Hakin9 11

SSL-Zertifikate
Einkaufen ist Vertrauenssache -
online und offline!

Ihre Vorteile
90
Vertra u Sie au en f ber
Jederzeit
Bis zu
Tage
lngere Laufzeit*
Erfahr
unSERE PRodukTE
Domain Validation (DV)-Zertifikate Organization Validation (OV)-Zertifikate Extended Validation (EV)-Zertifikate Single-Zertifikate Wildcard-Zertifikate Multidomain (MDC)-Zertifikate Unified Communication / Subject Alternative Name (UCC/SAN)-Zertifikate Server Gated Cryptographie (SGC)-Zertifikate
Jahre
ung
kostenloser Austausch
Zustzliche Lizenzen
ohne Aufpreis*
Unkomplizierte Lieferung
auf Rechnung**
Persnlicher Support
in deutsch, englisch, spanisch und polnisch
* in den Produktlinien Lite, Silver und Gold ** bei Pay-as-you-Go
LIebe HAKIN9 LeSeR!

das Hauptthema der November Ausgabe ist Cloud Computing. Cloud Computing ist seit dem Jahr 2007 zu einem zentralen Begriff der modernen Computertechnologie geworden. Verschiedene Implementierungen und Produkte fhren zu einem undurchsichtigen Konstrukt. Des Weiteren lesen Sie im Artikel Sicherheit von Cloud Computing Zu weiteren Highlights der aktuellen Ausgabe gehren: Sicheres Surfen im Internet, Automatische verhaltensbasierte Malware-Analyse, IT-Compliance mit dem Unified Compliance Framework UCF, Sicher durch die Cloud, Der Androide im Auto IT-Sicherheit beim Fahren. Falls Sie Interesse an einer Kooperation htten oder Themenvorschlge, wenden Sie sich bitte an unsere Redaktion.
Viel Spa mit der Lektre! Karolina Sokoowska
5/2009 HAKIN9
11/2011
InhaltsverzeIchnIs
INTERNETSICHERHEIT
7 Sicheres Surfen im Internet
Kateryna Kogan Man muss nicht mehr auf den Seiten mit fragwrdigen Inhalten surfen oder dubiose E-Mails in gebrochener Sprache ffnen, um seinen PC mit Viren zu gefhrden
DATENSICHERHEIT
13 Sicherheit von Cloud Computing
Marc Ruef Cloud Computing ist seit dem Jahr 2007 zu einem zentralen Begriff der modernen Computertechnologie geworden. Die Greifbarkeit dessen ist aufgrund unterschiedlicher und schwammiger Definitionen nicht einfach. Verschiedene Implementierungen und Produkte fhren zu einem undurchsichtigen Konstrukt, das damit ebenfalls in Bezug auf die gegebene Sicherheit schwierig handzuhaben ist.
Produktion: Andrzej Kuca herausgegeben vom Verlag: Software Press Sp. z o. o. SK Geschftsfhrer: Pawe Marciniak Managing Director: Justyna Ksiek justyna.ksiazek@software.com.pl Chefredakteurin: Karolina Sokoowska karolina.sokolowska@software.com.pl Redaktionsassistentin: Ewa Strzelczyk ewa.strzelczyk@software.com.pl Redaktion: Christian Heutger, Geschftsfhrer der PSW GROUP, Kateryna Kogan, Marc Ruef, Robert Luh, Paul Tavolato, Vicente Diaz, Robert Lommen, Michael Schratt 4 DTP: Przemysaw Banasiewicz Umschlagsentwurf: Przemysaw Banasiewicz Werbung: adv@software.com.pl Anschrift: Software Press Sp. z o.o. SK ul. Bokserska 1, 02-682 Warszawa, Poland Tel. +48 22 427 36 56, Fax +48 22 244 24 59 www.hakin9.org/de Die Redaktion bemht sich, dafr Sorge zu tragen, dass die in der Zeitschrift sowie auf den begleitenden Datentrgern erhaltenen Informationen und Anwendungen zutreffend und funktionsfhig sind, bernimmt jedoch keinerlei Gewhr fr derer Geeignetheit fr bestimmte Verwendungszwecke. Alle Mar-
kenzeichen, Logos und Handelsmarken, die sich in der Zeitschrift befinden, sind registrierte oder nicht-registrierte Markenzeichen der jeweiligen Eigenmer und dienen nur als inhaltliche Ergnzungen. Anmerkung! Die in der Zeitschrift demonstrierten Techniken sind AUSSCHLIELICH in eigenen Rechnernetzen zu testen! Die Redaktion bernimmt keine Haftung fr eventuelle Schden oder Konsequenzen, die aus der unangemessenen Anwendung der beschriebenen Techniken entstehen. Die Anwendung der dargestellten Techniken kann auch zum Datenverlust fhren! hakin9 erscheint in folgenden Sprachversionen und Lndern: deutsche Version (Deutschland, Schweiz, sterreich, Luxemburg), polnische Version (Polen), englische Version (Kanada, USA)
6/2010
Inhaltsverzeichnis
ABWEHR
23 Automatische verhaltensbasierte Malware-Analyse
Robert Luh, Paul Tavolato Automatisierte verhaltensbasierte Malware-Analyse ist ein Weg zur schnellen Ersteinschtzung eines verdchtigen Code-Samples und zielt in erster Linie darauf ab, Malware-Analytiker bei ihrer Arbeit zu untersttzen. Es wird ein verhaltensbasierter Malware-Erkennungsalgorithmus beschrieben, der implementiert wurde und dessen Tauglichkeit durch Tests bewiesen werden konnte.
BETRIEBSSICHERHEIT
Georg Disterer und Michael Wittek Die IT-Untersttzung von Geschftsprozessen ist so bedeutend, dass Strungen oder Unterbrechungen im IT-Betrieb groe Risiken darstellen. Mittlerweile fordern sogar Gesetze und Regularien ausreichende Sorgfalt und Vorsorge, um einen strungs- und unterbrechungsfreien Betrieb zu gewhrleisten. IT-Compliance strebt nachweisbar regelkonformes Handeln im IT-Bereich an und umfasst alle Manahmen zur Einhaltung entsprechender Vorgaben wie Gesetze, Vorschriften, Normen u.. Die Anzahl entsprechender Vorgaben ist gro, deren Art und Umfang hchst unterschiedlich, viele der Anforderungen betreffen IT-Sicherheit. Um die Einhaltung der Vorgaben nachweisen zu knnen, ist ein systematisches Vorgehen sinnvoll. Als ein Hilfsmittel steht das Unified Compliance Framework (UCF) zur Verfgung. Nachfolgend werden Aufbau und Funktionsweise des UCF am Beispiel der IT-Sicherheit erlutert, um dann die wesentlichen Steuerungs- und Kontrollmanahmen fr den Wirkbereich der technischen Sicherheit aus dem Framework abzuleiten.
29 IT-Compliance mit dem Unified Compliance Framework UCF
35 Sicher durch die Cloud
Cloud-Computing ist vielen Unternehmen suspekt, denn sie wittern ein Sicherheitsrisiko fr ihre Daten. Doch es gibt auch eine andere Seite der Wolke: Clouds knnen auch mehr Sicherheit fr Unternehmen bieten und IT-Kosten sparen.
KASPERSKY LAB
37 Der Androide im Auto IT-Sicherheit beim Fahren
Vicente Diaz Technik ist Teil unseres Alltags. Sie ist in allen mglichen Gerten gegenwrtig, verhilft uns zu einem leichteren Leben und einer vereinfachten tglichen Routine. Dies trifft besonders auf die Automobil-Welt zu, in der alle Verbesserungen, die whrend der vergangenen Jahre vorgenommen wurden, in eindrucksvollen Features mnden, die fr unsere Eltern, als sie ihre alten Modelle gefahren sind, undenkbar waren. Doch natrlich hat sich die Welt komplett verndert: Vor 30 Jahren haben wir gerade erst angefangen, PacMan zu spielen!
Im Zusammenhang mit den nderungen, die in letzter Zeit in dem deutschen Recht stattgefunden haben und die IT-Sicherheit betreffen, mchten wir ankndigen, dass hakin9-Abwehrmethoden Magazin seinem Profil treu bleibt. Unser Magazin dient ausschlielich den Erkenntniszwecken. Alle im Magazin prsentierten Methoden sollen fr eine sichere IT fungieren. Wir legen einen groen Wert auf die Entwicklung von einem sicheren elektronischen Umsatz im Internet und der Bekmpfung von IT Kriminalitt.
hakin9.org/de
Was erwartet Sie in diesem Kurs:

Die Wiederherstellung verlorener Passwrter Das Abfangen von Informationen in lokalen Netzwerken Das Abfangen von verschlsselten Daten Angriff auf eine SSL-Sitzung Backdoor - die "Hintertr" als Tor zum System Dateien und Verzeichnisse mit Hilfe des Kernels 2.6 verstecken Angriffe vom Typ Buffer-Overflow Angri Angriffe vom Typ Heap-Overflow Format-String-Angriffe Das berschreiben des Datenstrom-Zeigers (File Stream Pointer Overwrite) Fehler im Systemkernel Die Verwendung des ICMP-Protokolls aus der Sicht des Hackers Identifizierung eines Netzwerkcomputers Netfilter im Dienste der Systemsicherheit Systemsiche Absichern des Betriebssystems Schritt fr Schritt Sicherheitsscanner Kernelpatches zur Erhhung der Sicherheit Intrusion Detection System (IDS) Angriff mit Hilfe eines Webservers Shellcode-Erstellung in der Win32-Umgebung
72888
Sicheres Surfen im Internet

kateryna kogan
Man muss nicht mehr auf den Seiten mit fragwrdigen Inhalten surfen oder dubiose E-Mails in gebrochener Sprache ffnen, um seinen PC mit Viren zu gefhrden
In DIeSem ArtIkel erfAhren SIe

Wie man mit einfachen Schritten sich vor Gefahren im Netz schtzt
WAS SIe VOrher WISSen SOllten

Keine besonderen Kenntnisse notwendig
ie Online-Bedrohungen haben explosionsartig dort zugenommen, wo man wirklich viele Menschen findet z.B. in den sozialen Netzwerken. Die Viren verstecken sich in den Links, Videos oder als Phishing und Malware in den Apps, die permanent von eigenen Freunden auf der Pinnwand oder in den Nachrichten verteilt werden. Auch Spam-Mails werden immer raffinierter und weisen originale Layouts der besuchten Webseiten, Online-Shops oder Zahlungssysteme auf, sodass man sie nicht mehr vom Original unterscheiden kann. Vorsicht ist von allen Seiten geboten denn die Aktivitten der Cyber-Kriminellen weisen eine immer mehr zunehmende Professionalitt in der Struktur und Arbeitsweise der Internetverbrecher auf. Sich vom Internet abzuwenden, ist natrlich keine Lsung es gibt ein Paar wichtige Punkte, die das Leben am PC einfacher gestalten knnen.
Das A und O ein ausgereiftes Anti-Viren-Programm:
Man muss nicht unbedingt das teuerste Produkt kaufen, um geschtzt zu sein. Sparsamkeit an einer falschen Stelle ist aber auch nicht ratsam. berlegen Sie sich genau, was Sie im Internet tun ist das nur ein wenig surfen und E-Mails checken, vielleicht ein Paar Videos anschauen, Downloads starten oder gehrt sogar Online-Shopping und -Banking dazu. Einer der grten Antivirenhersteller AVG bietet z.B. verschie-
dene Produkte an, die auf jegliche Bedrfnisse zugeschnitten sind. Die AVG Free Version bietet Schutz beim Surfen im Internet und in den Sozialen Netzwerken an. AVG Anti-Virus 2012 geht weiter und berprft die Downloads aus dem Internet was beim genaueren Betrachten fter vorkommt als man denkt es geht ja nicht nur um Videos oder Musik, sondern auch um Software oder Dokumente, mit den man tglich arbeiten muss. Auch Schutz des E-Mail-Postfachs vor unerwnschten und gefhrlichen Nachrichten, wie Spam, Phishing-Mails oder Viren ist enthalten. Wenn ein zustzlicher Schutz beim Online-Shopping, Online-Banking, Firewall und weitere Sicherheitsfeatures gebraucht werden, muss ein AVG Internet Security 2012 her. Die Software kann den kompletten Rechner nach Viren durchsuchen, oder auch nur einzelne Dateien, Ordner, Archive, CDs/DVDs und sogar USB-Sticks damit spart man Zeit und Rechnerkapazitten, whrend des Scanns. Zustzlich kann man mit AVG Internet Security 2012 eine Rettungs-CD erstellen dies ist jederzeit und fr jeden empfehlenswert. Auf der CD sind dann die wichtigsten Systemdateien sowie das SOS-Programm gespeichert. Im Notfall kann man damit den virenbefallenen Rechner starten. Schnellere Scanns, weniger Speicherplatznutzung, die man auch merkt die Prfung einer kompletten Festplatte luft damit bis zu 50 Prozent schneller als noch beim Vorgnger.
hakin9.org/de
InternetSIcherheIt
Ein weiteres Goodie ist das integrierte AVG Accelerator. Dieser optimiert die Geschwindigkeit fr einen schnelleren Dateidownload, reduziert die Downloadzeit von Videos um 30-50%, minimiert Verzgerungen beim Anschauen der Youtube-Videos und erhht damit das Nutzererlebnis. In nur neun Sekunden lassen sich z.B. 2-3-mintige Youtube-Videos downloaden.
ren. An dieser Stelle einfach eine kleine Pause machen und den PC mit den neuesten Updates versorgen. Stellen Sie also sicher, dass die Sicherheits-Software, Betriebssystem, Dienstprogramme und Anwendungen immer up to date sind. Das schliet viele Lcken und macht den PC einfach sicherer.
Automatische Updates aktivieren:
Passwrter:
Natrlich knnen die Updates nervig sein da sitzt man an seiner Arbeit und auf einmal poppt ein Fenster auf, dass es an der Zeit ist, etwas Neues fr sein Betriebssystem oder Anwenderprogramme zu installie-
Egal, was man online tut hchstwahrscheinlich braucht man dafr ein Passwort. Vielleicht hat man eins, zwei oder sogar drei Standard-Passwrter, die dann in verschiedenen Onine-Shops oder auf den Internetseiten verwendet werden. Passwrter sind das
Abbildung 1. AVG Internet Security 2012 der Komplettschutz fr alle Online-Aktivitten
Abbildung 2. AVG Accelerator im Einsatz in 9 Sekunden das 3-mintige Video laden
11/2011
Leid jedes Sicherheitsexperten, denn z.B. 123456 noch immer zu den am meisten genutzten Passwrtern gehrt. Das nchste auf der Beliebtheitsskala ist 1234567 Heutzutage empfehlen die Sicherheitsexperten fr jede einzelne Seite ein eigenes starkes Passwort (mind. 8 Zeichen, bestehend aus Sonderzeichen, Buchstaben und Zahlen) zu generieren und
sollte man dieser Empfehlung wirklich folgen, hat man als aktiver Nutzer leicht ber 100 Passwrter. Viele Menschen notieren sich also ihre Zugangsdaten auf einem Stck Papier, das sie mit sich tragen oder es direkt an ihr Monitor kleben. Andere erstellen auf dem PC eine Datei, um schnell auf alle Informationen zugreifen zu knnen. Whrend diese beiden Optionen
Abbildung 3. AVG Link Scanner Sichere Suchergebnisse werden mit einem grnem Stern gekennzeichnet
Abbildung 4. AVG Link Scanner Unsichere Suchergebnisse kriegen ein rotes Warnzeichen
hakin9.org/de
InternetSIcherheIt
einfach und bequem sind, sind sie weit davon entfernt, sicher zu sein das Stck Papier knnte verloren oder geklaut werden, oder, sollte das Passwort ffentlich herumliegen, kann es von Dritten verwendet werden. Eine Datei mit seinen Passwrtern auf dem Computer zu speichern, ist auch kein Allheilmittel sollte der Computer z.B. mit Malware infiziert sein, durchsucht diese den Computer gezielt nach solchen Dateien. Selbst wenn die Passwort-Datei durch ein weiteres Passwort geschtzt ist, kann dieser mit Leichtigkeit geknackt werden. Die schlimmsten beltter sind aber Keylogger das bsartige Programme, die Tastatureingaben tracken, jedes Mal, wenn man seinen Benutzernamen und Passwort eintippt. Also, wie hlt man seine Passwrter sicher und hat trotzdem jederzeit einen einfachen Zugang zu seinen Benutzerdaten? Heutzutage haben die meisten Browser ein PasswortManagement-System, das bereits eingegebene Passwrter und Benutzernamen speichert und eine gute
Basis fr die Kennwrter-Verwaltung bietet. Bei einer greren Anzahl an Zugangsdaten gibt es eine Reihe von Programmen, die die Passwort-Management-Kontrolle bernehmen, wie z.B. Roboform, Lastpass oder Keepass. Diese Anwendungen knnen u.a. auch starke Passwrter fr jeden einzelnen Online-Zugang generieren und loggen sich auf den Webseiten automatisch ein. Zusatzfeatures, wie das automatische ausfllen der Online-Formulare, knnte beim Online-Shopping sehr hilfreich sein.
Surfen, suchen, klicken:
Es ist nicht immer empfehlenswert, bei der Suche im Web den Top-Treffern zu vertrauen, die als Erste erscheinen. Es gibt mittlerweile gengend Wege, diesen Prozess zu beeinflussen. Dass jemand an erster Stelle aufgelistet wird, bedeutet nicht, dass er das beste Produkt anbietet oder, dass der Link sicher ist. Natrlich ist es fr uns schneller die ersten Paar Suchresultate an-
Abbildung 5. AVG Mobilation Umfassender Schutz vor Viren, Spam und Scam oder Diebstahl
Abbildung 6. AVG Mobilation Tuneup berwacht die Akkulaufzeit, die Arbeitsspeicherauslastung oder den Speicherplatz und hilft dabei die Akkulaufzeit zu sparen
10
11/2011
zuklicken Angreifer wissen das und nutzen es aus. Sie brechen in hufig besuchte Webseiten ein und stehlen dann private Informationen, Zugangsdaten und wertvolle persnliche Dateien von den PCs der Besucher. Man kann aber nicht wissen, was sich hinter dem Link verbirgt gestern war es noch sicher, heute nicht mehr. Die Prfung der Links sollte man also den Profis berlassen. In allen Sicherheitsprodukten von AVG ist ein LinkScanner enthalten, der jedes Suchergebnis und jeden Link auf Bedrohungen prft direkt vor und beim Mausklick. Er findet Gefahren, bevor sie zum Problem werden und schtzt die User davor.
le Benutzer whlen frei verfgbare WLAN-Netze. Im schlimmsten Fall wird man direkt mit dem Computer eines Hackers verbunden. Erschwerend kommt hinzu, dass der Netzwerkname (SSID), der zur Beschreibung und Identifizierung eines drahtlosen Netzwerkes dient, auf dem System gespeichert wird. Der PC wird dann automatisch mit jedem Netzwerk verbunden, das diesen gespeicherten Namen enthlt. So knnen sich Cyber-Kriminelle unbegrenzten Zugang zu den PCs verschaffen. Auch hier kann man sich schtzen. Anbei ein Paar hilfreiche Tipps: netzwerkeinstellungen berprfen Vor der Nutzung des ffentlichen Internetzugangs sollten Surfer unbedingt die Netzwerkeinstellungen des eigenen Betriebssystems berprfen. Die Funktion Dateifreigabe ist zu deaktivieren. Dafr klickt man im Windows-Betriebssystem das Verzeichnis C:\Dokumente und Einstellungen\Eigene Dateien mit der rechten Maustaste an und whlt den Menpunkt Freigabe und Sicherheit aus. Andere Hotspot-Nutzer knnen ansonsten unter Umstnden auf die gespeicherten Dateien des Rechners zugreifen. hotspot manuell auswhlen Die Anmelde- und Zugangsdaten des Hotspots mssen stimmen. Daher sollten Surfer den Hotspot grundstzlich manuell auswhlen. Eine automatische Verbindungsaufnahme durch das Betriebssystem ist nicht zu empfehlen. Verbindungsdauer so kurz wie mglich halten Keine WLAN-Verbindung aktivieren, wenn man nicht plant, eine Website aufzurufen. Das schtzt nicht nur vor Cybercrime, sondern schont auch die Batterie. Vorsicht bei sensiblen Daten Man sollte sich sehr gut berlegen, welche Informationen man an den ffentlichen Orten zugnglich machen mchte. Selbst scheinbar harmlose Anmeldungen auf Web-E-Mail oder Social-Networking-Konten knnen Cyber-Kriminellen Zugriff auf die Daten geben. Wer dennoch per Hotspot Geld berweisen muss, sollte auf die Verschlsselung der Verbindung achten. In der Adressleiste des Browsers sollte dann https:// statt http:// vor der eigentlichen Adresse stehen. Zudem ist ein Schloss-Symbol erkennbar.
Surfen mit Smartphones:
Mit dem zunehmenden Einsatz von Smartphones steigt auch bei dieser Zielgruppe das Risiko, Opfer von Online-Attacken zu werden. Zu hoffen, dass einem nichts passiert, nur weil es sich ursprnglich um ein Telefon handelt, ist mehr als naiv. Smartphones sind Computer, dort sind persnliche Informationen gespeichert und das heit, sie sind ein lukratives Ziel fr Cyber-Attacken. Betroffen ist die am meisten verbreitete Plattform Android. Im Angesicht dessen gibt es auch hier Lsungen wie z.B. AVG Mobilation for Android. Die Sicherheitssoftware blockiert durchschnittlich 100.000 Spam- und Phishing-SMS pro Tag. Die Lsung scannt Apps, Einstellungen und Dateien in Echtzeit nach Viren und anderer Malware. Mit Hilfe der Lokalisierungssoftware ist es dem Nutzer auerdem mglich, ein verlorenes Tablet oder Smartphone wiederzufinden und zu sperren, sensible Daten zu lschen sowie dem Finder eine Nachricht auf dem Bildschirm zu bermitteln. Diese Backup-Funktion gilt ebenso fr Kontakte, Anruflisten, Lesezeichen, Nachrichten und installierte Anwendungen auf der SDKarte. Mit der Passwortsicherung App Locker knnen gezielt Anwendungen und Daten auf dem Handy/ Smartphone geschtzt werden.
WlAn:
Was tut man, wenn man z.B. in einem Kaffee sitzt, die WLAN-Liste ffnet und es werden mehrere verfgbare drahtlose Netzwerke angezeigt? Ganz ehrlich. Vie-
Im Internet

http://avg.de/de-de/virenschutz-privatanwender.html - Virenschutz fr Privatanwender http://www.roboform.com - Passwort-Manager, automatischer Login auf den Webseiten sowie automatische Ausfllung der Fomulare bei der Registrierung https://lastpass.com - Passwort-Manager, automatischer Login auf den Webseiten sowie automatische Ausfllung der Fomulare bei der Registrierung http://keepass.info - Passwort-Tresor http://avg.de/de-de/antivirus-fuer-android-mit-mobilation. html - AVG Mobilation fr Android Smartphones
kAterYnA kOGAn
Beschftigt sich seit Jahren mit Online-Paymentsystemen, sie ist E-Commerce Kennerin und die Sicherheitsbeauftragte von AVG.
hakin9.org/de
11
Sicherheit von Cloud Computing

marc ruef
Cloud Computing ist seit dem Jahr 2007 zu einem zentralen Begriff der modernen Computertechnologie geworden. Die Greifbarkeit dessen ist aufgrund unterschiedlicher und schwammiger Definitionen nicht einfach. Verschiedene Implementierungen und Produkte fhren zu einem undurchsichtigen Konstrukt, das damit ebenfalls in Bezug auf die gegebene Sicherheit schwierig handzuhaben ist.
In dIESEm ArtIkEl ErfAhrEn SIE
ber Cloud-Computing ber Implementierungen
WAS SIE vorhEr WISSEn SolltEn

kein spezielles Vorwissen
ach einer allgemeinen Einfhrung in das Thema werden in diesem Artikel unterschiedliche Implementierungen aufgezeigt. Dabei werden an konkreten Produkten die Mglichkeiten und Mechanismen dieser illustriert, um im dritten Teil die damit einhergehenden Sicherheitsmerkmale und Herausforderungen an die Informationssicherheit aufzeigen zu knnen.
Grundstzlich ist Cloud Computing ansich nichts Neues, verbindet es doch in erster Linie klassische Aspekte von: Software as a Service (SaaS) Computing on Demand Distributed Computing Und so sind es dann auch hauptschlich wirtschaftliche Aspekte, die den Vorteil des Cloud Computing ausmachen. Skalierbarkeit und flexible Vertriebsmodelle sollen dabei helfen, die Kosten mglichst gering zu halten und ein Hchstmass an Flexibilitt gewhrleisten zu knnen. Dabei wer-
Einfhrung
Der Begriff des Cloud Computing und damit auch dessen Inhalt sind umstritten. Mitunter hat das Fehlen einer akkuraten Begriffsdefinition dazu gefhrt, dass das Thema oftmals eher als Marketing-Instrument denn als echte technologische Mglichkeit verstanden wird.
Abbildung 1. Cloud Computing als Trend
hakin9.org/de
13
dAtEnSIChErhEIt
den gerne grundlegende Aspekte der Informationssicherheit ausser Acht gelassen oder bewusst vernachlssigt. Dies ist in erster Linie auf das fehlende Verstndnis fr die zugrundeliegenden Mechanismen zurckzufhren.
vertriebsmodelle
Im Rahmen des Cloud Computing werden drei verschiedene Vertriebsmodelle unterschieden, die nachfolgend im Detail vorgestellt werden sollen: Mit SaaS werden abstrahierte Applikationen zur Verfgung gestellt. PaaS geht da einen Schritt weiter und gewhrt den Zugriff auf Plattformen, wodurch beispielsweise Entwicklungsumgebungen realisiert werden knnen. Das Hchstmass an Eigenverantwortung wird mit IaaS erreicht, wobei eine komplette Infrastruktur und damit die dedizierte Nutzung von HardwareRessourcen mglich werden. Das Akronym SaaS steht fr Software as a Service. Es handelt sich dabei um eine Dienstleistung, die ebenfalls unter dem Namen ASP (Application Service Provider) bekannt ist. Sie stellt eine im Zeitalter des Mobile Computing immer strker vorangetriebene Art des Software-Vertriebs dar. Eine Software soll damit zentral bereitgestellt und mglichst vielen Benutzern zugnglich gemacht werden.
Begriff des Cloud Computing
Der Begriff des Cloud Computing ist nicht einheitlich definiert und so finden sich dann auch unterschiedliche Formulierungen, was konzeptionell und technologisch darunter zu verstehen ist. Vielerorts wird gerne die Begriffsdefinition von Forrester Research zitiert: Cloud Computing steht fr einen Pool aus abstrahierter, hochskalierbarer und verwalteter IT-Infrastruktur, die Kundenanwendungen vorhlt und falls erforderlich nach Gebrauch abgerechnet werden kann. Diese Formulierung zeigt das grundlegende Problem des Cloud Computing auf: Es ist nicht einfachso greifbar. Sie fasst jedoch die allgemeinen Konzepte eines solchen Systems zusammen. Im Mittelpunkt steht ein Dienst, der Funktionen zur Verfgung stellt. Diese Funktionen sind modular aufgebaut, so dass sie nur bei Bedarf durch einen Kunden genutzt werden knnen. Damit wird es mglich, dass nur die effektive Nutzung abgerechnet wird. Der Kunde muss damit nicht fr etwas bezahlen, das er nicht benutzt. Dies ist tendenziell bei eigens angeschaffter Hardware und bereitgestellten Systemen nicht der Fall. Die administrativen Aspekte der ber Cloud Computing bezogenen Dienstleistungen verschieben sich damit im Normalfall gnzlich zum Anbieter. Der Kunde muss sich nicht um die Anschaffung neuer Hardware sowie das Aufsetzen und Betreuen der Systeme kmmern. Gerade bei kleineren Unternehmen (KMU), die keine eigenstndige IT-Abteilung haben oder der Unterhalt einer solchen finanziell nicht gerechtfertigt ist, knnen damit direkte wirtschaftliche Vorteile fr sich erschliessen. Wir pflegen eine sehr reduzierte und einfache Definition von Cloud Computing zu vertreten. Diese lautet wie folgt: Cloud Computing ist ein modulares System, in dem Ressourcen fr den Endanwender transparent sowie dynamisch zugewiesen und verarbeitet werden.
SaaS (Software as a Service)
Abbildung 2. Aufbau der Cloud-Vertriebsmodelle
Abbildung 3. Dropbox-Client fr iPhone
14
11/2011
Der Hauptnutzen von SaaS ist das Anbieten des Zugriffs auf eine Applikationsplattform. Der zentrale Aspekt dieses Modells ist, dass der Kunde keine Kosten fr Systeme, Lizenzen und Personal (Administration) aufwenden muss. Es obliegt gnzlich der Pflicht des Anbieters, dass die Plattform fachgerecht bereitgestellt werden kann. Damit wird eine klare Trenning zwischen dem traditionellen Outsourcing vorgenommen, bei dem der Kunde fr Hardware und Wartung sowie weiterfhrende Investitionen verantwortlich bleibt. SaaS-Clouds sind sowohl bei Anbietern als auch Kunden besonders beliebt, da sie ein minimales Mass an Komplexitt erwarten. So gibt es mittlerweile eine Vielzahl populrer Dienste, die diesem Modell zuzuordnen sind. Beispielsweise knnen mit Apple MobileMe, Dropbox und Evernote sehr einfach und komfortabel Daten auf unterschiedlichen Systemen genutzt und bearbeitet werden. Zur Nutzung dieser Dienste sind in der Regel proprietre Clients erforderlich. Diese werden jenachdem fr verschiedene Plattformen zur Verfgung gestellt. Die drei zuvor genannten Beispiele bieten Clients im Web (browserbasiert), als eigenstndige Applikationen und fr verschiedene mobile Plattformen (iPhone, Android, BlackBerry, etc.). Beim Aufstarten eines Clients wird durch diesen automatisch und fr den Benutzer weitestgehend Transparent eine Synchronisation des lokalen Datenbestands des Clients und des zentralen Datenbestands beim Cloud-Anbieter vorgenommen. Fehlende Objekte werden ausgetauscht und krzlich bearbeitete Objekte aktualisiert. Dadurch wird auf allen Endpunkten stets der gleiche aktuelle Datenbestand bereitgestellt. Im Falle von Apple MobileMe sind dies verschiedene Daten, wie zum Beispiel Adressbuch und Kalender. Dropbox gewhrt die Synchronisation beliebiger Dateien. Und Evernote fokussiert sich auf multimediale Notizen (Text, Bilder, Audio, etc.).
wickler mssen nur noch ber einen Netzwerkzugang zur Cloud verfgen, um ihrer Ttigkeit nachgehen zu knnen. Das stndige Warten der Entwicklungsumgebung und das eigenstndige Synchronisieren der Codebasis fallen damit weg. Zudem kann auf die Anschaffung kostenintensiver Client-Hardware (z.B. zur aufwendigen Kompilierung) verzichtet und stattdessen auf kostengnstige Endpunkte (Thin-Clients) gesetzt werden. Populre PaaS-Lsungen werden durch Microsoft Azure und Google App Engine (GAE) bereitgestellt. Microsoft sieht fr ihre Umgebung die Nutzung von .NET vor, um eigene Applikationen entwickeln und ausfhren zu lassen. Damit wird es fr bestehende WindowsEntwickler besonders einfach, auf diese Plattform zu wechseln. Im Gegenzug fokussiert sich Google auf hochskalierbare Webapplikationen, die hauptschlich in Python geschrieben werden oder auf Java VM lauffhig sind.
IaaS (Infrastructure as a Service)
IaaS steht fr Infrastructure as a Service. Und so wird dann auch die effektive Infrastruktur durch den CloudAnbieter zur Verfgung gestellt. Der Kunde kann auf grundlegende Komponenten wie Rechenzeit, Speicherplatz oder Netzwerkanbindung zurckgreifen, um beispielsweise eigene Betriebssysteme und Applikationen zu betreiben. Damit wird ein Hchstmass an Eigenverantwortung im Cloud-Umfeld verlangt. Im Gegenzug kann der dedizierte Ressourcen-Bezug in klar definierter Weise abgerechnet werden. Der bekannteste IaaS-Dienst ist Amazon Web Services (AWS), in dem verschiedene Betriebssysteme aufgesetzt und betrieben werden knnen. Die Cloud wird damit quasi als dynamische Housing-Umgebung wahrgenommen, in der die eigenen Systeme integriert werden knnen.
PaaS (Platform as a Service)
Cloud-Infrastrukturen
PaaS steht fr Platform as a Service. Dadurch wird eine ganzheitliche Plattform bereitgestellt, auf der eigene Software ausgefhrt oder im Rahmen der dargebotenen Entwicklungsumgebung betrieben werden kann. Es wird also ein zustzliches Fundament zum zuvor genannten SaaS gewhrleistet. Zwar kann auch hier der Benutzer keinen Einfluss auf die darunterliegende Infrastruktur ausben. Jedoch erschliessen sich ihm im Gegensatz zu SaaS zustzliche Kontrollmglichkeiten der eingesetzten Software. Damit wird dann vor allem bei Software-Entwicklung ein Mehr an wirtschaftlicher Effizienz erreicht, denn es kann auf den Aufbau und die Betreuung umfangreicher Entwicklungsplattformen verzichtet werden. Ent-
Unabhngig der Vertriebsmodelle gibt es verschiedene Arten von Clouds. Dabei kann zwischen drei Varianten unterschieden werden: Private Clouds ffentliche Clouds Hybride Clouds Sie definieren die Art und Weise sowie welche Benutzergruppen in welcher Form auf die Dienste zugreifen knnen. Hierbei wird unterschieden zwischen: Internen Benutzer Externe Benutzer
hakin9.org/de
15
dAtEnSIChErhEIt
Als intern werden alle Benutzergruppen angesehen, die in einer direkten Geschftsbeziehung mit dem Unternehmen stehen. Dazu gehren alle Mitarbeiter, aber auch vertraglich gebundene Partnerunternehmen. Als extern werden alle Benutzer angesehen, die in keiner direkten Geschftsbeziehung stehen. Die Kombination dieser Infrastrukturvarianten und der verschiedenen Benutzergruppen wird nachfolgend im Detail erklrt. Private Clouds bieten ausschliesslich Dienste fr interne Benutzer an, wobei die Prinzipien des Cloud Computings durchgngig bercksichtigt werden (z.B. Skalierbarkeit, Transparenz). Sie werden entweder unternehmensintern durch eine eigene Abteilung oder durch ein nahes Partnerunternehmen bereitgestellt. So befindet sich die genutzte Hardware physisch im Besitz des Unternehmens (Inhouse) oder Partners. Der Vorteil privater Clouds ist, dass sich die Benutzergruppe sehr klar definieren lsst. Zudem besteht mindestens vertraglich eine enge Vertrauensbeziehung zwischen Cloud-Anbieter und Nutzern. Traditionsgemss ist diese Vertrauensbeziehung aber auch als latentes Risiko zu werten, denn so wird gerne darauf verzichtet, ausserhalb und innerhalb der Cloud zustzliche Schutzmechanismen zu implementieren. Es wird angenommen, dass die vertrauenswrdigen Benutzer sich zu benehmen wissen und keine Gefahr darstellen. Dies ist jedoch usserst zweifelhaft und sptestens dann widerlegt, wenn die Kompromittierung eines legitimen Kontos stattgefunden hat und dieses zur Weiterfhrung eines Angriffs (Hopping-Attacken) missbraucht wurde. In privaten Clouds muss also mindestens das gleiche Sicherheitsniveau erreicht werden, wie dies auch bei einer traditionellen internen Netzwerkumgebung (DMZ) der Fall war. Eine Netwzerksegmentierung samt Firewalling ist genauso wnschenswert wie eine strenge Authentisierung und umfassendes Logging fr unternehmenskritische Dienste.
Private Clouds
ffentliche Clouds bieten in erster Linie Dienste fr externe Benutzer an, wobei auch hier die Prinzipien des Cloud Computings eingehalten werden. Derlei Clouds werden ebenfalls unternehmensintern oder durch ein Partnerunternehmen betrieben, wodurch sich die Hardware in ihrem physischen Besitz befindet. ffentliche Clouds sollten gleich wahrgenommen werden, wie alle anderen ffentlichen Dienste auch (z.B. Webseiten, Mailserver). Entsprechend findet auch hier eine Erweiterung des Perimeters statt. Dies ist natrlich mit zustzlichen Aufwnden verbunden, die gerade bei einem komplexen und schwierig zu definierenden Konstrukt wie einer Cloud nicht einfach ausfllt. Das Etablieren von Zugriffskontrollen (z.B. Firewalling, Authentisierung, Access Control Lists) ist zwingend erforderlich, um ffentliche Clouds in sicherer Weise betreiben und nutzen zu knnen. Die erfolgreiche Umsetzung einer sicheren ffentlichen Cloud erfordert deshalb ein hohes Verstndnis fr die eingesetzten Technologien sowie ein gewisses Mass an Flexibilitt dieser. Weitsichtige Entscheide auf strategischer Ebene sind dabei also genauso wichtig wie die Bercksichtigung der zuknftigen technischen Anforderungen.
ffentliche Clouds
hybride Clouds
Hybride Clouds kombinieren die Funktionalitt von privaten und ffentlichen Clouds, wodurch die Dienste sowohl fr externe als auch fr interne Benutzer bereitgestellt werden. Derlei hybride Konstrukte sind sicherheitstechnisch schwierig zu rechtfertigen, ja eigentlich gar zu vermeiden. So mssen in der gleichen Infrastruktur Benutzer unterschiedlicher Einstufungen zugelassen werden. Da diese voraussichtlich nicht die gleichen Zugriffsrechte beigemessen bekommen sollen, mssen unterschiedliche Regulierungen durchgesetzt werden. Dies schafft die paradoxe Situation, dass innerhalb eines Konstrukts zur Vermengung eine Trennung eingefhrt wird. Eigentlich mssten also zwei Clouds sowohl eine private als auch eine ffentliche betrieben und klare bergnge zwischen diesen definiert werden. Dies ist jedoch oft-
Abbildung 4. Struktur einer privaten Cloud
Abbildung 5. Struktur einer ffentlichen Cloud
16
11/2011
mals aus kostengrnden nicht gewollt und deshalb die potentiellen Sicherheitsrisiken des hybriden Ansatzes bewusst in Kauf genommen. Ein Phnomen, das leider auch Voice-over-IP (VoIP) tendenziell zu schaffen macht. Vor der Umsetzung bzw. Nutzung einer hybriden Cloud sollte eine umfassende Risikoanalyse angestrebt werden, um die potentiellen und effektiven Risiken frhstmglich ausmachen, kalkulieren und adressieren zu knnen. Gerade bei grossen und schwerflligen Konstrukten wird es sehr wichtig, die mitgefhrten Sicherheitsaspekte frhstmglich adequat zu bercksichtigen.
weder werden die Risiken unbewusst bersehen oder absichtlich bergangen. Dies ist ein grosser Fehler, denn sowohl die einzelnen Teilkonzepte als auch die Cloud als Ganzes mssen den klassischen Anforderungen der Informationssicherheit Folge leisten. Nachfolgend sollen einzelne Aspekte, ihre Gefahren und mgliche Massnahmen betrachtet werden. Dabei wird sich teilweise am Beitrag 10 sicherheitsrelevante Grnde gegen Cloud Computing orientiert.
kontrolle
Externe verwaltung
Bei extern verwalteten Clouds handelt es sich um eine spezielle Form der vorgestellten Infrastrukturtypen. Zwar befinden sich die Clouds noch immer im Besitz eines Unternehmens, wodurch in direkter oder indirekter Weise der physische Zugriff auf die Hardware gewhrleistet wird. Jedoch werden die jeweiligen Komponenten durch ein externes Unternehmen betreut. Es erfolgt also ein Outsourcing des CloudDienstes. Das Angehen einer externer Verwaltung eines Cloud-Dienstes ist mit den gleichen Anforderungen verbunden, wie ein anderweitiges Outsourcing auch. Auch hier mssen vertragliche Einigungen erzielt werden, die ebenfalls technische, sicherheitsbezogene und juristische Aspekte zu bercksichtigen in der Lage sind.
Sicherheitsaspekte
Wie gezeigt wurde, kombiniert Cloud Computing eine Vielzahl unterschiedlicher, bisweilen altbekannter Konzepte. In der Euphorie der damit erschlossenen Mglichkeiten werden gerne die sicherheitstechnischen Aspekte entsprechender Lsungen vernachlssigt. Ent-
Cloud Computing ist eine spezielle Form des Outsourcings. Bei diesem werden gewisse Ressourcen oder Prozesse an den Cloud-Partner ausgelagert. Eine in zentraler Weise sicherheitskritische Eigenschaft des Outsourcings ist der Verlust der Kontrolle ber die Weiterverarbeitung (z.B. Auswertung und Verkauf der anfallenden Daten). Man sieht sich einerseits nicht mehr in der Lage, die eigenen Erwartungen durchzusetzen. Die hohen Anforderungen einer spezifischen Branche des Kunden mssen nicht zwingend denen des Cloud-Anbieters entsprechen. Eine Verschiebung der Anforderungen kann zu einer unliebsamen Angleichung und damit zur Verringerung des erwarteten Sicherheitsstands fhren. Dies passiert sehr schnell, wenn der Kunde aus einem Hochsicherheitsumfeld stammt (z.B. Finanzbranche). Andererseits hat man auch keine Mglichkeit, eine direkte Prfung des Einhalts von Erwartungen und Abmachungen vorzunehmen. Ein Cloud-Anbieter kann sich zwar auf das Einhalten vordefinierter Anforderungen einigen. Ob und inwiefen diesen wirklich Folge geleistet wird, ist nur mit Hilfe des Dienstleisters zu eruieren. Und gerade in kritischen Situationen kann man nicht erwarten, dass sich diese in kooperativer Weise um eine Aufklrung bemhen wird.
Abbildung 6. Struktur einer hybriden Cloud
hakin9.org/de
17
dAtEnSIChErhEIt
Sollen beispielsweise in regelmssigen Abstnden Sicherheitsberprfungen der genutzten Cloud-Infrastruktur umgesetzt werden, kann sich das als enorm aufwendig herausstellen. Auf technischer Ebene knnen die Komplexitt der Infrastruktur und der schwierig nachvollziehbare Datenfluss dafr verantwortlich sein. Bei der Analyse von Prozessen, bei denen beispielsweise Interviews mit den zustndigen Personen gefhrt werden sollen, kann die fehlende Untersttzung ebenfalls zu einer schwierig berwindbaren Hrde fhren.
rizont ausgerichtet sind, lassen sich voraussichtlich planen. Der Umgang mit hektischen Situationen lsst sich hingegen nicht voraussagen. Zu diesen gehren beispielsweise: Security Incidents (z.B. elektronischer Einbruch, DDoS-Attacken) Ausfall von systemkritischen Komponenten (z.B. Hardware-Defekt eines Routers) Durch das klare Definieren der Schnittstellen wird es mglich, diese mglichst effizient auszuwerten. Gerade fr Szenarien, die ein hohes Mass an Flexibilitt erfordern, sollten klare Abmachungen bezglich Kompetenzbereichen samt Service Level Agreement (SLA) getroffen werden. Diese Szenarien sollten zudem regelmssig durchgespielt und den aktuellen Geschehnissen (laufende wirtschaftliche und technische Entwicklungen) angepasst werden. Durch eine solche regelmssige Prfung wird verhindert, dass die in den jeweiligen Situationen erforderliche Qualitt nicht gewhrleistet werden kann. Innerhalb der Cloud knnen verschiedene Objekte miteinander vermengt sein. Dabei kann es sich um Daten, Systeme oder gar Kunden handeln. Eine klare Trennung von Objekten ist nicht per se ohne zustzliche Aufwnde durchgesetzt. Dies fhrt dazu, dass unbeabsichtigt sicherheitstechnisch unterschiedlich klassifizierte Objekte miteinander vermengt werden knnen. Sind zum Beispiel Computersysteme mit unterschiedlicher Exponiertheit und Kritikalitt in der gleichen Cloud gehostet und es findet die Kompromittierung eines Hosts (Sicherheitsstufe 2) statt, kann dies direkten Einfluss auf die Sicherheit des anderen Hosts (Sicherheitsstrufe 1) haben. Diese Vermengung unterschiedlicher Einstufungen resultiert in einem Herabstufen der hher gewichteten Objekte. Damit kann im schlimmsten Fall fr alle Objekte lediglich das Sicherheitsniveau des am schlechtesten geschtzten Objekts garantiert werden. Um diesen Effekt der Herabstufung durch das schwchste Glied zu verhindern, sollten eine klare Formulierung der Einstufungen sowie eine strikte Umsetzung dieser stattfinden. Objekte unterschiedlicher Einstufungen sollten nicht in den gleichen Objektgruppen zusammengefasst werden. Hierbei gilt es dem gleichen Credo der hybriden Clouds zu folgen, die ihrerseits auch das Risiko einer unerwnschten Vermengung in jenem Fall jedoch bezglich privater und ffentlicher Benutzergruppen mit sich fhrt. Als Grundsatz gilt, dass Objekte unterschiedlicher Einstufungen in Bezug auf Kritikalitt und Exponiertheit nicht
transparenz
Ein grundlegendes Risiko des Outsourcings ist, dass einem Partner Vertrauen entgegengebracht werden muss. Diesem wird Kompetenz beigemessen und zwecks Interaktionsmglichkeiten Schnittstellen definiert. Da die Einsicht der Objekte bzw. Prozesse nur noch bis zu diesen Schnittstellen funktioniert, verliert die Zusammenarbeit bzw. die Weiterverarbeitung an Transparenz (z.B. Kommunikation von Incidents). Die Cloud muss ebenfalls als spezielle Form des Outsourcings von Ressourcen bzw. weiter zu verarbeitenden Daten verstanden werden. Der Kunde sollte darum bemht sein, ein Hchstmass an Transparenz im Zusammenhang mit der bezogenen Dienstleistung erreichen zu knnen. Einerseits sollten klare Anforderungen an den Cloud-Partner gestellt werden, in welcher Form und wie Einsicht in die Verarbeitung gehalten werden kann. Dazu gehren ebenfalls Einsichten in die Bereiche: Weiterverarbeitung von Daten Interne Verarbeitung von Objekten (z.B. kundenbezogene Informationen) Zugriffe auf Protokollierung und Logging Zugriffe auf Backup und Restore Revisionstechnische Zugriffsmglichkeiten (z.B. zwecks Auditing) Andererseits sollten die vereinbarten Schnittstellen klar geregelt sein, um die bergnge wohldefiniert etablieren und sich derer sowie ihrer Einschrnkungen bewusst zu sein. Nur so kann eine durchdachte Risikokalkulation umgesetzt werden.
trennung von objekten
Unabhngigkeit
Durch das Auslagern von Aufgaben und Prozessen bsst man stets ein gewisses Mass an Unabhngigkeit ein. Man ist nicht mehr alleiniger Herr ber den Sachverhalt und stattdessen auf die Zuwendigkeit des Partners angewiesen. Situationen, die ein hohes Mass an Flexibilitt und Dynamik erwarten, werden damit schwieriger zu bewltigen. Strategische Entscheidungen des Managements, die auf einen langfristigen Ho-
18
11/2011
in ein und der Selben Objektgruppe zusammengefasst werden sollten.
datensicherung und datenwiederherstellung
Das Umsetzen einer Datensicherung wird beim Cloud Computing oftmals direkt durch den Anbieter selbst angeboten. Dieser ist sowohl fr das Erstellen der Datensicherung (Backup) als auch fr die Wiederherstellung bei einem Datenverlust (Restore) verantwortlich. In der Vergangenheit sind jedoch immerwieder Ausflle von Cloud-Diensten bekannt geworden, bei denen sich ein Anbieter nicht oder nur ungengend um die Datensicherung bemht hat. Zudem kann es durch einen Kunden wnschenswert sein, dass dieser zustzlich eine eigene Datensicherung anfertigen kann. Die Sicherung der Daten in einer Cloud kann sich jedoch als relativ schwierig herausstellen. Dies kann schon nur alleine damit beginnen, dass oftmals nicht ganz klar ist, wo in einer Cloud die Daten genau abgelegt sind. Zustzlich bieten viele Cloud-Dienste gar keine klaren Schnittstellen, um ein externes oder gar autonomes Backup/Restore durchzufhren. Verschiedene Anbieter auf dem Markt haben diese Schwierigkeiten erkannt und bieten zustzliche Sicherungsdienste fr verschiedene Cloud-Produkte und -Technologien an. Dadurch ist natrlich ein Mehr an Ausgaben zur Gewhrleistung der zustzlichen Bedrfnisse erforderlich, deren Ausbleiben in erster Linie die Umsiedlung der Daten in die Cloud gerechtfertigt hatten. Sptestens hier wird also der wirtschaftliche Vorteil der Kerndienste durch zustzliche Bedrgnisse negiert. Zudem wird mit dem Einspannen einer neuen Lsung wiederum die unliebsame Komplexitt des gesamten Konstrukts erhht. Es ist deshalb wichtig sich darber Gedanken zu machen, ob und inwiefern eine eigene DatensicherungsStrategie innerhalb einer Cloud verfolgt werden will und technologisch auch verfolgt werden kann. Mehrkosten, die bei einer solchen Lsung anfallen knnen, mssen in die initiale Kalkulation miteinbezogen werden, um sich vor unliebsamen zuknftigen Betriebskosten schtzen zu knnen. Viele Lsungen, die in Bezug auf die Kostenersparnis sehr attraktiv angeboten werden, beinhalten nmlich versteckte Mehrkosten, die sich erst bei einer lngeren Nutzung des Dienstes als solche zu erkennen geben.
Zweck mssen die in der alten Cloud abgelegten Objekte hnlich wie bei einer Datensicherung extrahiert werden, um sie dann in der neuen Cloud wieder einzuspielen. Auch hier besteht nun das Problem, dass fehlende Schnittstellen diesen Prozess massgeblich erschweren knnen. Ein Cloud-Anbieter ist im Grunde gar nicht darum bemht, fr diese Zwecke effiziente Mechanismen, klare Schnittstellen und kompatible Technologien anzubieten. Denn durch das Ausbleiben dieser kann er eine Kundenbindung auf technischer Ebene erzwingen. Die Trgheit des Kunden wird verhindern, dass dieser beim Auftauchen des ersten Bedrfnisses die bestehende Geschftsbeziehung lst und zu einem anderen Anbieter wechselt. Stattdessen wird der damit einhergehende Aufwand immensen Ausmasses gescheut werden. Dadurch erhlt der Anbieter ein Mehr an Handlungsspielraum, um im Rahmen der Kundenbeziehung die zu seinen Gunsten arbeitenden Modalitten zu diktieren. Dies kann sich also im schlimmsten Fall langfristig auf die Qualitt eines Angebots (z.B. Reaktionszeiten, Kooperationsbereitschaft) niederschlagen. Auch hier gilt es deshalb frhzeitig abzuklren, ob und inwiefern Migrationsmglichkeiten bestehen. Nur dadurch kann ein Mindestmass an Unabhngigkeit gewhrleistet werden, das dringend erforderlich ist, um den eigenen Handlungsspielraum nicht vollends zu beschneiden.
migrationsmglichkeiten
In eine hnliche Kategorie wie das Herstellen und Wiedereinspielen von Datensicherungen ist die Mglichkeit einer Migration. Bei einer solchen wird sich darum bemht, von einem Cloud-Anbieter oder System zu einem anderen zu wechseln bzw. eine eigene Lsung wiederzubetreiben (Insourcing). Zu diesem
Ein Hauptmerkmal des Cloud Computings ist, dass durch dieses eine transparente Dezentralisierung der Objekte (in den meisten Fllen hauptschlich Daten) stattfinden kann. Fr den Benutzer wird es irrelevant zu wissen, wo sich die von ihm bearbeiteten Daten gerade befinden. Dieses fehlende Wissen um die grundlegenden Gegebenheiten fhrt jedoch das Risiko der Verletzung juristischer Anforderungen mit sich. In verschiedenen Belangen ist die Verarbeitung von Daten gesetzlichen Bestimmungen unterworfen. So betrifft zum Beispiel das Thema Datenschutz smtliche Unternehmen. Manche von ihnen sind branchenspezifischen Anforderungen unterworfen (z.B. im Finanzsektor). Eine geografisch verschiedene Lnder umfassende Cloud fhrt zum Beispiel das Risiko ein, dass hier pltzlich unterschiedliche juristische Rahmenbedingunen fr die gleichen Datenstze gelten knnen. Die Datenschutzbestimmungen sind voraussichtlich nicht gleich, jenachdem in welchem Land sich die Daten gerade befinden. Alleine Deutschland und die Schweiz pflegen gnzlich unterschiedliche Anforderungen an den Schutz persnlicher Daten zu stellen.
Juristische Anforderungen an den datenschutz
hakin9.org/de
19
dAtEnSIChErhEIt
Oder gewisse Datenschutzbestimmungen verbieten gar, dass Daten ein bestimmtes Land verlassen drfen. Dies ist zum Beispiel oftmals bei kundenbezogenen Daten vor allem im Finanzumfeld der Fall. So ist es nicht ohne weiteres erlaubt, dass diese im Ausland gelagert oder ber einen externen Server weitergereicht werden. Es gilt also vor der Nutzung eines geografisch verteilten Dienstes zu klren, ob und inwiefern dessen Nutzung mit den auferlegten juristischen Bestimmungen vereinbar ist. Die Anbieter weltweit umspannender Clouds haben diese Problematik erkannt und bieten bisweilen technologische Mglichkeiten an, die geografische Verteilung der Daten zu limitieren. Amazon hat zu diesem Zweck die Availability Zones eingefhrt. Besteht keine Mglichkeit, die geografische Ausbreitung sensitiver Daten durch die Konfiguration der Cloud-Struktur einzuschrnken, mssen prozesstechnische oder zustzliche technische Mechanismen genutzt werden, um keine Verletzung der Sorgfaltspflicht anzugehen. Dies kann beispielsweise das Anonymisieren oder Verschlsseln von Daten bei der bermittlung in andere Lnder (z.B. bei Test-Daten) der Fall sein.
Aufbau und Wahrung von knowhow
Juristische Eigenverantwortung
Die juristischen Schwierigkeiten sind nicht nur in Bezug auf die Anforderungen an den Datenschutz beschrnkt. Oftmals wird davon ausgegangen, dass mit einer Auslagerung in eine Cloud die juristische Eigenverantwortung vollumfnglich an den Anbieter bertragen wird. Von nun an sei dieser dazu verpflichtet, wie nationalen und branchenspezifischen Anforderungen zu erfllen. Dies ist jedoch Wunschdenken, denn die juristische Eigenverantwortung lsst sich oftmals nicht einfach so auf eine andere (juristische) Person bertragen. Nur weil ein Kunde (z.B. Finanzunternehmen) durch eine vertragliche Regelung ein Outsourcing zentraler Dienste an einen Cloud-Partner vornimmt, ist von nun an der Kunde nicht mehr nicht fr die Sorgfaltspflicht der Datenverarbeitung verantwortlich bzw. mitverantwortlich. Jenachdem ist es dem Kunden gar nicht erlaubt, die Herrschaft ber die Daten ohne weiteres weiterzugeben. Und falls eine Weitergabe dennoch mglich ist, dann muss sich jenachdem der Kunde um die Einhaltung und Prfung der auferlegten Regeln bemhen. Doch gerade das Durchsetzen und Kontrollieren von Anforderungen ist aufgrund der fehlenden Transparenz und Schnittstellen vieler Cloud-Anbieter nicht oder nur mit erheblichem Aufwand durchfhrbar. Unter dem Strich ist es in Bezug auf diese weiterfhrenden Probleme oftmals unbestritten, dass eine eigenstndige Bearbeitung der Daten einfacher und kostengnstiger umsetzbar bliebe.
In den allermeisten Fllen wird die Auslagerung eines Dienstes vorgenommen, um dadurch Kosten zu sparen. So kann auf die Anschaffung teurer Hardware und den Einsatz geschulten Personals verzichtet werden. Mit einer erfolgreichen Auslagerung geht also auch oftmals ein Stellenabbau in den betroffenen Bereichen einher. Im Fall des Cloud Computing wird somit jeweils in Bereichen der IT-Administration (Administratoren, Entwickler, Support) abgebaut. Mit dem Abbau von Personal geht aber auch immer Knowhow verloren. Sind keine Administratoren oder Entwickler mehr zugegen, wird es fr ein Unternehmen immer schwieriger, das Verstndnis fr die genutzten Technologien zu wahren. Die Zusammenarbeit mit einem Cloud-Partner kann dadurch massgeblich erschwert werden, da dieser mit seiner bermacht an technischem Verstndnis die Ausrichtung eines Gesprchs diktieren kann. Im schlimmsten Fall kann er durch falsche oder halbwahre Aussagen die Entscheidungen des Kunden zu seinen Gunsten beeintrchtigen. Der Kunde ist auf sich alleine gestellt und kann damit nicht mehr intelligent agieren oder reagieren. Im besten Fall sollte also trotz Nutzung von CloudDiensten auf den rigorosen Abbau von fachtechnischem Personal verzichtet werden. Es sollte von jedem Fachbereich mindestens eine Person bestehen bleiben, die sich in technische Gesprche einschalten und zu Gunsten des Kunden argumentieren kann. Diese Person sollte als stabstechnische Kompetenzstelle agieren und andere Bereiche durch ihr Wissen und Verstndnis profitieren knnen. Ist das Aufrechterhalten eines solchen KnowhowPools nicht mglich, muss sich auf externe Berater verlassen werden. Diese sollten bei strategisch und technisch schwierigen Situationen herbeigezogen werden, um durch ihre Empfehlungen den Handlungsspielraum des Kunden aufrechterhalten oder erweitern zu knnen. Nur so lsst sich frhzeitig eine Einengung durch den Cloud-Partner, zum Beispiel durch das Einwilligen von unvorteilhaften Vereinbarungen, verhindert.
dezentralisierung
In vielen Fllen wird das Cloud Computing als Dezentralisierung verstanden. Damit wird die Mglichkeit erschlossen, dass die Datenbestnde in unterschiedlichen Bereichen und verschiedenen geografischen Lokalitten aufbewahrt bleiben. Dies wird als positiver Effekt wahrgenommen, da dadurch theoretisch eine erhhte Ausfallsicherheit erreicht werden kann. Dennoch entspricht Cloud Computing nicht per se einer Dezentralisierung. Genau genommen kann durch die Auslagerung in eine Cloud gar das Gegen-
20
11/2011
teil stattfinden. Werden smtliche Daten eines Unternehmens in die Cloud bertragen, stellt sie selbst einen Single Point of Failure dar. Ein Ausfall der Cloud fhrt nmlich ebenfalls zum kompletten Ausfall des Dienstes bzw. der Verfgbarkeit der Daten. Eine Cloud muss explizit so konstruiert sein, dass sie selbst in sich eine Dezentralisierung darbietet, um dennoch ein Mindestmass an Ausfallsicherheit (FailOver) gewhrleisten zu knnen. Theoretisch kann ein als Cloud bezeichnetes Konstrukt lediglich aus einem einzigen Server (und dazugehrige transparente Schnittstellen) bestehen. Fr Angreifer wird eine Cloud als eigenstndige Entitt also umso interessanter. Denn weiss ein Angreifer darum, dass ein Kunde die Dienste eines spezifischen Anbieters nutzt, kann er sich auf den Angriff auf diese Cloud konzentrieren. Cloud-Anbieter tragen aus verkaufstechnischen Grnden gerne technische Details zu ihren Lsungen nach Aussen, was einem Angreifer entscheidende Vorteile verschaffen kann. Jenachdem wie die Vermengung von Kunden und die internen Zugriffsbeschrnkungen des Cloud-Anbieters umgesetzt sind, kann ein Angriff dann gar einfacher ausfallen, als dies bei einer eigenstndigen IT-Umgebung der Fall gewesen wre. Es ist deshalb wichtig abzuklren, wie die Struktur und Topologie einer Cloud genau aussieht. Dabei darf sich nicht einfach auf die Definition der undefinierten Wolke verlassen und dies als Vorteil fr den Kunden da einfacher zu verstehen verstanden werden. Das Verstndnis muss ber diese PR-technische Simplifizierung hinausgehen. Die Ausfallsicherheit innerhalb der Cloud muss sodann genauso gewhrleistet sein, so wie dies bei einer dedizierten IT-Infrastruktur der Fall gewesen ist. Redundant betriebene Komponenten sind dabei genauso wichtig wie schnelle Reaktionszeiten bei Betriebsunterbrchen. Und auch hier ist es deshalb wichtig, dass die Vermengung von Objekten nicht rigoros zugelassen wird. Stattdessen sollte auf eine klare Trennung sowie strikte Zugriffslimitierungen gesetzt werden. Dadurch knnen Birthday- und Hopping-Attacken verhindert werden. Die Kompromittierung der Cloud eines Kunden hat damit nicht zwangslufig die Kompromittierung der Cloud eines anderen Kunden zur Folge.
Dabei gibt es verschiedene Vertriebsmodelle. Beim SaaS (Software as a Service) wird eine Applikation zur Verfgung gestellt, die sich oftmals durch verschiedene Clients auf unterschiedlichen Systemen nutzen lsst. Zum Beispiel knnen so Datenbestnde zwischen verschiedenen Plattformen synchronisiert werden. Einen Schritt weiter geht PaaS (Platform as a Service), bei der ein ganzheitliches Framework zur eigenen Entwicklung und Nutzung von Software dargeboten wird. Dieser Ansatz ist vor allem bei Entwicklungsumgebungen interessant. Umfassende Kontrolle wird hingegen erst bei IaaS (Infrastructure as a Service) erlangt, bei der ein Kunde direkten Zugriff auf Hardware-Komponenten hat und somit im Sinne eines Housing seine eigene ServerFarm betreiben kann. Dabei unterscheidet man zwischen verschiedenen Infrastrukturformen. Eine private Cloud bietet Dienste fr interne Benutzer an. Hierbei handelt es sich in erster Linie um die Mitarbeiter eines Unternehmens, denen damit ihre Arbeitswerkzeuge bereitgestellt werden. Im Gegensatz knnen bei einer ffentlichen Cloud auch externe Benutzer auf die Dienste zugreifen. Dies ist vor allem dann wnschenswert, wenn damit ein spezifisches Produkt verkauft und verteilt werden will. Die Kombination privater und ffentlicher Clouds wird als hybride Clouds bezeichnet. Grundstzlich gibt es verschiedene Sicherheitsaspekte, die bei der Umsetzung und Nutzung von Cloud Computing bercksichtigt werden mssen. Greift man auf die Dienste eines externen Cloud-Partners zurck, entspricht dies einer speziellen Form des Outsourcings. Mit diesem gehen verschiedene altbekannte Risiken wie zum Beispiel der Verlust von Transparenz und Kontrolle einher. Es gibt aber auch technische Risiken, wie die Schwierigkeit der Umsetzung einer eigenstndigen Datenwiederherstellung oder die Durchfhrung einer Migration. Hinzu kommen juristische Bedenken, die gerade bei globalem Cloud Computing und in bestimmten Branchen nicht zu vernachlssigen sind. Diese Risiken mssen frhzeitig bercksichtigt und entsprechende Massnahmen ergrifen werden, um sie berechenbar und eliminierbar zu machen. Die sichere Umsetzung von Cloud Computing vermag mglich zu sein, auch wenn damit ein hohes Mass an Aufwand eingehen wird.
Zusammenfassung
Cloud Computing ist ein komplexes Thema, das sich auf verschiedene Technologien absttzt. Dabei werden bisweilen teilweise altbekannte Mechanismen miteinander kombiniert, um einen modularen und transparenten Dienst gewhrleisten zu knnen. Auf wirtschaftlicher Ebene wird ein flexibles Kostenmodell als entscheidender Vorteil verstanden.
mArC rUEf
Marc Ruef startete im Jahr 1998 mit www.computec.ch das grsste deutschsprachige Portal zum Thema Computersicherheit. In seinen Arbeiten steht das Entwickeln neuer Methoden und Systeme zur Umsetzung und Erleichterung von Sicherheitsberprfungen im Mittelpunkt. Sicherheitsberprfungen, namentlich Penetration Tests, stehen also seit jeher im Mittelpunkt seiner Ttigkeit. Seite: http://www.computec.ch/mruef/
hakin9.org/de
21
Automatische verhaltensbasierte Malware-Analyse

Robert Luh, Paul Tavolato
Automatisierte verhaltensbasierte Malware-Analyse ist ein Weg zur schnellen Ersteinschtzung eines verdchtigen Code-Samples und zielt in erster Linie darauf ab, MalwareAnalytiker bei ihrer Arbeit zu untersttzen. Es wird ein verhaltensbasierter Malware-Erkennungsalgorithmus beschrieben, der implementiert wurde und dessen Tauglichkeit durch Tests bewiesen werden konnte.
m ein bestmgliches Ergebnis zu erzielen, bewertet der Algorithmus sowohl bsartiges als auch gutartiges Verhalten getrennt. Der erste Teil des Algorithmus vergleicht Systemobjekte, mit denen das Code-Sample interagiert, mit einer zu diesem Zweck zusammengestellten Liste von Systemobjekten. Der zweite Teil verfolgt Objektnamen ber den Ablauf des Code-Sample hinweg und sucht nach verdchtiger Wiederverwendung der Objekte whrend des Ablaufs.
Aktuelle Situation
Malware (malicious Software, bsartige Software, Schadsoftware) ist zweifelsohne eine der grten Gefahren, denen die heutige IT- und Internet-Infrastruktur ausgesetzt ist. Unter Malware soll hier Software verstanden werden, die schdigende Absichten eines Angreifers ausfhrt. Das fasst alle Arten von unerwnschtem Code zusammen: Am hufigsten treten Trojaner, Wrmer, Viren, Spyware, Dropper und Adware auf. Malware tritt in vielen Erscheinungsformen auf: Angefangen von einem Code, der befallene System auer Gefecht setzt, ber einen Code, der heimlich sensible Informationen ausspht oder ber fremde Rechner massenhaft Spam versendet bis zum Kapern ganzer System, um sie als Teil eines Botnets fr irgendwelche finsteren Zwecke zu benutzen. Dabei hat sich die Szene in den letzten Jahren zunehmend kommerzialisiert: Malware ist ein alltgliches Werkzeug beim digitalen Diebstahl, fr Firmen- und Staatsspionage, zur Verteilung von Spam sowie bei Angriffen gegen die Infrastruktur eines feindliche Unternehmens, einer feindlichen Gruppe oder eines Staates geworden. Um die Malware ins Zielsystem einzuschleusen wird entweder eine Schwachstelle des
angegriffenen Systems ausgenutzt (Exploit: unpatched Software Bug oder ein Design Fehler in der Software) oder man verlsst sich auf unberlegte Aktionen eines vertrauensseligen Users (social engineering). Die Antivirenindustrie kmpft einen unaufhrlichen Kampf um den Schutz der IT-Infrastruktur ihrer Kunden. Tglich sind sie mit einer stets zunehmenden Anzahl von verdchtigen Code-Samples konfrontiert, die in kurzer Zeit korrekt eingestuft werden mssen, um entsprechende Manahmen setzen zu knnen. Bislang arbeiten Antivirenprogramme vornehmlich signaturbasiert: Von einem als Schadsoftware eingestuften Code-Sample wird eine Signatur (ein charakteristischer Teil des Codes oder ein spezifischer Hash) gewonnen, in die Signatur-Datenbank aufgenommen und zur Identifizierung der Schadsoftware verwendet. Zustzlich werden heuristische Verfahren als Ergnzung eingesetzt. Allerdings haben sich die Malware-Produzenten angepasst: Methoden wurden entwickelt, um einer signaturbasierten Erkennung zu entkommen. Neben Verschlsselung und Runtime-Packaging (die fr sich genommen signaturbasiertes Erkennen noch nicht ausschlieen) werden zunehmend polymorphe Techniken (bei jeder Kopie der Malware wird die Verschlsselung gendert, womit das Aussehen des Codes verndert wird und ein einfacher Vergleich mit einer Signatur aus der Datenbank nur mehr schwer mglich ist) und metamorphe Techniken (bei jeder Kopie wird der Code selbst derart verndert, dass er vllig anders aussieht, seine Funktionalitt aber beibehlt). Die erforderliche Analysearbeit zur Erkennung und Klassifizierung neuer Malware ist der erste wichtige
hakin9.org/de
23
AbwehR
Schritt im Kampf gegen die zunehmende Bedrohung. Der Kampf wird nicht nur immer komplexer, sondern wird auch durch die schiere Menge der neu auftretenden Schadsoftware zunehmend schwieriger zu bewltigen. McAfee schtzt etwa, dass bis Ende 2011 die Anzahl von 75.000.000 bekannten Malware-Samples erreicht werden wird. Allein im Mrz 2011 sind weltweit etwa 2,2 Millionen neuer Samples aufgetaucht. Die Anzahl zu untersuchender potentieller Code-Samples, mit denen die Analyseabteilung einer Antivirenfirma heute pro Monat befasst wird, ist bereits vierstellig. MalwareAnalysten sind daher auf eine sinnvolle Vorauswahl angewiesen, um aus der rieseigen Menge potentiell gefhrlicher Samples jene herauszufiltern, die vorrangig genauer analysiert werden mssen. Die Fragestellung lautet also: Gegeben ein CodeSample unbekannter bzw. dubioser Herkunft wie gro ist die Wahrscheinlichkeit, dass es sich dabei um Malware handelt?
Verhaltensbasierte Analyse
Um das Verhalten eines beliebigen Code-Samples analysieren zu knnen, muss es in einer geschtzten Umgebung ausgefhrt werden. Dabei werden mit Hilfe von Tools Aufzeichnungen ber die Aktivitten des Codes gesammelt (das reicht von einer Zusammenfassung der abgesetzten System Calls bis zu einem detaillierten Disassembly). Diese Aufzeichnungen knnen dann gespeichert, eventuell die Ergebnisse verschiedener Tools kombiniert, analysiert und bewertet werden. Der bewertungsalgorithmus Die Auswertung der Verhaltensdaten erfolgt mit Hilfe eines Algorithmus zur Bewertung der Aktivitten eines Samples. Dabei wird jede Aktivitt als entweder potentiell bsartig (gefhrlich) oder potentiell gutartig (harmlos) eingestuft und jeweils Punkte fr das Ausma der Bsartigkeit bzw. Gutartigkeit vergeben. So erhlt man zum Schluss zwei Werte, deren Differenz
Abbildung 1. Zusammenhang der Aktivitten ber Objektnamen
24
11/2011
eine Abschtzung der Gefhrlichkeit des Code-Samples darstellt. Der Bewertungsalgorithmus besteht aus 2 Teilen: Im ersten Teil werden die Aktivitten mit einer langen Liste von heiklen Objekten verglichen, die von Malware oft verwendet werden. Dazu gehren ausgesuchte Systemdateien, Registry Keys, Devices, blacklisted IP Adressen und noch andere Objekte. Im zweiten Teil werden zudem Abhngigkeiten zwischen Aktivitten bewertet: Dabei werden Objektnamen (zB Dateinamen) ber die Analyse hinweg verfolgt, um zu veranschaulichen, wie sich die Aktivitten des Samples im System fortpflanzen. Die Liste von zu bewertenden Objekten und Zusammenhngen kann aus verschiedenen Quellen zusammengestellt werden: Verschiedene Microsoftdokumente, die Security Software Liste killav.rb von BackTrack und einige IP Blacklists. Ergnzen kann man die Liste natrlich aus den eigenen Erfahrungen. Zu den wesentlichen Aktivitten, die im Zusammenhang mit potentiell gefhrlichem Verhalten zu betrachten sind, gehren: Control Communication Aktivitten bezglich Device- und Dateiinteraktionen. Dateiaktivitten insbesondere, wenn sie sich auf heikle Systemdateien oder Systemverzeichnisse beziehen. Registry Key Aktivitten und Registry Value Aktivitten, insbesondere, wenn sie sich auf sensible Ereignisse beziehen, wie etwa die Beeinflussung des Autostart-Verhaltens, die Internet-Einstellungen oder die Steuerung von Einstellungen von Antiviren-Programmen. Prozess Aktivitten wie Beenden eines Prozesses, Erzeugen eines Threads und dergleichen, vor al-
lem wenn sie sich auf Prozesse beziehen, die sich explizit mit Sicherheitsproblematik befassen. Service Aktivitten im Zusammenhang mit sensiblen Services. Dialogaktivitten, die verdchtige Userinteraktionen durchfhren. Netzwerkaktivitten wie TCP/UDP Verbindungsversuche und Konversationen, DNS Queries, Ping Requests, Socket-Verbindungen und Address-Scans, vor allem wenn sie sich auf zweifelhafte (blacklisted) IP-Adressen beziehen.
Die Zusammenhnge, die sich aus der Verfolgung der Objekte ergeben, knnen in einem Graphen dargestellt werden: Dieser Graph zeigt die mglichen Wiederverwendungen eines Objektnamens. Typische Malware Verhaltensmuster Analysiert man eine groe Anzahl bekannter Malware Samples, so erhlt man Einsicht in typische Verhaltensmuster, wie sie von Malware an den Tag gelegt werden. Eine Auswahl der hufigsten dieser Muster sieht etwa so aus: Das Programm registriert sich selbst als neues COM Objekt ber den CLSID Subkey-Unterbaum in der Registry; dazu mssen Registryaktivitten wie Registry Key Erzeugen und Registry Value ndern ausgefhrt werden. Erzeugen neuer Prozesse insbesondere im Windows-Systemverzeichnis und Registrierung derselben unter einer neuen CLSID. Ein erzeugter Prozess erzeugt seinerseits wieder ein Service, das so konfiguriert wird, dass es beim
Abbildung 2. Bewertungsergebnisse fr bsartige Samples
Abbildung 3. Bewertungsergebnisse fr gutartige Samples
hakin9.org/de
25
AbwehR
Systemstart automatisch hochgefahren wird. Auerdem wird das Service gleich gestartet. Das Service oder der Prozess modifiziert das Systemlog und startet weitere Prozesse und/oder Services. Das Programm beendet normale Prozesse. Antivirusprogramme werden gestoppt. Das Programm kopiert sich in andere Dateien (klassisches Infektionsverhalten). Das Programm ndert Interneteinstellungen. Das Programm versucht ber Device Control Communication Netzwerkverbindungen aufzubauen. Eine Vielzahl von Sockets wird geffnet. DNS Queries werden an verschiedene IP-Adressen versendet. Es werden Pings an eine Vielzahl von IP-Adressen abgesetzt. Verbindungen werden zu einigen der erfolgreich angepingten Adressen aufgebaut. Und so weiter
der Analyse ausgeschlossen werden, weil sie keinerlei nennenswerte Aktivitten entfalteten, das heit sie haben sich sofort beendet bzw. sind sofort abge-strzt. Mehr als 81% der Samples wurde korrekt als high risk eingestuft; 6 % wurden als unklar eingestuft und Rest wurde flschlicherweise als unbedenklich gewertet. Die Anwendung des Algorithmus auf 100 Samples harmloser Software lieferte in 90% der Flle eine korrekte Einstufung. Die 10% falscher Einstufungen stammen ausnahms-los von invasiven Installationsroutinen, die eine groe Zahl an Vernderungen im Be-triebssystem vorgenommen haben. Im Vergleich des doppelten Bewertungsalgorithmus mit einem einfachen (der nur das bsartige Verhalten bewertet) ergibt sich ein klar besseres Ergebnis fr die doppelte Bewertung: Im Vergleich zu den 81% korrekt als Malware eingestufter Samples konnten mit einfacher Bewertung nur 72% korrekt eingestuft werden.
Zusammenfassung
Um im zweiten Teil der Bewertung sensible Objekte durch die Analyse verfolgen zu knnen, muss das Vorkommen sensibler Objektnamen in bestimmten Positionen (Registry Values, Service Parameter und hnliches) gesucht werden. Werden sie vorgefunden, wird in Abhngigkeit des Fundortes ein bestimmtes Verhalten angenommen und die Bewertung entsprechend verndert. Doppelte bewertung Bewertet man nur bsartiges Verhalten, kommt man hufig auf sehr hohe Werte, die in keinem Verhltnis zur Bewertung anderer Samples stehen und es so schwierig machen, Grenzwerte fr bsartig vs. gutartig zu definieren. Das liegt im Wesentlichen daran, dass Malware Samples blicherweise eine sehr viel grere Anzahl an Aktivitten entfalten als harmlose Programme. Um dieses Problem zu berwinden, kann man das genannte doppelte Bewertungsverfahren verwenden, bei dem neben der Bsartigkeit auch die Gutartigkeit eines Samples bewertet wird. Die endgltige Bewertung ergibt sich dann als die Differenz aus dem Bsartigkeitswert und dem Gutartigkeitswert. Je grer dieser Wert, desto bsartiger das Sample. Aus den Erfahrungen mit einer Vielzahl an Analysen knnen dann Grenzwerte definiert werden. Ab einem bestimmten Grenzwert kann man dann davon ausgehen, dass das Sample jedenfalls bsartiges Verhalten aufweist und daher mit an Sicherheit grenzender Wahrscheinlichkeit als Malware einzustufen ist. erste ergebnisse Dieser Algorithmus wurde auf einen Satz von 400 Malware Samples angewendet; davon mussten 112 von
Verhaltensbasierte Analyse stellt eine wichtige Arbeit des Malware-Analysten dar. Bislang war das ein mhsamer manueller Vorgang, der zwar durch diverse Tools untersttzt werden kann, nichtsdestoweniger aber ein zeitraubendes Unterfangen darstellt. Daher ist der Versuch einer Automatisierung eine lohnende Aufgabe. Auch wenn die manuelle Analyse letztendlich nicht vollstndig ersetzt werden kann, so kann durch eine automatisierte Vorgangsweise immerhin eine sinnvolle Vorselektion erfolgen, die es dem Analysten ermglicht, sein Arbeit zu priorisieren. Dies umso mehr, als die Arbeitslast der Analysten durch eine immer steigende Anzahl von neu auftauchenden Malware Samples Ausmae annimmt, die kaum mehr zu bewltigen sind. Mit Hilfe des hier beschriebenen Algorithmus ist eine solche Vorselektion mglich. Insbesondere die Verwendung einer doppelten Bewertung (sowohl bsartiges als auch gutartiges Verhalten wird getrennt bewertet) hat sich als Verbesserung gegenber herkmmlichen Bewertungsverfahren, die sich ausschlielich auf das Bewerten bsartigen Verhaltens beschrnken, bewiesen. Weitere Verbesserungen des Algorithmus sind natrlich mglich; insbesondere eine Vorauslese der Samples scheint sinnvoll, um Samples die keine oder kaum Aktivitt entfalten vorab ausschlieen zu knnen (ber sie kann einfach keine Aussage getroffen werden). Auch spezielle Unterschiede zwischen dem Verhalten von Malware und dem Verhalten von Installationsroutinen mssen noch herausgearbeitet werden, um solche Installationsroutinen nicht als Malware zu brandmarken. Schlussendlich muss ein solcher Bewertungsalgorithmus stndig an die sich laufend ndernde MalwareLandschaft anpasst werden.
26
11/2011
FH St. Plten
Interview
Worber erfahren Ihre Studenten whrend des Studiums? - Fach IT Security Das Bachelorstudium IT Security vermittelt eine integrale, ganzheitliche Sicht der Security von IT-Infrastruktur. Das Besondere und in sterreich Einzigartige daran ist die Kombination aus Technik- und Managementwissen. Als knftige IT Security ExpertInnen bereitet das Studium auf den IT Security Alltag in Unternehmen vor - organisatorische und Managementaufgaben inklusive. Die Ausbildung besteht aus vier Schwerpunkten: IT-Betrieb Netzwerktechnik Sicherheitstechnologien Sicherheitsmanagement und Organisation chen, praxisbezogenen Inhalten wird groer Wert auf die Vermittlung sozialer Kompetenz und das Erlernen von Fremdsprachen gelegt. Das Studium zeichnet sich durch individuelle Betreuung und das Arbeiten in Kleingruppen aus. Pro Jahr werden nur 30 BewerberInnen aufgenommen. Die bungen erfolgen in Gruppen 15 Personen. Die praxisnahe Forschung nimmt einen hohen Stellenwert ein. Die frhzeitige Einbindung der Studierenden in Forschungsvorhaben mit Unternehmen ist der FH St. Plten wichtig und ermglicht jungen WissenschaftlerInnen Erfahrungen zu sammeln. Welche zustzliche Schulungen bieten Sie fr die Studenten? Whrend des Studiums knnen die Studierenden unter anderem durch selbstgewhlte Vertiefungsrichtungen und Freifcher ihre persnlichen Ausbildungsschwerpunkte setzen, sowie unterschiedliche, international anerkannte Zertifikate erwerben. Folgende Zertifikate stehen derzeit zur Auswahl: CCNA Cisco Certified Network Associate CCNP Cisco Career Certifcations & Paths PHSE PHION Security Engineer MCITP Microsoft Certified IT Professionalg ITIL V3 ACE Access Data Certified Examiner D-Level Projektmanagement
Ab dem 3. Semester wird zustzlich ein Wahlpflichtmodul ausgewhlt, das eine individuelle Ausbildung in den Schwerpunkten IT Infrastruktur, Sicherheitsmanagement und Beratung sowie Malware Analyse ermglicht. Der Masterstudiengang Information Security folgt dem Bachelorstudiengang IT Security und baut auf diesem auf. Der Masterstudiengang Information Security vermittelt eine Kombination aus technischen Kenntnissen und Management Know-how, die in keinem anderen Bildungszweig in dieser Tiefe angeboten wird. Information Security bildet ExpertInnen aus, die den stetig zunehmenden Anforderungen im ITBereich gewachsen sind. Die praxisorientierte Ausbildung bereitet die AbsolventInnen darauf vor, die Sicherheit von Gesamtsystemen zu garantieren und Informationssicherheit im Unternehmen zu verankern. Womit unterscheidet sich Ihre Hochschule von der anderen? Die Fachhochschule St. Plten steht fr qualittsvolle Hochschulausbildung, Praxisbezug und Internationalitt. ber 1.900 Studierende lernen und leben am Campus der FH St. Plten. Das Studium ist berufsfeldbezogen und beinhaltet ein verpflichtendes Berufspraktikum; ebenso ist ein Auslandsaufenthalt mglich und gewnscht. Neben fachli-
Wie sind die Berufsaussichten nach dem Studium? Die derzeitige aktuelle Lage zeigt, dass SicherheitsexpertInnen immer wichtiger werden. Computerviren, Hacker, Datenverluste, Webattacken usw. stellen eine massive Bedrohung fr die IT-Infrastruktur eines Unternehmens dar. Verschrft wird die Situation auch dadurch, dass immer mehr Prozesse eines Unternehmens EDV-untersttzt abgebildet und abgewickelt werden. Hier entsteht daher ein groer Markt fr ExpertInnen, die sowohl die technischen Kenntnisse fr einen sicheren IT-Betrieb beherrschen, aber auch mit Management-Aufgaben vertraut sind. AbsolventInnen werden in allen Branchen (Industrie, Gewerbe, Dienstleistungen, ffentliche Verwaltung),
hakin9.org/de
27
wo ein sicherer IT-Betrieb gewhrleistet sein muss, dringendst bentigt. Eine Studie zum Thema Security-Software der Gartner Group unterstreicht den Bedarf an AbsolventInnen: Die jhrlichen Wachstumsraten in der Security-Branche liegen bei 15 % pro Jahr bis 2012. Wo knnen die zuknftigen IT-Experten arbeiten? AbsolventInnen des Bachelorstudiengangs IT Security beherrschen die technischen Grundlagen fr einen sicheren IT-Betrieb. AbsolventInnen werden nach entsprechender Berufserfahrung als Fhrungskrfte sowie als MitarbeiterInnen auf unterschiedlichen Ebenen des mittleren Managements eingesetzt. Beispiele: Chief Security Officer (CSO) Netzwerk- und BetriebssystemadministratorIn IT-ForensikerInnen Penetration TesterIn
AbsolventInnen des Masterstudiengangs Information Security sind in der Lage, sichere Gesamtsysteme zu entwickeln bzw. vorhandene Systeme auf Schwachstellen zu untersuchen und geeignete Gegenmanahmen sowohl technischer als auch organisatorischer Natur zu entwerfen. Die AbsolventInnen kommen in allen sicherheitsrelevanten Ttigkeitsfeldern bei informationsverar-beitenden Prozessen zum Einsatz. Insbesondere sind sie qualifiziert, leitende und planende Ttigkeiten auszufhren. Berufsfelder (Beispiele) Sicherheitsbeauftragte/r (Chief Information-Security-Officer) IT Security Solution Engineer/Architect Security-Consultant IT-Solution Architect Vielseitige, attraktive Berufsperspektiven in anspruchsvollen Ttigkeitsbereichen in Industrie, Handel, Versicherungen, Dienstleistungen, Unternehmensberatung, ffentlicher Verwaltung und nicht zuletzt in der Forschung erwartet die AbsolventInnen. Vielen Dank fr das Gesprch!
28
11/2011
IT-Compliance mit dem Unified Compliance Framework UCF

Georg disterer und michael Wittek
Die IT-Untersttzung von Geschftsprozessen ist so bedeutend, dass Strungen oder Unterbrechungen im IT-Betrieb groe Risiken darstellen. Mittlerweile fordern sogar Gesetze und Regularien ausreichende Sorgfalt und Vorsorge, um einen strungs- und unterbrechungsfreien Betrieb zu gewhrleisten.
In dIeSem ArTIkel erFAhren SIe
Grundlagen zu IT-Compliance UCF als Hilfsmittel zur Steuerung und Kontrolle Manahmen zur technischen Betriebssicherheit
WAS SIe vorher WISSen SollTen

kein spezielles Vorwissen
T-Compliance strebt nach weisbar regel konformes Handeln im IT-Bereich an und umfasst alle Manahmen zur Einhaltung entsprechender Vorgaben wie Ge setze, Vorschriften, Normen u.. Die Anzahl entsprechender Vor gaben ist gro, deren Art und Umfang hchst unterschiedlich, viele der Anforderungen betreffen IT-Sicherheit. Um die Einhaltung der Vorgaben nachweisen zu knnen, ist ein systematisches Vor gehen sinn voll. Als ein Hilfsmittel steht das Unified Compliance Frame work (UCF) zur Verfgung. Nachfolgend werden Auf bau und Funktionsweise des UCF am Bei spiel der IT-Sicherheit erlutert, um dann die wesent lichen Steuerungsund Kontroll ma nahmen fr den Wirkbereich der technischen Sicherheit aus dem Framework abzulei ten.
IT-Sicherheit im Fokus der IT-Compliance
Informationstechnologie (IT) ist ein wesentliches Werkzeug zur Abwicklung betrieblicher Prozesse. Die Abhngigkeit vieler Prozesse von der IT-Untersttzung ist teilweise so erheblich, dass IT vielerorts zur strategischen Ressource geworden ist. Entsprechender Aufwand muss betrieben werden, um den vielfltigen Gefahren zu begegnen (Disterer 2009 S. 74-75), wie etwa Angriffen in Form vorstzlicher und gezielter Handlungen, missbruchliche Nutzungen, irrtmliche oder versehentliche Handlungen, hhere Gewalt, technische Mngel und technisches Ver-
sagen, Funktions- und Organisationsmngel. Umfangreiche Steuerungs- und Kontrollmanahmen sind zum Schutz notwendig, um Strungen und Unterbrechungen des IT-Betriebs zu vermeiden. Eine zentrale Rolle spielt das IT-Sicherheitsmanagement, das fr die IT die Planung, Umsetzung, Steuerung, Kontrolle und kontinuierliche Weiterentwicklung physischer und technischer Sicher heitsmanahmen umfasst. Ziel des IT-Sicherheits manage ments ist die Sicherstellung der Vertraulichkeit, Verfgbarkeit und Integritt von Informationen und IT-Systemen (BSI 2011). Mit der zunehmenden Bedeutung von IT steigen auch gesetzliche und regulatorische Vorgaben, die den Einsatz von IT im Unternehmen regeln, wie z.B. die Vorgaben aus dem Bundesdatenschutzgesetz (BDSG), den Grundstzen ordnungsmiger DV-gesttzter Buchfhrungssysteme (GoBS) oder aus den Grundstzen zum Datenzugriff und zur Prfbarkeit digitaler Unterlagen (GdPDU). Nachweisbar regelkonformes Handeln im IT-Bereich wird als IT-Compliance bezeichnet (Bhm 2008 S. 17, Rath/Sponholz 2009 S. 25). Insgesamt ist die Anzahl derartiger Auflagen und Vorgaben gro, deren Art und Umfang hchst unterschiedlich. Zu beachten sind etwa Vorgaben fr spezielle Branchen (Banken, Versicherungen, Gesundheitswesen u..) und fr spezielle Funktionsbereiche (Rechnungswesen, Logistik u..) sowie bergreifende (z.B. Datenschutzrecht) sowie nationale und inter-
hakin9.org/de
29
BeTrIeBSSICherheIT
nationale Vorgaben. Viele der Vorgaben betreffen die IT-Sicherheit, d.h. das IT-Sicherheitsmanagement ist nicht in das Belieben eines Unternehmens gestellt, sondern muss vielerlei Auflagen erfllen. Wegen der Vielzahl und Vielfalt der Auflagen und Vorgaben besteht die Gefahr der Intransparenz der zu beachtenden Vorgaben. Die Vorgaben sind teilweise redundant oder berlappend und unterscheiden sich in der Form oder dem Regelungstyp. Entsprechend ist Aufwand zu betreiben, um alle relevanten Vorgaben zu kennen und zu verstehen sowie Redundanzen und berlappungen aufzudecken, um somit ein abgestimmtes Bndel von Manahmen
statt eine - gegebenenfalls groe - Anzahl von Einzelmanahmen zu betreiben. Eine IT-gesttzte Systematik dabei kann den Aufwand reduzieren und die Fehlerquote mindern. Eine derartige Systematik bietet das Unified Compliance Framework (UCF), das ein Hilfsmittel zur nachweisbaren Einhaltung von IT-Compliance-Anforderungen darstellt und hier am Beispiel der Sicherheitsanforderungen erlutert wird.
Aufbau und Funktionsweise des UCF
UCF wurde als Rahmenwerk fr IT-Compliance von Vertretern des Beratungsunternehmen Network Fron-
Abbildung 1. Aufbau des UCF
30
11/2011
tiers sowie der Anwaltskanzlei Latham & Watkins entwickelt und im Jahr 2005 erstmals publiziert (UCF 2011a). Das Rahmenwerk bietet eine umfassende Sammlung regulatorischer Anforderungen, adquater Steuerungs- und Kontrollmanahmen sowie weiterer Hilfsmittel zur Umsetzung der Manahmen an. Das Rahmenwerk besteht aus mehreren Tabellen, die ber Verknpfungen der Eintrge zueinander in Relation stehen. Umgesetzt sind die Tabellen mit Excel-Tabellen, die mit Links untereinander und mit Quellen aus dem Web verbunden sind. Daneben stehen eine Anzahl von Dokumentvorlagen sowie eine ausfhrliche Dokumentation. Struktur und Inhalte des UCF sind in Abbildung 1 dargestellt. In das Rahmenwerk sind aktuell rund 1.000 Gesetze und Auflagen aufgenommen worden, bekanntere davon sind zum Beispiel: Gesetze fr brsennotierte Unternehmen (z.B. Sarbanes Oxley Act) Bankenrelevante Richtlinien (z.B. Basel II, Gramm Leach Bliley Act) Regelungen im Gesundheitswesen (z.B. HIPAA, NIST, CMS) Richtlinien fr Kreditkartentransaktionen (z.B. PCI DSS, Visa CISP)
Tabelle 1. Wirkbereiche des UCF
Datenschutzgesetze (z.B. Data Privacy Act fr U.S.A., Bundesdatenschutzgesetz fr Deutschland) Internationale Gesetze/Richtlinien (z.B. 8. EURichtlinie) Nationale Gesetze/Richtlinien (z.B. IT-Grundschutz) Standards und Normen (z.B. ITIL, ISO 13335, ISO 27001) Alle ausgewerteten regulatorischen Dokumente sind in einer Tabelle aufgelistet. Die Eintrge der Dokumente werden durch zustzliche Informationen ergnzt: Name des Gesetzes bzw. der Auflage, herausgebende Institution, Datum der Verffentlichung sowie eine kurze Beschreibung. Zustzlich ist ein Link gesetzt zu Webseiten, auf denen das OriginalDokument von jeweiligem Gesetz oder Auflage ver fgbar ist. Resultat der Auswertung der Gesetze und Auflagen sind rund 4.300 Steuerungs- und Kontrollmanahmen, die eine nachweisbare Einhaltung gewhrleisten sollen. Die Steuerungs- und Kontrollmanahmen sind sortiert und in verschiedene Tabellen zerlegt nach 14 unterschiedlichen IT-relevanten Wirkbereichen - siehe Tabelle 1 (vgl. Rath/Sponholz 2009 S. 196).
Nr.
Wirkbereich (Impact Zone)
Anzahl der Manahmen (controls)

24 104 88 2.103 156 112 76 249 279 144 581 122 107 187 4.332
1 2 3 4 5 6 7 8 9 10 11 12 13 14
Beschaffung von Technologie und Dienstleistungen (Acquisition of facilities, technology, and services) Prfung und Risikomanagement (Audits and risk management) Compliance und Governance Formrichtlinien (Compliance and governance manual of style) Konfigurationsmanagement (System hardening through configuration management) Entwurf, Entwicklung und Einfhrung von IT-Systemen (Systems design, build, and implementation) Management des IT-Personalwesens (Human resources management) Unternehmensfhrung und Unternehmensziele (Leadership and high level objectives) berwachen und Messen (Monitoring and measurement) Betriebsfhrung (Operational management) Physische Sicherheit und Perimeterschutz (Physical and environmental protection) Daten- und Informationsschutz (Privacy protection for information and data) Datensicherung und -archivierung (Records Management) Wiederanlauf (Systems Continuity) Technische Sicherheit (Technical Security) Summe
hakin9.org/de
31
BeTrIeBSSICherheIT
IT-Sicherheit wird dabei vor allem von den Bereichen Technische Sicherheit (technical security), Physische Sicherheit und Perimeterschutz (physical and environmental protection), Daten- und Informationsschutz (privacy protection for information and data) und Datensicherung/-archivierung (records management) abgedeckt. Diese vier Wirkbereiche beinhalten ca. ein Viertel der Steuerungs- und Kontrollmanahmen des UCF. Die Tabellen, die die Steuerungs- und Kontrollmanahmen der einzelnen Wirkbereiche enthalten, geben eine hierarchische Struktur der Manahmen wieder. Auf der obersten Ebene werden die Steuerungs- und Kontrollmanahmen als top level controls bezeichnet, die den Namen des Wirkbereichs als Bezeichnung tragen. Auf den niedrigeren Ebenen werden die Manahmen als supporting and supported controls bezeichnet. Der Aufbau einer derartigen Tabelle sowie die enthaltenden Elemente sind in Abbildung 2 am Beispiel des Wirkbereichs Technische Sicherheit skizziert und mit Ziffern zur Erluterung versehen: (1) Eine Spalte mit den hierarchisch geordneten Manahmen; (2) Eine Spalte mit eindeutiger Manahmen-ID, unterlegt mit einem Link auf die UCF-Website, wo detaillierte Informationen zu der Manahme vorgehalten werden; (3) Mehrere Spalten mit UCF-Kategorien, die die einzelnen regulatorischen Dokumente inhaltlich
(z.B. nach Branchen) zusammenfassen. In den entsprechenden Feldern ist die Anzahl der Verweise zwischen den regulatorischen Dokumenten und den abgeleiteten Manahmen angegeben; (4) Mehrere Spalten mit den Bezeichnungen der regulatorischer Dokumente, in denen die einzelnen Verweise zwischen den abgeleiteten Manahmen und regulatorischen Dokumenten vermerkt sind. (5) Eine Spalte fr Verweise auf interne Richtlinien, die unternehmensspezifische Vorgaben enthalten. Fr die Implementierung von Steuerungs- und Kontrollmanahmen stellt UCF eine Reihe vorgefertigter Hilfsmittel bereit, die unternehmspezifisch angepasst oder erweitert werden knnen (siehe Abbildung 1). Hierzu zhlen standardisierte Kennzahlen (metric standards), Dokumentvorlagen (compliance documents), De nition von Rollen (role definitions), Klasfi sifizierungsschemata fr In or a io en (information f m t n classification) und standardisierte Vorgehensweisen fr das Kon gurationsmanagement (configuration mafi nagement). Fr UCF wird eine quartalsweise Aktualisierung angeboten, die vor allem die Bercksichtigung neuer und vernderter Gesetze und Regularien enthlt. Dadurch wird das Rahmenwerk kontinuierlich aktualisiert und erweitert.
Abbildung 2. Aufbau einer Tabelle im UCF
32
11/2011
Steuerungs- und kontrollmanahmen fr technische IT-Sicherheit
Um die Grundwerte der IT-Sicherheit der Vertraulichkeit, Integritt und Integritt zu gewhrleisten sind geeignete physische und technische Manahmen notwen dig. Die entsprechenden technischen Manahmen gelten dem Zugang zu Systemen und
dem Zugriff auf Daten. Dazu gehren etwa die Erstellung und Etablierung von Sicherheitsrichtlinien und -anweisungen, die Umsetzung von Rollenund Berechtigungskonzepten sowie der Einsatz von Firewalls, Virenscannern und Verschlsselungstechniken. Fr den Wirkbereich technische Sicherheit sieht UCF insgesamt 187 Steuerungs- und Kon-
Tabelle 2. Manahmen und deren Herkunft aus regulatorischen Dokumenten
Healthcare & Life Science
System Configuration
3
Record Management
US Internal Revenue
ManahmenID
Banking & Finance
Manahmen (controls) der obersten Ebene
Beschreibung
Sarbanes Oxley
General
NIST
ITIL
1 1
ISO
EU
UCF ID 00509
Establish and maintain an access classification scheme standard Establish and maintain access policies and access procedures
Entwurf, Durchsetzung und Pflege eines generellen Konzepts fr Zugang und Zugriff Erstellung und Pflege von Richtlinien, Verfahren und Prozeduren zur Sicherstellung von Identifikation, Authentifikation und Zugriffsberechtigung Steuerung und berwachung aller Netzwerkkomponenten inkl. deren Konfigurationen 5
UCF ID 00512
10
UCF ID 00529
Identify and control all network access and control points
UCF ID 00551
Secure access to each Sicherung des Zugangs/Zusystem component griffs auf Betriebssysteme aller Operating System Komponenten Control all methods of remote access and teleworking Manage the use of encryption and cryptographic controls to protect information Establish and maintain a process to prevent malicious code attacks Enforce information flow policies inside the system and between interconnected systems Establish and maintain an application security policy Establish and maintain virtual environment and shared resources security policies and procedures Steuerung und Kontrolle aller Fernzugriffe auf Systeme und Komponenten Einsatz geeigneter Verschlsselungstechniken zum Schutz der Informationen Einsatz/Pflege von Systemen zur Vermeidung von Angriffen mit Schadsoftware Entwurf, Durchsetzung und Pflege von Richtlinien zum Informationsfluss innerhalb und zwischen Systemen Erstellung und Pflege einer Sicherheitsrichtlinie fr Anwendungen Erstellung und Pflege von Richtlinien, Verfahren und Prozeduren fr virtuelle Umgebungen und verteilte Ressourcen
UCF ID 00559
UCF ID 00570
UCF ID 00574
UCF ID 01410
UCF ID 06438
UCF ID 06551
hakin9.org/de
33
BeTrIeBSSICherheIT
trollmanahmen vor. Diese Manahmen sind zehn Gruppen zugeordnet, von denen manche weiter untergliedert sind. Tabelle 2 zeigt die zehn Gruppen sowie die Angabe, wie viele der zugrunde liegenden regulatorischen Dokumente diese Manahmen auslsen (UCF 2011b). Dabei wird verdeutlicht: Zwischen den regulatorischen Dokumenten sowie den Steuerungs- und Kontrollmanahmen, die durch die Vorgaben und Auflagen ausgelst werden, existiert eine n:m-Beziehung, da Gesetze und andere Regularien meist nicht aufeinander abgestimmt sind und teilweise berlappende Vorgaben und Auflagen enthalten (Bhm 2008 S. 22f). Das Aufdecken dieser inhaltlichen bereinstimmungen verschiedener regulatorischer Dokumente bzgl. spezieller Anforderungen - hier nach technischer Sicherheit - ist wesentlicher Vorteil des Einsatzes von UCF, da damit redundante Steuerungs- und Kontrollmanahmen vermieden werden knnen. Daneben enthlt UCF einige Werkzeuge, die vor allem die organisatorische Verankerung der Steuerungs- und Kontrollmanahmen erleichtern sollen. So wird eine Dokumentvorlage fr die Textverarbeitung bereitgestellt, die eine unternehmensweit einheitliche und strukturierte Darstellung von Vorgaben untersttzt. Grundstze und Ziele einer Sicherheitsrichtlinie werden beispielhaft aufgefhrt. Ein Gliederungsvorschlag kann zur Erstellung einer zentralen und generellen Sicherheitsrichtlinie sowie ergnzender spezifischer Richtlinien (z.B. Passwort-Policy, Email-Policy) genutzt werden. Dokumentvorlagen fr die Beschrei-
bung spezieller Rollen im IT-Sicherheitsmanagement untersttzen die Einheitlichkeit und Konsistenz, etwa bei der Definition von Aufgaben, Verantwortlichkeiten und Befugnissen, z.B. fr Security Manager und Change Manager. Fr einige der erwhnten Steuerungs- und Kontrollmanahmen sind in UCF Vorschlge fr Kennzahlen enthalten, die zur Messung der Wirksamkeit der Manahmen zu nutzen sind. Zur Dokumentation und zum Berichten der Messergebnisse hlt UCF eine Reihe konfektionierter Dateien in Formaten von Tabellenkalkulationen und Geschftsgrafiken bereit. Mit diesen Dateien kann ein teil-automatisiertes Berichtswesen zum Controlling der Umsetzung der Manahmen aufgebaut werden. Alle Vorlagen und Muster sehen eine Versionsverwaltung und hnliche Vorkehrungen vor, so dass eine Revisionssicherheit der Unterlagen erreicht werden kann.
Fazit
literatur

[Bhm 2008] Bhm, M., IT-Compliance als Triebkraft von Leistungssteigerung und Wertbeitrag der IT, in: Handbuch der modernen Datenverarbeitung HMD, 2008, Nr. 263, S. 15-29. [BSI 2011] Bundesamt fr Sicherheit in der Informationstechnik (Hrsg.), IT-Grundschutz - Basis fr Informationssicherheit, in: Internet www.bsi.bund.de/ContentBSI/ grundschutz/kataloge/allgemein/einstieg/01001.html; Zugriff am 2010-10-14. [Disterer 2009] Disterer, G., Angriffe auf betriebliche IT-Systeme, in: Litzcke, S. M. Mller-Enbergs H. (Hrsg.), Sicherheit in Organisationen (Band 2 der Schriftenreihe Intelligence Collection and Intelligence Analysis), Verlag fr Polizeiwissenschaft: Frankfurt a.M., 2009, 73-111. [Rath/Sponholz 2009] Rath, M., Sponholz, R., IT-Compliance - Erfolgreiches Management regulatorischer Anforderungen, Schmidt: Berlin, 2009. [UCF 2011a] Unified Compliance Framework (Hrsg.), Why Choose the UCF?, in: Internet www.unifiedcompliance. com/about; Zugriff am 2010-10-14. [UCF 2011b] Unified Compliance Framework (Hrsg.), Technical security, in: Internet www.unifiedcompliance. com/matrices/live/00508.html; Zugriff am 2010-10-14.
Ob der groen Bedeutung der IT-Untersttzung der Geschftsprozesse haben sogar nationale und internationale Gesetzgeber die Notwendigkeit gesehen, Unternehmen mit diversen Gesetzen und Regularien die dezidierte Steuerung und Kontrolle der IT vorzugeben. Im Rahmen von IT-Compliance wird ein Vorgehen angestrebt, das zu diesen Gesetzen und Regularien nachweisbar konform ist. Die Anzahl und Unterschiedlichkeit der Vorgaben erzwingen zur Sicherung der Effektivitt ein systematisches Vorgehen, zur Sicherung der Effizienz ist der Einsatz geeigneter Hilfsmittel geboten. Mit dem Rahmenwerk UCF steht ein derartiges Hilfsmittel zur Verfgung, das hier am Bespiel der IT-Sicherheit, speziell der technischen Sicherheit vorgestellt und diskutiert wurde.
GeorG dISTerer, mIChAel WITTek

Georg Disterer, Prof. Dr. lehrt Wirtschaftsinformatik an der Fachhochschu le Hannover und arbeitet auf den Gebieten In formationsmanagement, Projektmanagement, Wissensmanagement. Daneben ist er als ffent lich bestellter und vereidigter Sachverstndiger fr Informati onssysteme ttig. georg.disterer@fhhannover.de Michael Wittek, M.Sc. arbeitet als wissenschaftlicher Mitarbeiter an der Fakultt fr Wirtschaft und Informatik der Fach hochschule Hannover. Sein Arbeitsschwerpunkte liegen in der Wirtschaftsinformatik, insbesondere IT Service Management und ITRisikomanagement. michael.wittek@fhhannover.de
34
11/2011
Sicher durch die Cloud
Sicher durch die Cloud

kaspersky lab
Cloud-Computing ist vielen Unternehmen suspekt, denn sie wittern ein Sicherheitsrisiko fr ihre Daten. Doch es gibt auch eine andere Seite der Wolke: Clouds knnen auch mehr Sicherheit fr Unternehmen bieten und IT-Kosten sparen.
In dIeSem ArtIkel erfAhren SIe
ber Cloud-Computing im Betrieb
WAS SIe vorher WISSen Sollten

was Cloud-Computing ist
ie IT-Bedrohungen fr Firmen nehmen zu und werden immer variabler [1]. Fr die IT-Verantwortlichen heit das, dass sie ihre IT-Sicherheitsstrategie anpassen und auch die Schutzsysteme darauf einstellen mssen. Da das fr alle Unternehmen quer durch alle Branchen und auch unabhngig von der Mitarbeiterzahl gilt, kommen vor allem kleine Unternehmen und Mittelstndler in Schwierigkeiten. Schutztechniken aus der Cloud knnen hier eine elegante Lsung sein. Um das Rennen gegen Hacker und Datendiebe zu gewinnen, setzt zum Beispiel SchutzSoftware von Kaspersky Lab auf die Hilfe der Cloud. Sie kombiniert lokale Sicherheitsmechanismen auf dem Computer mit Cloud-basierter Sicherheit durch das Kaspersky Security Network (KSN). Hintergrund: Trotz immer komplexerer Bedrohungen soll der Malware-Schutz die Computer-Systeme nicht bremsen, trotzdem aber auch einen Sofortschutz selbst gegen unbekannte Bedrohungen bieten. Dieser Wunsch der Nutzer ist auch in Zeiten von mehreren Gigabyte Arbeitsspeicher und Mehrkern-Prozessoren noch ganz oben auf der Liste.
einzelnen PCs zu finden. Solche sogenannten Singletons sind oft stark mutierende Wrmer oder fr einen ganz bestimmten Zweck programmierte Viren. Da niemand mehrere Gigabyte an Signatur-Datenbanken auf dem Computer speichern will, werden im KSN alle Informationen ber aktuelle Bedrohungen gesammelt. An zentraler Stelle sammelt eine Datenbank von Kaspersky sicherheitsrelevante Daten von Millionen Computern auf der ganzen Welt. Taucht irgendwo ein neuer Schdling auf, dann reagiert das Expertennetzwerk sofort und erfasst die schdliche Datei. Alle Nutzer mit Sicherheitsprodukten von Kaspersky Lab sind dann nach wenigen Sekunden auch gegen den Schdling geschtzt. Um festzustellen, ob eine Datei mit Malware infiziert ist, startet Kaspersky Lab automatisch eine Abfrage beim KSN. In wenigen Sekunden erhlt man die Antwort aus der Cloud. Ist alles in Ordnung,
fast facts:

Schnell auf neue Bedrohungen reagieren
Wichtig ist den Nutzern vor allem, dass der MalwareSchutz schnell auf neue Bedrohungen reagiert. Fr Security-Experten von Kaspersky Lab ist das eine Grundvoraussetzung, schlielich tauchen pro Tag rund 35.000 neue Schdlinge auf, die abgewehrt werden mssen. Dazu kommen pro Monat 200 Millionen Angriffe bers Netzwerk und pro Jahr rund 2000 Sicherheitslcken in Programmen. Viele Schdlinge sind mittlerweile nur noch auf
Die IT-Bedrohungen fr Unternehmen nehmen zu und werden immer ausgefuchster [1] Vor allem kleine und mittelstndische Unternehmen mit begrenzten Ressourcen knnen schnell Security-Probleme bekommen Moderne Security-Lsungen setzen auf zustzliche Schutzmodule, die mit Cloud-Technik arbeiten. Zeichen: 4.425 mit Leerzeichen
Cloud-Computing sorgt derzeit fr viele Sicherheitsdebatten. Doch Cloud-Technik kann man auch fr besseren IT-Schutz fr Unternehmen einsetzen. Der Artikel zeigt die Vorteile von zustzlichen Schutzmodulen aus der Cloud.
hakin9.org/de
35
BetrIeBSSICherheIt
Im Internet:

[1] http://www.securelist.com/en/analysis/204792186/IT_ Threat_Evolution_Q2_2011
Abfrage beim KSN geprft. Ist die Seite sauber, dann geht es ohne Verzgerung fr den Nutzer weiter. Befinden sich Schdlinge auf der Webseite, dann blockiert die Kaspersky-Software den Zugriff.
Other useful links: www.securelist.com/en/analysis www.kaspersky.com
vor unbekannten Schdlingen schtzen
dann kann die Datei gefahrlos geffnet werden. Andernfalls wird der Zugriff blockiert.
reputation von Webseiten prfen
Das KSN kommt auch beim Schutz vor infizierten Webseiten ins Spiel. Es reicht heute schon der Besuch einer Webseite aus, um sich mit Malware zu infizieren. Klar ist, dass die Prfung von Webseiten in der Praxis rasend schnell gehen muss, da die Nutzer sonst bei jedem Aufruf einer Webseite eine unntige Verzgerung spren. Auch hier ist das Kaspersky Security Network die Waffe Nummer 1. Bevor ein mit KasperskySoftware geschtzter Nutzer eine bestimmte Webseite besuchen darf, wird vorher deren Zustand ber eine
Doch was tun, wenn weder die lokalen Signaturen noch das Security Netzwerk einen Schdling erkennt? Dieser Fall kommt zwar nicht hufig vor, aber er ist nicht auszuschlieen. Moderne Antivirensoftware hat aber auch darauf die passende Antwort. Im Fall von Kaspersky gibt es zum einen die sogenannten Heuristiken: Sie sind Muster fr die Erkennung von Malware. Selbst wenn es keine Signaturdatei gibt, die 1:1 auf einen Schdling passt, so kommt man einem Groteil der Viren auch ber hnlichkeiten auf die Spur. Hilft auch das nichts, dann gibt es auch noch die verhaltensbasierte Erkennung. Hier beobachtet ein Modul der Schutz-Software das Verhalten von Programmen. Versucht eine Malware beispielsweise Passwrter zu stehlen, muss sie zuerst Daten von einem anderen Programm lesen, dann die Firewall ffnen und danach Daten versenden. Die Verhaltenserkennung bemerkt dies aber schnell und unterbindet einen solchen Datenklau.
W e
r b
Bildschirme: 10 3D Full-HD (1920x1080) Plasma-Bildschirme Panasonic TX-P65VT20E Grafikkarten: 6 NVidia QuadroPlex 7000 mit Fermi-Architektur fr Grafik und 6 Tesla C2070 CUDAGrafikkarte fr Simulationsdaten Computer: 6 Dual-Quad-Core mit je 24 GB RAM und 8 TB Festplatte
Der Groraum Mnchen ist eine der grten IT-Standorte weltweit. Wir konzentrieren uns auf die IT-Szene der Mnchener Region und berichten detailliert ber Macher, Innovationen und Veranstaltungen. 36
Jobs Standort Hochschule Portrait Veranstaltungen und Arbeitskreise ... und viele andere interessante Themen.
11/2011
Der Androide im Auto IT-Sicherheit beim Fahren
IT-Sicherheit beim Fahren Der Androide im Auto

vicente Diaz
Technik ist Teil unseres Alltags. Sie ist in allen mglichen Gerten gegenwrtig, verhilft uns zu einem leichteren Leben und einer vereinfachten tglichen Routine. Dies trifft besonders auf die Automobil-Welt zu, in der alle Verbesserungen, die whrend der vergangenen Jahre vorgenommen wurden, in eindrucksvollen Features mnden, die fr unsere Eltern, als sie ihre alten Modelle gefahren sind, undenkbar waren.
In DIeSem ArTIkel erFAhren SIe
Automobil-Welt
WAS SIe vorher WISSen SollTen

Kein spezielles Vorwissen
och natrlich hat sich die Welt komplett verndert: Vor 30 Jahren haben wir gerade erst angefangen, PacMan zu spielen! Wenn wir darber nachdenken, wie die Technik unser Fahrerlebnis verbessert hat, sind die Ergebnisse ganz erstaunlich. Tglich fahren wir damit: Einparkhilfe, Erkennung der Auenbedingungen, GPS, Freisprechanlage, Aufprallschutz-Systeme Doch das ist erst der Anfang. Automobil-Hersteller grbeln intensiv darber, wie wir unsere Internet-Erfahrung am besten auch frs Fahren nutzen knnten. Natrlich brchte dies eine Menge Vorteile in Unterhaltung, Information, Kommunikation und zustzlichen Diensten. Eigentlich freue ich mich darauf, all diese schnen Features in meinem Auto zu haben. Ein Beispiel fr diese neue Technologie-Generation, die Applikationen, eine Internetverbindung, Soziale Netzwerke, eine Android-hnliche Benutzeroberflche zur Auto-Verwaltung und viel mehr bietet, finden wir im Saab iQon Infotainment System (Abbildung 1.). Eigentlich sind alle diese schnen Features Schlssel-Strategien fr zuknftiges Marketing. Laut Dominic Tavassoli, Director von IBM Rational, ist das, was in Wettbewerben den ber Sieg entscheidenden Unterschied macht, die Software in Autos gleichermaen wie in Mobiltelefonen (Quelle: http://www.wired.com/ autopia/2011/04/the-growing-role-of-software-in-ourcars/).
Allerdings sind diese Apparaturen und Applikationen noch Neulinge in der Welt der Automobil-Technologie. Viele Fahrer der alten Schule mchten diese computerartige Hardware vielleicht gar nicht in ihrem Auto haben. Das haben sie jedoch bereits, auch wenn sie es meist gar nicht merken! Ein durchschnittliches Auto verfgt ber etwa 100 verschiedene Steuergerte (weitere Informationen hierzu finden Sie unter http://de.wikipedia.org/wiki/ Steuerger%C3%A4t). Dabei handelt es sich im Grunde um programmierbare Einheiten, die an eine Reihe von Sensoren und Auto-Teile angeschlossen sind und mit ihnen gem einem vorgegebenen Algorithmus abhngig vom Dateninput interagieren. Einfach gesprochen reprsentieren sie viele Computer, die mit Teilen Ihres Autos zusammenarbeiten. Die Existenz von Steuergerten stellt einen erheblichen Vorteil fr unser Fahrerlebnis und unsere Fahrsicherheit dar. Im Prinzip gestattet sie Fahranfngern, einen Sportwagen zu fahren doch sie hilft uns auch, eine Kurve schneller zu nehmen, als wir sollten, oder unser Auto auch whrend einer Notbremsung kontrollieren zu knnen. Die Mglichkeiten dieser altgedienten Technologie sind abzusehen, wenn man sie mithilfe der heutigen IT verbessert. In diesem Fall ermglicht das Hinzufgen weiterer Sensoren und das Koordinieren der gesamten Steuergerte-Interaktion mit dem zentralen Computer Projekte wie das Google-Auto (http://googleblog.
hakin9.org/de
37
kASperSky lAb
blogspot.com/2010/10/what-were-driving-at.html), das eigenstndig fahren kann: Wir haben eine Technologie entwickelt, die Autos selbststndig fahren lsst Whrend dieses Projekt noch sehr stark in den experimentellen Kinderschuhen steckt, ermglicht es uns einen Einblick, wie Transport dank fortgeschrittener Computerwissenschaft in Zukunft einmal aussehen knnte. Und diese Zukunft ist sehr aufregend.
Technik und Sicherheit
Automobil-Hersteller sind verschieden und benutzen eigene Systeme und Technologien, um so effizient wie mglich zu arbeiten. Es gibt in der Industrie wenige Standards unter den Herstellern, und manche Konzepte sind berbleibsel der Vergangenheit. Dennoch knnen wir hnlichkeiten und ein architektonisches Grunddesign in den meisten Fahrzeugen feststellen. Um all die Steuergerte koordinieren zu knnen, ist es notwendig, einen gebruchlichen Kommunikationsweg zu gewhrleisten. Stellen Sie sich das wie ein LAN-Netzwerk vor. Es bedarf keiner Kommunikation aller vorhandener Gerte miteinander, dennoch wird aus Grnden der Effizienz (und Wirtschaftlichkeit) eine sachgeme Netzwerk-Segmentierung oft nicht vorgenommen. Die Steuergerte werden einfach an den gemeinsamen bertragungsweg angeschlossen. Allerdings ist es blich, zwei verschie-
dene Wege zu nutzen: einen fr hochempfindliche Gerte (etwa Motoren), der als der sichere Weg bezeichnet wird und gleichzeitig auch der Hochgeschwindigkeitsweg ist, und einen weiteren fr den Rest. Nun haben wir eine grobe Vorstellung, welche Gerte-Arten in einem Auto vorzufinden sind und wie sie miteinander verbunden sind. Lassen Sie uns einen Blick in die Software werfen: Auch hier finden wir eine hchst heterogene Landschaft vor. Jeder Hersteller benutzt bislang sein eigenes System und erhlt blicherweise seinen Support ber die entsprechenden Software-Firmen. Microsoft beispielsweise entwickelte das SYNC-System, das von Ford benutzt wird. In diesem Fall wurde die Sicherheit in der Gestaltung des Systems bercksichtigt das heit, Verschlsselung, Netzwerk-Segmentierung und sogar eine Firewall werden benutzt. Doch wie komplex kann die Software, die in einem Auto luft, werden? Bei den vielen Modellen ist das schwer zu sagen, doch es gibt Beispiele: Im Falle des Chevrolet Volt werden 10 Millionen Zeilen Quellcode verwendet. Bei Windows NT 4.0 sind es 12 Millionen. Es muss also auch bei Autos von hoher Komplexitt ausgegangen werden. Es ist auch ganz normal, verschiedene Betriebssysteme innerhalb eines Autos vorzufinden, die fr gewhnlich verschiedene Untersysteme kontrollieren. Auch hier wiederum nutzt jeder Hersteller das Betriebssystem
Abbildung 1. Saab IQon: Android-hnliche Oberflche und die Mglichkeit, selbst Apps zu installieren
38
11/2011
Der Androide im Auto IT-Sicherheit beim Fahren
seiner Wahl und wechselt es sogar binnen verschiedener Fahrzeug-Versionen. Die erst Generation des iDrive, das von BMW benutzt wird, basiert auf Windows CE. Doch die iDrive-Professional-Navigation mittlerweile heute auf VxWorks. Als IT-Sicherheitsexperte, der mit den verschiedenen Betriebssystemen dieser Modelle vertraut ist, mchte ich natrlich herausfinden, ob sie Schwachstellen besitzen, und wie dies mglicherweise Untersysteme im Auto beeinflussen knnte, die von den Steuergerten kontrolliert werden. Mit Sicherheit gibt es Schwachstellen in Windows CE, jedoch auch bei
VxWorks, das sogar in den bekannten Penetrationstests von Metasploit (www.metasploit.com) enthalten ist (Abbildung 3.). Der Mangel an einer optimalen Abgrenzung zwischen den verschiedenen internen Netzwerken ist ein potentielles Problem. Fr den Fall, dass eines der Betriebssysteme im Auto infiziert wird, knnte dies zu unerwarteten Fehlern in den Untersystemen fhren. Diese wurden nicht unter Bercksichtigung des Sicherheitsfaktors erstellt und sie laufen unter ungnstigen Umstnden nicht stabil. Es gibt eine bemerkenswerte Untersuchung der University of Washington und
Abbildung 2. Beim Chevrolet Volt sind 10 Millionen Zeilen Quellcode zu finden
Abbildung 3. Metasploit der Automobilwelt
hakin9.org/de
39
kASperSky lAb
der University of California San Diego, die aufzeigt, wie durch Fuzzing-Techniken volle Kontrolle ber alle mglichen Untersysteme eines Autos erlangt, Schadcode in die Telematik-Einheit eingebettet und jeder rudimentre Netzwerk-Schutzmechanismus umgangen werden konnte (http://www.autosec.org/pubs/cars-oakland2010.pdf).
einblick in mgliche bedrohungen und Fazit
Wie sehen also die potentiellen Bedrohungen aus? Wie bei jeder anderen Technologie wre die erste berlegung, wie man auf den Zielrechner zugreifen knnte. Smtliche Autohersteller denken bereits darber nach, wie Internetzugriff und die Interaktion mit allen mglichen Gerten in ein Auto zu integrieren sind. Angriffe aus der Ferne, unbeabsichtigte Infektionen, gezielte Attacken und gertebergreifende Angriffe werden somit mglich. Und es gibt auch bereits die ersten Proofs of Concept: So wurde ein Exploit fr einen Audio-Player in einer MP3-Datei versteckt, mit dem dann wiederum ein Auto infiziert wurde. Und schon heute ist klar, dass in naher Zukunft vom Auto aus ber das Internet auf Musik zugegriffen werden kann. Die Einfhrung neuer ausgefallener Gerte stellt einen weiteren potentiellen Angriffsvektor dar. Da sich hier noch alles in der Entwicklung befindet, lsst sich nicht genau sagen, welche Technologien die Hersteller implementieren werden. Es erscheint allerdings plausibel, davon auszugehen, dass sie bekannte, bestehende Technologien, die bereits erfolgreich auf dem Markt sind, weiterhin benutzen werden etwa das AndroidBetriebssystem.
In diesem Fall brauchen wir nur auf die Situation bei Smartphones schauen: Schdliche Apps werden immer wieder auch in den offiziellen Mrkten platziert und infizieren alle Gerte, auf denen sie installiert werden. Wenn nun Autos das gleiche Betriebssystem benutzen, ist die Mglichkeit gertebergreifender Infektionen schnell gegeben. Ein weiteres Szenario sind gezielte Attacken. Denn ein Auto ist ein perfektes Spionage-Werkzeug, das einem Angreifer ermglicht, den genauen Aufenthaltsort, Fahrweise und weitere Gewohnheiten eines Opfers herauszufinden. Tatschlich gibt es ein aktuelles Beispiel dafr, wie beim Nissan Leaf mit Carwings-System all diese Informationen per RSS-Feed weitergeleitet wurden (Quelle: http://seattlewireless.net/~casey/?p=97 ). Und auch die Systeme in einem Polizeiwagen konnten bereits gehackt werden (Quelle: http://blogs.computerworld.com/18226/hacking_to_pwn_a_cop_car). Auerdem besteht natrlich die eher banale Option des simplen Diebstahls, falls es irgendeine Mglichkeit gibt, Kontrolle ber die Sicherheitsmanahmen des Autos zu erlangen. Wir sehen also wieder einmal, wie allgegenwrtig IT in unserem alltglichen Leben ist. Die Vernetzung wird weiter voranschreiten. Gleichzeitig bedeutet eine neue Technologie meist auch hhere Komplexitt: Etablierte Systeme interagieren mit neuen Gerten und Technologien. All dies wird in Gerten und technischen Spielereien verpackt, die wir tglich benutzen und denen wir tglich vertrauen. Natrlich untersttze ich die Nutzung neuer Technologien, allerdings ist es heutzutage ein Muss, auf die Sicherheit zu achten. Ich glaube zwar nicht, dass es schon in Krze dedizierte Malware fr Autos geben wird, aber es knnte unerwartete Komplikationen geben, wenn sich Malware versehentlich in IT-Systemen einiger Auto-Modelle einnistet. Da alle mglichen Systeme dort die mechanischen Teile einer 1,5-TonnenMaschine kontrollieren, die sich mit Insassen auf der Strae bewegt, halte ich es fr eine gute Idee zu berprfen, ob alle Security-Methoden angewendet, alle Systeme richtig gesichert und alle Sicherheitsmechanismen implementiert wurden, bevor all diese neuen schicken Features unseren Fahrzeugen hinzugefgt werden.
vIcenTe DIAz
Virus Analyst, Kaspersky Lab
40
11/2011
Fallstricke beim Einsatz von SSL-Zertifikaten
Christian heutger, PSW GroUP, und mIt Sicherheit
Die Besucher einer Website oder eines Online-Shops erwarten mittlerweile, dass sensible Daten wie Passwrter, Kontodaten oder personenbezogene Informationen sicher verschlsselt zum Anbieter bertragen werden. Fr diesen Vorgang bieten SSL-Zertifikate eine etablierte Sicherheitstechnik. Doch die Absicherung scheitert immer wieder an der fahrlssigen Einrichtung von Zertifikaten beziehungsweise dem falschem Umgang seitens des WebsiteBetreibers mit diesen.
In dIESEm ArtIkEL ErFAhrEn SIE
welche Fehler in der Praxis besonders hufig zu beobachten sind. wann Wildcard-Zertifikate eingesetzt werden sollten. wie mit ablaufenden Zertifikaten umzugehen ist.
WAS SIE vorhEr WISSEn SoLLtEn

kein spezielles Wissen
uch wenn sich die Bezeichnung SSL-Zertifikate durchgesetzt hat, basieren diese heute nicht mehr auf dem Secure Socket Layer (SSL)Protokoll sondern auf dem Transport Layer Security (TLS)-Protokoll, ein etabliertes und fortgeschrittenes Verschlsselungsprotokoll zur bertragung sensibler Inhalte. Genutzt wird TLS mittlerweile in beliebigen Anwendungen, beispielsweise beim Versand von E-Mails via SMTP oder aber eben auch bei der Nutzung von Websites. SSL-Zertifikate garantieren fr die Kommunikation zwischen Client und Server die Vertraulichkeit und Integritt von Daten sowie die Authentizitt des Kommunikationspartners. Daher weist sich der WebServer beim Aufbau einer HTTPS-Verbindung gegenber dem zugreifenden Browser des Clients mit einem SSL-Zertifikat aus. Dieses Zertifikat kann der Browser dann anhand einer Public Key Infrastructure (PKI) auf Gltigkeit berprfen. Dazu verfgen die Browser bereits von Hause aus ber Stammzertifikate bekannter Zertifizierungsstellen so genannte Certificate Authorities (CA) wie Comodo, GeoTrust, thawte, VeriSign beziehungsweise Symantec und GlobalSign. Den Bezug zwischen eingesetztem SSL-Zertifikat und dem jeweiligen Stammzertifikat zwecks Gltigkeits- beziehungsweise Echtheitsberprfung kann der Browser allerdings nicht unmittelbar herstellen
sondern neuerdings nur, in dem er der gesamten Zertifikatskette folgt. Denn hatten die Zertifizierungsstellen die von ihnen ausgegebenen SSL-Zertifikate lange Zeit mit ihrem Stammzertifikat signiert, sind sie aus Sicherheitsgrnden dazu bergegangen die Signierung mit einem anderen Zertifikatstyp zu ttigen. So fallen auch Schlssel- oder Algorithmusupdates knftig leichter. Und beim Auftreten etwaiger Sicherheitsprobleme wie jngst der Debian-OpenSSL-Schwachstelle knnen die Zertifizierungsstellen flexibler reagieren. Doch nicht nur der Web-Server weist sich mit einem Zertifikat aus. Auch der Browser des Clients identifiziert sich mit einem Client-Zertifikat beim Server. Dabei handelt es sich jedoch nicht um ein SSL-Zertifikat sondern in den meisten Fllen um ein x.509Zertifikat. Dieser Zertifikatstyp kennt unterschiedliche Anwendungsszenarien: So wird er hufig zur Server- und Clientauthentifizierung aber auch bei der E-Mail-Verschlsselung und Signierung sowie dem Code-Signing verwandt. Beide Kommunikationspartner Client und Server einigen sich schlielich auf die bertragungsparameter wie das Verschlsselungsverfahren und die bei der bertragung genutzten symmetrischen Chiffrierungsschlssel. Dabei spielt eine entscheidende Rolle, welche Parameter der Browser untersttzt und der Server schlielich auch bereitstellen kann. Ausschlaggebend sind hier
www.psw.net
41
die so genannten CipherSuites, eine standardisierte Sammlung kryptographischer Algorithmen, ber die Browser und Server verfgen. Werden hier alte CipherSuites von einer der Seiten bereitgestellt, kann das dazu fhren, dass die Sicherheit fragwrdig wird gerade wenn diese Sammlungen nur eine 40 BitVerschlsselung gewhrleisten knnen.
nur die schutzwrdigen daten verschlsseln
Die Einrichtung und Verwaltung von SSL ist mit manuellem Aufwand verbunden. Daher treten in der Praxis immer wieder Fehlkonfigurationen auf. Zunchst einmal sollten Website-Betreiber, bevor es an die eigentliche Einrichtung geht, planen, welche Daten, die die Website beim Nutzer anfragt, berhaupt verschlsselt bertragen werden sollten. Dabei sollten sich Anbieter an den gesetzlichen Bestimmungen zum Datenschutz orientieren, nach denen grundstzlich alle personenbezogenen Daten besonders schutzbedrftig sind. Die Verschlsselung sollte somit nicht nur bei Authentifizierungsprozessen wie Passworteingaben, sondern schon bei Registrierungsvorgngen beziehungsweise allen Abfragen eingesetzt werden, bei denen der Nutzer persnliche Informationen ber sich preisgibt. Vor allem Zahlungsinformationen gilt es zu verschlsseln, da Nutzer mittlerweile derart sensibilisiert sind, dass sie Prozesse sogar abbrechen, wenn eine Absicherung der Datenbertragung per SSL-Zertifikat fr sie nicht ersichtlich ist. Natrlich kann auch die gesamte Kommunikation ber die Website per SSL-Zertifikat gesichert sprich: beim Aufruf einer jeden Seite eine SSL-Verbindung erzwungen werden. Um beispielsweise unter dem Web-Server Apache 2 stets eine SSL-Verbindung zu erzwingen, gengt es die folgende Zeile in die Konfigurationsdatei httpd.conf innerhalb des Eintrags <VirtualHost> einzufgen: redirect permanent / https://www.meinewebsite.de/ Generell ist von der Komplett-Verschlsselung einer Website jedoch abzuraten. Denn mit dem Einsatz von per SSL-Zertifikate gesicherten Datenbertragungen mssen Abstriche bei der Verbindungsgeschwindigkeit hingenommen werden. Im Zeitalter des mobilen Internet kann dies das Nutzungserlebnis einer Website gravierend beeintrchtigen. Daten-Verschlsselung gilt es daher nur ganz gezielt dort einzusetzen, wo sie erforderlich ist. Auf trust Level und Zertifizierungsstelle kommt es an Bei der Auswahl des SSL-Zertifikats fr den eigenen Web-Server gilt es Eines grundstzlich zu betonen: Mit einem selbst generierten Zertifikat ist es nicht getan. Denn dessen Echtheit kann vom Client nicht zuverls-
sig geprft werden. Bei der Auswahl eines SSL-Zertifikats ist somit neben dem Trust Level das gewnschte Sicherheitsniveau auch die Wahl der Zertifizierungsstelle, von der das Zertifikat bezogen wird, entscheidend. Hinsichtlich des Trust Levels existieren drei primre Klassen. Da gbe es das Domain Validation (DV)-Zertifikat, bei dem vor Vergabe geprft wird, ob der Website-Betreiber auch tatschlich der Besitzer der Domain ist, fr die er das Zertifikat anfordert. Dieser SSL-Zertifikatstyp ist demnach Domain-bezogen, whrend Organization Validation (OV)-Zertifikate darber hinaus auch unternehmensgebunden sind. Hier muss der Betreiber der Website nicht nur nachweisen, dass er sich im Besitz der Domain befindet, sondern auch dass sein Unternehmen tatschlich existiert. Im Browser ist das OV-Zertifikat allerdings nicht auf Anhieb vom DV-Zertifikat zu unterscheiden. Hier besteht anders als beim Extended Validation (EV)-Zertifikat noch Nachholbedarf bei der Browserentwicklung. Jedoch gibt es Plug-ins wie Calomel SSL Validation, die sich Nutzer zustzlich installieren und die das OV-Zertifikat visualisieren knnen. Bei dem EV-Zertifikat werden die Prfungen im Rahmen der Zertifikatsausgabe weiter verschrft: Unter anderem werden die offiziellen Eintrge des beantragenden Unternehmens geprft. Voraussetzung ist natrlich, dass die eigene Organisation auch in einem ffentlichen Register wie dem Handelsregister verzeichnet ist. Allen anderen Organisationen steht das EV-Zertifikat nicht zur Verfgung. Fr Website-Besucher erscheint das Zertifikat besonders vertrauenswrdig. In aktuellen Browsern frbt sich sofern das Zertifikat gltig ist die Adressleiste grn ein und zeigt den Namen des Unternehmens an, das die Website betreibt. Grundstzlich ist auch wenn es etwas teurer ist die Investition in ein EV-Zertifikat zu empfehlen, da es direkt anzeigt, dass hinter einer Website ein serises Unternehmen steht. Hinsichtlich der Zertifizierungsstelle haben Website-Betreiber die Qual der Wahl. Das primre Auswahlkriterium bei einem SSL-Zertifikat fr eine ffentliche Website sollte die Kompatibilitt sein. Denn nur wenn der Browser der Nutzer in der Lage ist ber die Zertifikatskette den Bezug zum Stammzertifikat der jeweiligen Zertifizierungsstelle herzustellen, kann eine Prfung des eingesetzten SSL-Zertifikats erfolgen. Internet Explorer, Firefox und Chrome untersttzen derzeit beispielsweise die Zertifizierungsstellen Comodo, Equifax, GeoTrust, GlobalSign, TC Trust Center und VeriSign. Eine Liste der CAs fr den Firefox ist unter http://www. mozilla.org/projects/security/certs/included/ und fr den Internet Explorer unter http://support.microsoft.com/ kb/931125 verfgbar.
42
11/2011
Wichtig bei der Beantragung eines Zertifikats ist brigens die richtige Angabe des Common Name (CN) der Domain, fr den das Zertifikat gelten soll (z.B. www. psw.net). Denn nur fr den exakten Domainnamen erfolgt die Absicherung durch das SSL-Zertifikat. Hierzu werden bei diesem 1:1 Zeichen fr Zeichen mit der Eingabe im Browser abgeglichen. Wird demnach nicht das www vor dem Domainnamen angegeben, wird in der Regel das www. auch nicht mit untersttzt es funktioniert also nur psw.net und umgekehrt. Auch wenn man sich die IP zertifizieren lsst, wird nicht automatisch jede Website auf dieser IP mit dem Zertifikat abgesichert. Es hat ohnehin keinerlei Bezug zur IP-Adresse, solange diese nicht zertifiziert wurde. Ob dahinter CNAME-Eintrge, IP-Adressen oder hnliches gesetzt oder gendert werden, ist fr das Zertifikat nicht von Relevanz.
Wildcard-Zertifikate mit Bedacht einsetzen
Bei der Auswahl eines Zertifikats sollte daher besonders auf die Domain-Untersttzung geachtet werden. In der Regel wird die Website unter genau einer Subdomain (www.ihredomain.de) erreichbar gemacht. In diesem Fall muss auch nur ein SSL-Zertifikat fr diese Domain ausgestellt werden. Besonderer Beliebtheit erfreuen sich mittlerweile aber darber hinaus die so genannten Wildcard-Zertifikate. Sie sind hufig teurer als die Single- oder Multi-Domain-Zertifikate, aber untersttzen dafr beliebige Subdomains zu einer Domain. Zu empfehlen ist ein Einsatz der Wildcard-Zertifikate aber erst wenn um die zehn Subdomains SSL-gesichert werden sollen. Bei mehreren Domains empfiehlt sich ansonsten das Multi-DomainZertifikat, bei Exchange und entsprechenden internen Namen ein Unified Communications-Zertifikat. Das gilt auch fr den Fall, dass mehrere TLDs mit unterschiedlichen Lnderkennungen in einem Zertifikat bercksichtigt werden sollen. Auch fr Hoster mit nur einer IP empfiehlt es sich nur ein domainvalidiertes Multidomainzertifikat zu nutzen, weil nur eine Identitt angegeben werden kann. Zudem msste andernfalls jeder Hosting-Kunde per Domain Release Letter zustimmen, in dem Zertifikat aufzutauchen. Die Folge: Die Liste aller Hosting-Kunden wre einsehbar. Mit SNI und IPv6 wird das Problem aber obsolet.
key) zu dem ffentlichen Schlssel (public key) des Zertifikates besitzt. Dabei kommt ein asymmetrisches Verfahren zum Tragen. Es knnen sich somit mathematisch aufgrund eines privaten Schlssels basierend auf dessen ffentlichen Schlssel signiert seitens einer Zertifizierungsstelle dann mehrere mgliche Zertifikate ergeben. Umgekehrt jedoch ist es mathematisch und aufgrund des Verfahrens unmglich, aus einem Zertifikat beziehungsweise dessen ffentlichen Schlssel-Anteil einen privaten Schlssel zu errechnen. Das Verfahren ist mit den Primzahlen vergleichbar. Das Produkt zweier groer Primzahlen knnte durchaus das gleiche Ergebnis haben, jedoch knnen aufgrund des Ergebnisses keine Rckschlsse auf die verwandten Primzahlen gezogen werden. Beispielsweise ergibt 1 x 15 = 15, aber auch 3 x 5 und 5 x 3 fhren zu demselben Ergebnis. Es mssten also alle Kombinationen durchprobiert werden, um auf die ursprnglichen Zahlen schlieen zu knnen. Bei hohen Primzahlen ist das nicht wirklich mglich, weil es zu viele in Frage kommende Kombinationen gibt. Der private Schlssel ist beim Einsatz eines SSLZertifikats in der Regel in einer .key-Datei gespeichert, whrend das Zertifikat selbst als .crt- beziehungsweise .pem-Datei vorliegt. Die Datei erhlt der Website-Betreiber in der Regel von der Zertifizierungsstelle. Der Pfad zu beiden Dateien muss in der SSL-Konfiguration des Web-Servers angegeben werden, zum Beispiel unter Apache 2 mit mod_ssl wie folgt:
<VirtualHost *:443> SSLEngine on SSLCertificateFile /root/ssl/website.crt
SSLCertificateKeyfile /root/ssl/website.key
Fehlerhafte SSL-Installationen machen datenbertragungen unsicher
Die .key-Datei sollte grundstzlich besonders geschtzt werden. Sie ist geheim zu halten, da Angreifer mit ihr die gesamte Verschlsselung der SSL-Verbindung aushebeln knnen. Allerdings ist es nicht ratsam, die Datei so zu schtzen, dass sie bei jedem Serverstart mit einem Passwort zu versehen ist. Viel mehr empfiehlt sich eine Grundsicherung des gesamten Systems durch einen PCI-Scan, der zugleich den hohen Sicherheitsanforderungen der Kreditkartenindustrie Rechnung trgt.
Mit dem Zertifikat weist der Server gegenber dem Client der Besucher einer Website nach, dass er fr die angeforderte Domain zustndig ist. Dass der Server das SSL-Zertifikat rechtmig verwendet, weist er nach, in dem er den geheimen Schlssel (private
Ablaufende SSL-Zertifikate
Nachdem die SSL-gesicherte Verbindung auf Websites erst einmal eingerichtet ist, passiert meist lange Zeit nichts mehr oftmals bis das Zertifikat abgelaufen ist. Dieser Fehler tritt in der Praxis besonders hufig auf, da Website-Betreiber den Ablauf des
www.psw.net
43
Zertifikats regelmig schlichtweg vergessen. Bei den Besuchern der Website wird diese Nachlssigkeit allerdings mit einer Warnmeldung quittiert, was zu Imageschden aber auch zu Umsatzeinbuen fhren kann. Allerdings informieren gute SSL-Zertifikats-Anbieter ihre Kunden ber den Ablauf. Obacht aber vor der automatischen Verlngerung eines Zertifikats mit dem alten CSR. Davon ist, trotz eines zustzlichen Aufwands, nur abzuraten. Denn je lnger der private Schlssel mit dem CSR im Einsatz ist, desto grer die Gefahr, dass er doch geknackt wird. Denn jedes auf mathematische Zusammenhnge beruhendes, logisches Verfahren ist theoretisch knackbar. Darber hinaus htte das CSR irgendwann womglich unbemerkt gestohlen werden knnen oder es setzt noch auf ltere, nicht mehr dem Stand der Entwicklung entsprechende Verfahren. So haben sich in den letzten Jahren Hashalgorithmen, Schlssellngen als auch Basissoftware verndert, die eine Neugenerierung des CSR anraten. Analog dazu wird auch nicht ohne Grund alle paar Jahre eine neue ECKarte samt PIN ausgetauscht. Auerdem sind Tools, die private Schlssel und Zertifikate direkt bei der Zertifizierungsstelle erzeugen, fragwrdig. Schlielich wei man nicht, ob die Zertifizierungsstelle nicht auch den privaten Schlssel besitzt, was aufgrund
der Sicherheit, die durch eine per SSL-Zertifikat bewerkstelligte Verschlsselung gewhrleistet werden soll, als mehr als fragwrdig anzusehen ist. Auch hier greift die Analogie zur EC-Karte: Die PIN eines Kunden gehrt nicht in die Hnde eines Bankangestellten. Um abgelaufene Zertifikate zu vermeiden, sollten Website-Betreiber entweder eine Erinnerung in ihrem Kalender hinterlegen, die sie rechtzeitig vor Ablauf eines Zertifikats erinnert, oder aber ein Script wie sslcert-check zur regelmigen Prfung auf dem Server einsetzen. Es bietet sich aber auch an, eine Gltigkeitsberwachung in einer Monitoring-Software wie serverguard24 zu aktivieren und sich im Falle eines drohenden Ablaufs frhzeitig alarmieren zu lassen. Auch das Firefox-Addon Expiry Canary ist zu empfehlen.
ChrIStIAn hEUtGEr
Christian Heutger ist Geschftsfhrer der PSW GROUP GmbH & Co. KG und verfgt ber mehr als elf Jahre Erfahrung in der Branche fr SSL-Zertifikate. Sein Wissen ber IT-Sicherheit vermittelt er als Lehrbeauftragter fr den DV-Bereich am Fachbereich Wirtschaft der Hochschule Fulda und im Rahmen seiner nebenberuflichen Ttigkeit als Informatiklehrer am Marianum Fulda.
W e
r b
Downloaden Sie frei jede Ausgabe! Mehr unter: http://de.hakin9.org/
44
11/2011
Recommended Companies
Mabunta
Die mabunta GmbH agiert als hochspezialisierter und kompetenter Partner rund um IT-Security- und Netzwerk-Lsungen. Wir untersttzen bei IT-Sicherheitsfragen in allen Unternehmensbereichen, verbinden Wachstum mit sicherer Kommunikation. Alles in allem- mabunta one-face-tothe-customer, Ihr Spezialist in Fragen der IT-Sicherheit. www.mabunta.de
secXtreme GmbH
schtzt Ihre Web-Anwendungen bis auf Applikationsebene. Dazu gehrt sowohl die Prfung von Applikationen (Pentests und Code-Reviews) als auch Beratungsleistungen fr Sicherheit im Entwicklungsprozess und Schutzlsungen (Web Application Firewalls) bei Grounternehmen und dem gehobenen Mittelstand. www.sec-Xtreme.com
SEC Consult
B1 Systems
SEC Consult
SEC Consult ist der fhrende Berater fr Information Security Consulting in Zentraleuropa. Die vollstndige Unabhngigkeit von SW- und HW-Herstellern macht uns zum echten Advisor unserer Kunden. Unsere Dienstleistungen umfassen externe/interne Sicherheitsaudits, (Web-) Applikationssicherheit (ONR 17700), Sicherheitsmanagement-Prozesse (ISO 27001) etc. www.sec-consult.com
Die B1 Systems ist international ttig in den Bereichen Linux/Open Source Consulting, Training und Support. B1 Systems spezialisiert sich in den Bereichen Virtualisierung und Cluster. info@b1-systems.de www.b1-systems.de
Tele-Consulting GmbH
Vom BSI akkreditiertes Prflabor fr ITSicherheit, hakin9 und ct Autoren, jahrelange Erfahrung bei der Durchfhrung von Penetrationstests und Security-Audits, eigener Security Scanner tajanas, Sicherheitskonzepte, Risikoanalysen, IT-Grundschutz-Beratung, 3 lizenzierte ISO 27001-Auditoren, VoIP-Planung und -Security www.tele-consulting.com
Blossey & Partner Consulting Datenschutzbro
Datenschutz ist EU-weit gesetzliche Anforderung. Wir sorgen fr die Erfllung rechtlicher Vorschriften und kmmern uns um ein angemessenes Datenschutzniveau in Ihrem Unternehmen, auch international. Wir erledigen alle erforderlichen Aufgaben, die Fden behalten Sie in der Hand. Nutzen Sie unser Erstberatungsgesprch. www.blossey-partner.de
Recommended Companies
NESEC
NESEC ist Ihr Spezialist fr Penetrationstests, Sicherheitsanalysen und IT-Security Counsulting. Das NESEC Pentest-Team untersttzt Sie bei Sicherheitsprfungen Ihrer Netzwerke und Webapplikationen sowie bei Source Code Audits. Bei Bedarf optimieren wir Ihre Policy, sensibilisieren Ihre Mitarbeiter und zertifizieren Ihr Unternehmen nach ISO 27001. www.nesec.de
m-privacy GmbH
IT-Sicherheitslsungen funktional und einfach zu bedienen! So prsentieren sich die von m-privacy entwickelten TightGate-Server, z.B. TightGate-Pro mit Datenschutz-Gtesiegel. Es bietet als erstes System weltweit einen kompletten Schutz vor Online-Spionage, Online-Razzien und gezielten Angriffen! www.m-privacy.de
Seed Forensics GmbH
Die Seed Forensics GmbH bietet fr Strafverfolgungsbehrden professionelle Untersttzung in den Bereichen der Datensicherstellung und Datentrgerauswertung. Selbstverstndlich entsprechen unsere Mitarbeiter, unser technisches Equip0ment und auch unsere Rumlichkeiten den notwendigen Anforderungen. www.seed-forensics.de
OPTIMAbit GmbH
Wir sind Spezialisten fr Entwicklung und Security. Wir sichern Java, .NET und Mobile Applikationen gegen Angriffe externer und interner Art. Unsere Dienste umfassen Audits, Code Reviews, Penetrationstest, sowie die Erstellung von Policies. Zustzlich bieten wir Seminare zu sicherheitsrelevanten Themen. www.optimabit.com
Protea Networks
Protea ist spezialisiert auf IT-SecurityLsungen: Verschlsselung, Firewall/ VPN, Authentifizierung, Content-Filtering, etc. Wir bieten umfassende Beratung, Vertrieb von Security-Hard- und Software, Installation und umfangreiche Dienstleistungen (z. B. Konzeption, Trainings). Protea setzt auf Lsungen der Markt- und Technologiefhrer und hlt dafr direkten inhouse-Support bereit. www.proteanetworks.de
secadm
secadm ist durchtrainierter Spezialist fr Airbags, ABS und Sicherheitsgurte in der IT. Zehn IT-Sicherheitsexperten mit 70 Mannjahren Erfahrung beraten, entwickeln und implementieren IT-Lsungen fr Kunden weltweit. Der Fokus liegt dabei auf Themen wie Prozess-Optimierung und Security-Management. Risiko-Analyse, die Sicherheitsberatung, Auditing, Security-Leitfden, Software-Entwicklung, Reporting bis zum Training. www.secadm.de
SecureNet GmbH, Mnchen
Als Softwarehaus und Web Application Security Spezialist bieten wir Expertise rund um die Sicherheit von Webanwendungen: Anwendungs-Pentests, Sourcecodeanalysen, Secure Coding Guidelines, Beratung rund um den Software Develoment Lifecycle. Tools: Application Firewalls, Application Scanner, Fortify SCA/Defender/Tracer. www.securenet.de
underground_8 secure computing gmbh
Wir entwickeln und vertreiben security appliances fr die Bereiche Unified Threat Management, Traffic Shaping und Antispam. Unsere Lsungen sind hardwarebasiert und werden ber Distributoren, Reseller und Systemintegratoren implementiert und vertrieben. www.underground8.com
Datenschutz ist EU-weit gesetzliche Anforderung. Wir sorgen fr die Erfllung rechtlicher Vorschriften und kmmern uns um ein angemessenes Datenschutzniveau in Ihrem Unternehmen, auch international. www.blossey-partner.de
Die Netzwerktechnik steht auf www.easy-network.de im Mittelpunkt. Artikel, Tutorials und ein Forum bieten gengen Stoff fr kommende Administratoren und Netzwerkprofis. www.easy-network.de
Recommended Sites
Die Seed Forensics GmbH bietet fr Strafverfolgungsbehrden professionelle Untersttzung in den Bereichen der Datensicherstellung und Datentrgerauswertung. Selbstverstndlich entsprechen unsere Mitarbeiter, unser technisches Equipment und auch unsere Rumlichkeiten den notwendigen Anforderungen. www.seed-forensics.de
Datenschutz ist EU-weit gesetzliche Anforderung. Wir sorgen fr ist eine Produktion des Securitymanager.de die Erfllung rechtlicher Vorschriften und kmmern uns um ein angeOnline-Verlag FEiG & PARTNER. Seit dem messenessich Securitymanager.de zu UnterStart hat Datenschutzniveau in Ihrem einem nehmen, auchOnline-Informationsportal international. fhrenden in www.blossey-partner.de Deutschland entwickelt und versteht sich als unabhngiger Informationsdienstleister der IT- und Information-Security-Branche. www.securitymanager.de
Die Netzwerktechnik steht auf www.easy-network.de im Mittelpunkt. Artikel, Tutorials und Happy-Security ist ein neues Portal mit Secuein Forum bieten gengen Stoff fr kommende rity-Challanges, IT-Quiz, Web-Bibliothek, MultiAdministratoren und Netzwerkprofis. media-Center & vielen weiteren Features. www.happy-security.de www.easy-network.de
Die Seed Forensics GmbH bietet fr Strafverfolgungsbehrden professionelle Untersttzung Hier findest Du alles, was das Herz eines in den Bereichen der Datensicherstellung und Computerfreaks hher schlagen lsst: Geek Datentrgerauswertung. Selbstverstndlich Wear mit intelligenten Sprchen, eine riesige entsprechen unsere Mitarbeiter, auch viele Auswahl Gadgets und natrlich unser technisches Equipment und auch unsere RumliHacker Tools. chkeiten den notwendigen Anforderungen. www.getDigital.de www.seed-forensics.de
Securitymanager.de ist eine Produktion des Online-Verlag camp IT-Security: Unser Ziel ist Pericom base FEiG & PARTNER. Seit dem Start hat sich Securitymanager.de zu einem es, unsere Kunden vor mglichen Gefahren fhrenden Online-Informationsportal in fr Ihre IT-Infrastruktur bestmglich zu schtDeutschland der Analyse von Risikopotentiazen. Neben entwickelt und versteht sich als unabhngiger Informationsdienstleisterdurch der len durch Security Audits bieten wir, IT- und Information-Security-Branche. die Implementierung von Security-Lsungen, www.securitymanager.de Schutz vor konkreten Gefahren. www.pericom.at
Happy-Security seinen Nutzern eine Plattform CloudSafe stellt ist ein neues Portal mit Security-Challanges, IT-Quiz, Web-Bibliothek, Multizur kryptographisch sicheren Ablage und Verwalmedia-Center & vielen weiteren Features. tung von sensiblen Daten zur Verfgung: Nutzer www.happy-security.de knnen auf CloudSafe beliebig viele Dokumente in virtuellen Safes ablegen. Es knnen weiteren Personen individuelle Zugriffsrechte auf die Safes eingerumt und somit ein sicherer Datenaustausch ermglicht werden. www.cloudsafe.com
Hier findest Du geht was aus dem InnsAV-Comparatives alles, hervordas Herz eines Computerfreaks hher schlagen lsst: eines brucker Kompetenzzentrum und gilt als Geek Wear mit intelligenten Sprchen, Testhuser der bekanntesten unabhngigen eine riesige Auswahl Gadgets und fr Antiviren-Software. natrlich auch viele Hacker Tools. www.av-comparatives.org www.getDigital.de
Wollen Sie Ihre Seite empfehlen, kontaktieren Sie bitte: de@hakin9.org
Pericom base camp IT-Security: Unser Ziel ist es, unsere Kunden vor mglichen Gefahren fr Ihre IT-Infrastruktur bestmglich zu schtzen. Neben der Analyse von Risikopotentialen durch Security Audits bieten wir, durch die Implementierung von Security-Lsungen, Schutz vor konkreten Gefahren. www.pericom.at
CloudSafe stellt seinen Nutzern eine Plattform zur kryptographisch sicheren Ablage und Verwaltung von sensiblen Daten zur Verfgung: Nutzer knnen auf CloudSafe beliebig viele Dokumente in virtuellen Safes ablegen. Es knnen weiteren Personen individuelle Zugriffsrechte auf die Safes eingerumt und somit ein sicherer Datenaustausch ermglicht werden. www.cloudsafe.com
base-camp IT-Security & Solutions: dem InnsAV-Comparatives geht hervor aus Unser Ziel ist es, unsere Kunden vor mglicheneines brucker Kompetenzzentrum und gilt als Gefahren fr Ihre IT-Infrastruktur bestmglich der bekanntesten unabhngigen Testhuser zu schtzen. Neben der Analyse von Risikofr Antiviren-Software. potentialen durch Security Audits bieten wir, www.av-comparatives.org durch die Implementierung von SecurityLsungen, Schutz vor konkreten Gefahren. www.base-camp.cc
Wollen Sie Ihre Seite empfehlen, kontaktieren Sie bitte: de@hakin9.org

Hakin9 11

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Hakin9 11

Hochgeladen von

Copyright:

Verfügbare Formate

SSL-Zertifikate

Einkaufen ist Vertrauenssache -

online und offline!

LIebe HAKIN9 LeSeR!

Viel Spa mit der Lektre! Karolina Sokoowska

23 Automatische verhaltensbasierte Malware-Analyse

29 IT-Compliance mit dem Unified Compliance Framework UCF

35 Sicher durch die Cloud

37 Der Androide im Auto IT-Sicherheit beim Fahren

Was erwartet Sie in diesem Kurs:

Sicheres Surfen im Internet

Sicheres Surfen im Internet

In DIeSem ArtIkel erfAhren SIe

WAS SIe VOrher WISSen SOllten

Das A und O ein ausgereiftes Anti-Viren-Programm:

Automatische Updates aktivieren:

Abbildung 1. AVG Internet Security 2012 der Komplettschutz fr alle Online-Aktivitten

Abbildung 2. AVG Accelerator im Einsatz in 9 Sekunden das 3-mintige Video laden

Sicheres Surfen im Internet

Surfen, suchen, klicken:

Sicheres Surfen im Internet

Surfen mit Smartphones:

Sicherheit von Cloud Computing

Sicherheit von Cloud Computing

WAS SIE vorhEr WISSEn SolltEn

Abbildung 1. Cloud Computing als Trend

Begriff des Cloud Computing

SaaS (Software as a Service)

Abbildung 2. Aufbau der Cloud-Vertriebsmodelle

Abbildung 3. Dropbox-Client fr iPhone

Sicherheit von Cloud Computing

IaaS (Infrastructure as a Service)

PaaS (Platform as a Service)

Abbildung 4. Struktur einer privaten Cloud

Abbildung 5. Struktur einer ffentlichen Cloud

Sicherheit von Cloud Computing

Abbildung 6. Struktur einer hybriden Cloud

trennung von objekten

Sicherheit von Cloud Computing

in ein und der Selben Objektgruppe zusammengefasst werden sollten.

datensicherung und datenwiederherstellung

Juristische Anforderungen an den datenschutz

Aufbau und Wahrung von knowhow

Sicherheit von Cloud Computing

Automatische verhaltensbasierte Malware-Analyse

Automatische verhaltensbasierte Malware-Analyse

Abbildung 1. Zusammenhang der Aktivitten ber Objektnamen

Automatische verhaltensbasierte Malware-Analyse

Abbildung 2. Bewertungsergebnisse fr bsartige Samples

Abbildung 3. Bewertungsergebnisse fr gutartige Samples

IT-Compliance mit dem Unified Compliance Framework UCF

IT-Compliance mit dem Unified Compliance Framework UCF

WAS SIe vorher WISSen SollTen

IT-Sicherheit im Fokus der IT-Compliance

Aufbau und Funktionsweise des UCF

Abbildung 1. Aufbau des UCF

IT-Compliance mit dem Unified Compliance Framework UCF

Wirkbereich (Impact Zone)

Anzahl der Manahmen (controls)

Abbildung 2. Aufbau einer Tabelle im UCF

IT-Compliance mit dem Unified Compliance Framework UCF

Steuerungs- und kontrollmanahmen fr technische IT-Sicherheit

Tabelle 2. Manahmen und deren Herkunft aus regulatorischen Dokumenten