Archiv der Kategorie: IT

Information Technology

Autoimmunerkrankung

Freundlich zum Nutzer, IT, Security, , ,

Das hätte eine Vorlage für einen billigen, aber soliden Gag werden können. Auf den Besuch der Downloadseite für den Adobe Flash Player reagierte der Internet Explorer auf Veranlassung der DEP vollkommen korrekt:

Dumm nur, dass der Download die vorhandene ältere Version ersetzen sollte, deren Verwundbarkeiten sich zu weit herumgesprochen haben. Gewiss hat der IE recht, ich bin jetzt auch nicht viel sicherer als vorher, schon gar nicht mit dem IE. Aber den Gepflogenheiten widerspricht das Verhindern von Updates doch. Allerdings kann ich guten Gewissens mit dem Finger auf Adobe zeigen: den expliziten Download von der Website habe ich überhaupt nur gewählt, weil ich nicht erst recherchieren wollte, wie man Updates für dendie Player auslöst.

Hacking als Beruf

Events, IT, Propaganda, Security, Testlabor,

Vortrag und Live-Demo zu Schwachstellensuche und –absicherung
3. November 2010, 16:15-18:00 Uhr, TU Darmstadt | Gebäude S2/02 Raum C120

Studierende und Interessierte können sich bei der Veranstaltung an der TU Darmstadt über Hacker-Methoden in der IT-Sicherheitsausbildung informieren.

Im Anschluss an seinen Vortrag demonstriert Dr. Martin Mink vom Center for Advanced Security Research (CASED) in einer Live-Demo die (Un)Sicherheit von Webshops und Methoden zur Absicherung.

Von wegen Frühwarnung

Erich fragt, Forschung, IT, Security, Vulnerability, Zahlenspiele, , , , ,

Waren Frühwarnsysteme nicht in den letzen Jahren ein unheimlich wichtiges Forschungsthema, das nach großzügiger Projektförderung verlangt? Genützt hat es anscheinend nicht viel. Seit gestern staunen die Leitmedien (1, 2) über die Meldung, Java habe den Flash Player als Angriffsziel überholt und einen deutlichen Vorsprung herausgefahren.

Diese Meldung ist in der Tat überraschend – wenn man in den letzten Jahren geschlafen und alle verfügbaren Daten ignoriert hat. Ich zeige Euch mal zwei Folien aus einem Vortrag, den ich vor anderthalb Jahren als Auftragsarbeit gehalten habe. Im ersten Diagramm vergleiche ich für Flash und Java die Zahl bekannter Verwundbarkeiten, d.h. die Zahl der  CVE-Datensätze über beliebige Versionen des jeweiligen Produkts im Untersuchungszeitraum von Januar 2008 bis Mai 2009. Zum Vergleich gibt es in der Mitte noch einen Balken für den Internet Explorer, den Standardbrowser des Kunden:

Balkendiagramm mit Verwundbarkeitszahlen (Anzahl CVE) für den Zeitraum Januar 2008 bis Mai 2009: Flash - 21, IE - 42, Java - 55

Das zweite Diagramm beruht auf denselben Daten. Hier habe ich aber nicht nur Verwundbarkeiten gezählt, sondern jeden Eintrag nach seinem CVSS-Score gewichtet. Dieser Wert zwischen 0 und 10 gibt an, wie schwerwiegend eine Verwundbarkeit ist. Damit wird das Bild noch deutlicher. Schon damals hatte Java nicht nur mehr Probleme, sie waren im Mittel auch noch schwerwiegender:

Balkendiagramm mit Verwundbarkeitszahlen (Anzahl CVE gewichtet nach CVSS-Score) für den Zeitraum Januar 2008 bis Mai 2009: Flash - ca. 140, Java - ca. 440

Unser Kunde wollte damals wissen, welche Risiken er sich einhandelt, wenn er seinen Anwendern den Flash Player in die Hand gibt. Ein Blick in die Verwundbarkeitsstatistik lag nahe. Zwar steht dort nicht, wie oft Angriffe erfolgen, aber man bekommt eine Vorstellung davon, wo sie sich lohnen, also eine hohe Erfolgswahrscheinlichkeit haben. Dass sich solche Angriffe dann auch ereignen, sollte niemanden verwundern.

Dass Java weit genug verbreitet ist, um auch Streuangriffe im Netz attraktiv zu machen, ist auch keine Neuigkeit. Sogar Adobe sieht Java nach Verbreitung auf dem zweiten Platz gleich hinter dem Flash Player. Diese Zahlen haben sich seit damals nicht wesentlich verändert.

P.S.: Woanders klappt es auch nicht mit der Frühwarnung.

ECRYPT II Yearly Report on Algorithms and Key Lengths

English, IT, Security, , ,

For those who aren’t aware of it yet: the ECRYPT II Network of Excellence maintains »a list of recommended cryptographic algorithms (e.g. block ciphers, hash functions, signature schemes, etc) and recommended keysizes and other parameter settings (where applicable) to reach specified security objectives.« This list is available as a public report, one can download the current version from their web site. If you need to assess the security and suitability of an algorithm used somewhere, this might be a valuable source.

 

Fiktionsfalle

IT, Propaganda, Regierungsviertel

Fefe hat ein Whitepaper zum nPA gefunden. Darin heißt es unter anderem:

»Sofern der Ausweis missbräuchlich verwendet wurde, liegt eine Täuschung des Dienstanbieters in der Person des Kunden vor. Die vom Angreifer abgegebene Willenserklärung ist für den Inhaber des Ausweises nicht bindend.«

Das ist eine sinnvolle Regelung, und wenn ich mit meinem guten Namen zahle, dann wird sie seit jeher so angewandt. Allerdings fehlt den eID-Funktionen im neuen Personalausweis ein Element, das die Abstreitbarkeit erst ermöglicht. Zu meiner Kreditkarte bekomme ich jeden Monat eine Liste der mir zugeschriebenen Vorgänge. Dieser Service fehlt dem elektrischen Ausweis.

Praktische IT-Sicherheit 2010

Events, IT, Propaganda, Security, Testlabor, Unterwegs, , ,

Das Rheinlandtreffen „Praktische IT-Sicherheit“ findet in diesem Jahr früher als gewohnt am 31.8. und 1.9. in der Hochschule Bonn-Rhein-Sieg statt. Ich bin mit einem Vortrag zum produktionssicheren Testen dabei, dessen Inhalt im Wesentlichen unserem Artikel in der <kes> 2010#2 folgt. Sicherheitstests sind ein Schwerpunkt der Veranstaltung, aber nicht das einzige Thema. Das komplette Programm gibt’s auf der Website bei unseren Kollegen vom Fraunhofer INT, wo man sich auch anmelden kann.

ROTFL

Geschäft, IT, Nebenwirkung, , , ,

Als wären die Online-Postmodelle von De-Mail bis E-Postbrief nicht schon absurd genug, melden sich auch noch die Formalisten zu Wort:

»Hessische Lottospieler können ihre Tipps künftig auch über das Internet abgeben – möglich macht das der neue E-Postbrief. Suchtexperten schlagen Alarm, der Fachbeirat Glücksspielsucht klagt gegen das hessische Innenministerium.«

(HR: Fachbeirat gegen Lotto per E-Brief: „Das ist krass rechtswidrig“)

Ganz bestimmt macht Lotto per E-Postbrief süchtig.

Security Engineering vs. Targeted Attacks

English, IT, Security, Werkbank

In a followup blog post on Zalewski’s security engineering rant, Charles Smutz argues that security engineering cannot solve the problem of targeted attacks:

»Lastly, while it technically would be possible to engineer defenses that would be effective, very few people really want to live the resulting vault in fort knox, let alone pay for the construction.«

(SmuSec:
Security Engineering Is Not The Solution to Targeted Attacks)

So what can security engineering do for us—and what can we do if we want to take reasonable precautions against targeted attacks?

P.S.: This new paper by Cormac Herley might be losely related: The Plight of the Targeted Attacker in a World of Scale. I haven’t read it yet.

Bigger Dogs

English, IT, Propaganda, Security,

Robert Graham of Errata Security explains how the notion of cyberwarfare misses reality by an inch or two:

»I’m reading various articles about the Russia’s proposal, with support from the UN, for a „cyberwarfare arms limitation treaty“. What astounds me is that nobody seems to realize that „cyberwarfare“ is a fictional story, and that „arms“ in cyberspace don’t exist. (…)«

(Errata Security: Cyberwar is fiction)

There isn’t much to comment on his text. I think he got it right.