Vortrag und Live-Demo zu Schwachstellensuche und –absicherung
3. November 2010, 16:15-18:00 Uhr, TU Darmstadt | Gebäude S2/02 Raum C120
Studierende und Interessierte können sich bei der Veranstaltung an der TU Darmstadt über Hacker-Methoden in der IT-Sicherheitsausbildung informieren.
Im Anschluss an seinen Vortrag demonstriert Dr. Martin Mink vom Center for Advanced Security Research (CASED) in einer Live-Demo die (Un)Sicherheit von Webshops und Methoden zur Absicherung.
»Lance Maggiacomo was out of work, bored and lonely when he started hiding his online relationships from his wife.
There was no affair, only chatting through e-mail, yet it felt like cheating just the same.
A few years later, a reformed Maggiacomo has an in-house check on his impulses. He and his wife Lori, like other Christian couples around the country, share one e-mail account as a safeguard against the ever-expanding temptations of the Internet.«
(USATODAY.com:
Christian couples share e-mail addresses to stay faithful)
Waren Frühwarnsysteme nicht in den letzen Jahren ein unheimlich wichtiges Forschungsthema, das nach großzügiger Projektförderung verlangt? Genützt hat es anscheinend nicht viel. Seit gestern staunen die Leitmedien (1, 2) über die Meldung, Java habe den Flash Player als Angriffsziel überholt und einen deutlichen Vorsprung herausgefahren.
Diese Meldung ist in der Tat überraschend – wenn man in den letzten Jahren geschlafen und alle verfügbaren Daten ignoriert hat. Ich zeige Euch mal zwei Folien aus einem Vortrag, den ich vor anderthalb Jahren als Auftragsarbeit gehalten habe. Im ersten Diagramm vergleiche ich für Flash und Java die Zahl bekannter Verwundbarkeiten, d.h. die Zahl der CVE-Datensätze über beliebige Versionen des jeweiligen Produkts im Untersuchungszeitraum von Januar 2008 bis Mai 2009. Zum Vergleich gibt es in der Mitte noch einen Balken für den Internet Explorer, den Standardbrowser des Kunden:
Das zweite Diagramm beruht auf denselben Daten. Hier habe ich aber nicht nur Verwundbarkeiten gezählt, sondern jeden Eintrag nach seinem CVSS-Score gewichtet. Dieser Wert zwischen 0 und 10 gibt an, wie schwerwiegend eine Verwundbarkeit ist. Damit wird das Bild noch deutlicher. Schon damals hatte Java nicht nur mehr Probleme, sie waren im Mittel auch noch schwerwiegender:
Unser Kunde wollte damals wissen, welche Risiken er sich einhandelt, wenn er seinen Anwendern den Flash Player in die Hand gibt. Ein Blick in die Verwundbarkeitsstatistik lag nahe. Zwar steht dort nicht, wie oft Angriffe erfolgen, aber man bekommt eine Vorstellung davon, wo sie sich lohnen, also eine hohe Erfolgswahrscheinlichkeit haben. Dass sich solche Angriffe dann auch ereignen, sollte niemanden verwundern.
Dass Java weit genug verbreitet ist, um auch Streuangriffe im Netz attraktiv zu machen, ist auch keine Neuigkeit. Sogar Adobe sieht Java nach Verbreitung auf dem zweiten Platz gleich hinter dem Flash Player. Diese Zahlen haben sich seit damals nicht wesentlich verändert.
Man muss das Geld dort abholen, wo es liegt:
»Bei 51 sogenannten Skimming-Angriffen in Frankfurt sei seit Jahresbeginn ein Schaden von 460 000 Euro entstanden, teilte die Polizei am Freitag mit. Es liegen über 400 Anzeigen vor. Im gesamten vergangenen Jahr hatte es 26 Angriffe auf Geldautomaten gegeben.«
(Echo Online:
Immer mehr Attacken auf Bankautomaten)
Zum Vergleich, die Zahlen für ganz Sachsen lagen im vergangenen Jahr in ähnlicher Höhe, während es hier nur um Frankfurt geht.
For those who aren’t aware of it yet: the ECRYPT II Network of Excellence maintains »a list of recommended cryptographic algorithms (e.g. block ciphers, hash functions, signature schemes, etc) and recommended keysizes and other parameter settings (where applicable) to reach specified security objectives.« This list is available as a public report, one can download the current version from their web site. If you need to assess the security and suitability of an algorithm used somewhere, this might be a valuable source.
a) Es regnet in 30 Prozent des Vorhersagegebietes (Fläche)
b) Es regnet 30 Prozent der Vorhersagezeit (Zeit)
c) In 30 Prozent der Tage mit gleicher Wetterlage (Erfahrung)
http://www.3sat.de/mediathek/mediathek.php?obj=20494&mode=play
Dieses Stück werde ich voraussichtlich auf der ISSE/GI Sicherheit 2010 ausführen:
(Außerdem halte ich da auch noch einen Vortrag über die pragmatische Schätzung der Angriffsfläche von Webanwendungen.)
Security = Mechanismus * Angreifer / User
(Vielleicht schlafe ich besser noch mal ’ne Nacht drüber.)
Wir suchen übrigens neue Kollegen. Sie sollten Software in Einzelteile zerlegen und die Ergebnisse verständlich erklären können.
Successful games manipulate people, creating artificial tasks and challenges that people love to spend time on. This is hard but one can learn it. Hard it is because one need to carefully balance difficulty. A game must pose a challenge to be interesting but avoid being too hard and thus frustrating. Guess why so many games come with some concept of levels of difficulty?
The learnable part is game mechanics. Game mechanics is about the building blocks of a game, design patterns for artificial tasks and challenges that engage the player. The SCVNGR Game Dynamics Playdeck documents 47 such patterns. Their use is not limited to recreational games. Applications and Web sites may employ some of the elements, and con artists and social engineers are exploiting some very similar strategies to trick people into compliance.
Da fühle ich mich doch gleich viel besser:
Das Problem hinter solchen Fenstern ist durchaus interessant. Wirksame Sicherheitsmaßnahmen sorgen dafür, dass nichts passiert. Man sieht also nichts. Dass man nichts sieht, heißt aber umgekehrt nicht dass nichts passiert. Und dass nichts passiert, muss nicht an den Sicherheitsmaßnahmen liegen. Die Wirksamkeit und Wirkung von Sicherheitsmaßnahmen zu demonstrieren, kann deshalb schwer sein. Eine Behauptung in großer Schrift löst das Problem allerdings nur unzureichend.
Zu den Grundfertigkeiten aller Sicherheitsverantwortlichen gehört die Kunst, es nicht gewesen zu sein. Sie selbst verdanken ihre Jobs nur dieser Kunst, denn eingestellt hat man sie, damit es andere nicht gewesen sind. Wer jemanden für die Sicherheit eingestellt hat, der kann es nicht gewesen sein, er hat ja was getan. Der nächste in der Kette hat nun kaum eine andere Möglichkeit als seinerseits dafür zu sorgen, dass er es auch nicht gewesen sein wird, wenn einmal etwas schiefgeht. Und so wird er Sicherheitsprodukte einkaufen, Sicherheitsdienstleister beauftragen und Sicherheitsstandards umsetzen. Ob das — in der IT-Sicherheit, woanders wissen wir mehr — etwas bringt, steht in den Sternen. Aber wenn etwas passiert, ist es keiner gewesen.
Für einen eigenen Kommentar zum Sommerlochthema De-Mail habe ich gerade keine Zeit, deshalb nur schnell zwei Links:
Das Rheinlandtreffen „Praktische IT-Sicherheit“ findet in diesem Jahr früher als gewohnt am 31.8. und 1.9. in der Hochschule Bonn-Rhein-Sieg statt. Ich bin mit einem Vortrag zum produktionssicheren Testen dabei, dessen Inhalt im Wesentlichen unserem Artikel in der <kes> 2010#2 folgt. Sicherheitstests sind ein Schwerpunkt der Veranstaltung, aber nicht das einzige Thema. Das komplette Programm gibt’s auf der Website bei unseren Kollegen vom Fraunhofer INT, wo man sich auch anmelden kann.
Das ist eine hervorragende Idee:
»Der Gesetzentwurf SB 1453 des Demokraten aus Inglewood sieht vor, Kaliforniens blecherne Nummernschilder durch digitale zu ersetzen. Die elektronische Anzeige könne dann auf Werbung umschalten, sobald ein Auto länger als vier Sekunden steht.«
Auf solche Spielzeuge warten wir schon lange.
Sicher ist sicher? 