Sie sind auf Seite 1von 48

LiEBE HAkin9 LESEr!

ist Mobiles Internet. unterwegs ist eine wichtige Anforderung

von Firmen an die IT und stellt eine große Herausforderung für die IT-Sicherheit dar.

Der sichere Zugriff bzw. eine gesicherte Verbindung von Privat-/Fremdsystemen in das Unternehmensnetzwerk sind damit weitestgehend gewährleistet. In unserem Heft finden Sie einen einführenden Beitrag zu diesem hochinteressanten Thema. Des Weiteren lesen Sie im Artikel Mobile-Sicherheit – Sicheres arbeiten von un- terwegs mit Check Point Abra über mögliche Vorgehen und Mittel, die eingesetzt werden, damit ein sicheres Netzwerk abgerufen werden kann. Zu weiteren Highlights unserer aktuellen Ausgabe gehören: das soziale Netzwerk Facebook, Sicheres Windows , Information-Security-Management- System, SPAM-Schutzmechanismen, Sicherheitsmaßnahmen im Online- Banking und Suchmaschinen-Hacks. Sie möchten unser Heft jeden Monat automatisch bekommen? Nichts einfa- cher als dies. Registrieren Sie sich für unseren Newsletter auf http://de.hakin9. org/newsletter und Sie werden regelmäßig jede Hakin9 Ausgabe in Ihrem E-Mail-Account vorfinden. Jede Ausgabe wird nämlich automatisch an unsere Subscriber verschickt.

das Hauptthema der Juli Ausgabe Heimarbeitsplätze bzw. Arbeiten von

Viel Spaß mit der Lektüre! Karolina Sokołowska

5/2009 HAKIN9

4

4 4

4 4 InhaltsverzeIchnIs 7/2011 ABWEHR 7 Mobile-Sicherheit – Sicheres arbeiten von unterwegs mit Check Point Abra

InhaltsverzeIchnIs

7/2011

ABWEHR

7 Mobile-Sicherheit – Sicheres arbeiten von unterwegs mit Check Point Abra

Stefan Schurtz Heimarbeitsplätze bzw. Arbeiten von unterwegs ist seit Jahren eine wichtige Anforderung von Firmen an die IT und stellt nach wie vor eine große Herausforderung für die IT-Sicherheit dar. Etabliert für den Zugriff von fremden/unsicheren Netzen und Systemen in ein Fir- mennetzwerk, haben sich Virtuelle Private Netzwerke per IPSec oder SSL-VPN. Der sichere Zugriff bzw. eine gesicherte Verbindung von Privat-/Fremdsystemen in das Unternehmensnetzwerk sind damit weitestgehend gewährleistet. Problematisch ist jedoch, dass kaum die Möglichkeit der Kontrolle besteht, beispielsweise bei externen Dienstleistern, was auf diesen Systemen in- stalliert ist und/oder welche Verbindungen noch vor- handen sind. Auch die allgemeine Sicherheit (Patches usw.) dieser Systeme kann wohl kaum garantiert wer- den. Sicher wäre es ebenso nicht von Vorteil, wenn in- terne, womöglich vertrauliche Dokumente auf solchen Systemen abgespeichert und dann von Unbefugten ge- lesen oder gar kopiert werden.

DATENSCHUTZ

17 Wie stelle ich Facebook richtig ein?

Frank Herold Das soziale Netzwerk Facebook hat seine “Drohungen” wahr gemacht und die Gesichtserkennungssoftware auf die Benutzeraccounts ausgerollt. Was es damit auf sich hat und wie Sie die Funktion deaktivieren können erkläre ich Ihnen gerne. Zur Eltern- und Lehreraufklär- ung zeige ich noch meine Sicherheitseinstellungen bei Facebook, sodass Sie ein Beispiel haben, wie Sie Ihre Privatsphäre zumindest ein wenig schützen können. El- tern und Lehrer können sich hier gerne für Ihre Kinder und Schüler informieren und meine Informationen für den Unterricht nutzen.

und meine Informationen für den Unterricht nutzen. herausgegeben vom Verlag: Software Press Sp. z o. o.
und meine Informationen für den Unterricht nutzen. herausgegeben vom Verlag: Software Press Sp. z o. o.

herausgegeben vom Verlag:

Software Press Sp. z o. o. SK

Geschäftsführer: Paweł Marciniak

Managing Director: Justyna Książek justyna.ksiazek@software.com.pl

Chefredakteurin: Karolina Sokołowska karolina.sokolowska@software.com.pl Redaktionsassistentin: Ewa Strzelczyk ewa.strzelczyk@software.com.pl

Redaktion: Stefan Schurtz, Frank Herold, Sven Supper, Leopold Rehberger, Till Sand- ers, Martin Wundram, Alexander Sigel,Christian Heutger, Robert Lommen, Michael Schratt, Thomas Hackner, Patrick Schmid

Lommen, Michael Schratt, Thomas Hackner, Patrick Schmid Produktion: Andrzej Kuca DTP: Przemysław Banasiewicz

Produktion: Andrzej Kuca

DTP: Przemysław Banasiewicz

Umschlagsentwurf: Przemysław Banasiewicz

Anschrift:

Software Press Sp. z o.o. SK ul. Bokserska 1, 02-682 Warszawa, Poland Tel. +48 22 427 36 56, Fax +48 22 244 24 59

Die Redaktion bemüht sich, dafür Sorge zu tragen, dass die in der Zeitschrift sowie auf den begleitenden Datenträgern erhaltenen Informationen und Anwendungen zutreffend und funktionsfähig sind, übernimmt jedoch keinerlei Gewähr für derer Geeignetheit für bestimmte Verwendungszwecke. Alle Mar-

kenzeichen, Logos und Handelsmarken, die sich in der Zeitschrift befinden, sind regist- rierte oder nicht-registrierte Markenzeichen der jeweiligen Eigenümer und dienen nur als inhaltliche Ergänzungen.

Anmerkung! Die in der Zeitschrift demonstrierten Tech- niken sind AUSSCHLIEßLICH in eigenen Rechnernetzen zu testen! Die Redaktion übernimmt keine Haftung für eventuelle Schäden oder Konsequenzen, die aus der unangemessenen Anwendung der beschrie- benen Techniken entstehen. Die Anwendung der dargestellten Techniken kann auch zum Datenverlust führen! hakin9 erscheint in folgenden Sprachversionen und Ländern: deutsche Version (Deutschland, Schweiz, Österreich, Luxemburg), polnische Version (Polen), englische Version (Kana- da, USA)

6/2010

35 Und es gibt es doch: „Sicheres Windows“

mit BSI-Grundschutz

Sven Supper In den IT-Grundschutz-Katalogen werden Standard- Sicherheitsmaßnahmen für typische Geschäftspro- zesse, Anwendungen und IT-Systeme empfohlen. Der IT-Grundschutz verfolgt das Ziel, einen angemesse- nen Schutz für alle Informationen einer Institution zu erreichen. IT-Grundschutz verfolgt dabei einen ganz- heitlichen Ansatz. Durch die geeignete Kombination von organisatorischen, personellen, infrastrukturellen und technischen Standard-Sicherheitsmaßnahmen wird ein Sicherheitsniveau erreicht, das für den nor- malen Schutzbedarf angemessen und ausreichend ist, um geschäftsrelevante Informationen zu schützen. Darüber hinaus bilden die Maßnahmen der IT-Grund- schutz-Kataloge nicht nur eine Basis für normal schutz- bedürftige IT-Systeme und Anwendungen, sondern lie- fern an vielen Stellen bereits höherwertige Sicherheit beispielsweise bei hohen Verfügbarkeitsanforderungen bei der Datensicherung. An dieser Stelle wird eine Da- tenspiegelung der Informationen empfohlen.

FÜR EINSTEIGER

19 Sicherheitsprozesse – Komponenten eines

Information-Security-Management-System

Leopold Rehberger „Sicherheit ist ein Prozess, kein Produkt“ [Bruce Schnei- er, The Process of Security, April 2000]. Diesen Satz haben Sie sicher schon öfters gelesen. Was aber steckt hinter dieser Aussage? Um welchen Prozess geht es hier? In diesem Artikel versuche ich, diese Fragen zu beantworten.

PRAxIS

25 SPAM-Schutzmechanismen für die eigene

Homepage

Till Sanders Im Netz findet man unglaubliche Zahlen sobald es um das Thema Spam-Aufkommen geht. Einige sprechen da von ca. 80 Billionen Spam-Emails – jährlich. Ten- denz: Steigend. Und diese Zahlen beziehen sich ledig- lich auf Email-Spam. Das Spam-Aufkommen auf der ei- genen Website ist ebenfalls eine Plage für all jene, die an sich selbst den Anspruch stellen ihren Online-Auftritt Spam-frei zu halten.

hakin9.org/de

Inhaltsverzeichnis

ExPERTENBEREICH PSW GROUP

38 Sicherheitsmaßnahmen im Online-Ban-

king und deren Anfälligkeit

Christian Heutger, Geschäftsführer PSW GROUP Offen wie ein Scheunentor sowie jährliche Schäden in Millionenhöhe durch Phishing – und doch erfreut sich das Online-Banking in Europa großer Beliebtheit. So nutzen 83 Prozent der Norweger das Internet, um ih- re Bankgeschäfte zu tätigen. Ein Spitzenwert. Der EU- Schnitt liegt bei 36 Prozent; die Deutschen mit knapp 27 Millionen „Online-Bankern“ (43%) ein Stück darü- ber. Diese große Akzeptanz, mehrheitlich Nutzer mit gering ausgeprägtem Sicherheitsbewusstsein und der direkte Zugriff auf Geld macht die Web-Applikation „On- line-Banking“ für Angreifer zu dem Objekt der Begierde schlechthin.

INFORMATIONS-

SICHERHEIT

42 Mit Suchmaschinen-Hacks gravierende

Informationslecks aufdecken: Fünf aktuelle Fälle

Martin Wundram, Alexander Sigel Angreifer können auch heute noch erstaunlich einfach und oft mit speziellen Anfragen an Suchmaschinen Fälle ungewollter Informationspreisgabe aufdecken und ausnutzen. Verwendeten sie bisher klassische Google- Hacks, hat die Gefährlichkeit ihrer Aktionen dank spe- zialisierter Suchmaschinen wie SHODAN eine neue Stufe erreicht. Aber auch Pentester finden so effektiver Sicherheitslücken bei ihren Auftraggebern. Wir stellen fünf aktuelle Fälle ungewollter Informationspreisgabe vor, die wir mit Google und SHODAN recherchiert ha- ben. Dazu gehörte z.B. Vollzugriff auf das persönliche Backup eines Firmenchefs. Abschließend skizzieren wir, wie Sie sich schützen können.

Im Zusammenhang mit den Änderungen, die in letzter Zeit in dem deutschen Recht stattgefunden haben und die IT-Sicherheit be- treffen, möchten wir ankündigen, dass hakin9-Abwehrmethoden Magazin seinem Profil treu bleibt. Unser Magazin dient ausschließlich den Erkenntniszwecken. Alle im Magazin präsentierten Methoden sollen für eine sichere IT fungieren. Wir legen einen großen Wert auf die Entwicklung von einem sicheren elektronischen Umsatz im Internet und der Be- kämpfung von IT Kriminalität.

auf die Entwicklung von einem sicheren elektronischen Umsatz im Internet und der Be- kämpfung von IT

5

5

Was erwartet Sie in diesem Kurs:
Was erwartet Sie in diesem Kurs:
Die Wiederherstellung verlorener Passwörter Das Abfangen von Informationen in lokalen Netzwerken Das Abfangen von
Die Wiederherstellung verlorener Passwörter
Das Abfangen von Informationen in lokalen Netzwerken
Das Abfangen von verschlüsselten Daten
Angriff auf eine SSL-Sitzung
Backdoor - die "Hintertür" als Tor zum System
Dateien und Verzeichnisse mit Hilfe des Kernels 2.6 verstecken
AAnnggrriiffe vom Typ Buffer-Overflow
Angriffe vom Typ Heap-Overflow
Format-String-Angriffe
Das Überschreiben des Datenstrom-Zeigers (File Stream Pointer Overwrite)
Fehler im Systemkernel
Die Verwendung des ICMP-Protokolls aus der Sicht des Hackers
Identifizierung eines Netzwerkcomputers
NNeettffiilltteerr iimm DDiieennssttee ddeerr SSyysstteemmssiicchheerheit
Absichern des Betriebssystems Schritt für Schritt
Sicherheitsscanner
Kernelpatches zur Erhöhung der Sicherheit
Intrusion Detection System (IDS)
Angriff mit Hilfe eines Webservers
Shellcode-Erstellung in der Win32-Umgebung

Mobile-Sicherheit – Sicheres arbeiten von unterwegs mit Check Point Abra

Mobile-Sicherheit –

Sicheres arbeiten von unterwegs mit Check Point Abra

Stefan Schurtz

Check Point Software Technologies Ltd. ist weltweit für seine Firewall- und VPN-Produkte bekannt und stellt mit Abra, einen USB-Stick für sicheres mobiles Arbeiten zur Verfügung

In dIeSeM ArtIkel erfAhren SIe…

WAS SIe vorher WISSen Sollten…

• Wie man mit Check Point Abra sichere Mobile-Arbeitsplät-

Kenntnisse in der System- und Netzwerk-Sicherheit

ze für Mitarbeiter oder externe Dienstleister zur Verfügung

Kenntnisse in der Konfiguration von Check Point Produkten

stellen kann

Kenntnisse in der TCP/IP Netzwerktechnik

H eimarbeitsplätze bzw. Arbeiten von unterwegs

ist seit Jahren eine wichtige Anforderung von

Firmen an die IT und stellt nach wie vor eine gro-

ße Herausforderung für die IT-Sicherheit dar. Etabliert für den Zugriff von fremden/unsicheren Netz- en und Systemen in ein Firmennetzwerk, haben sich Virtuelle Private Netzwerke per IPSec oder SSL-VPN. Der sichere Zugriff bzw. eine gesicherte Verbindung von Privat-/Fremdsystemen in das Unternehmensnetzwerk sind damit weitestgehend gewährleistet. Problematisch ist jedoch, dass kaum die Möglichkeit der Kontrolle be- steht, beispielsweise bei externen Dienstleistern, was auf diesen Systemen installiert ist und/oder welche Ver- bindungen noch vorhanden sind. Auch die allgemeine Sicherheit (Patches usw.) dieser Systeme kann wohl kaum garantiert werden. Sicher wäre es ebenso nicht

von Vorteil, wenn interne, womöglich vertrauliche Doku- mente auf solchen Systemen abgespeichert und dann von Unbefugten gelesen oder gar kopiert werden. Auf einem firmeneigenen Host-PC, lässt sich dem Pro- blem der Sicherheit, der Systemupdates und aktivierter Virenscanner, möglicherweise noch mit einer Endpoint- Security entgegenwirken, doch den Anwender soweit Einzuschränken, dass ein Arbeiten von unterwegs kaum mehr möglich ist, wird früher oder später wohl eher prob- lematisch und zu hitzigen Diskussionen führen.

Abra

Check Point stellt mit Abra, einen ( SanDisk) FIPS 140- 2 Level 2 zertifizierten USB-Stick zur Verfügung, wel- cher zum einem die Sicherheit der Daten auf dem Stick durch moderne Kryptographie (AES 256-bit hardware

dem Stick durch moderne Kryptographie (AES 256-bit hardware Abbildung 1. Konfiguration der VPN-Community für

Abbildung 1. Konfiguration der VPN-Community für RemoteAccess

hakin9.org/de

Kryptographie (AES 256-bit hardware Abbildung 1. Konfiguration der VPN-Community für RemoteAccess hakin9.org/de 7

7

AbWehr

AbWehr Abbildung 2. Konfiguration der VPN Clients Abbildung 3. Firewall-Regel für Abra Zugriff encryption ), z.

Abbildung 2. Konfiguration der VPN Clients

AbWehr Abbildung 2. Konfiguration der VPN Clients Abbildung 3. Firewall-Regel für Abra Zugriff encryption ), z.

Abbildung 3. Firewall-Regel für Abra Zugriff

encryption ), z. B. gegen Verlust oder Diebstahl sicher- stellt und der zum anderen, einen passwortgeschützten „virtuellen“, vom Host-PC getrennten, Arbeitsbereich (ohne Installation) zur Verfügung stellt. Darüber hinaus, ist es durch das Einbinden in ein Check Point Management möglich, Einfluss auf den Import/Export von Dateien und auf die in der virtuellen Umgebung nutzbaren Anwendungen, zu nehmen. Die- se konfigurierbare, so genannte „Secure Workspace Po- licy“, bewirkt letztlich mehr Sicherheit für den Zugriff von Fremdsystemen und lässt dem Anwender trotzdem noch die Möglichkeit komfortabel von unterwegs zu arbeiten.

Secure Workspace Policy

Folgende Secure Workspace bzw. Endpoint Policy wird in diesem Artikel mit Hilfe von Abra umgesetzt:

Der Import bzw. Export von Dateien wird nur von und zu vertrauenswürdigen Systemen (Trusted Hosts – Host im in- ternen Netz bzw. ein Host der sich einmal dort befunden hat) zugelassen. Das Drucken von Dokumenten sowie das Kopieren über die Zwischenablage wird nicht erlaubt. Ein Umschalten zwischen dem „Host-Desktop“ und dem „Abra- Desktop“ soll möglich sein. Darüber hinaus soll nach 60 Mi- nuten Inaktivität ein automatischer Logout erfolgen. Auf dem Host-PC wird geprüft ob Virenscanner, Anti- Spyware-Tools, Personal Firewalls, aktuelle Windows Service Packs und Windows Update vorhanden bzw. aktiviert sind. Entspricht der Host-PC diesen Sicher- heitsanforderungen wird der Zugriff gestattet bzw. er- hält der Anwender eine Warnung welche Anforderun- gen nicht erfüllt sind.

8

eine Warnung welche Anforderun- gen nicht erfüllt sind. 8 Sind bestimmte Kriterien nicht erfüllt, wird der

Sind bestimmte Kriterien nicht erfüllt, wird der Zugriff verweigert. So sind zum Beispiel eine fehlende Personal Firewall bzw. ein fehlendes Anti-Spyware-Programm, zwar ein Grund zur Warnung, der Zugriff wird dennoch gestattet. Bei fehlendem AntiVirus Programm, fehlendem aktuellen Windows Service Pack und/oder deaktiviertem Windows Update wird der Zugriff jedoch komplett verweigert.

Security Management

Damit überhaupt mit Abra gearbeitet bzw. eine VPN-Ver- bindung hergestellt werden kann, müssen auf dem Secu- rity Management folgende Vorbereitungen getroffen sein.

müssen auf dem Secu- rity Management folgende Vorbereitungen getroffen sein. Abbildung 4. Benutzer Konfiguration 7/2011

Abbildung 4. Benutzer Konfiguration

7/2011

Mobile-Sicherheit – Sicheres arbeiten von unterwegs mit Check Point Abra

– Sicheres arbeiten von unterwegs mit Check Point Abra Abbildung 5. Global Proberties – Abra vPn

Abbildung 5. Global Proberties – Abra

vPn

Im Check Point Gateway Objekt muss unter „Network Objects -> Check Point -> Gateway Object → General Properties → Network Security„ der Punkt „IPSec VPN“ aktiviert sein und das Objekt „RemoteAccess“ muss der VPN-Community angehören. Dies wird über „Network

der VPN-Community angehören. Dies wird über „ Network Abbildung 6. General Abra Settings hakin9.org/de Objects

Abbildung 6. General Abra Settings

hakin9.org/de

Objects -> Check Point -> Gateway Object -> IPSec VPN“ konfiguriert (Abbildung1). Zum Abschluss der VPN Konfiguration auf dem Ma- nagement, muss Abra als VPN-Client erst noch erlaubt werden, diese Einstellung nimmt man unter „Network Objects -> Check Point -> Gateway Object -> IPSec VPN -> VPN Clients“ vor (Abbildung2).

firewall-rule

Eine Firewall-Regel, welche HTTPS-Verbindungen auf das Security Gateway zulässt, muss ebenfalls

welche HTTPS-Verbindungen auf das Security Gateway zulässt, muss ebenfalls Abbildung 7. Abra - Application Control 9

Abbildung 7. Abra - Application Control

welche HTTPS-Verbindungen auf das Security Gateway zulässt, muss ebenfalls Abbildung 7. Abra - Application Control 9

9

AbWehr

AbWehr Abbildung 8. Abra - Outbound Firewall Rules existieren, da diese von Abra genutzt werden (Abbil-

Abbildung 8. Abra - Outbound Firewall Rules

existieren, da diese von Abra genutzt werden (Abbil- dung 3).

da diese von Abra genutzt werden (Abbil- dung 3). Abbildung 9. Anti-Spyware Regel 10 benutzer anlegen

Abbildung 9. Anti-Spyware Regel

10

werden (Abbil- dung 3). Abbildung 9. Anti-Spyware Regel 10 benutzer anlegen Damit sich ein Benutzer mit

benutzer anlegen

Damit sich ein Benutzer mit Abra per VPN zum Securi- ty Gateway verbinden kann, muss dieser auf dem Ma- nagement angelegt sein. Die Konfiguration erfolgt über den Menüpunkt „Users and Administrators -> Users

erfolgt über den Menüpunkt „ Users and Administrators -> Users Abbildung 10. Anti-Virus Regel 7/2011

Abbildung 10. Anti-Virus Regel

7/2011

Mobile-Sicherheit – Sicheres arbeiten von unterwegs mit Check Point Abra

-> Rechte Maustaste -> New User -> Default“ (Abbil-

dung4).

Damit sind die Voraussetzungen für eine erfolgreiche VPN-Verbindung gegeben und es kann mit der Konfigu- ration der Secure Workspace Policy begonnen werden.

Secure Workspace Policy

Die Einstellungen der Secure Workspace Policy erfol- gen im Check Point Management unter „Policy -> Glo- bal Properties -> Abra -> Secure Workspace Policy

(Abbildung5).

General

Unter General werden die beiden Punkte „File transfer from host PC to secure workspace (Import)“ und „File transfer from secured workspace to host PC (Export) auf „Allow from trusted hosts only“ gestellt. Unter „Data Protection“ wird „Prevent host PC from printing secure documents“ und „Prevent copying clipboard content to host PC“ aktiviert. Der Punkt „Log out idle users after“, unter „User Experience“ wird auf 60 Minuten eingestellt. Alle weiteren Punkte werden deaktiviert. (Abbildung 6)

Application Control

Unter Application Control wird der „Program Advisor“ aktiviert und auf „Allow Trusted only“ eingestellt. Des Weiteren wird unter den „Approved Vendors“ nur Check Point zugelassen. In der Liste „Applications Table“ wer-

zugelassen. In der Liste „ Applications Table “ wer- Abbildung 11. Compliance Report Abbildung 12.

Abbildung 11. Compliance Report

Applications Table “ wer- Abbildung 11. Compliance Report Abbildung 12. Firewall-Application Regel hakin9.org/de den,

Abbildung 12. Firewall-Application Regel

hakin9.org/de

den, alle Anwendungen, außer Office- und Browser-An- wendungen, deaktiviert (Abbildung7).

outbound firewall rules

Mit den Outbound Firewall Rules werden (ausgehend) erlaubte Verbindungen zu IP-Adressen und Ports konfi- guriert, welche von den Anwendungen im Secure Work- space genutzt werden dürfen, alle anderen werden ver- worfen (Abbildung8).

Scan endpoint for spyware and Compliance

Die Regeln zur Prüfung des Host-PC, unter anderem, nach installierten Virenscannern, Personal Firewall und Windows-Update werden unter dem, zuvor aktivierten, Menüpunkt „Scan endpoint for spyware and compliance → Configure“ eingerichtet.

„Scan endpoint for spyware and compliance → Configure“ eingerichtet. Abbildung 13. Windows-Security Regel 11

Abbildung 13. Windows-Security Regel

„Scan endpoint for spyware and compliance → Configure“ eingerichtet. Abbildung 13. Windows-Security Regel 11

11

AbWehr

Anti-Spyware-rule

Zur Konfiguration der Anti-Spyware Rule wählt man den Punkt „Scan endpoint for spyware and compliance -> Configure -> New Rule -> Anti-Spyware Application“ aus. Neben dem Namen für die Regel, werden unter dem Punkt „Windows Anti-Spyware Application Properties

nun alle zur Verfügung stehenden Anwendungen ausge- wählt und der Punkt „Windows Rule Action“ auf „Warn endpoints that don´t comply“ gestellt (Abbildung9). Damit wird nun bei fehlenden Anti-Spyware-Anwendungen, im Compliance Report, eine Warnung an den Benutzer aus- gegeben, der Zugriff aber trotzdem gestattet.

Benutzer aus- gegeben, der Zugriff aber trotzdem gestattet. Abbildung 14. Abra - First Time Configuration Wizard

Abbildung 14. Abra - First Time Configuration Wizard

gestattet. Abbildung 14. Abra - First Time Configuration Wizard Abbildung 15. Abra - Lizenzbestimmungen 12 7/2011

Abbildung 15. Abra - Lizenzbestimmungen

12

gestattet. Abbildung 14. Abra - First Time Configuration Wizard Abbildung 15. Abra - Lizenzbestimmungen 12 7/2011

7/2011

Mobile-Sicherheit – Sicheres arbeiten von unterwegs mit Check Point Abra

– Sicheres arbeiten von unterwegs mit Check Point Abra Abbildung 16. Abra - Passwort Eingabe Anti-virus-rule

Abbildung 16. Abra - Passwort Eingabe

Anti-virus-rule

Die Anti-Virus Regel wird per „Scan endpoint for spy- ware and compliance -> Configure -> New Rule -> Anti-Virus Application“ angelegt. Diese wird auf die beiden Virescanner „Kaspersky antivirus“ und „AVG antivirus“ eingeschränkt. Im Gegensatz zur Anti-Spy- ware-Rule wird diese Regel allerdings auf „Restrict

ware-Rule wird diese Regel allerdings auf „ Restrict Abbildung 17. Abra - Secure Workspacce hakin9.org/de

Abbildung 17. Abra - Secure Workspacce

hakin9.org/de

endpoints that don't comply“ gestellt (Abbildung10). Damit wird, ist keiner der beiden Virenscanner auf dem Host-PC installiert, der Zugriff verweigert (Ab-

bildung11).

Host-PC installiert, der Zugriff verweigert (Ab- bildung11). Abbildung 18. Site Wizard – IP / Hostname Konfiguration

Abbildung 18. Site Wizard – IP / Hostname Konfiguration

Host-PC installiert, der Zugriff verweigert (Ab- bildung11). Abbildung 18. Site Wizard – IP / Hostname Konfiguration

13

AbWehr

AbWehr Abbildung 19. Site Wizard – Fingerprint Abbildung 20. Site Wizard – Authentication Method

Abbildung 19. Site Wizard – Fingerprint

AbWehr Abbildung 19. Site Wizard – Fingerprint Abbildung 20. Site Wizard – Authentication Method

Abbildung 20. Site Wizard – Authentication Method

firewall-Application-rule

Analog zu den beiden oben erstellten, wird als vorletz- tes, eine Regel für Firewall-Applications über „Scan end- point for spyware and compliance -> Configure -> New

Rule -> Firewall Application“ erstellt. Bei dieser Regel werden ebenfalls alle vorhandenen Anwendungen hin- zugefügt und die Windows Rule Action auf „Warn end- points that don't comply gestellt (Abbildung12).

Windows-Security-rule

Als letzte Regel wird die Windows-Security-Rule über „Scan endpoint for spyware and compliance -> Configu- re -> New Rule -> Windows Security“ erstellt und ledig- lich die beiden Punkte „Require the latest Service Pack to be installed“ und „Require Automatic Updates to be turned on“ aktviert. Die Rule Action wird auf „Restrict endpoints that don´t comply“ gestellt (Abbildung13). Da nun die zuvor definierte Secure Workspace Policy umgesetzt wurde, wird im nächsten Schritt die eigentli- che Konfiguration des Abra-Stick in Angriff genommen.

Installation

Nach dem Verbinden mit dem Host-PC und dem Aus- führen der „Abra.exe“ auf dem USB-Stick, starte der „Abra First Time Configuration Wizard“ (Abbildung14). Nach dem Bestätigen der Lizenzbestimmungen (Ab- bildung15) muss im nächsten Schritt das Passwort für den Abra-Stick eingegeben werden. Hierzu steht zum Schutz vor Keyloggern ein „Virtual Keyboard“ zur Verfü- gung (Abbildung16). Nach der Eingabe eines sicheren Passwortes, wird das Device initialisiert und der Secure Workspace automatisch gestartet (Abbildung17).

vPn

Im Secure Workspace startet mit einem Klick auf „Con- nect to Site“ die Konfiguration für VPN mit der Abfrage von IP bzw. Hostnamen des Security Gateways (Abbil- dung18). Nach der Bestätigung des Fingerprints (Abbil- dung19), steht zuletzt die Auswahl der „Authentication Method“ an, in diesem Fall „Username and Password“ (Abbildung20). Ist das VPN erfolgreich erstellt, er- scheint eine entsprechende Meldung und im nächsten Fenster werden zum endgültigen Abschluss der VPN- Konfiguration, Benutzername und Passwort abgefragt

(Abbildung21).

Benutzername und Passwort abgefragt (Abbildung21). Abbildung 21. Site Wizard – Erfolgreiche Konfiguration /

Abbildung 21. Site Wizard – Erfolgreiche Konfiguration / Login

14

und Passwort abgefragt (Abbildung21). Abbildung 21. Site Wizard – Erfolgreiche Konfiguration / Login 14 7/2011

7/2011

Mobile-Sicherheit – Sicheres arbeiten von unterwegs mit Check Point Abra

– Sicheres arbeiten von unterwegs mit Check Point Abra Abbildung 22. Abra im ProcessExplorer Abbildung 23.

Abbildung 22. Abra im ProcessExplorer

mit Check Point Abra Abbildung 22. Abra im ProcessExplorer Abbildung 23. Abra verbietet die Ausführung einer

Abbildung 23. Abra verbietet die Ausführung einer Anwendung

Arbeiten im Secure Workspace

Sind alle diese Schritte erfolgreich abgeschlossen, steht der Arbeit per Abra im Secure Workspace nichts mehr im Wege. Durch das gewohnte „Look and Feel“ (im Grunde wird eine Windows Explorer.exe ausgeführt - Abbildung22), kann sich der Anwender schnell mit der neuen Umgebung vertraut machen. Dennoch müssen einige Dinge beachtet werden, so stehen einem im Windows Explorer, wie gewohnt Laufwerke, Dateien und Ordner zur Verfügung, tat- sächlich ist dies aber nur ein „virtuelles Abbild“ der „echten“ Host-PC Umgebung! Im Secure Workspace

der „echten“ Host-PC Umgebung! Im Secure Workspace Abbildung 24. Abra Advanced – Change Password

Abbildung 24. Abra Advanced – Change Password

hakin9.org/de

können Dateien, wenn die Policy die entsprechende Anwendung erlaubt (Abbildung23), des Host-PC geöff- net, scheinbar sogar gelöscht bzw. verändert werden. Dies hat jedoch (hoffentlich ;D) KEINE Auswirkungen auf die „echte“ Umgebung des Host-PC. Das bedeutet für einen Benutzer, dass Dateien NUR über die Funkti- onen Import/Export auf bzw. von dem Host-PC kopiert werden können. Auch hängt ein vernünftiges Arbeiten natürlich davon ab, dass die erlaubten und benötigten Anwendungen auf dem Host-PC verfügbar sind, d. h. Einschränkung- en sollten mit Bedacht durchgeführt werden und es

en sollten mit Bedacht durchgeführt werden und es Abbildung 25. Abra Advanced – Remote Password Reset

Abbildung 25. Abra Advanced – Remote Password Reset

en sollten mit Bedacht durchgeführt werden und es Abbildung 25. Abra Advanced – Remote Password Reset

15

AbWehr

sollten ebenfalls auch mögliche Alternativen, z. B. Mi- crosoft Office ↔ Open Office, erlaubt werden.

Abra Advanced

Unter den erweiterten Einstellungen besteht unter „Change Password“, für den Benutzer, die Möglich- keit der „lokalen“ Passwortänderung (Abbildung24). Mit dem Reiter „Reset Password“ (Abbildung 25) kann, soll-

dem Reiter „ Reset Password “ (Abbildung 25) kann, soll- Abbildung 26. Abra Advanced – Device

Abbildung 26. Abra Advanced – Device Operations

soll- Abbildung 26. Abra Advanced – Device Operations Abbildung 27. Abra Advanced – Device Information

Abbildung 27. Abra Advanced – Device Information

Abbildung 27. Abra Advanced – Device Information Abbildung 28. xxxxxxx 16 Im Internet •

Abbildung 28. xxxxxxx

16

Advanced – Device Information Abbildung 28. xxxxxxx 16 Im Internet • http://www.checkpoint.com/products/abra/

Im Internet

• Abra R70.1 Administration Guide - http://downloads.

checkpoint.com/dc/download.htm?ID=11175

• Abra R70.1 User Guide - http://downloads.checkpoint.

com/dc/download.htm?ID=11176

te das Passwort vergessen werden, mit Hilfe des Sup- ports und dem „Abra Password Reset“-Tool (Abbildung 26), dieses zurücksetzt werden . Unter den „Device Operations“ ist einmal mit „Format Device“ das komplette Zurücksetzen des USB-Sticks möglich, darüber hinaus kann hier ein Logging unter „Collect Logs“ aktiviert werden. Mit der letzten Konfi- gurationsmöglichkeit „Install Automatic launcher“ ist es möglich Abra automatisch starten zu lassen (Abbildung

27).

Zu guter Letzt stehen unter „Device Information“, wie der Name vermuten lässt, Informationen unter anderem zur Firmware, Launcher und Client Version zur Verfüg- ung (Abbildung 28).

fazit

Sicherheit bedeutet für Anwender oft Einschränkungen beim Arbeiten, dieses Problem wird auch durch Abra nicht vollständig gelöst. Jedoch kann man in Abspra- che mit Benutzern, Dienstleistern und einer vernünftig- en durchdachten Policy einen guten Kompromiss, für einen sicheren mobilen Arbeitsplatz, schaffen.

StefAn SChurtz

Der Autor arbeitet bei einem saarländischen ISP im Bereich Netzwerk-Sicherheit und beschäftigt sich auch privat mit dem Thema IT-Security Kontakt mit dem Autor: sschurtz@t-online.de

7/2011

Wie stelle ich Facebook richtig ein?

Wie stelle ich Facebook richtig ein?

Frank herold

Das soziale Netzwerk Facebook hat seine“Drohungen”wahr gemacht und die Gesichtserkennungssoftware auf die Benutzeraccounts ausgerollt. Was es damit auf sich hat und wie Sie die Funktion deaktivieren können erkläre ich Ihnen gerne. Zur Eltern- und Lehreraufklärung zeige ich noch meine Sicherheitseinstellungen bei Facebook, sodass Sie ein Beispiel haben, wie Sie Ihre Privatsphäre zumindest ein wenig schützen können. Eltern und Lehrer können sich hier gerne für Ihre Kinder und Schüler informieren und meine Informationen für den Unterricht nutzen.

In dIesem ArtIkel erFAhren sIe…

WAs sIe vorher WIssen sollten…

• Benutzer können aus diesem Artikel lernen, wie man Facebo- • Kein spezielles Vorwissen ok richtig einstellt und trotzdem noch Spaß dabei hat.

I rgendwie klingt es gruselig, was Facebook da gera- de macht. Ein neues Feature -welches andere nam- hafte Riesen wie Apple und Google auch schon be- nutzen- wurde auf Millionen von Benutzeraccounts bei Facebook ausgerollt: die Gesichtserkennung. Doch was macht diese Neuerung, die mal wieder nirgendwo bei Facebook angekündigt, sondern einfach still und leise aktiviert wurde? Im Prinzip wird das ganze unter dem Deckmantel der Benutzerfreundlichkeit gemacht. Man will ja schließlich nur gutes Werk verrichten. Sie laden ein Foto hoch, Facebook benutzt die Gesichtser- kennungssoftware und schlägt Ihnen einen Namen vor. Dies soll die Beschriftung einfacher machen. Haben Sie nun ein Foto markiert, so wird -wie üblich- der “Mar- kierte” benachrichtigt. Umso mehr Fotos Sie markieren, umso schneller lernt die künstliche Intelligenz dazu. Was den Datenschutz anbelangt läuft mir da ein kalter Schauer über den Rücken. Irgendwie -und ich möchte nun nicht übertreiben- wird mir da richtig schlecht, wenn ich darüber nachdenke was Facebook mit diesen zusätzlich gewonnenen Daten alles machen kann. Ja, es markieren jetzt schon viele Menschen selbstständig andere auf Fo- tos, doch wenn nun eine Software auch noch mitspielt und das alles anheizt wird mir mulmig. Viele Theorien gehen mir hier durch den Kopf, ein mancher mag vielleicht den- ken, ich würde Facebook in all’ meinen Artikel irgendwie verteufeln. Im Gegenteil! Ich mag Facebook und halte es für eine geniale Erfindung mit viel Potential. Es kommt nur immer darauf an, wie dieses Potential genutzt wird, wie

hakin9.org/de

man sich selbst dem Medium gegenüber verhält und vor allem wie die Firma selbst mit Ihren “Kunden” umgeht. Nun fragen Sie sich: “Und wie schalte ich das ab? Wie kann ich verhindern, dass Freunde mich durch die Soft- ware markieren?” An dieser Stelle zeigen ich Ihnen, wie Sie das ganz schnell abschalten können:

• Melden Sie sich bei Facebook an

• Klicken Sie oben rechts auf “Konto

• Wählen Sie den Unterpunkt “Privatsphäre-Ein- stellungen” aus

• Unten, ziemlich mittig in winziger blauer Schrift fin- den Sie den Punkt “Benutzerdefinierte Einstel- lungen

• Scrollen Sie nach unten bis zum Punkt “Dinge, die andere Personen teilen

• Klicken Sie bei “Freunden Fotos von mir vorschla- gen” auf “Einstellungen bearbeiten

• Wählen Sie nun “Gesperrt” aus

Nun zeige ich Ihnen meine Sicherheitseinstelllun- gen. Wenn Sie jetzt paranoide Einstellungen erwar- ten, muss ich Sie enttäuschen. Ich habe Facebook so konfiguriert, dass mir die Benutzung Spass und vor allem das ganze soziale Netzwerk noch irgendwie ei- nen Sinn ergibt. Trotzdem gebe ich nicht jedem alles von mir Preis. Freunde sind schließlich die einzigen, die die von mir eingegebenen Daten sehen sollen.

jedem alles von mir Preis. Freunde sind schließlich die einzigen, die die von mir eingegebenen Daten

17

dAtensChUtZ

Wir befinden uns immer noch im Menüpunkt “Wähle deine Privatsphäre-Einstellungen aus – Benutzer- definierte Einstellungen“. Vorab möchte ich anmer- ken, dass ich weder Wohnort, noch Heimatstadt, noch Telefonnummer, noch Geburtsdatum eingegeben habe. Das geht Facebook nichts an und meine Freunde und Bekannten im täglichen Leben wissen es oder es ist ih- nen sowieso nicht wichtig. Meine Bitte an dieser Stel- le: Nehmen Sie sich die Zeit und überprüfen Sie Ihre Facebook Einstellungen, es lohnt sich!

Unterpunkt “dinge, die ich teile”:

• Beiträge von mir – Nur Freunde

• Familie – Nur Freunde

• Beziehungen – Nur Freunde

• Interessiert an – Nur Freunde

Verlassen Sie nun die Profilvorschau indem Sie auf “Zu- rück zu Privatsphäre-Einstellungen” klicken. Sollten Sie sich immer noch in den “Benutzerdefinierten Ein- stellungen” befinden, so klicken Sie auf der linken Sei- te auf “Zurück zu Privatsphäre“. Wir befinden uns nun wieder im sog. Hauptmenü der Sicherheitseinstellungen “Wähle deine Privatsphäre-Einstellungen aus“. Ganz oben sehen Sie den Punkt “Auf Facebook vernetzen“, klicken Sie darunter auf “Einstellungen anzeigen“:

Unterpunkt “Auf Facebook vernetzen”:

Kleiner Tipp am Rande: klicken Sie mal bevor Sie die Einstellungen verändern auf “Vorschau für mein Profil” und wiederholen Sie das ganze nachdem Sie Änderung- en vorgenommen haben:

• Biografie und Lieblingszitate – Nur Freunde

Nach dir auf Facebook suchen – Alle (Wenn sie

Dir Freundschaftsanfragen schicken – Alle (Hier

• Webseite – Nur Freunde

das nicht möchten, wählen Sie einen anderen für

• Religiöse Ansichten und politische Einstellung – Nur Freunde

Sie persönlich sinnvollen Unterpunkt)

• Geburtstag – Nur ich

gilt gleiches wie oben)

• Orte, die du besuchst – Nur Freunde

Dir Nachrichten schicken – Nur Freunde

• Mich im „Personen, die jetzt hier sind“-Abschnitt

• Privatsphäre-Einstellungen für bestehende Fotoalben

Deine Freundesliste anzeigen – Nur Freunde

anzeigen nachdem ich angegeben habe, wo ich mich befinde – Deaktiviert (Das Kästchen “Akti-

• Deine Ausbildung und deinen Beruf anzeigen – Nur Freunde

viert” ist NICHT angehakt)

und Videos bearbeiten – Alles auf “Nur Freunde‘”

• Deinen derzeitigen Wohnort und deine Heimatstadt anzeigen – Nur Freunde

• Deine Vorlieben, Aktivitäten und andere Verbindung- en anzeigen – Nur Freunde

Unterpunkt: “dinge, die andere Personen teilen”

• Fotos und Videos, in denen du markiert wurdest – Nur ich

• Genehmigung zum Kommentieren deiner Beiträge – Nur Freunde

• Freunden Fotos von mir vorschlagen – Gesperrt

• Freunde können an meine Pinnwand posten – Zu- lassen (Geschmackssache)

• Pinnwandeinträge von Freunden – Nur Freunde

• Freunde können angeben, dass ich mich an einem Ort befinde – Gesperrt

Unterpunkt: “kontaktinformationen”

• Anschrift – Nur ich (Nicht von mir angegeben in Facebook)

• IM-Nutzername – Nur ich (Nicht von mir angege- ben in Facebook)

• E-Mail Adresse – Nur Freunde

Scrollen Sie nun wieder ganz hoch und klicken Sie auf “Vorschau für mein Profil“. Sie werden einige Ände- rungen sehen. Leider sind wir immer noch nicht fertig mit den Ein- stellungen. Facebook bietet mehr Möglichkeit zu Ihrem Schutze als Sie vielleicht bisher angenommen haben.

18

Ihrem Schutze als Sie vielleicht bisher angenommen haben. 18 Ich wünsche Ihnen weiterhin viel Spaß mit

Ich wünsche Ihnen weiterhin viel Spaß mit Facebook und hoffe, dass Ihnen meine Einstellungen weiter ge- holfen haben und Sie vielleicht ein bisschen vorsichtig- er geworden sind.

FrAnk herold

Frank Herold, IT-Security-Blogger auf hersec.de & Senior Abuse Analyst bei der 1&1 Internet AG Geprüfter Fachin- formatiker für Systemintegration (IHK), tätig bei der 1&1 Internet AG im interna- tionalen Abuse Department für die Mar- ken 1&1, GMX und Web.de. Dort gesam- tverantwortlich für Blacklistings und Be- kämpfung von Unternehmensphishing. Außerdem betreibt er forensische Analyse von Sicherheitslüc- ken, ist Dozent für Schulungen des 1st-Level, 2nd-Level und BackOffice-Supports, Hauptansprechpartner des Abuse De- partments für den internationalen Support und erstellt, ana- lysiert und reported Statistiken. Ehrenamtlich schult er noch Schüler-/Lehrergruppen im sicheren Umgang mit dem PC/In- ternet/Sozialen Netzwerken und ist als ehrenamtlicher Abu- se & Security Consultant für den Verein “Gemeinsam-gegen- -Stalking e.V.” tätig. Nebenbei betreibt er noch einen IT-Secu- rity Blog auf http://www.hersec.de

-Stalking e.V.” tätig. Nebenbei betreibt er noch einen IT-Secu- rity Blog auf http://www.hersec.de 7/2011

7/2011

Sicherheitsprozesse – Komponenten eines Information-Security-Management-System

Sicherheitsprozesse

– Komponenten eines Information-Security- Management-System

leopold Rehberger

„Sicherheit ist ein Prozess, kein Produkt“ [Bruce Schneier, The Process of Security, April 2000]. Diesen Satz haben Sie sicher schon öfters gelesen. Was aber steckt hinter dieser Aussage? Um welchen Prozess geht es hier? In diesem Artikel versuche ich, diese Fragen zu beantworten

In dIeSeM ARtIKel eRfAhRen SIe…

WAS SIe voRheR WISSen Sollten…

• Aus welchen Prozessen ein Information Security Management • Grundkenntnisse im Bereich Informationssicherheit. System (ISMS) besteht

• Tipps zur Einführung eines ISMS

S icherheit ist kein Produkt bedeutet etwas plaka- tiv gesagt einfach, dass Sie nicht in ein Geschäft gehen können, um sich dort „Sicherheit“ zu kau-

fen. Sie können eine Firewall oder eine Antivirensoft- ware kaufen, aber keine Sicherheit. „Sicherheit ist ein Prozess“, wie ist das zu verstehen? Sicherheit im wörtlichen Sinne ist kein Prozess. Sicher- heit ist ein Zustand, den man erreichen will. Aber 100 % sicher gibt es nicht, 100 % unsicher auch nicht. Sicher- heit ist etwas, das nicht objektiv definiert werden kann. In der Wikipedia wird Sicherheit als Zustand beschrie- ben, der “frei von unvertretbaren Risiken ist“. Es geht also darum unvertretbare Risiken zu erkennen und zu minimieren. Da sich Risiken laufend ändern, ist das Erreichen ei- nes risikofreien Zustandes ein laufender, kontinuierli- cher Prozess. Die Summe an Prozessen, die notwendig ist, um eine angemessene Sicherheit zu erreichen und aufrechtzuer- halten, wird als Information Security Management System (ISMS) bezeichnet. Ziel des ISMS ist mit wirtschaftlich ver- tretbaren Mitteln die negative Auswirkung von Schwach- stellen auf Vermögenswerte des Unternehmens auf ein akzeptables Niveau zu senken. Die wesentlichen Prozes- se eines ISMS sind (siehe auch Abbildung 1):

• Risikobewertung durchführen

• Risiken bewältigen

• Kontinuierliche Verbesserung

In diesem Artikel behandle ich diese Themen vorwie- gend aus praktischer Sicht. Ich richte mich an jene un- ter Ihnen, die sich systematisch um das Thema Infor- mationssicherheit kümmern wollen und noch nicht ge- nau wissen, wie sie es „anpacken“ können. Dieser Ar- tikel versteht sich als Starthilfe.

Richtlinien mit Grundschutzmaßnahmen definieren

Richtlinien, in denen angemessene Grundschutzmaß- nahmen definiert sind, bilden das Fundament eines ISMS. Die Summe aller Richtlinien wird als Sicherheits- politik bezeichnet. Wie in Abbildung 2 ersichtlich, ist die Sicherheitspolitik pyramidenartig aufgebaut. An der Spitze der Pyramide steht die „Information Se- curity Policy“ (ISP). Diese bildet die Richtungsvorgabe der Unternehmensleitung zum Thema Informationssi- cherheit. Die ISP muss von der Unternehmensleitung geprüft und freigegeben werden. In ihr sind verbindliche Grundsätze zum Thema Informationssicherheit festge- halten. Derartige Grundsätze sind z.B.

• Richtlinien mit Grundschutzmaßnahmen definieren

Das Prinzip der Gewaltentrennung

• Audits durchführen und Schwachstellen identifizier-

Das Bekennen zum Risikomanagement

en

Das Prinzip der minimalen Rechte

hakin9.org/de

• Das Bekennen zum Risikomanagement en • Das Prinzip der minimalen Rechte hakin9.org/de 19

19

füR eInSteIGeR

• Sicherstellen von Vertraulichkeit/Verfügbarkeit/Inte- grität/Nachvollziehbarkeit

Der ISP nachgelagert sind unternehmensweit gültige,

technologie- und organisationsunabhängige Sicher-

heitsrichtlinien. Diese werden themenbezogen erstellt. Zu welchen Themen Sie Richtlinien erstellen müssen, hängt von den Rahmenbedingungen in Ihrem Unter- nehmen ab. Zu berücksichtigen sind:

• Bedrohungen, denen ihre Vermögenswerte ausge- setzt sind

• Gesetze und regulative Rahmenbedingungen

• Unternehmensziele

Ein einfaches und in der Praxis erprobtes Verfah- ren zur Identifikation von Bedrohungen und den da- raus abgeleiteten Grundschutzmaßnahmen sind themenbezogene Workshops. Teilnehmer dieser Workshops sind einerseits Mitarbeiter, die in Ihrer täglichen Arbeit mit dem jeweiligen Thema zu tun haben (aus allen betroffenen Bereichen, nicht nur der IT), andererseits aber auch Experten zum The-

ma Informationssicherheit. Internationale Regel- werke, an denen Sie sich orientieren können sind z.B:

Grundschutzhandbuch des deutschen BSI • COBIT • ISO 27002

Als Minimum sollten folgende Themen in Form von Si- cherheitsrichtlinien geregelt werden:

• Sicherheitsorganisation (Rollen und Verantwortung)

• Risikomanagement

• Notfall- und Krisenmanagement

• Durchführen von Sicherheitsaudits Behandeln von Sicherheitsvorfällen

• • Personelle Sicherheit (Mitarbeitereintritt, Mitarbei- teraustritt, Verhalten am Arbeitsplatz) • Zugriffsschutz • Zutrittsschutz • Sicherheit der Infrastruktur (Client, Server, Netz- werk) • Sicherheit in der Softwareentwicklung

(Client, Server, Netz - werk) • Sicherheit in der Softwareentwicklung Abbildung 1. Prozesse eines ISMS 20

Abbildung 1. Prozesse eines ISMS

20

(Client, Server, Netz - werk) • Sicherheit in der Softwareentwicklung Abbildung 1. Prozesse eines ISMS 20

7/2011

Sicherheitsprozesse – Komponenten eines Information-Security-Management-System

Das Fundament der Pyramide bilden konkrete Hand- lungsanweisungen, bzw. system- oder organisationsspe-

zifische Prozeduren und Konfigurationsvorgaben. Die- • Bewerten Sie die Kritikalität jedes Themas mit

(H)och, (M)ittel oder (N)iedrig • (H)och wird jährlich auditiert, (M)ittel alle zwei Jahre, (N)iedrig alle 3 Jahre.

• Dokumentieren Sie das Ergebnis der ersten bei- den Schritte in einer Matrix. Die Matrix hilft Ihnen dabei festzulegen, welches Thema in wel- chem Jahr auditiert werden muss. Hinweis:

Nachdem ein Audit durchgeführt wurde, kann man in der Matrix die Einträge rot/gelb/grün mar- kieren (abhängig von den Auditergebnissen). So sehen Sie auf einen Blick, wo Handlungsbedarf besteht. Ein Beispiel für eine derartige Matrix zeigt Abbildung 3. • Am Anfang eines Jahres überarbeiten Sie zuerst die Matrix (eventuell muss sie an aktuelle Gege- benheiten angepasst werden). Dann erstellen Sie ein Auditprogramm für das Jahr, in dem alle The- men berücksichtigt sind, die lt. Matrix in diesem Jahr für einen Audit vorgesehen sind.

tipps aus der Praxis:

• Erstellen Sie eine Liste aller Themen, die in Ihrer Sicherheitspolitik geregelt sind

se beschreiben, wie die Sicherheitsvorgaben in den je- weiligen Organisationseinheiten, bzw. auf den einzelnen technologischen Plattformen konkret umzusetzen sind.

• Fassen Sie sich kurz. Konzentrieren Sie sich auf das Wesentliche und versuchen sie nicht alle Even- tualitäten und Ausnahmen vorab abzudecken. Si- cherheitsrichtlinien (Ebene zwei der Pyramide) sollten nicht länger als eine Seite sein. Es gilt: so umfangreich wie notwendig, aber so kurz als mög- lich!

• Definieren Sie keine Anforderungen, deren Einhal- tung sie nicht in Form von Audits überprüfen kön- nen. Wozu etwas in eine Richtlinie schreiben und Geld in eine Umsetzung investieren, wenn Sie da- nach die Wirksamkeit nicht nachweisen können?

Audits durchführen und Schwachstellen identifizieren

Ablauf eine Audits:

Audits werden durchgeführt, um die Wirksamkeit von Maßnahmen nachzuweisen und um vorhande-

Definieren Sie das Auditziel

ne Schwachstellen zu identifizieren. Damit man sich

Stimmen Sie mit allen Beteiligten den Auditplan ab

nicht in falscher Sicherheit wähnt, ist es wichtig si- cherzustellen, dass alle Themen der Sicherheitspo-

Erstellen Sie Checklisten; Legen Sie die Prüfme- thodik fest

litik innerhalb eines angemessenen Zeitraums audi-

Führen Sie den Audit durch

tiert werden. Die Vollständigkeit können Sie auf folgende Art und Weise sicherstellen:

Erstellen Sie einen Auditbericht und übermitteln Sie diesen an die Auditierten und das zuständige Ma- nagement

diesen an die Auditierten und das zuständige Ma- nagement Abbildung 2. Pyramidenartiger Aufbau der Sicherheitspolitik

Abbildung 2. Pyramidenartiger Aufbau der Sicherheitspolitik

hakin9.org/de

Auditierten und das zuständige Ma- nagement Abbildung 2. Pyramidenartiger Aufbau der Sicherheitspolitik hakin9.org/de 21

21

füR eInSteIGeR

• Leiten Sie, wenn möglich, Sofortmaßnahmen zur Behebung von identifizierten Schwachstellen ein

Tipps aus der Praxis:

in einem Quadranten darstellen (siehe auch Abbildung 4). So wird schnell ersichtlich, „wo der Hut brennt“

Risikobewältigung

• Interviews und Dokumentensichtung sind etablier-

Risiken können auf verschiedene Art und Weise bewäl- tigt werden:

te Audit-Techniken. Verlassen Sie sich jedoch nicht ausschließlich auf diese Methoden. Ziehen Sie

Sie können Maßnahmen umsetzen und das Risiko

Stichproben und überprüfen Sie das Gehörte/Ge- lesene. Dokumentationen sind häufig nicht aktuell

minimieren Das Top Management kann Risiken akzeptieren

und Prozesse laufen oft anders, als die Verantwort- lichen denken.

Sie können Risiken übertragen, z.B. indem Sie eine Versicherung abschließen

• Sie können mit wenig Aufwand viel erreichen. Um systemimmanente Fehler aufzudecken reichen ein- fache Prüfmethoden und wenige Stichproben. Ein Beispiel: Um festzustellen, ob sich die Mitarbeiter an die Passwort-Richtlinie des Unternehmens hal- ten können Sie eine Befragung im Intranet durch- führen. Sie können diese Befragung optisch an- sprechend gestalten und eventuell sogar eine Agentur beauftragen diese durchzuführen. Oder Sie gehen in zehn Büros und schauen nach, wie viele Passwörter Sie auf Monitoren oder unter Tas- taturen finden. Was meinen Sie ist effizienter?

Minimieren Sie Risiken nur soweit, wie das wirtschaft- lich sinnvoll ist. Ermitteln Sie hierfür die Kosten für die geplante Maßnahme und stellen Sie diese den Kosten gegenüber, die im Schadensfall bei Risikoeintritt schla- gend werden. Nur wenn die Maßnahme weniger kos- tet, ist es sinnvoll diese umsetzen. Obwohl durch das Top-Management jedes Risiko ak- zeptiert werden kann, kann es durchaus von Nutzen sein, vorab Kriterien zur Risikoakzeptanz festzulegen und die Entscheidungsfreiheit des Top-Managements einzuschränken. Z.B. kann eine Vorgabe lauten, dass

Risikobewertung

Risiken die zum Diebstahl von Kundendaten führen könnten nicht akzeptiert werden dürfen.

Im Zuge der Risikobewertung werden Eintrittswahrschein- lichkeit und Auswirkung einer Schwachstelle beurteilt. Die Bewertung kann in Workshops durchgeführt werden. Je- der Teilnehmer bewertet sowohl Eintrittswahrscheinlichkeit als auch Auswirkung auf einer Skala von 1 (niedrig) bis 5 (hoch). Addieren Sie die Werte aller Teilnehmer und bilden Sie den Mittelwert. Die Risiken lassen sich graphisch gut

tipps aus der Praxis:

Nach dem Umsetzen einer Maßnahme sollte eine Wirk- samkeitsüberprüfung durchgeführt werden. Am ein- fachsten ist es, den ursprünglichen Audit, mit dem die Notwendigkeit der Maßnahme erkannt wurde, zu wie- derholen. Warum ist das wichtig? Bei Projekten kommt

wie - derholen. Warum ist das wichtig? Bei Projekten kommt Abbildung 3. Beispiel eines Fünf-Jahres-Auditprogramms

Abbildung 3. Beispiel eines Fünf-Jahres-Auditprogramms (schematische Darstellung)

22

wichtig? Bei Projekten kommt Abbildung 3. Beispiel eines Fünf-Jahres-Auditprogramms (schematische Darstellung) 22 7/2011

7/2011

Sicherheitsprozesse – Komponenten eines Information-Security-Management-System

– Komponenten eines Information-Security-Management-System Abbildung 4. graphische Darstellung der Bewertung von

Abbildung 4. graphische Darstellung der Bewertung von Risiken

es oft zu einem „Scope Creep“. Die Projektziele wer- den in kleinen Schritten geändert, manchmal geht dabei das ursprüngliche Ziel verloren und es ist nicht sicher- gestellt, dass die Maßnahme wirksam umgesetzt ist.

Kontinuierliche verbesserung

Das Umfeld in dem wir uns bewegen ändert sich lau- fend. Neue Bedrohungen tauchen auf, neue Technolo- gien werden entwickelt, Gesetze ändern sich. Sie müssen sicherstellen, dass sich ihr ISMS laufend an die geänderten Gegebenheiten anpasst. Unabhän- gig davon ist es sinnvoll, die Effizienz des Systems lau- fend zu steigern. Die stetige Verbesserung des ISMS in kleinen Schritten ist deshalb sehr wichtig. Audit- und Risikomanagement-Prozesse sind eine gute Quelle um Verbesserungsmöglichkeiten zu identi- fizieren. Viele Vorschläge ergeben sich jedoch „adhoc“:

Man sitzt in einem Meeting und jemand hat eine gute Idee. Man trifft jemanden in der Kantine und im Ge- spräch ergibt sich ein Einfall. Dokumentieren sie diese adhoc-Ideen. Besprechen Sie sie im Team und halten Sie fest, ob die Idee umge- setzt werden soll.

tipp aus der Praxis:

Fragen Sie sich: Macht das was wir tun noch Sinn? Ist es noch zeitgemäß? Erfüllt es noch den Zweck? Stellen Sie Etabliertes in Frage. Ein Beispiel: „Das Netzwerk ist in Zonen zu unterteilen, die je nach Ihrem Schutzbe- darf durch Firewalls zu trennen sind“ ist eine etablierte Anforderung, die in vielen Sicherheitsrichtlinien enthal- ten ist. Ist das aber noch zeitgemäß? Wir leben in einer Welt, in der über Netzgrenzen hinweg, orts- und zeitun- abhängig auf Informationen zugegriffen wird. Aufgrund

hakin9.org/de

dieser Dynamik kommen die Firewall-Administratoren mit dem Anpassen des Regelwerks an aktuelle Ge- gebenheiten nicht mehr nach. Das führt zu „löchrigen“ Firewalls. Inwieweit kann man sich da auf das Netzwerk als Schutz noch verlassen?

eine wichtiger hinweis zum Schluss

Ein ISMS ist ein komplexes Gebilde. Vor allem in der Einfüh- rungsphase arten Diskussionen deshalb oft aus. Man dis- kutiert über Begriffe wie „Bedrohung“, „Risiko“, „Schwach- stelle“. Ein Beispiel: Ist das Fehlen einer Antivirensoftware ein Risiko, eine Bedrohung oder eine Schwachstelle? Man kann stundenlang darüber diskutieren. Lassen Sie derartige Diskussionen bis zu einem be- stimmten Grad zu, sie liefern einen wertvollen Beitrag zur Sache. Verstärken Sie die Diskussionen aber nicht, in dem Sie versuchen an den in der Literatur definier- ten Begriffen festzuhalten. Im Endeffekt geht es dar- um Dinge zu identifizieren, die man verbessern muss. Ob Sie nun Bedrohung, Risiko oder Schwachstelle da- zu sagen, ist zweitrangig. Je öfter Sie Risikoanalysen durchführen, desto klarer wird für alle Beteiligten eine korrekte Abgrenzung.

leoPold RehbeRGeR

Der Autor war langjährig als Softwareentwickler und Syste- madministrator tätig. In den Jahren 2003/2004 absolvierte er ein Studium zum Bachelor of Science (mit Schwerpunkt IT) an der University of Derby in Austria. Seit 2004 ist er im Bereich Informationssicherheit für ein großes österreichisches Unter- nehmen tätig. Er ist zertifizierter IS-Auditor, zertifizierter IS- -Manager und CISSP Kontakt mit dem Autor: lrehberger@hotmail.com

Er ist zertifizierter IS-Auditor, zertifizierter IS- -Manager und CISSP Kontakt mit dem Autor: lrehberger@hotmail.com 23

23

SPAM-Schutzmechanismen für die eigene Homepage

SPAM-Schutzmechanismen für die eigene Homepage

till Sanders

Im Netz findet man unglaubliche Zahlen sobald es um das Thema Spam-Aufkommen geht. Einige sprechen da von ca. 80 Billionen Spam-Emails – jährlich. Tendenz: Steigend. Und diese Zahlen beziehen sich lediglich auf Email-Spam. Das Spam-Aufkommen auf der eigenen Website ist ebenfalls eine Plage für all jene, die an sich selbst den Anspruch stellen ihren Online-Auftritt Spam-frei zu halten.

In dIeSeM ArtIkel erfAHren SIe…

• Wie eine Maschine einen Menschen von einem böswilligen Artgenossen unterscheiden lernt.

WAS SIe VorHer WISSen Sollten…

Fortgeschrittene Kenntnisse in PHP (Session, Grafiken „on-the- fly“, etc.).

• Welche einfachen Tricks große Teile des täglichen Spams ab- • Gegebenenfalls grundlegende Kenntnisse bezüglich des

fangen.

jeweiligen CMS.

• Mit welchen Methoden sich die eigene Email-Adresse im Web vor Crawlern schützen lässt.

• Warum es gar nicht so schwer ist ein Captcha zu basteln.

• Welche Instant-Lösungen bereits zur Verfügung stehen.

• Mit welchen Erweiterungen man Content-Management-Syste- me erfolgreich gegen Spam verteidigt.

W ebsite-Spam: Er ist nicht ungefährlich, denn er enthält oft Links zu böswilligen „Angebo- ten“. Auch wirft er kein gutes Licht auf die

eigene Website. Ja oft ist er sogar ein Merkmal un- gepflegter oder verwaister Projekte. Schön anzuse- hen ist er auch nicht. Leider kann man ihn nicht ein- fach irgendwo abstellen: Er muss bekämpft werden. Da man als gewöhnlicher Web-Entwickler weder Zeit noch Lust hat den Ursprung dieses Übels zu bekämp- fen, muss man notgedrungen Spam-Schutzmecha- nismen implementieren um diesem Problem habhaft zu werden. Machen wir uns nichts vor: Wir können der Spam-Flut weder entkommen noch eine Sandburg bauen die stark genug wäre ihr für immer stand zu halten. Jedoch gibt es Mittel und Wege Spam zu „behindern“.

Was ist eigentlich der turing-test?

Der Turing-Test wurde 1950 von Alan Turing entwickelt, um festzustellen, ob eine Maschine ein Denkvermögen ha- ben kann, dass dem des Menschen ähnelt. Oft wird dieser Begriff auch mit dem Stichwort „Künstliche Intelligenz“ in einem Atemzug genannt.

hakin9.org/de

Da die wenigsten diese eigentlich stupide Aufgabe einem Menschen auftragen würden (welcher zudem unglücklicherweise auf Bezahlung besteht), muss der pfiffige Web-Entwickler diesen Vorgang automatisieren. Folglich ist es ein Kampf der Maschinen untereinander:

Ein Turing-Test. Doch wie unterscheidet eine Maschine einen Menschen von einem Artgenossen?

Allgemeine Vorgehensweise

Im Folgenden werden einige simple Methoden be- schrieben, mittels PHP zu bestimmen, ob es sich bei ei-

werden einige simple Methoden be- schrieben, mittels PHP zu bestimmen, ob es sich bei ei- Abbildung

Abbildung 1. Die Spam-Flut

werden einige simple Methoden be- schrieben, mittels PHP zu bestimmen, ob es sich bei ei- Abbildung

25

PrAxIS

ner Nachricht (z.B. in einem Gästebuch) um Spam han- delt oder nicht. Normalerweise sollten mehrere dieser Methoden nebeneinander eingesetzt werden. Idealer- weise baut man diese Mechanismen so, dass für einen Aspekt, der auf Spam hindeutet ein oder ggf. auch meh- rere Punkte vergeben werden. Nachdem alle Funktio- nen die Nachricht analysiert haben, wird diese je nach Punktzahl entweder als Spam eingeordnet oder nicht. Das hat den Vorteil, dass man die „Strenge“, nach der Spam identifiziert wird leicht justieren kann. Um ganz sicher zu gehen, dass man niemanden zu unrecht als Spam abtut, kann man vermeintliche Spam-Nachrich- ten auch in der Datenbank belassen und nur vorerst sperren. Später geht man diese Nachrichten dann von Hand durch und gibt diese ggf. frei (siehe Abb. 2).

Schutz durch eine Blacklist

Eine naheliegende Lösung ist die sog. Blacklist, al- so die „schwarze Liste“. Auf ihr werden Schimpfwör- ter oder gar ganze Website-Adressen gepflegt. Enthält

ein Eintrag (zum Beispiel in ein Gästebuch) eines oder mehrere dieser Wörter, kann davon ausgegangen wer- den, dass es sich dabei um Spam handelt. Oftmals wird von einer Blacklist mit der Begründung sie sei zu auf- wändig und nicht ausreichend abgesehen. Dabei kann man bereits mit einer Handvoll Begriffen gut 60% al- len Spams aussortieren. Man braucht sich dazu ledig- lich ein paar Spam-Einträge anzusehen. In den meis- ten Fällen geht es um Viagra oder andere medizinische Produkte. An zweiter Stelle folgen dann häufig „Werbe- Anzeigen“ für Websites mit pornographischem Inhalt. Bringt man nun nur ein paar gängige Begriffe aus die- sen Bereichen der Blacklist bei, schiebt man damit ei- nem Großteil des Spams einen Riegel vor. Ebenfalls nützlich sind Begriffe wie „kaufen“, „günstig“ oder „free“. Lediglich eine Sache sollte man dann noch beachten:

Spam ist in den meisten Fällen englisch. Eine mehr- sprachige Blacklist ist also ratsam. Glücklicherweise ist die Umsetzung einer solchen Blacklist mittels PHP nicht sonderlich schwer:

die Umsetzung einer solchen Blacklist mittels PHP nicht sonderlich schwer: Abbildung 2. Ablauf der Bewertung 26

Abbildung 2. Ablauf der Bewertung

26

die Umsetzung einer solchen Blacklist mittels PHP nicht sonderlich schwer: Abbildung 2. Ablauf der Bewertung 26

7/2011

SPAM-Schutzmechanismen für die eigene Homepage

Als erstes muss man natürlich ein Formular in HTML erstellt haben. Die Daten daraus müssen von einem entsprechenden PHP-Script abgefangen wer- den. Dann werden die einzelnen Begriffe der Black- list zur einfacheren Handhabung in einen Array abge- speichert. Dazu gibt es zwei Möglichkeiten: Entweder werden die Begriffe und der Array direkt im Quellcode abgelegt, das kann allerdings bei einer langen Black- list umständlich werden. Oder die Begriffe werden in einer anderen Datei (zum Beispiel einer TXT-Datei) abgelegt. Wobei die Begriffe jeweils durch einen Zeile- numbruch getrennt sein müssten. Handlicher ist letzte- re Methode. Ein Beispiel für eine sehr kurze Blacklist:

• günstig

• cheap

• free

• viagra

Durch folgenden Befehl wird die Datei (in diesem Fall „blacklist.txt“) aufgerufen und der Inhalt in einen Array ($blacklist_array) gespeichert:

Was ist leet-Speak?

Leet-Speak leitet sich ab von dem englischen Begriff „elite“ (Elite) und „speak“ (Sprache). Es bezeichnet das Ersetzen von Buchstaben durch ähnlich aussehende Zahlen oder auch Sonderzeichen. So wird auch oft nur von „1337“ gespro- chen, was „leet“ in „Leet-Speak“ bedeutet. Die 1 steht dabei für das L, die 3 für das große E und die 7 für das T. Ursprün- glich wurde diese Substitutions-„Chiffre“ verwendet um he- ikle Emails vor dem automatisierten Abhören zu schützen. Heute findet es oft im Gamer-Bereich Anwendung.

$blacklist_array = file( 'blacklist.txt' );

Um herauszufinden, wie oft eine Zeichenkette in einer anderen Zeichenkette vorkommt, benötigt man den Befehl substr _ count(). Dieser wird für jedes Element des Arrays, sprich für jedes „verbannte“ Wort neu aus- geführt. Jedes Vorkommen eines solchen Wortes wird ein Zähler um eins erhöht. Sind diese beiden Grundlagen bekannt, wird der Rest nicht schwer (Listing 1.). Natürlich lässt sich dieses Script noch verbessern. So ist es momentan noch machtlos gegen Dinge wie „Leet-

listing 1. Simple Blacklist-Funktion

<?php // Inhalt der Nachricht abrufen $nachricht = $_POST[‘nachricht’]; // blacklist.txt öffnen und in Array $blacklist_array speichern (Eine Zeile = Ein // Element) $blacklist_array = file( ‘blacklist.txt’ ); // Zähler für die gefundenen Wörter aus der Blacklist $anzahl = 0; // Jeweils ein Wort der Blacklist nehmen, in $blackword speichern und mitzählen, // wie oft das Wort in der Nachricht auftaucht foreach ( $blacklist_array as $blackword ) { $anzahl += substr_count( strtolower( $nachricht ), strtolower( trim( $blackword ) ) );

}

// Bestimmen, ob die Anzahl der “Spam-Wörter” niedrig genug ist if( $anzahl < 2 ) { echo ‘Nachricht wurde nicht als Spam eingestuft!’; } else { echo ‘Nachricht wurde als Spam eingestuft!’;

}

?>

listing 2. Speichern des Timestamps in die Session-Variable

<?php // Session-Start session_start(); // Speichern des Timestamps in die Session-Variable $_SESSION[‘spam_check_start’] = time();

?>

hakin9.org/de

des Timestamps in die Session-Variable $_SESSION [ ‘spam_check_start’ ] = time (); ?> hakin9.org/de 27

27

PrAxIS

Speak“ (Buchstaben durch ähnlich aussehende Zahlen ersetzen) oder sonstige Abstraktionen.

Schnell-tippen: Zeit ist Geld?

Eine andere Möglichkeit Spam zu erkennen besteht darin die Schreibgeschwindigkeit zu ermitteln. Denn welcher Spam-Bot nutzt denn nicht „Copy-&-Paste“? Ein Spam-Eintrag benötigt meist nur sehr kurze Zeit. Misst man nun die Zeit seit dem Laden der Formular- Seite bis zum Empfang der Formular-Daten, kann man daraus und aus der Anzahl aller Zeichen im Formular die Tastenanschläge errechnen. Das Ergebnis ist zwar leicht verfälscht, wenn ein echter Benutzer die Seite besucht, da dieser nicht sofort anfängt zu tippen, doch das setzt seine errechneten Tastaturanschläge ja nur herunter. Die Zeit berechnen wir mit einem Timestamp (also se- kundengenau). Es liegt zwar nahe, diesen Timestamp

zusammen mit den anderen Formular-Daten in einem versteckten Feld zu verschicken, dies ist aber zu unsi- cher, da der Spam-Bot diese Werte manipulieren kann. Aus diesem Grund hinterlegen wir den Timestamp in einer Session. Bei der Auswertung rufen wir ihn dann wieder ab, errechnen die Differenz, ermitteln die Anzahl aller Zeichen im Formular und errechnen daraus die Tastenanschläge. Ein verdächtiger Wert liegt bei unge- fähr 8 Anschläge pro Sekunde aufwärts. Auf der Seite des Formulars (Listing 2.). Bei der Aus- wertung (Listing 3.).

Leere Eingabe-Felder

Da Spam-Bots oft die Angewohnheit haben alle Felder auszufüllen, kann es schnell passieren, dass auch un- sichtbare Formular-Elemente mit Inhalten gefüllt wer- den. Dies tun normale Besucher nicht: Ein weiteres Un- terscheidungsmerkmal.

listing 3. Auswertung der Daten und Errechnen des Tastenanschlags

echo ‘Nachricht wurde nicht als Spam eingestuft!’;

<?php // Session-Start session_start();

}

else { // Fehlermeldung ausgeben, ggf. Punkt-Zähler entsprechend verändern echo ‘Nachricht wurde als Spam eingestuft!’;

?>

}

[… HTML-Grundgerüst,

]

?>

<?php // Name abrufen $name = $_POST[‘name’];

listing 4. Vorbereiten einer Rechenaufgabe

// Inhalt der Nachricht abrufen $nachricht = $_POST[‘nachricht’];

// Timestamp abrufen $spam_check_start = $_SESSION[‘spam_check_start’];

// Aktuellen Timestamp ermitteln $spam_check_ende = time();

<?php // Session-Start session_start();

// Ermitteln der ersten Zufallszahl $zahl1 = rand ( 0, 20 );

// Ermitteln der zweiten Zufallszahl $zahl2 = rand( 0, 20 );

// Differenz ermitteln $spam_check_dauer = $spam_check_ende - $spam_check_ start;

// Anzahl aller Buchstaben errrechnen

// Bestimmen einer Rechenart (+ o. -) // und dem entsprechenden Ergebnis if ( $zahl1 < $zahl2 ) { $rechenart = ‘ + ‘; $ergebnis = $zahl1 + $zahl2;

$anzahl_aller_buchstaben = strlen( $name.$nachricht );

}

else { $rechenart = ‘ - ‘; $ergebnis = $zahl1 - $zahl2;

// Anschlage pro Sekunde errrechnen

}

$anschlaege_pro_sekunde = ( $anzahl_aller_buchstaben / $spam_check_dauer );

// Speichern des Timestamps in die Session-Variable $_SESSION[‘spam_check_rechnung’] = $ergebnis;

if ( $anschlaege_pro_sekunde < 9 ) { // ggf. Meldung ausgeben

?>

28

] = $ergebnis ; if ( $anschlaege_pro_sekunde < 9 ) { // ggf. Meldung ausgeben ?>

7/2011

SPAM-Schutzmechanismen für die eigene Homepage

Dazu muss im Formular lediglich ein unsichtbares, leeres Element hinzugefügt werden. Inzwischen haben

Spam-Bots meistens schon gelernt, dass „versteckte Eingabefelder“ (<input type=“hidden“ />) besser ignoriert werden sollten. Deshalb ist es ratsamer ein ganz norma- les Eingabefeld (<input type=“text“ />) anzulegen, wel- ches auch keinen auffälligen Namen trägt. Dieses wird dann einfach mit der CSS-Eigenschaft display unsicht-

bar gemacht (<input

/>). Ist das Feld bei der Auswertung mit Inhalt gefüllt,

steigt erneut die Spam-Wahrscheinlichkeit.

type=“text“

style=“display:none;“

Kannst du rechnen?

Eine weitere beliebte Möglichkeit Spam abzufangen be- steht darin, dem Besucher eine einfache Rechenaufga- be zu stellen. Das Ergebnis muss (korrekt) in ein Formu- larfeld eingetragen werden. Es wird bei der Auswertung überprüft. Da viele Spam-Bots immer noch nicht „rech- nen“ können, ist es ein geeignetes Kriterium. Leider ist es jedoch für den Besucher mit Mehraufwand verbun- den. Die Entscheidung, ob dies zumutbar ist, liegt beim Entwickler. Auf der Formular-Seite müssen zuerst die beiden Zufalls-Zahlen und die Rechenart (Addition oder Sub- traktion) ermittelt werden. Das Ergebnis wird in die Ses-

sion-Variable gespeichert, die Rechnung im Formular ausgegeben. Die Auswertung ist nun ziemlich simpel. Auch hier könnten Spam-Punkte vergeben werden (Listing 6.). Diese Methode funktioniert leider nicht mehr bei alle Spam-Bots, dennoch ist sie häufig noch effektiv, denn die Schwierigkeit für die Maschine besteht dabei nicht darin die Rechnung zu lösen, sondern zu begreifen, dass sie eine Rechnung lösen muss.

Wie heißt Max mit Vornamen?

Ähnlich der Rechenmethode (s.o.) funktioniert auch fol- gende (verbesserte) Methode sehr gut: Erneut muss der Besucher die richtige Eingabe machen um sich als Nicht-Spammer zu identifizieren. Nur handelt es sich nicht um eine Rechenaufgabe, sondern um eine Frage. Die Fragen sollten folgende Kriterien erfüllen:

Sie sollten

• zahlreich sein.

• sich selbst beantworten.

• … in einem Wort beantwortet werden können.

• … nur eine mögliche Antwort zulassen.

Beispiele für solche Fragen:

listing 5. Ausgeben der Rechenaufgabe im Formular

<label>Bitte ausrechnen: <?php echo $zahl1.$rechenart.$zahl2; ?></label><br /> <input type=”text” name=”spam_check_rechnung_besucher” /><br />

listing 6. Auswertung der Rechnung

<?php // Session-Start session_start();

?> [… HTML-Grundgerüst, <?php // Korrektes Ergebnis abrufen $spam_check_rechnung = $_SESSION[‘spam_check_rechnung’];

]

// Erhaltenes Ergebnis abrufen $spam_check_rechnung_besucher = $_POST[‘spam_check_rechnung_besucher’];

// Auswertung if ( $spam_check_rechnung == $spam_check_rechnung_besucher ) { // ggf. Meldung ausgeben echo ‘Nachricht wurde nicht als Spam eingestuft!’; } else { // Fehlermeldung ausgeben, ggf. Punkt-Zähler entsprechend verändern echo ‘Nachricht wurde als Spam eingestuft!’;

}

?>

hakin9.org/de

Punkt-Zähler entsprechend verändern echo ‘Nachricht wurde als Spam eingestuft!’ ; } ?> hakin9.org/de 29

29

PrAxIS

• Wie heißt Max mit Vornamen?

• Welche Farbe hat ein rotes Auto?

• Der Erfinder des Zeppelin erfand den Z ?

• Wie viele Seiten hat ein 200-seitiges Buch?

• Eine CD ist rund. Was ist eine DVD?

• Weihnachten kommt der W ?

etc. Die Schwierigkeit für die Maschine besteht hier dar- in, dass sie semantisch erfassen muss. Das heißt: Sie muss erst einmal die Frage verstehen. Das ist aber gar nicht so einfach.

Wie funktioniert dies nun im detail?

Zuerst brauchen wir eine Liste mit Fragen und Antwor- ten. Dazu verwenden wir erneut einen Array. Die Daten werden diesmal nicht in eine TXT-Datei gelegt, sondern direkt in den Array. Diesen kann man ja bei Bedarf in ei- ne andere PHP-Datei auslagern. Auf der Formular-Sei- te ermitteln wir dann per Zufall eine Frage und lassen sie ausgeben. Die Antwort speichern wir in die Session-

Variable. Die Frage samt Eingabefeld wird im Formular ausgegeben (Listing 7.). Bei der Auswertung des Formulars wird es auf Spam überprüft, indem einfach die Antwort des Besuchers mit der richtigen Antwort aus der Session-Variable vergli- chen wird. Vor dem Vergleich jedoch werden beide Ant- worten mit der Funktion strtolower() in Kleinbuchstaben umgewandelt, damit Abweichungen in Groß- und Klein- schreibung irrelevant werden (Listing 8.). Natürlich lässt sich auch dieses Beispiel noch stark ausbauen. So ist ein größerer Fragen-Katalog ebenso von Vorteil, wie mehrere Antwortmöglichkeiten (um ver- schiedenen Schreibweisen, etc. vorzubeugen).

Wo hast du eigentlich deine Augen?

Eine Abwandlung der semantischen Frage (s.o.) ist so- gar noch effektiver und sicherer als selbige: Anstatt ei- ne Frage zu stellen, muss der Inhalt eines Bilds mit nur einem Wort beschrieben werden. Auf dem Bild sollten einfache Dinge mit kurzen Bezeichnungen abgebildet sein. Außerdem sollte nur genau ein Gegenstand zu se-

listing 7. Generierung und Ausgabe einer Frage

<?php // Session-Start session_start();

// Erstellen des Arrays (<Nummer der Frage> => <Frage>, <Antwort>)

nummer][0]; ?></label><br /> <input type=”text” name=”spam_check_frage_besucher” /><br />

listing 8. Auswertung der Antwort des Besuchers.

<?php // Session-Start session_start();

$fragen_array=array(

?>

]

0

=> array(‘Wie hei&szlig;t Max mit Vornamen?’, ‘Max’),

[… HTML-Grundgerüst, <?php

1

=> array(‘Welche Farbe hat ein rotes Auto?’, ‘rot’),

// Korrektes Ergebnis abrufen $spam_check_frage = $_SESSION[‘spam_check_frage’];

2

=> array(‘Wieviele Ecken hat ein Dreieck?’, ‘drei’),

// Erhaltenes Ergebnis abrufen

3

=> array(‘Wie viele Seiten hat ein 200-seitiges Buch’, ‘200’),

$spam_check_frage_besucher = $_POST[‘spam_check_ frage_besucher’];

4

=> array(‘Fridas Mofa ist gelb. Welche Farbe hat es?’, ‘gelb’),

// Auswertung

);

if ( strtolower( $spam_check_frage ) == strtolower(

// Ermitteln der Frage $frage_nummer = rand( 0, count( $fragen_array ) - 1 );

$spam_check_frage_besucher ) ) { // ggf. Meldung ausgeben echo ‘Nachricht wurde nicht als Spam eingestuft!’;

// Speichern des Timestamps in die Session-Variable $_SESSION[‘spam_check_frage’] = $fragen_

?> [… HTML-Grundgerüst,

array[$frage_nummer][1];

]

?>

<label>Beantworte: <?php echo $fragen_array[$frage_

} else { // Fehlermeldung ausgeben, ggf. Punkt-Zähler entsprechend verändern echo ‘Nachricht wurde als Spam eingestuft!’;

}

30

ausgeben, ggf. Punkt-Zähler entsprechend verändern echo ‘Nachricht wurde als Spam eingestuft!’ ; } 30 7/2011

7/2011

SPAM-Schutzmechanismen für die eigene Homepage

Worin besteht eigentlich der Unterschied zwischen Spam-Bot und email-Crawler?

Ein Spam-Bot durchsucht Websites nach Formularen, füllt sie aus und versucht so Backlinks für eine Website zu gene- rieren oder Schadsoftware zu verteilen. Ein Email-Crawler such im Internet nach Email-Adressen und sammelt sie um später Spam zu verschicken.

hen sein, damit keine Verwirrung aufkommt. So könnte der Besucher zum Beispiel gebeten werden eine Birne, einen Apfel, einen Hund, ein Haus oder Millionen ande- re Dinge zu identifizieren. Die technische Umsetzung funktioniert vom Prinzip her genauso, wie die der semantischen Frage (s.o.). Nur wird hier keine Frage ausgegeben, sondern ein kleiner HTML-Code um das entsprechende Bild einzu- binden.

doppelt hält besser?

Da Spam-Bots oft die Angewohnheit haben Felder, von denen sie nicht wissen, was das Script an In- halten erwartet, einfach mit irgendwelchen Links zu füllen, kommt es auch oft vor, dass solche Felder mit

den gleichen Inhalten gefüllt werden. Es lohnt sich al- so, alle Eingabefelder auf doppelten Inhalt zu prüfen. Wurden mehrere Eingabefelder identisch ausgefüllt, handelt es sich wohl um einen Spam-Bot. Auch hier- für könnten bei Bedarf wieder Spam-Punkte verge- ben werden.

Captcha im eigenbau

Leider werden die Spam-Bots immer besser. Um dieser Entwicklung entgegen zu treten, muss man sich schon tolle Dinge einfallen lassen. Die oben be- schriebenen Methoden sollten in Kombination in den meisten Fällen hinreichend sein. Um die Sicherheit noch weiter zu steigern, bieten sich sog. Captchas an. Das sind kleine Grafiken, welche eine Zeichen- kombination abbilden, welche der Besucher abtip- pen muss. Das ist im Prinzip auch eine gute Idee. Leider hat sie bei den meisten Umsetzungen einige Nachteile:

• Da Spam-Bots die Fähigkeit entwickeln die Codes solcher Grafiken auszulesen, werden dies immer abstrakter und unlesbarer.

listing 9. Generierung eines Captchas

<?php // Session-Start session_start();

// Senden des Headers header( “Content-type: image/png” );

// Erstellen des Arrays (<Nummer der Frage> => <Frage>, <Antwort>) $fragen_array = array(

// Speichern der Antwort in die Session-Variable $_SESSION[‘spam_check_frage’] = $fragen_

array[$frage_nummer][1];

// Generieren der Grafik (400x30) $grafik = imagecreate( 400, 30 );

// Hintergrund der Grafik weiß machen imagecolorallocate( $grafik, 255, 255, 255 );

// Text-Farbe generieren (Schwarz) $text_farbe = imagecolorallocate( $grafik, 0, 0, 0 );

0

=> array(‘Wie heißt Max mit Vornamen?’, ‘Max’),

// Text ausgeben. Parameter:

1

=> array(‘Welche Farbe hat ein rotes Auto?’, ‘rot’),

// Variable der Grafik // Schriftgröße

// mittig steht)

$text_farbe);

2

=> array(‘Wieviele Ecken hat ein Dreieck?’, ‘drei’),

// Abstand zum linken Rand // Abstand zum oberen Rand (Ausrichtung wird so

3

=> array(‘Wie viele Seiten hat ein 200-seitiges Buch’, ‘200’),

berechnet, dass die Schrift

4

=> array(‘Fridas Mofa ist gelb. Welche Farbe hat es?’, ‘gelb’),

// Text // Farbe des Schriftzugs

);

ImageString ($grafik, 4, 20, ceil( 15 - (

// Ermitteln der Frage $frage_nummer = rand( 0, count( $fragen_array ) - 1 );

imagefontheight( 4 ) / 2 ) ), $frage,

// Abspeichern der Frage $frage = $fragen_array[$frage_nummer][0];

// Grafik ausgeben (im PNG-Format) imagepng( $grafik );

?>

hakin9.org/de

[ $frage_nummer ][ 0 ]; // Grafik ausgeben (im PNG-Format) imagepng ( $grafik ); ?> hakin9.org/de

31

PrAxIS

• Damit der Code nicht mit einem Wörterbuch abge- glichen werden kann, werden nur noch zufällig ge- nerierte Buchstaben- und Zahlenkombinationen verwendet.

• Daher empfinden die Besucher empfinden sie schnell als lästig.

Diese Nachteile kann man aber auch recht einfach be- seitigen oder zumindest abschwächen:

• So sollte ein Bild nicht verunstaltet werden, nur da- mit man die Schrift nicht mehr lesen kann. Dann soll- te man lieber eine ausgefallenere Schriftart nehmen. Bunte Sterne, Hintergründe und Linien sind ebenfalls hinderlich. Sie erhöhen zwar die Sicherheit, schre- cken dafür aber Besucher ab, wenn sie nicht zum De- sign passen oder zu viel Zeit beanspruchen.

• Zufällig generierte Codes müssen nicht wie Kauder- welsch klingen: Zahlen kann man eigentlich weglas- sen, denn ob 26 oder 36 Zeichen zur Auswahl ste- hen macht auch keinen besonders großen Unter- schied mehr. Werden nur Buchstaben verwendet, kann man schön-klingende Phantasie-Wörter gene- rieren indem man Konsonanten und Vokale abwech- selt. Das vermindert die Sicherheit zwar ein wenig, aber auch das nur unter der Voraussetzung, dass der Spam-Bot auf so etwas programmiert wurde.

• Wie oben bereits angesprochen können auch Bil- der von Gegenständen, die es zu benennen gilt, als Captchas verwendet werden, denn solch ei- ne Aufgabe setzt eine hohe Rechenleistung des Spam-Bots voraus. Vergessen wir nicht, dass das menschliche Gehirn ein Meister das abstrakten Denkens ist.

• Auch könnte man die langweiligen Codes durch die oben beschriebenen Fragen ersetzen. Dann steht der Spam-Bot nämlich nicht nur vor dem Problem die Frage „Wie heißt Max mit Vornamen?“ zu be- antworten, sondern diese auch erst mal zu lesen.

Nun wollen wir ein ganz simples Captcha basteln und es mit unseren Fragen (s.o.) kombinieren. Dazu ver- wenden wir die Bordmittel PHPs und ein angepasstes Formular. Die Grafiken werden „on-the-fly“ generiert. Dazu benötigen wir ein zusätzliches PHP-Script, wel- ches als Grafik (mit Image-Tag) in das HTML-Formular eingebunden wird und die richtige Lösung in die Sessi- on-Variable schreibt (listing 9.). Das Formular ist im Prinzip das gleiche wie in Listing 5.1. Nur wird die Frage nicht dort, sondern in der Datei captcha.png.php generiert. Diese wiederum wird einge- bunden:

<img src="captcha.png.php" alt="Bitte aktivieren Sie die

32

alt="Bitte aktivieren Sie die 32 Anzeige von Grafiken in Ihrem Browser!" /><br

Anzeige von Grafiken in Ihrem Browser!" /><br />

Die Auswertung bleibt unverändert (siehe Listing 4.2). Mithilfe solcher Captchas ist man nun einen ganzen Schritt weiter. Natürlich lässt sich diese Methode aber noch stark ausbauen.

Instant-lösungen

Im Bereich Spam-Abwehr gibt es viele Angebote. Be- sonders wenn es um Captchas geht. Die interessantes- ten Lösungen sind folgende:

• Die wohl bekannteste Lösung lautet reCaptcha (Website: www.google.com/recaptcha). Es han- delt sich dabei um ein System, welches von Google übernommen und fortgeführt wurde. Google scannt alte Bücher und Zeitschriften ein. Die einzelnen Wörter landen in einer riesigen Datenbank. Wird ein reCaptcha aufgerufen, bekommt der Besucher zwei Wörter zu sehen und muss sie abtippen. Das Besondere: Die Antworten werden gespeichert. Die einzelnen Wörter werden mehrmals von verschie- denen Besuchern abgetippt. Die Antwort, die am häufigsten gegeben wird, akzeptiert Google dann als „richtig“. Auf diese Weise werden wahnsinnig viele Captchas generiert und alte Zeitschriften di- gitalisiert. Diese Methode gilt als sehr effektiv und sicher. Allerdings ist die Integration in die eigene Website nicht unbedingt für „blutige Anfänger“ ge- eignet. Erfahrenere Programmierer sollten damit aber keine Probleme haben. Außerdem besitzt das reCaptcha ein recht auffälliges und platz-einneh- mendes Aussehen. Das kann man zwar anpassen, aber das wiederum ist mit nicht wenig Arbeit ver- bunden. Alles in Allem eine der besseren Lösun- gen.

• Eine weitere sehr schöne Captcha-Lösung ist Se- cureImage von www.phpcaptcha.org. Die Grafiken sind simpler und die Integration in die eigene Web- site ein wenig einfacher als bei anderen „Instant“- Lösungen.

Was sind eigentlich Captchas?

Der Begriff „Captcha“ kommt aus dem Englischen und ist ein Akronym für „Completely Automated Public Turing test to tell Computers and Humans Apart“ („Vollautomatischer öffentlicher Turing-Test zur Unterscheidung von Compu- tern und Menschen“). Ein Captcha ist meist eine Grafik, die ein verzerrtes Wort oder einen Code abbildet, der vom Be- sucher abgetippt werden muss, um zu beweisen, dass er selbst kein Spam-Bot ist.

7/2011

SPAM-Schutzmechanismen für die eigene Homepage

zug nie vollständig zu sehen ist: Eine zusätzliche Herausforderung für einen Spam-Bot.

Diese „Instant“-Lösungen sind meistens schneller ein- gebaut als die eigenen Methoden. Außerdem sind sie in der Regeln doch deutlich sicherer und durchdachter. Dafür lassen sie sich nicht so leicht anpassen oder in das Design eingliedern. Auch handelt es sich (wie bei den Beispiele auch) fast immer um Captchas. Betrach- tet man die oben beschriebenen Methoden, muss man sich allerdings fragen, ob man seine Besucher wirklich mit so etwas belästigen muss.

erweiterungen für Content-Management-Systeme

Besonders komfortabel lebt man, wenn man ein CMS für seine Website verwendet, denn für diese gibt es ei- gentlich immer Erweiterungen, Plugins oder Addons. Mit diesen lassen sich die Spammer schon deutlich ein- facher ausschalten. Eine kurze Übersicht hier:

• Wordpress:

• Akismet (Standard)

• Block Spam By Math Reloaded (Schützt das

Backend)

• Peter's Custom Anti-Spam (Sehr umfangreich)

• Joomla

• EasyCalcCheck PLUS

• Core Design Captcha plugin

• Akismet

• XIJC

• Contao (ehemals TypoLight)

• honeypotForm (sehr schlicht)

• Typo3

• TIMTAB Bad Behavior

• SFP Anti SPAM

• Simple Captcha

Schutz einer email-Adresse vor Crawlern

Da in dem Impressum jeder Website eine gültige Email- Adresse stehe muss, ist dies ein beliebter Angriffspunkt für Email-Crawler. Diese lesen die Adresse aus und speichern sie in ihre Datenbank. Wie von Zauberhand landet dann Spam im Posteingang. Um dies zu verhin- dern gibt es wahnsinnig viele Methoden. Einige besser,

Wofür steht nochmal„CMS“?

Ein CMS ist ein Content-Management-System (Inhalt-Ver- waltungs-System). Es wird auf dem Webserver installiert und verwaltet Inhalte, Design und Struktur der Website sehr komfortabel. Die großen verfügen über eine Benutze- rverwaltung, hunderte Erweiterungen und viele zusätzliche Funktionen. Große Websites kommen um ein CMS kaum noch herum.

hakin9.org/de

Was ist leet-Speak?

Leet-Speak leitet sich ab von dem englischen Begriff „elite“ (Elite) und „speak“ (Sprache). Es bezeichnet das Ersetzen von Buchstaben durch ähnlich aussehende Zahlen oder auch Sonderzeichen. So wird auch oft nur von „1337“ gespro- chen, was „leet“ in „Leet-Speak“ bedeutet. Die 1 steht dabei für das L, die 3 für das große E und die 7 für das T. Ursprün- glich wurde diese Substitutions-„Chiffre“ verwendet um he- ikle Emails vor dem automatisierten Abhören zu schützen. Heute findet es oft im Gamer-Bereich Anwendung.

andere schlechter:

• Kodierung der einzelnen Zeichen: Jedes Zeichen wird in den entsprechenden HTML-Sonderzeichen- code umgewandelt. Das ist die beliebteste Lösung. Leider auch die mit am wenigsten effektive, denn die Crawler sind schon lange in der Lage diesen Trick zu durchschauen.

• Einbinden als Grafik: Effektiver, jedoch leider auch nicht besonders ansehnlich und total „Copy-&- Paste“-unfreundlich. Die Adresse wird als Grafik gespeichert und eingebunden. Nicht optimal.

• Maskieren der Adresse: Das @ wird durch Zei- chenfolgen wie „ät“, „at“, „[at]“, etc. ersetzt. Doch auch das können die Crawler mittlerweile ganz gut durchschauen.

• Aus zwei mach' eins: Dabei handelt es sich um ei- nen kleinen HTML-Trick. Es werden zwei Email- Adressen hintereinander gesetzt. Jede für sich ist nicht existent (bzw. totaler Quatsch). Streicht man jedoch den letzten Teil der ersten Adresse und den ersten Teil der letzten Adresse, entsteht aus dem Rest eine dritte: Die richtige. Alles was man tun muss, ist also mittels CSS die Teile dazwischen auszublenden. Beispiel:

<p>heinz <small style="display:none;"> @nichtvorhanden.de&nbsp;gibtesnicht </small>@mueller.info</p>

Was bedeutet noch gleich„on-the-fly“?

Der Begriff „on-the-fly“ heißt im Bezug auf durch PHP gene- rierte Grafiken, dass diese bei einem Aufruf durch einen Be- nutzer jedes mal neu erstellt werden müssen. Das heißt, sie können immer wieder anders aussehen. „On-the-fly“ bez- eichnet also sozusagen den Moment zwischen Verlassen des Servers und der Ankunft beim Browser (auch wenn dies nicht ganz richtig ist).

den Moment zwischen Verlassen des Servers und der Ankunft beim Browser (auch wenn dies nicht ganz

33

PrAxIS

Im Internet

http://www.google.com/recaptcha/ - reCaptcha-Website

http://www.phpcaptcha.org/ - Website des SecureImage- -Projekts

http://www.animierte-captcha.de/ - Website der animier- ten Captchas

http://de.wikipedia.org/wiki/CAPTCHA Wikipedia-Artikel zum Thema Captcha

http://www.bizeps.or.at/news.php?nr=8627 Sehr unter- haltsamer Beitrag zum Thema Captcha und Benutzer- freundlichkeit von Peter Purgathofer

Anregungen

Der Kreativität sind fast keine Grenzen gesetzt, geht es um die Spam-Bekämpfung. Lediglich die tech- nischen Mittel binden den Programmierer an einen Rahmen. Dennoch sind weder alle Möglichkeiten Mensch und Maschine zu unterscheiden hier erklärt worden, noch sind sie ausgeschöpft. Alle Mechanis- men lassen sich verbessern. Alle sind absolut unge- sichert gegen Attacken (XSS und Co.). Alle Methoden einzubauen ist momentan auch noch viel Arbeit. Eine

W

e

r

B

Klasse dafür zu schreiben wäre also von Vorteil und würde auf längere Sicht viel Aufwand ersparen. Kurz- um: Auf geht’s!

nachwort

Den Spam werden wir wohl nie ganz besiegen, doch mit geschickten Überlegungen lässt sich viel errei- chen. Ich hoffe, ich konnte mit diesem Artikel einen Einstieg in das Thema bieten und zum Weitermachen anregen. Denn ausgereift sind die Scripte noch lange nicht.

tIll SAnderS

Der Autor ist gerade mal 17, beschäftigt sich aber schon seit ein paar Jahren mit Webdesign, insbesondere PHP. Leider hat er in dieser Zeit eine gewissen Schwäche für freie Bildung en- twickelt und veröffentlicht nun auf YouTube seine ersten Er- klärungsversuche zum Thema HTML & CSS. Kontakt mit dem Autor:

U

n

G

tillsanders@googlemail.com http://www.compufreak.info/ U n G Die datenschutz nord Gruppe ist eine der führenden

34

mit Gehaltsvorstellung an Herrn Thorsten Kamp. 34 datenschutz nord GmbH - Konsul-Smidt-Str.88 - 28217 Bremen

Und es gibt es doch: „Sicheres Windows“ mit BSI-Grundschutz

Und es gibt es doch: „Sicheres Windows“ mit BSI-Grundschutz

Sven Supper

Die Tele-Consulting security | networking | training GmbH berät seit Aufkommen der IT-Grundschutzkataloge im Jahre 1994 Firmen und Behörden bei der Umsetzung von IT-Grundschutz. Der folgende Artikel beschreibt die Herausforderungen der grundschutzkonformen Härtung der Microsoft Windows-Umgebung, insbesondere bei der Umsetzung der umfangreichen technischen Anforderungen, die es bei der Absicherung zu bewältigen gilt.

In dIeSem ArtIkel erfAHren SIe…

WAS SIe vorHer WISSen Sollten…

• Sie können erfahren wie die technischen Vorgaben des IT- • Kein spezielles Vorwissen -Grundschutz effektiv dokumentiert und umgesetzt werden können.

Warum Grundschutz?

In den IT-Grundschutz-Katalogen werden Standard-Si- cherheitsmaßnahmen für typische Geschäftsprozesse, Anwendungen und IT-Systeme empfohlen. Der IT-Grund- schutz verfolgt das Ziel, einen angemessenen Schutz für alle Informationen einer Institution zu erreichen. IT- Grundschutz verfolgt dabei einen ganzheitlichen Ansatz. Durch die geeignete Kombination von organisatorischen, personellen, infrastrukturellen und technischen Stan- dard-Sicherheitsmaßnahmen wird ein Sicherheitsniveau erreicht, das für den normalen Schutzbedarf angemes- sen und ausreichend ist, um geschäftsrelevante Informa- tionen zu schützen. Darüber hinaus bilden die Maßnah- men der IT-Grundschutz-Kataloge nicht nur eine Basis für normal schutzbedürftige IT-Systeme und Anwendun- gen, sondern liefern an vielen Stellen bereits höherwer- tige Sicherheit beispielsweise bei hohen Verfügbarkeits- anforderungen bei der Datensicherung. An dieser Stelle wird eine Datenspiegelung der Informationen empfohlen. Die IT-Grundschutzkataloge sind in fünf Schichten (Übergreifende Aspekte, Infrastruktur, IT-Systeme, Netz- werk und Anwendungen) unterteilt, welche wiederum verschiedene sogenannte Bausteine enthalten. Als Bei- spiel sind in der Schicht Infrastruktur Aspekte rund um das Thema Gebäude wie die Bausteine Serverraum oder IT-Verkabelung enthalten. Der Baustein enthält dann das letzte Glied in der Kette, die Maßnahmen. Die- se beschreiben, ob und ggf. wie einzelne Maßnahmen innerhalb des Informationsverbunds umzusetzen sind.

hakin9.org/de

Herausforderung

Bei der Umsetzung von IT-Grundschutz müssen die jährlich erscheinenden IT-Grundschutzkataloge des Bundesamts für Sicherheit in der Informationstechnik (BSI) immer wieder nach Neuerungen bei der techni- schen Umsetzung untersucht und anschließend in die jeweilige Umgebung integriert werden. In der Praxis tre- ten organisationsübergreifend viele verschiedene Prob- leme auf, wobei sich zwei Kernprobleme bei der techni- schen Umsetzung herauskristallisieren. Zum einen sind innerhalb der Grundschutzkataloge (GSK) wenig konkrete Angaben zur Umsetzung ent- halten. Häufig werden technisch umzusetzende Anfor- derungen prosaisch beschrieben, ohne den konkreten bzw. den passenden Konfigurationspfad zu benennen. Ein Beispiel ist Maßnahme M 4.244 „Sichere System- konfiguration von Windows Client-Betriebssystemen“, welche das Setzen des Kennworts beim Reaktivieren aus dem Standby-Modus beschreibt. Leider ist der Umset- zungsvorschlag aus den GSK auf die lokale Einstellung des Rechners gemünzt. Sofern in einem Unternehmen ein Active-Directory vorhanden ist (dies dürfte bei fast al- len Unternehmen der Fall sein, die Windows Produkte ein- setzen und sich nach Grundschutz ausrichten oder daran anlehnen), ist dieser Pfad daher wenig hilfreich. Zum anderen sind die Bausteine für aktuelle Soft- ware, wie z. B. Windows 7 zum Zeitpunkt der meisten Migrationen auf die neue Software noch nicht in den Grundschutzkatalogen vorhanden. Dieses Problem

der meisten Migrationen auf die neue Software noch nicht in den Grundschutzkatalogen vorhanden. Dieses Problem 35

35

dAtenSCHUtZ

wird ähnlich gelöst, wie es der BSI Standard 100-2 vor- schreibt. Bei der Bearbeitung von IT-Grundschutz sind sämtliche IT-Systeme während der Modellierung des Informationsverbundes mit Bausteinen abzubilden. Die Idee ist nun, alle technischen Aspekte zu konso- lidieren, für den Unternehmenseinsatz korrekt zu para- metrisieren und in vereinfachter Form den Administrato- ren zur Verfügung zu stellen. Als Ergebnis entstand eine Dokumentation aller technisch relevanten Einstellungen für den Betriebssystembereich von Microsoft Windows (Sicheres Windows). Dadurch entfällt der Aufwand für das Recherchieren der eigentlichen Anforderungen im Maßnahmentext, die Suche nach den entsprechenden Active-Directory-Einstellungen, das Erstellen von admi- nistrativen Vorlagen zum unternehmensweiten Vertei- len von Registry-Einstellungen und die Dokumentati- on der Einstellungen des IT-Grundschutzes. Außerdem werden Seiteneffekte durch die drastische Reduzierung des Personalaufwands und somit auch der Kosten er- zielt. Da der Baustein Windows 7 aktuell noch nicht in den GSK enthalten ist und auch kein Vorab-Baustein zur Verfügung steht, ist ein adäquater Baustein als Ersatz dafür umzusetzen. Für den Ansatz „Sicheres Windows“ wurde wie folgt vorgegangen: Zunächst wurden die An- forderungen des Bausteins „Client unter Windows Vis- ta“ auf relevante Anforderungen untersucht. In diesem Baustein wurde z.B. das Konzept der UAC (User Ac- count Control) bereits behandelt. Da der Baustein rela- tiv wenige technische Anforderungen zur Absicherung von Windows enthält, wurden zusätzlich noch die Anfor- derungen aus dem Baustein „Client unter Windows XP“ mit den enthaltenen Hilfsmitteln zu Windows XP sowie die fehlenden Aspekte der Microsoft Sicherheitsrichtli- nien (Microsoft Security Baselines) integriert. Als dritter

Punkt sind aus der Praxis weitere Empfehlungen zur Konfiguration von Windows 7 eingeflossen. Durch die beschriebene Vorgehensweise gibt es eini- ge Vorteile bei der Bearbeitung von IT-Grundschutz, die in den folgenden Abschnitten kurz angedeutet werden.

minimieren des Aufwands Durch die Vorarbeit wird der Aufwand für die Bearbei- tung der technischen Aspekte des IT-Grundschutz auf ein Mindestmaß reduziert. Es sind lediglich Kapazität- en für das Bewerten der einzelnen Einstellungen, das Testen und zuletzt das Einführen der Einstellungen in die Produktivumgebung durch das IT-Management be- reitzustellen. Das aufwändige Durchsuchen der Grund- schutzkataloge auf Seiten der Administratoren nach Vorgaben für technische Einstellungen entfällt gänzlich.

Senken der Personalkosten Als logische Folge werden durch das Verwenden der vorgefertigten Einstellungen die Personalkosten für die Härtung der Systeme nach IT-Grundschutz erheblich gesenkt. Es sind keine Schulungen bzw. lange Einlern- phasen notwendig, da die diversen Einstellungen gra- nular und direkt anwendbar serviert werden.

Zeitersparnis Die bereits beschriebenen Vorteile bei der technischen Realisierung von IT-Grundschutz, haben weiterhin den Nebeneffekt, dass bei der Umsetzung Zeit gespart wird. Zusätzlich werden bei der Bearbeitung der einzel- nen technischen Einstellungen bereits Lösungswege für schwer verständliche Formulierungen, welche des Öfteren in den Grundschutzkatalogen vorhanden sind, geliefert. Dies bietet den Vorteil, dass keine speziellen Pfade oder Registry-Einträge gesucht werden müssen.

Pfade oder Registry-Einträge gesucht werden müssen. Abbildung 1. Auszug einer möglichen Dokumentation 36 7/2011

Abbildung 1. Auszug einer möglichen Dokumentation

36

Pfade oder Registry-Einträge gesucht werden müssen. Abbildung 1. Auszug einer möglichen Dokumentation 36 7/2011

7/2011

Und es gibt es doch: „Sicheres Windows“ mit BSI-Grundschutz

Durch die enorme Zeitersparnis bei der Bearbeitung kann der Fokus dadurch vollständig auf die Umsetzung der organisatorischen Vorgaben der IT-Grundschutzka- taloge gelegt werden.

durchführung mittels Automatismen Die einzelnen technischen Einstellungen wurden derart gruppiert, dass ein gewisser Automatismus bei der Um- setzung genutzt werden kann. Im Prinzip ist bei der Um- setzung keinerlei Vorwissen nötig. Die einzelnen Einstel- lungen können Schritt-für-Schritt umgesetzt werden.

Weitere faktoren Durch das Einführen dieses vorgefertigten Produkts sollten innerhalb des Informationsverbunds keine Ak- zeptanz-Probleme auftauchen, da das Verfahren be- reits mehrfach erfolgreich angewandt und stets verfei- nert wurde. Außerdem werden durch die generische Vorgehens- weise sämtliche Aspekte in konsolidierter Form bereit- gestellt, sodass kein unnötiger Frust bei der Bearbei- tung der 4000 Seiten starken Grundschutzkataloge entsteht. Als letzten kleinen, aber nicht unbedeutenden Vorteil sei die transparente Trennung zwischen Technik und Organisation genannt. Dadurch steigt das Verständnis für das Produkt und neue Mitarbeiter haben weniger Probleme die Struktur des Produkts zu verstehen.

die vorteile

rasche Umsetzung von Best-Practice zur Systemhärtung Durch die Verwendung der Wissensdomänen IT-Grund- schutz, der Microsoft Security Baselines und Erfahrung- en aus Sicherheitsberatungen ist garantiert, das Best- Practice Ansätze zur Systemhärtung der betreffenden Systeme rasch und effizient umgesetzt werden. Damit erhält man adhoc eine deutliche Steigerung der Ge- samtsicherheit.

konformität mit Compliance Anforderungen nach BSI- Grundschutz Neben den bereits beschriebenen Vorteilen, bietet die- se Vorgehensweise den zusätzlichen Charme, nach der Durchführung im technischen Bereich, compliant zu den IT-Grundschutzkatalogen des BSI zu sein. Außer- dem sind für die technische Absicherung keine weiteren Maßnahmen mehr notwendig.

Problemlose erweiterung für darüber hinausgehende Anforderungen Die Dokumentationsform erlaubt es, weitere Aktions- punkte aus anderen eventuell vorhandenen Kriterien- werken, wie beispielsweise Exchange oder Citrix mit aufzunehmen und gleichzeitig deren Umsetzung zu do-

hakin9.org/de

kumentieren. In den angegebenen Screenshot wird ein Beispiel zur Dokumentation gegeben. Die Anr ist eine laufende Nummer, um eine eindeutige Referenz pflegen zu können. In der folgenden Spalte ist die Ausführung beschrieben bzw. welche Einstellung umzuset- zen ist und ob der Wert nach einer Standardinstallation des Systems gesetzt ist oder nicht. Häufig sind Anforderungen des IT-Grundschutzes bereits in Standard-Windows-Ins- tallationen umgesetzt, diese sind der Vollständigkeit hal- ber aufgeführt. In der nächsten Spalte wird der Status der Einstellung (Aktiviert/Deaktiviert) bzw. die dazugehörige Einstellung beschrieben. Anschließend folgt noch die Be- schreibung wo die Einstellung zu finden ist (Pfad). Die letzten beiden Spalten sind für die Herkunft der Anfor- derung. Dies dient der Nachvollziehbarkeit, da Anwender oft wissen möchten, auf welche Anforderung eine Aktion zu- rückzuführen ist und woher diese Anforderung stammt.

funktionalität bleibt bestehen Trotz über 300 Einstellungen in verschiedenen kriti- schen Bereichen der Registry und des Dateisystems ist das Betriebssystem nach dem Aktivieren der Einstellun- gen in der Funktionalität kaum eingeschränkt. Tests im Labor und Success-Stories aus Kundenprojekten bele- gen, dass durch das Anwenden der Sicherheitseinstel- lungen zwar einige Berechtigungen verändert und da- durch vereinzelt der Komfort etwas abnimmt, aber der Anwender mit normalen Benutzerrechten wird jedoch in seiner täglichen Arbeit kaum eingeschränkt.

fazit Für IT-Unternehmen, die mit minimalem Initialaufwand und geringen Personalkosten ihren Informationsver- bund auf Basis von IT-Grundschutz aufbauen wollen, kann der Weg über die Vorgehensweise für das „Siche- re Windows“ führen. Durch die Seiteneffekte wie Zeit- ersparnis und Konformität mit Compliance-Anforderun- gen ist das „Sichere Windows“ der optimale Begleiter für jede Microsoft Windows-Umgebung. Die organisa- torischen Aspekte wie die Dokumenterstellung und An- passung der Prozesse sind jedoch weiterhin für die Er- reichung von IT-Grundschutz Compliance notwendig. In jedem Fall erreicht man durch die Nutzung der tech- nischen Aspekte vergleichsweise schnell einen deutli- chen Sicherheitsgewinn für die Gesamtumgebung.

Sven SUPPer

Sven Supper arbeitet als IT-Sicherheitsberater für die Firma- Tele-Consulting GmbH. Dabei widmet er einen Großteil seiner Tätigkeiten den Betriebssystemen von Microsoft Windows und der Umsetzung für den Bereich IT-Grundschutz. Außer- dem hat er den in dem Artikel beschriebenen generischen An- satz für verschiedene Client- und Serverbetriebssysteme reali- siert.

den in dem Artikel beschriebenen generischen An- satz für verschiedene Client- und Serverbetriebssysteme reali- siert. 37

37

Sicherheitsmaßnahmen im Online- Banking und deren Anfälligkeit Christian heutger Offen wie ein Scheunentor sowie

Sicherheitsmaßnahmen im Online- Banking und deren Anfälligkeit

Christian heutger

Offen wie ein Scheunentor sowie jährliche Schäden in Millionenhöhe durch Phishing – und doch erfreut sich das Online-Banking in Europa großer Beliebtheit. So nutzen 83 Prozent der Norweger das Internet, um ihre Bankgeschäfte zu tätigen. Ein Spitzenwert. Der EU-Schnitt liegt bei 36 Prozent; die Deutschen mit knapp 27 Millionen„Online-Bankern” (43%) ein Stück darüber. Diese große Akzeptanz, mehrheitlich Nutzer mit gering ausgeprägtem Sicherheitsbewusstsein und der direkte Zugriff auf Geld macht die Web-Applikation„Online-Banking” für Angreifer zu dem Objekt der Begierde schlechthin.

In dIeSeM ArTIkel erfAhren SIe…

WAS SIe vOrher WISSen SOllTen…

• Welche Sicherheitsmaßnahmen sich im Online-Banking eta- • Begonnen hat alles vor 30 Jahren mit dem BTX-System. Zu-

sammen mit Versandhäusern und Banken – darunter die Ver- braucherbank (Norisbank) – hatte die Deutsche Bundes- post Anfang 1980 einen Online-Banking-Feldversuch via Bildschirmtext gestartet, der über die Jahre hinweg ausge- reift und immerhin bis zum Aus des BTX-Dienstes 1999 Hun- derttausende Nutzer zählen konnte. Doch schon vier Jahre vor Start des Feldversuches ereignete sich die Geburtsstunde des PIN/TAN-Verfahrens, das – entwickelt von Alfred Richter, dem technischen Leiter der Verbraucherbank – bis heute der entscheidende Bestandteil der webbasierten Massen-Applika- tion «Online-Banking» ist.

• Wie anfällig iTAN, mTAN & Co. wirklich sind

• Was Angreifer den wachsenden Sicherheitsvorkehrungen ent- gegenzusetzen haben

bliert haben

Schwachstelle Mensch

Die Persönliche Identifikationsnummer (PIN) und die je- weiligen Transaktionsnummern (TAN) fungieren in die- ser Kombination als elektronische Unterschrift für alle Aufträge, die im webbasierten Online-Banking getätigt werden. Daneben sind zwar noch andere Authentifi- zierungsverfahren wie FinTS, FTAM, BCS und EBICS im Einsatz. Diese werden jedoch ausschließlich durch Firmenkunden genutzt und sind für Phisher weniger at- traktiv als das von Verbrauchern sowie von vielen Un- ternehmen eingesetzte PIN/TAN-Verfahren. Denn gera- de bei Verbrauchern können sie auf deren mangelndes technisches Know-how sowie einem gering ausgepräg- ten Sicherheitsbewusstsein bauen und ihre Methoden erfolgreich zum Einsatz bringen, um Sicherheitshürden – gerade auch via Schwachstelle Mensch – zu über- winden. Da ohne PIN und entsprechender TAN keine Auf- träge im Online-Banking abgewickelt werden können, stehen diese Daten im Fokus aller Angriffe. Mit zu-

38

stehen diese Daten im Fokus aller Angriffe. Mit zu- 38 nehmenden Attacken auf ihre Online-Banking-Ange- bote

nehmenden Attacken auf ihre Online-Banking-Ange- bote und ihre Kunden – unter anderem über Man-in- the-Middle-Attacken, Phishing-Websites, Cross Site Scripting und Spionage mittels Trojanern – erhöhten die Banken in den letzten Jahren die Vorkehrungen zum Schutz der TANs. Nacheinander etablierten sich die iTAN-, mTAN- und ChipTAN-Verfahren zum heuti- gen Standard.

Beliebte Angriffsmethoden: Trojaner, Mittelsmann & XSS

Besonders häufig kommen Trojaner zum Einsatz, da sie auf Client-Seite zum Einsatz gebracht werden. Mit ihnen können Angreifer direkt die Darstellung der von ihrem Opfer genutzten Online-Banking-Website ma- nipulieren und so beispielsweise durch Einblendung von Formularen PIN sowie TAN-Listen abfragen. Auch das Man-in-the-Middle (MITM)-Szenario ist ein häufiges Angriffsmuster: Der Angreifer schaltet sich als «Mittelsmann» unbemerkt in die Kommunikation

7/2011

Sicherheitsmaßnahmen im Online-Banking und deren Anfälligkeit
Sicherheitsmaßnahmen im Online-Banking und deren Anfälligkeit

zwischen Nutzer-Client und Online-Banking-Server ein. Dadurch erlangt er vollen Zugriff auf den Daten- verkehr, der im Rahmen der Kommunikation ausge- tauscht wird. Selbst wenn die Daten – wie beim On- line-Banking üblich – SSL-verschlüsselt übertragen werden, ist der Angreifer dazu in der Lage, sie sowohl auf dem Weg zum Server abzufangen als auch um- gekehrt eine Verbindung mit dem Nutzer-Client auf- zubauen und manipulierte Daten an diesen zu über- mitteln. Da immer wieder Schwachstellen bei Banken-Web- sites aufgedeckt werden, hat sich für Angreifer zu- dem das Cross Site Scripting (XSS) als probates Mit- tel erwiesen, um an PINs und TANs von Nutzern zu gelangen. Dabei wird in der Regel JavaScript als von jedem Browser interpretierbare Skript-Sprache ver- wendet, um die XSS-Attacken auszuführen. (Lesen Sie mehr über XSS in der vorherigen Ausgabe von

hakin9)

iTAns: durchnummeriert und dennoch geknackt

Mit dem iTAN-Verfahren reagierten die Banken als erstes auf den schwachen Schutz, den die bis dato herkömmlichen TAN-Listen boten. Denn Online-Ban- king-Nutzer konnten selbst bestimmen, welche ihrer noch ungenutzten TANs sie zur elektronischen Unter- zeichnung einer Überweisung verwenden wollen. Ein leichtes Spiel für Phisher, die über Formulare oder ihren manipulierten Websites neben der PIN nur ge- nügend TANs abfragen mussten, um auf Beutezug zu gehen. Das iTAN-Verfahren, bei dem indizierte TAN-Lis- ten zum Einsatz kommen, sollte eine Antwort auf das wachsende Phishing-Problem geben. Das Prinzip:

Die iTANs sind durchnummeriert. Der Nutzer kann die TAN, mit der er seine Aufträge legitimiert, somit nicht mehr selbst wählen, sondern wird bei Erteilung eines Auftrages in seinem Online-Banking-Bereich zur An- gabe einer ganz bestimmten TAN aufgefordert. Dazu bleiben ihm nur wenige Minuten Zeit, ansonsten ver- fällt die entsprechende iTAN. Eingeführt wurde das Verfahren 2005. Wenige Wochen später war es bereits geknackt. Denn per Man-in-the-Middle-Attacken kön- nen sich Angreifer auch beim iTAN-Verfahren einfach zwischen Client und Online-Banking-Server schalten, sobald der Nutzer eine Überweisung tätigen möchte. Und so funktioniert‘s:

1. Der Client übermittelt Überweisungsdaten an den Webserver der Bank.

2. Der Angreifer schaltet sich dazwischen und tauscht – unbemerkt vom Nutzer – die Überweisungsdaten gegen eigene aus.

3. Den Online-Banking-Server erreichen die mani-

pulierten Überweisungsdaten (inklusive Höhe des Geldbetrages).

4. Der Bank-Server sendet dem Client, die Nummer der iTAN, die der Nutzer zur Legitimierung seines Auftrages eingeben muss.

5. Der Angreifer manipuliert die Aufforderung so, dass der Nutzer nachwievor die Original-Überweisungs- daten auf seinem Bildschirm dargestellt bekommt.

6. Der Nutzer bestätigt den Auftrag durch Eingabe der iTAN.

Die Manipulation läuft in Echtzeit ab. Anfang 2007 gab es bereits erste Phishing-Kits zur Ausführung von Man-in-the-middle-Attacken auf das iTAN-Verfahren. Einige Banken gingen daher dazu über, das Verfah- ren mit CAPTCHA zu kombinieren. In dem CAPTCHA wurden alle Überweisungsdaten noch einmal darge- stellt – inklusive des Geburtsdatums des Kontoinha- bers, das dem Angreifer in der Regel nicht bekannt ist. Unterbunden werden können MITM-Angriffe mit dem «iTANplus» getauften Verfahren aber nicht vollends.

TAn meets SMS

Aufgrund seiner Anfälligkeit stellen viele Banken derzeit die Unterstützung des iTAN-Verfahrens ein. Gerade für Ver- braucher wird nun das mobile TAN (mTAN)-Verfahren fa- vorisiert und deren Anwendung forciert. Voraussetzung für das mTAN-Verfahren ist auf Nutzerseite das Vorhanden- sein eines Mobiltelefons. Tätigt der Nutzer ein Überwei- sungsauftrag, muss er diesen mit einer mTAN bestätigen, die er via SMS direkt auf sein Mobiltelefon gesendet be- kommt. Die SMS umfasst neben der mobilen TAN, die nur zur Legitimation des spezifischen Auftrags genutzt werden kann, in der Regel auch die Angaben zum Zahlungsemp- fänger (Kontonummer) sowie den Zahlungsbetrag. Auch weil der Webserver der Bank bei der TAN- Anforderung keine nennenswerten Daten mit dem Browser austauschen muss, die einem Man-in- the-Middle nützlich sein könnten, gilt das mTAN- Verfahren als sicherer als die iTAN-Variante. Das klassische Phishing über manipulierte Websites ist ebenfalls deutlich erschwert. Angriffsfläche bietet das mTAN-Verfahren aber dennoch. Neben doch sehr aufwendigen und relativ unpraktischen Angriffs- szenarien wie dem Diebstahl des Mobiltelefons, An- griffe aufs GSM-Netz oder auf den Netzbetreiber, der Anforderung einer neuen SIM-Karte im Namen des Opfers oder die Portierung der Rufnummer des Opfers lohnt sich doch eher der Blick auf die beiden Trojaner ZeuS und SpyEye.

Wie der «oberste, griechische Gott» mTAn in die knie zwingt

Bestimmte Varianten des Trojaners ZeuS – darunter auch der kleine Bruder SpyEye – setzen sowohl auf

die knie zwingt Bestimmte Varianten des Trojaners ZeuS – darunter auch der kleine Bruder SpyEye –

39

die Infektion des Windows-PCs als auch auf den An- griff des Mobiltelefons des Opfers. Hierzu

die Infektion des Windows-PCs als auch auf den An- griff des Mobiltelefons des Opfers. Hierzu wird dem Opfer beim Aufruf einer Online-Banking-Website ei- ne manipulierte Website im Browser angezeigt. Die- se Seite gibt vor, dass der Nutzer im Rahmen des mTAN-Verfahrens eine Sicherheitsaktualisierung für sein Mobiltelefon durchführen muss. Der Nutzer wird daraufhin aufgefordert seine Mobiltelefonnummer einzugeben. Nach Eingabe verschickt ZeuS über den infizierten PC eine SMS mit einem Link zu einem vermeintlich neuen Sicherheitszertifikat, das der Nutzer mit sei- nem Mobiltelefon herunterladen und installieren soll. Folgt er dem, wird auch sein Mobiltelefon mit ZeuS infiziert. Der Trojaner, in diesen Versionen zunächst für Symbian und BlackBerry-Plattformen konzipiert, ist dann in der Lage alle eingehenden SMS-Nach- richten – darunter auch die mTAN-Zusendungen – an seine Urheber weiterzuleiten. Durch diese Vor- gehensweise kann das mTAN-Verfahren erfolgreich ausgehebelt werden. ZeuS kann sogar Eingaben mitlesen, die per Mausklick auf einer virtuellen Tas- tatur erfolgen. Das Besondere am Trojaner SpyEye ist, dass er sogar speziell dafür konzipiert wurde, deutsche On- line-Banking-Nutzer zu attackieren. Heute stehen Va- rianten der beiden Trojaner übrigens für nahezu alle etablierten Smartphone-Betriebssysteme zur Verfü- gung. Das besondere der neueren Versionen: Sie verfügen neben einem Keylogger-Modul neuerdings auch über Formgrabber-Module. Der Trojaner kann damit nicht nur die Tastatur-Eingaben seiner Opfer mitschneiden, sondern gezielt Formular-Eingaben, die im Browser vorgenommen werden, erfassen. An- greifer brauchen somit nicht mehr große Mengen an mitgeschnittenen Daten sichten, um an die ge- wünschten Informationen zu unter anderem der PIN zu gelangen.

sm@rt-TAn: smart aber angreifbar

Wenn es nach den deutschen Sicherheitsbehörden geht, ist der Einsatz von iTAN oder mTAN zu unsi- cher. Sie empfehlen das sm@rt- beziehungsweise chipTAN-Verfahren. Beide Verfahren setzen auf ei- nen TAN-Generator auf, der von der Bank bereitge- stellt wird und mit dem TANs elektronisch erzeugt werden können. Beim sm@rtTAN-Verfahren aller- dings verfügt der TAN-Generator über kein Ziffern- feld. Es genügt nur die eigene Bankkarte mit Chip in das Gerät zu stecken, um TANs zu erzeugen, die dann im Online-Banking verwendet werden können. Die Sicherheit bleibt aber auf der Strecke, da – wie beim iTAN-Verfahren – die sm@rt-TANs zur Legiti- mation beliebiger Online-Banking-Aufträge verwen- det werden können.

40

Online-Banking-Aufträge verwen- det werden können. 40 neue TAn-Generatoren -Generation setzt auf Optik Das

neue TAn-Generatoren -Generation setzt auf Optik

Das chipTAN-Verfahren geht daher einen Schritt wei- ter. Hier verfügt der TAN-Generator auch über ein Tas- tenfeld. Der Nutzer erhält nach Eingabe eines Über- weisungsauftrages in seinem Online-Banking-Bereich einen Code angezeigt. Dann wendet er sich seinem Generator zu, schiebt die Bankkarte ein und gibt den Code mit dem Ziffernfeld des TAN-Generators ein. Ab- hängig vom Kreditinstitut muss auch die Kontonum- mer des Zahlungsempfängers sowie der Betrag der Überweisung in das Gerät eingetippt werden. Der Ge- nerator generiert im Anschluss eine auftragsbezogene TAN, die im Online-Banking dann vom Nutzer angege- ben wird. Da dieses Verfahren zwar verhältnismäßig sicher, dafür aber sehr unkomfortabel ist, wurde eine Kom- fort-Variante des chipTAN-Verfahrens eingeführt, die auf TAN-Generatoren mit insgesamt fünf optischen Sensoren – zuzüglich Karteneinschub und Ziffern- feld – zurückgreift. Statt eines Codes wird dem Nut- zer bei der Beauftragung einer Überweisung eine Grafik mit fünf flackernden schwarz-weißen Flächen – der so genannte Flickercode – angezeigt. Der TAN-Generator wird einfach an den Bildschirm ge- halten, so dass durch die Lichtsignale ein Code, die Kontonummer des Empfängers sowie der Betrag an den TAN-Generator übertragen werden. Diese Infor- mationen werden auf dem Display des TAN-Gene- rators widergegeben und müssen vom Nutzer nur noch bestätigt werden. Daraufhin generiert der Ge- nerator eine auftragsbezogene TAN, die dann zur Legitimation des Überweisungsauftrags verwendet werden kann. Doch auch die Komfort-Version des chipTAN- Verfahrens legte einen Fehlstart hin und war – zu- mindest in der Anfangsphase – angreifbar. Hinter- grund waren die Sammelüberweisungen, die auf dem Display des TAN-Generators nicht wie die Ein- zelüberweisungen samt Überweisungsdaten ange- zeigt wurden. Das Gerät gab lediglich die Anzahl der Überweisungen sowie den Gesamtbetrag aus. Der Nutzer hatte so keine Möglichkeit festzustellen, ob ihm manipulierte Überweisungsdaten per Man- in-the-Middle-Angriff zuvor über seinen Browser im Online-Banking-Bereich untergeschoben wor- den sind. Bleibt der Gesamtbetrag demnach gleich, könnte ein Angreifer die Daten einzelner Überwei- sungen nach Belieben ändern. Darüber hinaus konnte bei einigen Banken eine Ein- zelüberweisung einfach in eine Sammelüberweisung umgewandelt werden, so dass die Sicherheitslücke hin- sichtlich der Sammelüberweisungen auch bei Einzel- überweisungen von einem Angreifer ausgenutzt wer- den konnte. Der Nutzer bekam als Gesamtzahl lediglich

7/2011

die 1 auf dem Display sowie den Betrag angezeigt. Die Richtigkeit der Überweisungsdaten konnte er
die 1 auf dem Display sowie den Betrag angezeigt. Die Richtigkeit der Überweisungsdaten konnte er

die 1 auf dem Display sowie den Betrag angezeigt. Die Richtigkeit der Überweisungsdaten konnte er nicht prü- fen. Die Sicherheitslücke hinsichtlich der Sammelüber- weisungen wurde von den Kreditinstituten mittlerweile aber geschlossen.

fazit: Zurück zur Schwachstelle Mensch

Die Schwachstelle Mensch bleibt. Als das sicherste unter den etablierten TAN-Verfahren ist das optische chipTAN-Verfah- ren zu werten. Sicherheit beim Online-Banking ist aber auch hier nur dann gewährleistet, wenn der Nutzer die Überwei- sungsdaten auf dem Display seines TAN-Generators auf Richtigkeit prüft.

ChrISTIAn heuTGer

Der Autor ist Geschäftsführer der PSW GROUP GmbH & Co. KG und verfügt über mehr als elf Jahre Erfahrung in der Branche für SSL-Zertifikate. Sein Wissen über IT-Sicherheit vermittelt er als Lehrbeauftragter für den DV-Bereich am Fachbereich Wirt- schaft der Hochschule Fulda und im Rahmen seiner nebenbe- ruflichen Tätigkeit als Informatiklehrer am Marianum Fulda.

Hochschule Fulda und im Rahmen seiner nebenbe- ruflichen Tätigkeit als Informatiklehrer am Marianum Fulda. www.psw.net 41

41

INFORMATIONSSICHERHEIT

Mit Suchmaschinen-Hacks gravierende Informationslecks aufdecken: Fünf aktuelle Fälle

Alexander Sigel, Martin Wundram

Angreifer können auch heute noch erstaunlich einfach und oft mit speziellen Anfragen an Suchmaschinen Fälle ungewollter Informationspreisgabe aufdecken und ausnutzen. Verwendeten sie bisher klassische Google-Hacks, hat die Gefährlichkeit ihrer Aktionen dank spezialisierter Suchmaschinen wie SHODAN eine neue Stufe erreicht.

IN DIESEM ARTIkEl ERFAHREN SIE…

WAS SIE vORHER WISSEN SOllTEN…

• Ungewollte Informationspreisgabe kann jederzeit auch Sie • Sie haben bereits Google verwendet und sich in Grundzügen

treffen. Wir stellen die neuartige Suchmaschine SHODAN und fünf Fallstudien vor. Zudem erfahren Sie, wie Sie sich schützen können.

mit Webtechniken beschäftigt.

A ber auch Pentester finden so effektiver Sicher- heitslücken bei ihren Auftraggebern. Wir stellen fünf aktuelle Fälle ungewollter Informationspreis-

gabe vor, die wir mit Google und SHODAN recherchiert haben. Dazu gehörte z.B. Vollzugriff auf das persönli- che Backup eines Firmenchefs. Abschließend skizzie- ren wir, wie Sie sich schützen können.

Suchmaschinen-Hacking nach Informationslecks

Suchmaschinen-Hacking ist durch die eindrucksvolle Arbeit von Experten wie Johnny Long seit vielen Jah- ren ein bekanntes Thema. Die Hacks bestehen darin, dass „interessierte Dritte“ mittels cleverer Suchanfra- gen an Informationen gelangen und Zugriff auf Systeme erhalten, die nicht für die Allgemeinheit bestimmt sind. Dazu gehören z.B. Banner von Diensten, die bekann- te Schwachstellen verkünden, der Zugang zu eigentlich vertraulichen Bereichen (z.B. Passwort-Dateien, Bilder und sonstige wertvolle Unternehmensinformationen), oder die Möglichkeit, ans Internet angeschlossene Ge- räte aller Art fernzusteuern und so weitere Informatio- nen zu erlangen. Weil Suchmaschinen unaufhörlich auch versehentlich ungeschützte Systeme, Webseiten und Datenbestände katalogisieren, ist Suchmaschinen- Hacking heute noch mindestens so relevant und spann- end wie damals. Google dork bezeichnete ursprünglich eine Person, die durch kreative Google-Suchanfragen bloßgestellt

42

die durch kreative Google-Suchanfragen bloßgestellt 42 wurde, z.B. weil sie ihre Daten durch einen Konfigura-

wurde, z.B. weil sie ihre Daten durch einen Konfigura- tionsfehler ungewollt exponiert hat. Inzwischen steht „Google dork“ für eine solche Suchanfrage, oder jeman- den, der sich mit derartigen Suchanfragen im Internet „trollt“, oder übergreifend als Bezeichnung für das ge- samte Themenfeld. „Suchmaschinen-Hacking“ und damit verbundene Ri- siken wie information disclosure werden nach unserem Eindruck noch immer deutlich unterschätzt, obwohl sie schon seit Jahren bekannt sind. Wir wollten herausfin- den, ob noch immer so viele Systeme betroffen sind und wie hoch das Gefährdungspotenzial ist. Die Ergebnisse sind ernüchternd: Ja, viele solcher klassischen Hacks funktionieren auch heute noch. Auch ohne tiefer gehen- de Kenntnisse und Werkzeuge kann man tatsächlich al- lein mit Suchmaschinen gravierende Informationslecks aufspüren, auch in Deutschland.

Die Entwicklung von Google-Hacking bis SHODAN

Seit den Pioniertaten von Johnny Long („Johnny I hack stuff”) mit seiner Google Hacking Database (GHDB) ist das Thema Google-Hacking weithin bekannt und wird auch in der Berichterstattung immer wieder aufgegrif- fen. Zu Beginn ging es „Gelegenheits-Hackern“ um den Spaß, ungeschützt mit dem Internet verbundene Geräte wie Webcams zu entdecken, Voyeurismus zu befriedi- gen und diese Geräte, wenn möglich, auch fernzusteu-

7/2011

Mit Suchmaschinen-Hacks gravierende Informationslecks aufdecken: Fünf aktuelle Fälle

ern. Ziel war meist gar nicht, ein bestimmtes Unterneh- men oder bestimmte Personen auszuspionieren. Die Profis hingegen trachten danach, für spezifische Ziele Schwachstellen umfassend und schnell zu finden und auf Ausnutzbarkeit zu prüfen. Die „Bösen“ interessiert z.B. anfällige Fernwirktechnik zu finden, um technische Prozesse mittels eines Computer-Systems überwachen und steuern zu können. Nicht ohne Grund sind Suchbe- griffe wie SCADA (Supervisory Control and Data Acqui- sition) und RTU (Fernbedienungsterminal, Remote Ter- minal Unit) beliebt. Was wäre, wenn es eine spezialisierte Suchmaschi- ne gäbe, die nicht wie Google Webseiten nach Inhal- ten, sondern stattdessen Dienste-Banner von Geräten indexiert (das Port-Scanning also schon erledigt hat)? Wenn sich Banner-Informationen über eine Program- mierschnittstelle (API) abfragen und filtern ließen? Was wäre, wenn man auch nach passenden Exploits suchen könnte? Wenn die Ergebnisse in ein strukturiertes For- mat exportiert werden könnten? Genau das kann SHODAN ( www.shodanhq.com ), benannt nach der künstlichen Intelligenz „Sentient Hyper-Optimized Data Access Network“ (SHODAN) im Spiel „System Shock“. SHODAN gibt es seit 2010. Angeblich hat John Matherly SHODAN ursprünglich für Marketing-Zwecke programmiert und sei erst spä- ter auf den Anwendungsbereich Pentesting aufmerk- sam geworden. SHODAN, inzwischen als „Google für Hacker“ beschrieben, macht Banner durchsuchbar. Diese Banner enthalten insbesondere Angaben über Servernamen, Server-arten, Gerätebezeichnungen, eingesetzte Software und Versionsnummern. Damit gibt SHODAN Schwachstellen gefundener Online-Ge- räte aller Art (z.B. Router, VoIP-Telefone, Multifunkti- onsdrucker, Server) preis. Komfortabel kann nach Na- men, Netzwerken, Ports, Indexierungs-Zeiträumen, geografischen Einschränkungen und SSL-Eigenschaf- ten gefiltert werden. Auflistungen beliebter Suchanfra- gen, die Dritte getaggt und abgespeichert haben, die- nen als ein Ausgangspunkt. Michael Schearer hat in einer Reihe von Vorträgen seit 2010 dargestellt, wie Pentester SHODAN gezielt nutzen können, um solche Schwachstellen aufzudecken.

Fünf Fallstudien zur Informationssicherheit

Wir haben ausgewählte Suchanfragen an die Suchma- schinen Google und SHODAN gestellt. Wir berichten in anonymisierter Form über fünf besonders interessante Funde.

vertrauliche Daten eines CEOs Ein bekannter CEO mehrerer großer US-amerika- nischer IT-Firmen stellte versehentlich eine Vielzahl höchst vertraulicher und intimer Daten ungeschützt und für mehrere Monate in den DocumentRoot sei-

hakin9.org/de

ner privaten Webseite. Über das Verzeichnis /backup (Google-Suche nach „Index of /backup“) „hatten“ wir vollen Zugriff auf mehrere Gigabyte an privaten und geschäftlichen Sicherungsdaten von ihm und Fa- milienmitgliedern. Darin enthalten waren u.a.: Ge- haltsbescheinigungen, Konto- und Depotauszüge, Versicherungspolicen, Gesundheitsangaben, viele Zugangsdaten, Steuererklärungen, Firmendaten wie Bilanzen und geheime Entwicklungsdaten, sowie E- Mails, Web-Browser-History, Cache und Cookies. Of- fensichtlich bestanden dadurch unzählige hohe Risi- ken aller Art wie z.B. Social Engineering, Erpressung, Reputationsverlust, Betrug, Diebstahl oder Identitäts- diebstahl. Diese Geschichte klingt unglaublich, der CEO hat uns aber den Fund persönlich bestätigt. Ihm war nicht klar, dass sein Backup-Verzeichnis für alle frei abrufbar war.

Einkäufe in einem Online-Shop Aufbauend auf der erfolgreichen Google-Anfrage des ersten Falles haben wir wieder nach frei zugängli- chen Backups gesucht, diesmal jedoch mit dem Ziel, Quick-en-Payroll Backups zu finden. Diese enthal- ten vertrauliche Finanz- und Kundendaten wie An- gaben über Käufe und Zahlungen von Kunden, d.h. Anschriften, Bankverbindungen, Kreditkarten-Daten, sowie Anzahl und Art der gekauften Produkte und zu- gehörige Beträge. Dazu haben wir folgende Anfrage verwendet:

„Index of /backup“ „filetype:qpb“.

Als Ergebnis haben wir u.a. einen US-amerikanischen Online-Shop gefunden, der etliche umfangreiche Da- tensicherungen dieser Art im DocumentRoot seiner Webseite abgelegt hat. Zwar sind diese Daten durch ein Standard-Passwort gesichert, lassen sich jedoch problemlos entpacken und als Sybase-Datenbank auswerten.

Telefon-Flirts einer Dating-Plattform So unglaublich es auch klingt, aber auch diesmal sind seit mehreren Jahren vertrauliche Daten im Document- Root einer deutschen Partnervermittlung/Flirt-Plattform frei abrufbar. Vor fünf Jahren waren wir mit folgender Google-Ab- frage auf der Suche nach Sprachaufzeichnungen im

MP3-Format:

-inurl:(htm|html|php) intitle:”index of” +”last modified” +”parent directory” +description +size +mp3 +voicefiles

Der interessanteste Fund war die Dating-Plattform, bei der Tausende von Sprachnachrichten, die sich Be-

+voicefiles Der interessanteste Fund war die Dating-Plattform, bei der Tausende von Sprachnachrichten, die sich Be- 43

43

INFORMATIONSSICHERHEIT

nutzer geschickt hatten ungeschützt im Verzeichnis /user/voicemails ohne Authentifizierung abgerufen wer- den konnten. Der Apache-Webserver listete gefähr- licherweise alle Inhalte des Verzeichnisses auf. Ob- wohl die Flirt-Plattform die Voice-Funktion mittlerwei- le abgeschaltet hat, sind alte Sprachnachrichten noch immer für jeden frei aus dem Verzeichnis zugänglich. Das Beispiel zeigt, wie erhebliche Lücken über Jahre bestehen bleiben und nicht systematisch geschlossen werden.

Drucker und videokonferenz-System eines Anbieters für Büro- und konferenzräume „Was für ein Risiko soll denn schon bei einem Dru- cker bestehen?“, so mag mancher denken. Tatsäch- lich sind Multifunktionsdrucker mittlerweile eher Computer, die neben scannen und faxen auch dru- cken können. Die Weboberflächen dieser Geräte er- lauben die vollständige Administration und Zugriff auf vertrauliche Dokumente wie empfangene Faxe. Sol- che Geräte sind in Hochschulen und Unternehmen weit verbreitet, jedoch oft gar nicht oder nur durch Standard-Kennwörter gesichert. Diese Institutionen verfügen in der Regel über feste IP-Adressen, so- dass diese Drucker hin und wieder aus dem Internet erreichbar sind. Über die Suche in Shodan (Ricoh „200 OK“ country:DE) fanden wir einen deutschen Anbieter für Büro- und Konferenzräume mit Standorten in mehreren Städ- ten, bei dem wir sensible Informationen aus dessen

Druckern auslesen und diese sogar administrieren konnten: Welcher Anwender hat wann welches Doku- ment gedruckt, ein Fax gesendet oder erhalten (inkl. Thumbnails der Dokumente)? Was steht im Adress- buch? Welche weiteren Geräte und welche Informatio- nen über das Netzwerk allgemein lassen sich über die Weboberfläche finden? Wir hätten auch Faxe an ex- terne Nummern weiterleiten, Scans zu uns umlenken oder sogar eigene (manipulierte) Firmware einspielen können. Neugierig geworden, haben wir mit Shodan zu diesem Unternehmen auch nach speziellen Vi- deokonferenz-Systemen gesucht (Polycom „200 OK“ <NameDesUnternehmens>). Die gefundene, ungesicherte Polycom-Anlage war sehr gesprächig. Wer konferiert mit wem? Kann man auf dem übertragenen Bild durch Shoulder Surfing vertrauliche Geschäftsgeheimnis- se erkennen? Es wäre sogar möglich, (teure) externe Nummern anzurufen. Diese Geräte weisen nicht selten „klassische“ Pro- bleme wie leicht ausnutzbare Fehler in den Authentifi- zierungsroutinen (Admin-Passwort im JavaScript-Code „versteckt“, „geheimer“ Super-Admin-Account ohne Passwort, Vollzugriff nach Einfügen eines / in die URL) und z.B. XSS-Schwachstellen auf.

CISCO-Router und voIP-Anlage eines Industrieunternehmens Abschließend haben wir auf Shodan nach unge- schützten Routern, Switches (cisco last-modified „200

Weiterführende Informationen

Johnny Long („Johnny I hack stuff“), „j0hnnyhax“ http://en.wikipedia.org/wiki/Johnny_Long

• The Google Hacker’s Guide Understanding and Defending Against the Google Hacker http://34n118w.net/130/The_Google_Hackers_Guide_v1.0.pdf (März 2004)

• Google Hacking for Penetration Testers. Vol. 1 (1. Aufl. Februar 2005). Vol. 2 (1. Aufl. November 2007). Syngress.

• Google Hacking Database (GHDB) http://www.hackersforcharity.org/ghdb/

• Vielzahl von Veröffentlichungen

GooPot (ca. 2005-2007)

• Google Hacking Honeypot (GHH), zur Erkennung von Angreifern, die Google-Hacks nutzen http://ghh.sourceforge.net/

SHODAN-Suchmaschine,

http://docs.shodanhq.com/projects.html (Projekte, die SHODAN nutzen)

• mehrere Präsentationen von Michael Schearer („theprez98“) über SHODAN, z.B.:

• „SHODAN for Penetration Testers“, @„The Next Hope“, 16.7.2010

• „SHODAN for Penetration Testers“, @ Defcon 18, 1.8.2010

• „Exploiting Banners for Fun & Profit!“, @ The CERIAS Security Seminar Series, 9. März 2011

44

Profit!“, @ The CERIAS Security Seminar Series, 9. März 2011 http://www.youtube.com/watch?v=WFQFCrlgUu0 44 7/2011

7/2011

OK“ country:DE ) und VoIP-Systemen ( snom embedded „200 OK“ country:DE ) gesucht. Diese zählen

OK“ country:DE) und VoIP-Systemen (snom embedded „200

OK“ country:DE) gesucht. Diese zählen im Moment zu den beliebtesten Shodan-Anfragen. Ein Provider er- laubte die Exploration eines Switches. Ein CISCO- Router eines deutschen Industrieunternehmens war auch auf privilege level 15 ungeschützt (d.h. jeder im Netz ist root). Besonders gefährlich war, dass der Router sämtliche Details der Konfiguration und des Netzwerkes preisgegeben hat. Das bedeutet, wir hätten die Routen ändern können! Ein gefunde- nes Snom-System gab uns ungeschützt Zugriff auf Adressbuch, Kurzwahlziele und Logfiles und sogar PCAP-Traces von laufenden Gesprächen bzw. dem Netzwerkverkehr im LAN des Telefons. Auch einige Snom-Geräte „verstecken“ das Admin-Passwort im HTML-Quelltext.

Gegenmaßnahmen

Zum einen sind die Ursachen der Schwachstellen meist menschlicher Art, zum anderen gibt es immer mehr vernetzte Geräte, auch bei technischen Laien. Wirksa- me Gegenmaßnahmen sind daher wichtiger denn je:

1. Hack yourself. Hacken Sie sich regelmäßig selbst, auch mit Suchmaschinen. 2. Halten Sie Informationen, die Dritte nichts angehen, aus Suchmaschinen fern (z.B. Banner deaktivieren, um „unter dem Radar zu bleiben“). Dies gilt auch für vermeintlich weniger wich- tige Geräte, wie Multifunktionsdrucker. 3. Der Klassi- ker: Prüfen Sie Logfiles, die auf unberechtigte Zugrif- fe hindeuten und schränken Sie Zugriffsmöglichkeiten gewissenhaft ein.

MARTIN WuNDRAM, AlExANDER SIGEl

gewissenhaft ein. MARTIN WuNDRAM, AlExANDER SIGEl hakin9.org/de Alexander Sigel (Sigel@DigiTrace.de) ist
gewissenhaft ein. MARTIN WuNDRAM, AlExANDER SIGEl hakin9.org/de Alexander Sigel (Sigel@DigiTrace.de) ist

hakin9.org/de

Alexander Sigel (Sigel@DigiTrace.de) ist Berater und Sachverständiger für IT-Fo- rensik und Informationssicherheit.

Martin Wundram (wundram@tronicguard. com) ist Geschäftsführer der TronicGuard GmbH und auditiert dort regelmäßig Unternehmen auf deren Sicherheit.

com) ist Geschäftsführer der TronicGuard GmbH und auditiert dort regelmäßig Unternehmen auf deren Sicherheit. 45

45

Datenschutz ist EU-weit gesetzliche Anforde- rung. Wir sorgen für die Erfüllung rechtlicher Vorschriften und kümmern

Datenschutz ist EU-weit gesetzliche Anforde- rung. Wir sorgen für die Erfüllung rechtlicher Vorschriften und kümmern uns um ein ange- messenes Datenschutzniveau in Ihrem Unter- nehmen, auch international. www.blossey-partner.de

Unter- nehmen, auch international. www.blossey-partner.de Securitymanager.de ist eine Produktion des Online-Verlag

Securitymanager.de ist eine Produktion des Online-Verlag FEiG & PARTNER. Seit dem Start hat sich Securitymanager.de zu einem führenden Online-Informationsportal in Deutschland entwickelt und versteht sich als unabhängiger Informationsdienstleister der IT- und Information-Security-Branche. www.securitymanager.de

Information-Securit y -Branche. www.securitymanager. de Pericom base camp IT-Security: Unser Ziel ist es, unsere

Pericom base camp IT-Security: Unser Ziel ist es, unsere Kunden vor möglichen Gefahren für Ihre IT-Infrastruktur bestmöglich zu schüt- zen. Neben der Analyse von Risikopotentia- len durch Security Audits bieten wir, durch die Implementierung von Security-Lösungen, Schutz vor konkreten Gefahren. www.pericom.at

Schutz vor konkreten Gefahren. www.pericom.at Recommended Sites Die Netzwerktechnik steht auf
Schutz vor konkreten Gefahren. www.pericom.at Recommended Sites Die Netzwerktechnik steht auf
vor konkreten Gefahren. www.pericom.at Recommended Sites Die Netzwerktechnik steht auf www.easy-ne- twork.de im

Die Netzwerktechnik steht auf www.easy-ne- twork.de im Mittelpunkt. Artikel, Tutorials und ein Forum bieten genügen Stoff für kommende Administratoren und Netzwerkprofis.

Administratoren und Netzwerk p rofis. www.easy-network.de Happy-Security ist ein neues Portal mit Secu-

Happy-Security ist ein neues Portal mit Secu- rity-Challanges, IT-Quiz, Web-Bibliothek, Multi- media-Center & vielen weiteren Features. www.happy-security.de

& vielen weiteren Features. www.happy-security.de CloudSafe stellt seinen Nutzern eine Plattform zur

CloudSafe stellt seinen Nutzern eine Plattform zur kryptographisch sicheren Ablage und Verwal- tung von sensiblen Daten zur Verfügung: Nutzer können auf CloudSafe beliebig viele Dokumente in virtuellen Safes ablegen. Es können weite- ren Personen individuelle Zugriffsrechte auf die Safes eingeräumt und somit ein sicherer Daten- austausch ermöglicht werden. www.cloudsafe.com

Daten- austausch ermöglicht werden. www.cloudsafe.com Die Seed Forensics GmbH bietet für Strafver-

Die Seed Forensics GmbH bietet für Strafver- folgungsbehörden professionelle Unterstützung in den Bereichen der Datensicherstellung und Datenträgerauswertung. Selbstverständlich entsprechen unsere Mitarbeiter, unser tech- nisches Equipment und auch unsere Räumli- chkeiten den notwendigen Anforderungen. www.seed-forensics.de

notwendi g en Anforderun g en. www.seed-forensics.de AV-Comparatives Hier findest Du alles, geht hervor was

AV-Comparatives Hier findest Du alles, geht hervor was das aus Herz dem eines Inns-

brucker Computerfreaks Kompetenzzentrum höher schlagen und gilt lässt: als Geek eines

der Wear bekanntesten mit intelligenten unabhängigen Sprüchen, eine Testhäuser riesige

für Auswahl Antiviren-Software. Gadgets und natürlich auch viele Hacker Tools. www.av-comparatives.org www.getDigital.de

Tool s. www.av-com p aratives.or g www.getDigital.de base-camp AV-Comparatives IT-Security geht & hervor

base-camp AV-Comparatives IT-Security geht & hervor Solutions: aus dem Unser Inns-

Ziel brucker ist es, Kompetenzzentrum unsere Kunden vor und möglichen gilt als eines

Gefahren der bekanntesten für Ihre IT-Infrastruktur unabhängigen bestmöglich Testhäuser

zu für schützen. Antiviren-Software. Neben der Analyse von Risiko-

durch die Implementierung von Security- Lösungen, Schutz vor konkreten Gefahren. www.base-camp.cc

Wollen Sie Ihre Seite empfehlen, kontaktieren Sie bitte: de@hakin9.org

Recommended Companies

Mabunta Die mabunta GmbH agiert als hoch- spezialisierter und kompetenter Partner rund um IT-Security- und
Mabunta
Die mabunta GmbH agiert als hoch-
spezialisierter und kompetenter Partner
rund um IT-Security- und Netzwerk-Lö-
sungen. Wir unterstützen bei IT-Sicher-
heitsfragen in allen Unternehmens-
bereichen, verbinden Wachstum mit
sicherer Kommunikation.
Alles in allem- mabunta „one-face-to-
the-customer“, Ihr Spezialist in Fragen
der IT-Sicherheit.
www.mabunta.de
SEC Consult SEC Consult SEC Consult ist der führende Berater für Information Security Consulting in
SEC Consult
SEC Consult
SEC Consult ist der führende Berater
für Information Security Consulting in
Zentraleuropa. Die vollständige Unab-
hängigkeit von SW- und HW-Herstellern
macht uns zum echten Advisor unserer
Kunden. Unsere Dienstleistungen umfa-
ssen externe/interne Sicherheitsaudits,
(Web-) Applikationssicherheit (ONR 17-
700), Sicherheitsmanagement-Prozesse
(ISO 27001) etc.
www.sec-consult.com
Tele-Consulting GmbH Vom BSI akkreditiertes Prüflabor für IT- Sicherheit, hakin9 und c’t Autoren, jah- relange
Tele-Consulting GmbH
Vom BSI akkreditiertes Prüflabor für IT-
Sicherheit, hakin9 und c’t Autoren, jah-
relange Erfahrung bei der Durchführung
von Penetrationstests und Security-Au-
dits, eigener Security Scanner „tajanas”,
Sicherheitskonzepte, Risikoanalysen,
IT-Grundschutz-Beratung, 3 lizenzierte
ISO 27001-Auditoren, VoIP-Planung
und -Security
www.tele-consulting.com
secXtreme GmbH schützt Ihre Web-Anwendungen bis auf Applikationsebene. Dazu gehört sowohl die Prüfung von
secXtreme GmbH
schützt Ihre Web-Anwendungen bis
auf Applikationsebene. Dazu gehört
sowohl die Prüfung von Applikationen
(Pentests und Code-Reviews) als auch
Beratungsleistungen für Sicherheit im
Entwicklungsprozess und Schutzlö-
sungen (Web Application Firewalls) bei
Großunternehmen und dem gehobenen
Mittelstand.
www.sec-Xtreme.com
B1 Systems Die B1 Systems ist international tätig in den Bereichen Linux/Open Source Consulting, Training
B1 Systems
Die B1 Systems ist international tätig
in den Bereichen Linux/Open Source
Consulting, Training und Support. B1
Systems spezialisiert sich in den Be-
reichen Virtualisierung und Cluster.
info@b1 -systems.de
www.b 1 -systems.de
Blossey & Partner Consulting Datenschutzbüro Datenschutz ist EU-weit gesetzliche An- forderung. Wir sorgen für
Blossey & Partner
Consulting Datenschutzbüro
Datenschutz ist EU-weit gesetzliche An-
forderung. Wir sorgen für die Erfüllung
rechtlicher Vorschriften und kümmern
uns um ein angemessenes Daten-
schutzniveau in Ihrem Unternehmen,
auch international. Wir erledigen alle er-
forderlichen Aufgaben, die Fäden behal-
ten Sie in der Hand. Nutzen Sie unser
Erstberatungsgespräch.
www.blossey-partner.de

Recommended Companies

NESEC NESEC ist Ihr Spezialist für Penetra- tionstests, Sicherheitsanalysen und IT-Security Counsulting. Das NESEC
NESEC
NESEC ist Ihr Spezialist für Penetra-
tionstests, Sicherheitsanalysen und
IT-Security Counsulting. Das NESEC
Pentest-Team unterstützt Sie bei Si-
cherheitsprüfungen Ihrer Netzwerke
und Webapplikationen sowie bei Sour-
ce Code Audits. Bei Bedarf optimieren
wir Ihre Policy, sensibilisieren Ihre
Mitarbeiter und zertifizieren Ihr Unter-
nehmen nach ISO 27001.
www.nesec.de
Seed Forensics GmbH Die Seed Forensics GmbH bietet für Strafverfolgungsbehörden profe- ssionelle Unterstützung in
Seed Forensics GmbH
Die Seed Forensics GmbH bietet
für Strafverfolgungsbehörden profe-
ssionelle Unterstützung in den
Bereichen der Datensicherstellung
und Datenträgerauswertung. Selbst-
verständlich entsprechen unsere
Mitarbeiter, unser technisches Equip-
0ment und auch unsere Räumlichkeiten
den notwendigen Anforderungen.
www.seed-forensics.de
m-privacy GmbH IT-Sicherheitslösungen – funktional und einfach zu bedienen! So präsentieren sich die von m-privacy
m-privacy GmbH
IT-Sicherheitslösungen – funktional und
einfach zu bedienen!
So präsentieren sich die von m-privacy
entwickelten TightGate™-Server, z.B.
TightGate™-Pro mit Datenschutz-Gü-
tesiegel. Es bietet als erstes System
weltweit einen kompletten Schutz vor
Online-Spionage, Online-Razzien und
gezielten Angriffen!
www.m-privacy.de
OPTIMAbit GmbH Wir sind Spezialisten für Entwicklung und Security. Wir sichern Java, .NET und Mobile
OPTIMAbit GmbH
Wir sind Spezialisten für Entwicklung
und Security. Wir sichern Java, .NET
und Mobile Applikationen gegen Angriffe
externer und interner Art. Unsere Dien-
ste umfassen Audits, Code Reviews,
Penetrationstest, sowie die Erstellung
von Policies. Zusätzlich bieten wir Semi-
nare zu sicherheitsrelevanten Themen.
www.optimabit.com
Protea Networks Protea ist spezialisiert auf IT-Security- Lösungen: Verschlüsselung, Firewall/ VPN,
Protea Networks
Protea ist spezialisiert auf IT-Security-
Lösungen: Verschlüsselung, Firewall/
VPN, Authentifizierung, Content-Filte-
ring, etc. Wir bieten umfassende Bera-
tung, Vertrieb von Security-Hard- und
Software, Installation und umfangreiche
Dienstleistungen (z. B. Konzeption, Trai-
nings). Protea setzt auf Lösungen der
Markt- und Technologieführer und hält
dafür direkten inhouse-Support bereit.
www.proteanetworks.de
secadm secadm ist durchtrainierter Spezialist für Airbags, ABS und Sicherheitsgurte in der IT. Zehn
secadm
secadm ist durchtrainierter Spezialist für
Airbags, ABS und Sicherheitsgurte in der
IT. Zehn IT-Sicherheitsexperten mit 70
Mannjahren Erfahrung beraten, entwi-
ckeln und implementieren IT-Lösungen
für Kunden weltweit. Der Fokus liegt da-
bei auf Themen wie Prozess-Optimierung
und Security-Management. Risiko-Analy-
se, die Sicherheitsberatung, Auditing, Se-
curity-Leitfäden, Software-Entwicklung,
Reporting bis zum Training.
www.secadm.de
SecureNet GmbH, München Als Softwarehaus und Web Application Security Spezialist bieten wir Expertise rund um
SecureNet GmbH, München
Als Softwarehaus und Web Application
Security Spezialist bieten wir Expertise
rund um die Sicherheit von Webanwen-
dungen: Anwendungs-Pentests, Sour-
cecodeanalysen, Secure Coding Gui-
delines, Beratung rund um den Software
Develoment Lifecycle. Tools: Application
Firewalls, Application Scanner, Fortify
SCA/Defender/Tracer.
www.securenet.de
underground_8 secure computing gmbh Wir entwickeln und vertreiben securi- ty appliances für die Bereiche Unified
underground_8
secure computing gmbh
Wir entwickeln und vertreiben securi-
ty appliances für die Bereiche Unified
Threat Management, Traffic Shaping
und Antispam. Unsere Lösungen sind
hardwarebasiert und werden über Dis-
tributoren, Reseller und Systemintegra-
toren implementiert und vertrieben.
www.underground8.com