sollte
den. Und wir sind zwar von elektronischen Geräten wie die Möglichkeit dazu erhalten. Jedoch werden Frau-
PCs, Smartphones etc. umgeben und diese werden en in typischen Männerberufen oft kritischer beäugt
auch rege von beiden Geschlechtern genutzt – aber ei- und stehen länger auf dem Prüfstand. Dies passiert
nen technischen Job zu ergreifen ist ein anderes paar teils unbewusst. Auch beweisen Studien immer wie-
Schuhe. Hierzu gehört ein besonderes Faible. Die Be- der, dass männliche Arbeitnehmer im gleichen Job
weggründe, weshalb in diesem Segment Frauenman- mehr verdienen als weibliche. Hier macht die Gesell-
gel herrscht, sind meiner Meinung nach: Ihnen fehlt schaft aber eine Entwicklung durch und dies reguliert
manchmal der Mut, sie erhalten nicht immer die glei- sich sicherlich zumindest ein Stück weit im Laufe der
chen Chancen oder – und das wird der Hauptgrund sein nächsten Jahre.
– es liegen schlichtweg die Interessen in anderen Be-
reichen. hakin9: Was macht Ihnen am meisten Spaß bei der
Arbeit in der IT-Branche?
hakin9: Woraus resultieren die Vorurteile gegen die Ulrike Peter: Bevor ich mich selbständig machte, war
Frauen, die sich mit Computern beschäftigen? ich bereits in einem anderen Unternehmen in der Ge-
Ulrike Peter: Die IT ist (und bleibt es sicher auch) eine schäftsleitung tätig – jedoch konnte ich den Stift zum
Männerdomäne – Frauen in der IT-Branche sind Para- Schreiben nie aus der Hand legen. Es reizt mich, im-
diesvögel. Wie in allen Berufen, in denen seit jeher ein mer wieder neue technologische Themen zu erkunden
Geschlecht etabliert ist, sich Prozesse eingeschliffen und dabei nicht nur an der Oberfläche zu kratzen, son-
und bewährt haben, ist es erst einmal fremd und ge- dern Detailtiefe zu erlangen, um fundiert und lesens-
wöhnungsbedürftig, wenn sie sich verändern. So liegen wert über ein Thema berichten zu können. Im Laufe
die Vorurteile zum einen daran, dass es nicht üblich ist, der Jahre habe ich eine starke Affinität zur IT-Security
wenn Frauen in diesen Berufen arbeiten und Männern entwickelt. Ich finde es spannend, über Sicherheits-
die „Technik“ zugeordnet wird – zum anderen resultie- lücken, Verschlüsselungstechniken und vieles weite-
ren sie daraus, dass die unterschiedlichen Fähigkeiten re zu schreiben. Darüber hinaus macht es mir großen
und Interessen der Geschlechter einfach naturgege- Spaß, IT-Unternehmen durch die richtige PR-Strategie
ben sind. So wie kleine Jungen mit Autos spielen und nach vorn zu bringen und entsprechende Maßnahmen
Mädchen mit Puppen, stecken auch später gewisse in die Tat umsetzen. Beim Kennenlernen eines poten-
Verhaltensweisen und Interessen in uns, die bereits in ziellen Neukunden im ersten Moment manchmal hin-
der Kindheit geprägt werden. Greift das weibliche Ge- sichtlich der technischen Fachkompetenz unterschätzt
schlecht im Berufsleben plötzlich zum „Auto“, so ist dies zu werden und dann schnell durch Know-how zu über-
ungewöhnlich und wird erst einmal hinterfragt. zeugen, bestätigt mich immer wieder in dem, was ich
tue.
hakin9: Wie sieht die Situation von Frauen in der IT-
Branche aus? Ist es leicht, als begabte IT-Expertin hakin9: Was sollte unternommen werden, um
einen Job in einem Unternehmen zu bekommen? die Ressentiments von Frauen gegenüber IT-Jobs
Ulrike Peter: Frauen in der IT-Branche sind häufig in abzubauen?
Marketingabteilungen zu finden – aber zum Beispiel Ulrike Peter: Ich glaube, dem kann man bzw. Frau nur
auch bei der schreibenden Zunft in Fachverlagen. In entgegenwirken, indem sie den Mut hat, ihre Interessen
diesen Jobs herrscht in meinen Augen Chancengleich- zu verfolgen und sie unter Beweis zu stellen. Aus Er-
heit. Als IT-Expertin in einem technischen Beruf wie Ad- fahrung: wenn jemand seine Fähigkeiten zeigt und en-
ministrator, Entwickler oder Ähnliches sieht es dagegen gagiert an eine Sache herangeht, rückt das Geschlecht
anders aus. In diesem Segment haben es weibliche automatisch in den Hintergrund.
Fachkräfte meiner Ansicht nach schwerer. Die Hürde,
zum Bewerbungsgespräch eingeladen zu werden, ist Wir bedanken uns für das Gespräch!
höher. Bekommt sie die Chance dazu, wird vielleicht et-
was genauer hingeschaut, aber letztlich zählt die Kom-
petenz, die unterm Strich den entscheidenden Aus-
schlag geben wird.
hakin9.org/de 45
REZENSIONEN
D
Hervorheben sollte man die organisatorische Flexi-
Customizing, basiert auf mehr als 20 Jahren Er- bilität und Logistik wie das Logistic Assessment, Pro-
fahrung die die Autoren insgesamt bei der Ent- zessmanagement, Qualification Management inkl. der
wicklung, Implementierung, aber auch Schulung der Übernahme von Trainingsdaten, das Managementkon-
Lösung sammeln konnten. zept BSC (Balanced Scorcard), die Einsatzmöglichkei-
Die über 650 Seiten vollgepacktes Wissen sollten sie ten von mobilen Anwendungen für Schutzaufgaben,
nicht abschrecken dieses Buch in die Hand zu nehmen. SOA und NCW bzw. NetFüOp mit DFPS.
Es ist sehr gut und flüssig geschrieben. Man schafft es, Der Mehrwert wird z.B. am Meldewesen der NC3A
sollten sie ein schneller LeserIn sein in zwei Tagen. durch Automatisierung von weiten Teilen, schön heraus
Sie benötigen keine tiefgreifenden SAP-Kenntnisse gearbeitet.
zum Verständnis, daher ist es für Entscheider genauso Die ausführlichen bebilderten Beispiele, stellen eine
geeignet wie für Projektleiter, Architekten, funktionale gelungene Verbindung zwischen Theorie und Praxis
Mitarbeiter, Basismitarbeiter oder externe Berater. bzw. Anwendung dar. In der SAP-typischen Struktur
Komplexe Zusammenhänge werden sehr schön und wurden die neuen und bereits erwähnten Funktionen
bildhaft beschrieben, damit auch für den SAP-Laien, sinnvoll und gekonnt integriert.
das Vorgehen verständlich beschrieben wird. Erwäh- Des Weiteren findet sich für die richtige IT-Architektur
nenswert finde ich in diesem Zusammenhang Rubiks ein schön gefüllter Werkzeugkasten mit den dazuge-
Zauberwürfel. hörigen Do’s and Dont’s. Natürlich darf auch das best
Das Buch ist sehr strukturiert aufgebaut und practices nicht fehlen, sowie der Ausblick auf zukünftige
umfasst unverzichtbare Grundlagen in den Teilen I-III. Entwicklungen.
Für Experten wird es dann in Teil IV richtig spannend Egal ob sie sich für eine Neuintegration oder eine Co-
und interessant. re2Defense Lösung entscheiden,
Die von SAP entwickelte fast eierlegende Wollmilch- die Kapitel zu den Themen:
sau, erfordert ein umfangreiches Nachschlagewerk, zur
Implementierung. Den Autoren ist dies hiermit gelun- /RJLVWLN!161XQG,8,'
gen. /RJLVWLN!+HUVWHOOHUWHLOHQXPPHUQ
Ihnen ist es außerdem gelungen aufzuzeigen, wie ,QVWDQGKDOWXQJ!7HFKQLVFKH3OlW]HXQG
komplexe „Unternehmensstrukturen“ bewältigt und Kos- 5ROOHQLP')363URMHNW
ten reduziert und kontrolliert werden können.
Das Beispielprojekt „Tsunami“ verdeutlicht dabei an möchte ich ihnen unbedingt ans Herz legen.
einem nicht so komplexen Projekt die Anforderungen.
Beleuchtet wird z.B. wie militärische Kernprozesse, wie FAZIT:
etwa die Logistik substanzielle Einsparungen von ca. Dieses Buch sollte keinem Entscheider und IT-Verant-
30% erzielen könnten, als auch die Unterstützung von wortlichen vorenthalten werden.
Einsätzen verbessert werden könnten (Beschleunigung Prädikat besonders empfehlenswert.
der Verlegung um bis zu 50 -70%).
Des Weiteren wird die Interoperabilität sehr schön he- Autor: Nicole Huck
raus gestellt und die integrativen Aspekte stets im Blick
behalten.
46 10/2010
Recommended Sites
Datenschutz ist EU-weit gesetzliche Anforde- Die Netzwerktechnik steht auf www.easy-ne- Die Seed Forensics GmbH bietet für Strafver-
rung. Wir sorgen für die Erfüllung rechtlicher twork.de im Mittelpunkt. Artikel, Tutorials und folgungsbehörden professionelle Unterstützung
Vorschriften und kümmern uns um ein ange- ein Forum bieten genügen Stoff für kommende in den Bereichen der Datensicherstellung und
messenes Datenschutzniveau in Ihrem Unter- $GPLQLVWUDWRUHQXQG1HW]ZHUNSUR¿V Datenträgerauswertung. Selbstverständlich
nehmen, auch international. entsprechen unsere Mitarbeiter, unser tech-
www.blossey-partner.de www.easy-network.de nisches Equipment und auch unsere Räumli-
chkeiten den notwendigen Anforderungen.
www.seed-forensics.de
Securitymanager.de ist eine Produktion des Happy-Security ist ein neues Portal mit Secu- +LHU ¿QGHVW 'X DOOHV ZDV GDV +HU] HLQHV
Online-Verlag FEiG & PARTNER. Seit dem rity-Challanges, IT-Quiz, Web-Bibliothek, Multi- Computerfreaks höher schlagen lässt: Geek
Start hat sich Securitymanager.de zu einem media-Center & vielen weiteren Features. Wear mit intelligenten Sprüchen, eine riesige
führenden Online-Informationsportal in www.happy-security.de Auswahl Gadgets und natürlich auch viele
Deutschland entwickelt und versteht sich als Hacker Tools.
unabhängiger Informationsdienstleister der www.getDigital.de
IT- und Information-Security-Branche.
www.securitymanager.de
CloudSafe stellt seinen Nutzern eine Plattform AV-Comparatives geht hervor aus dem Inns-
zur kryptographisch sicheren Ablage und Verwal- brucker Kompetenzzentrum und gilt als eines
Pericom base camp IT-Security: Unser Ziel ist
tung von sensiblen Daten zur Verfügung: Nutzer der bekanntesten unabhängigen Testhäuser
es, unsere Kunden vor möglichen Gefahren
können auf CloudSafe beliebig viele Dokumente für Antiviren-Software.
für Ihre IT-Infrastruktur bestmöglich zu schüt-
in virtuellen Safes ablegen. Es können weite- www.av-comparatives.org
zen. Neben der Analyse von Risikopotentia-
ren Personen individuelle Zugriffsrechte auf die
len durch Security Audits bieten wir, durch
Safes eingeräumt und somit ein sicherer Daten-
die Implementierung von Security-Lösungen,
austausch ermöglicht werden.
Schutz vor konkreten Gefahren.
www.cloudsafe.com
www.pericom.at
B1 Systems
SEC Consult Die B1 Systems ist international tätig
SEC Consult ist der führende Berater
SEC Consult für Information Security Consulting in
in den Bereichen Linux/Open Source
&RQVXOWLQJ 7UDLQLQJ XQG 6XSSRUW B1
Zentraleuropa. Die vollständige Unab-
Systems spezialisiert sich in den Be-
hängigkeit von SW- und HW-Herstellern
reichen Virtualisierung und Cluster.
macht uns zum echten Advisor unserer
Kunden. Unsere Dienstleistungen umfa-
info@b1-systems.de
ssen externe/interne Sicherheitsaudits,
www.b1-systems.de
(Web-) Applikationssicherheit (ONR 17-
700), Sicherheitsmanagement-Prozesse
(ISO 27001) etc.
www.sec-consult.com
www.seed-forensics.de www.optimabit.com