Archiv der Kategorie: Security

Patchday

Events, Security, Testlabor, Unterwegs, , , ,

Der Geldautomat hat gesagt, meine Karte sei nun wieder gesund. Die Sparkassen haben das Kartenupdate über die Geldautomaten also offenbar laufen und es scheint innerhalb der Sparkassenorganisation auch überregional zu funktionieren. Das ist technisch eh‘ kein Problem, verdient angesichts der organisatorischen Kleinstaaterei aber dennoch ein Lob. Ob die Volks- und Raiffeisenbanken das auch so hinkriegen?

Den Anschluss verloren

Erich fragt, IT, Security, ,

Was kann man heutzutage eigentlich noch mit einem IE (v8) anstellen, dem man Inhalte in die lokale Sicherheitszone legt, also ins Filesystem? Bei aktiven Inhalten, JavaScript und so, fragt er erst mal nach, bevor er sie ausführt. Was würde man statt dessen versuchen?

Warum ich frage? Ich habe hier einen Firefox unter Windows XP, dem irgend jemand beigebracht hat, für bestimmte HTTP-Responses den IE aufzurufen, und zwar so, dass der IE den Inhalt als HTML interpretiert.

Frommer Wunsch

Freundlich zum Nutzer, IT, Security, Zwischenruf, ,

Wenn wir Programmierern die Möglichkeit geben, sich (bzw. den Anwendern ihrer Produkte) in den Fuß zu schießen, was werden sie dann wohl tun? Genau, sie werden sich (bzw. den Anwendern ihrer Produkte) in den Fuß schießen. Daran ändern auch Gebete nichts:

»8.5 SQL Injection

Authors are strongly recommended to make use of the ? placeholder feature of the executeSql() method, and to never construct SQL statements on the fly.«

(W3C: Web SQL Database, Editor’s Draft 14 January 2010)

Kann sich nicht mal jemand hinsetzen und das richtig machen?

7.015.630.000-mal FKK für einen Terroristendarsteller

Angst, Propaganda, Risiko, Security, Zahlenspiele, ,

Irrationale Debatten um Sicherheitsutensilien werden anscheinend zur neuen Jahreswechselmode. Erregte vor einem Jahr der Skihelm die Medien, ist es diesmal der Nackigscanner. Eigentlich gibt es für die Debatte nicht einmal einen richtigen Anlass. Auslöser war ein unbeholfener, gescheiterter Anschlagsversuch in einem Flugzeug. Passiert ist nichts, deshalb brauchen wir neue Sicherheitsgroßtechnik?

Gewiss, wir reden über Konjunktive — hätte, könnte, wäre — wie in jeder Risikobetrachtung. Aber wir haben auch Daten: um mit derselben Wahrscheinlichkeit an Bord eines Flugzeuges Terrorismus zu erleben, mit der man am Boden vom Blitz getroffen wird, muss man im Jahr mehr als zwanzigmal fliegen. Und darin sind noch die gescheiterten Anschlagsversuche enthalten. Mit anderen Worten, selbst Vielflieger haben kaum eine realistische Chance, an Bord eines Flugzeuges zum Terroropfer zu werden.

Doch das liegt sicher nur an den bereits vorhandenen Sicherheitsmaßnahmen, den konfiszierten Wasserflaschen und Nagelscheren, nicht wahr? Nein. Terroristen haben keinen Grund, unsere Selbstmordbomber-an-Bord-Fixierung zu teilen. Im Gegenteil, kluge Terroristen werden etwas anderes tun als beim letzten Mal. Die Schlange vor der Sicherheitskontrolle zum Beispiel, mit Absperrbändern in die Fläche gefaltet, eignet sich vorzüglich für einen Selbstmordanschlag mit Sprengstoff. Doch Terrorismus ist so selten, dass wir auch dort keine Angst haben müssen.

Naked Truth

Angst, English, Erich fragt, Risiko, Security, Sicherheitshinweise, Stammtisch, Wahrnehmung

In the current discussion about the use of body scanners at airports (aka strip machines) many people seem to forget, that these scanners do not pose a remedy to the latest security threat, i.e. explosives. So I am amazed that in this day and age we still are preoccupied with knives and guns. And I ask myself, do we really need expensive technology to spot them? Are the Indians really the only part of the scenario that has changed? And isn’t touching my privates a bigger privacy infringement than taking a x-ray-picture?

Entenalarm

Angst, Events, Hackmeck, Nebenwirkung, Security, Stammtisch, Verschwörung, Wahrnehmung

„Ausweischip gehackt“ titelte die taz und brachte damit noch kurz vor Jahresende eine besonders schöne Falschmeldung zum CCC-Kongress  in Umlauf, die Detlev Borchers auf Heise prompt als Ente entlarvte. Auch wenn der Vortrag im Hacking-Track lief handelte es sich vorwiegend um eine Funktionsbeschreibung des neuen Personalausweises, denn in der Tat kann man Daten aus dem Ausweis auslesen – mit Berechtigungszertifikat. Das soll so sein.  Das Beispiel beweist einmal mehr, dass guter Technikjournalismus in Tagesszeitungen schwer zu finden ist. Gut, dass es noch Fachjournalisten wie Christiane Schulzki-Hadouti gibt, die zu ganz anderen Schlüssen kommt und einen Rückzieher beim CCC entdeckt. Übrigens: Die wichtigsten Daten kann man auch jetzt schon aus dem derzeitigen Ausweis auslesen – mit den Augen, die Daten sind nämlich aufgedruckt.

Sicherheitszeug als Statussymbol

Geschäft, Security,

FAZ.NET schreibt über eingezäunte Wohnsiedlungen in Warschau und zitiert dabei diese nüchterne Analyse:

»Immobilienfachmann Mendel hingegen glaubt, bei Zaun und Kamera handele es sich um klassische Statussymbole: Seht her, ich kann’s mir leisten.«

Das sollten wir mal als DiplomarbeitsthemaBachelor-/Master-Dings ausschreiben: Analyse von Sicherheitsprodukten auf ihre Tauglichkeit als Statussymbol.

Sicherheitsmetriken

Safety, Security, Zahlenspiele, ,

Waldarbeitern passiert offensichtlich oft genug etwas, dass man Sicherheitsmetriken auf die Unfallstatistik stützen kann:

»Über die Platzierung beim Wettbewerb in Sachen Unfallsicherheit entschieden zudem die Zahl der Unfälle pro geernteten Festmeter Holz und die meldepflichtigen Unfälle pro Arbeitsstunde.«

(Echo Online: Im Darmstädter Forst hat Leichtsinn keinen Platz)

Und noch etwas haben sie uns voraus, sie wissen, was sie zählen müssen. Echte Unfälle nämlich, und keine Hilfe-der-Rüsselkäfer-greift-uns-an-Alerts aus halbgaren Sicherheitstheaterwerkzeugen.

600:500.000

Angst, Risiko, Security, Zahlenspiele, , , ,

Wieviel Angst müssen wir eigentlich vor Straßenraub haben? Hier sind die Zahlen für Leipzig (500.000 Einwohner) in den letzten Jahren:

»Ermittler gehen davon aus, dass die Zahl der Raubstraftaten in diesem Jahr erneut angestiegen ist, sich bei etwa 600 einpegeln dürfte. Im vorigen Jahr hatte die Kripo 547 Fälle registriert, 2007 waren es 590.«

(LVZ: Prügel für ein paar Euro: Etwa 600 Raubstraftaten in diesem Jahr)

Das sind ungefähr 1,2 Fälle auf 1000 Einwohnerjahre.

Sven vs. McAfee — 1:0

Geschäft, IT, Security, Zahlenspiele, , , , ,

Wozu schleppe ich eigentlich seit Jahren zwangsweise ein Dreckstool von Virenscanner auf meinem PC mit mir herum, wenn er im − äußerst seltenen − Ernstfall nichts tut? Zugegeben, ich brauche keine Softwareunterstützung, um mich über eine unaufgefordert heruntergeladene PDF-Datei und die Fehlermeldung bei deren Interpretation zu wundern. Nur ist es dann, wenn ich etwas bemerke, für die Abwehr schon zu spät. Falls die PDF-Datei bösartig ist, wird sie nämlich versuchen, Fehler im PDF-Betrachter auszunutzen.

Na ja, immerhin liefert der Vorfall einen Datenpunkt für die empirische Forschung. McAfee hat mir auf diesem Rechner noch nie irgend etwas gemeldet und liegt damit klar im Rückstand.

P.S.: Heise meldet zwei Tage später das hier.

Threat Modeling in Action

English, Freundlich zum Nutzer, Security, , , ,

After the videos on threat modeling an example seems in order. Securology provides us with a good one in Selecting a Pistol Safe as (part of) the basis of a procurement decision. This is his set of requirements:

So, I needed a way to „securely“ (that’s always a nebulous word) store a firearm– namely a pistol– such that it could meet the following criteria:

  1. Keep children’s and other family members‘ hands off of the firearm
  2. Stored in, on, or near a nightstand
  3. Easily opened by authorized people under stress
  4. Easily opened by authorized people in the dark
  5. Not susceptible to power failures
  6. Not susceptible to being „dropped open“
  7. Not susceptible to being pried open
  8. Not opened by „something you have“ (authentication with a key) because the spouse is horrible at leaving keys everywhere.
  9. For sale at a reasonable cost
  10. An adversary should not know (hear) when the safe was opened by an authorized person

But I didn’t care a lot about the ability to keep a dedicated thief from stealing the entire safe with or without the firearm inside.

Read on at Securology to see how various products fail to fulfill this set of requirements. This example is illustrative in that it addresses several distinct threat aspects and tradeoffs. The pistol is not simply an asset needing protection, it is also by itself a security mechanism against certain threats. The resulting optimization problem is pretty interesting: keeping (some) unauthorized people from accessing the pistol while maintaining availability to the authorized in a practical sense.

TR-Mail

IT, Regierungsviertel, Security, ,

E-Mail vom Staat, das löst hierzulande einiges Misstrauen aus. Woanders fragt man gar nicht erst:

»Ab nächstem Jahr bekommen alle türkischen Neugeborenen eine E-Mail-Adresse vom Staat. Diese Adresse wird von einer Behörde verwaltet und in den Pass gedruckt. Zugleich soll die Verwendung ausländischer Dienste wie Google und Yahoo verboten werden. Das Projekt dient der nationalen Sicherheit.«

(Welt Online: Nationale Sicherheit: Jeder Türke erhält eine E-Mail-Adresse vom Staat)

The Evil Jan Attack

English, Hackmeck, IT, Security, Testlabor, Trusted Computing, Video, , , , , , , , , , , ,

[See only posts in English]

Microsoft’s BitLocker is, for all we know, a proper disk encryption software. It encrypts data at rest against attacks originating outside the running system. If you use BitLocker and your computer is stolen while turned off, there is essentially no way of reading data from the disk without having the proper key(s)—your BitLocker PIN, a key file on a USB stick, or both. If an attacker gets access to the machine while it is running, there may be ways of compromising it through Windows or in other ways, but such attacks are clearly outside the scope of disk encryption.

We know, however, another class of attacks against disk encryption: evil maid attacks. This term describes a general strategy rather than a particular implementation. If you leave your computer unattended, let’s say in a hotel room, an attacker, let’s say an evil maid, might manipulate it such that your data will be compromised as soon as you return and provide it with your encryption keys. There are various ways of doing so, for instance installing a hardware keylogger if your keys are based on passwords, or altering the unencrypted boot code to install a Trojan horse that will leak your keys later. The Evil Jan Attack weiterlesen

Herr, schmeiß Hirn vom Himmel!

Begriffe, IT, Security, , , , ,

Nach der WAF nun also die Datenbank-Firewall. Weil dämliche PHP-Programmierer nicht in der Lage sind, sicher auf Datenbanken zuzugreifen, soll GreenSQL zwischen Anwendung und Datenbank heuristisch SQL Injection erkennen. Die Idee ist so blöd, dass ich nicht mal beim szenetypischen Herumalbern darauf gekommen wäre.

Kernproblem bei Injection-Lücken ist die ungenügende Trennung zwischen Daten und Code in Verbindung mit dem Impedance Mismatch zwischen Programmier- und Datenbanksprache. Die kanonische Lösung besteht darin, eben diese Trennung zuverlässig aufrechtzuerhalten. Das lässt sich recht einfach bewerkstelligen, indem man eine geeignete Programmierschnittstelle − Prepared Statements statt Stringverkettung zu SQL-Statements − verwendet. Das kann zwar auch noch schiefgehen, wenn die Bibliotheksfunktion Fehler hat, aber wenigstens kann man sich selbst nicht mehr in den Fuß schießen.

Ist die Grenze zwischen Code und Daten einmal verwischt, steht die Datenbankfirewall vor exakt demselben Problem wie die Datenbank selbst: sie kann diese Grenze nicht mehr zuverlässig bestimmen. Konzeptionell ist die Datenbankfirewall deswegen genauso machtlos wie die Zugriffskontrolle der Datenbank. Sie versucht es nur mit einer anderen Strategie. Klüger wäre es, den Entwicklern ausschließlich sichere Schnittstellen zur Verfügung zu stellen.

Als Security-Theater allerdings dürfte so eine Datenbankfirewall hervorragend funktionieren, spuckt sie doch am laufenden Band Meldungen aus, die MovieOS alle Ehre machen würden: Hilfe, wir werden angegriffen!