29. April 2012
Verbraucherschützer fordern sie schon länger: Die Ampel aus deren Rot-Gelb-Grün-Schema man leicht nachvollziehen kann, wie es um die Inhaltsstoffe von Lebensmitteln, das Hygieneverständnis von Gastronomen usw. bestellt ist. Und Wirtschaftslobbyisten arbeiteten in der Vergangenheit ebenso vehement wie erfolgreich dagegen an. Die Ampel sei zu einfach, zu grob und überhaupt schade zu viel Transparenz dem Geschäft und würde Verbraucher nur verunsichern.
Währenddessen hat kürzlich das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein solches Ampelsystem zur Bewertung von Schwachstellen in verbreiteten Softwareprodukten veröffentlicht. Im Rahmen der sog. „BSI-Analysen zur Cyber-Sicherheit“ soll dieser Ampel-Indikator einen raschen Überblick über Sicherheit und Qualität der so gerateten Softwareprodukte geben. Derzeit werden für die Schwachstellenampel Sicherheitslücken in Produkten dieser Hersteller berücksichtigt:
• Adobe Systems (Adobe Reader, Adobe Acrobat und Adobe Flash Player)
• Apple Inc. (OS X, Safari und Quicktime)
• Google Inc. (Google Chrome)
• der Linux-Kernel
• Microsoft Corporation (Windows, Office und Internet Explorer)
• Mozilla Foundation (Firefox und Thunderbird)
• Oracle Corporation (Java Development Kit (JDK) und Java Runtime Environment (JRE))
Das BSI ist der wohl zutreffenden Ansicht, dass Mängel in diesen Produkten aufgrund deren weiten Verbreitung in Unternehmen, Behörden sowie bei Privatanwendern potenziell schwerwiegende und flächendeckende IT-Sicherheitsvorfälle nach sich ziehen können. Die Behörde verfolgt daher u.a. auch den Lebenszyklus von Schwachstellen von der Entdeckung bis zur Beseitigung mit.
Daher bewertet es im Rahmen einer regelmäßig aktualisierten Schwachstellenampel offene Schwachstellen sowie deren Schweregrad auf einer 10er-Skala und visualisiert das entsprechend. Die Schwachstellenampel wird vom BSI regelmäßig aktualisiert. Die Termine der Aktualisierungen orientieren sich dabei hauptsächlich an den Patchdays und Aktualisierungszyklen der Anbieter. Zusätzlich werden Links auf weiterführende Sicherheitshinweise der Hersteller angeboten.
In dieser Form bietet die BSI-Schwachstellenampel einen guten ersten Überblick zur Sicherheits- und Qualitätslage von verbreiteter Standardsoftware. Wobei auffällt, wie gut vor allem quelloffene Open-Source-Produkte wie der Linux-Kernel oder Firefox und Thunderbird abschneiden. In jedem Fall kann so Druck auf die Hersteller entstehen, verstärkt auf die Sicherheit und die generelle Qualität ihrer Softwareprodukte zu achten.
Kommentar schreiben » | 
Angriff & Abwehr, Informationssicherheit, Softwarequalität, Technische Regulierung | Mit Tag(s) versehen: Angriff & Abwehr, BSI, Cyber-Abwehr, Exploits, Funktionalität, IT-Grundschutz, IT-Risiken, Open Source, Patches, Produkttest, Qualitätsmanagement, Qualitätsprüfung, Schadcode, Schadsoftware, Schwachstelle, Sicherheitslücken, Software, Softwarequalität, Softwarequalitätssicherung, Softwaretest | 
Permalink
Verfasst von Guido Strunck
11. September 2011
Fast jeder kennt sie – die „Gefällt mir“-Buttons auf immer mehr Webseiten, mit denen man seinen Facebook-Kontakten ein Fundstück beim Surfen signalisieren kann. Wer seine Facebook-Kontakte entsprechend auswählt, bekommt dadurch einen interessensgerecht vorsortieren Nachrichtenfeed generiert und kann seinerseits anderen signalisieren, was ihn interessiert.
Wie genau funktioniert das?
Sobald man eine Website aufruft, die Facebook-Buttons enthält, werden Daten wie z.B. IP-Adresse, Referer und statistische Informationen an Facebook übermittelt. Ist man Facebook-Nutzer und am System angemeldet (dazu muss man es nicht mal offen haben) kann Facebook so recht genau mitverfolgen wo sich Facebook-Nutzer im Internet bewegen und was sie interessiert. Mit der Zeit kommen so relativ präzise und über den Inhalt des eigenen Profils weit hinausgehende Nutzerprofile zusammen. Dies lassen sich in aggregierter Form zum Zwecke von Reichweitenanalysen gut zu Geld machen.
Aber auch ohne eigenes Facebook-Profil kann die Firma ohne Einwilligung der Nutzer und ohne dass diese einen „Gefällt mir“-Button angeklickt hätten, unbemerkt Daten speichern und so beträchtliche Vorratsdatenbanken aufbauen.
Da es sich dabei zum Teil um personenbezogene bzw. personenbeziehbare Daten i.S.d. Bundesdatenschutzgesetzes handelt, wäre hierfür eine Einwilligung des Betroffenen einzuholen. Dabei wäre den Nutzern rechtsverbindlich mitzuteilen, worin sie einwilligen und zu welchen abschließend aufgeführten Zwecken ihre Daten verwendet werden Das fordern Datenschützer schon länger von Facebook. Doch die Firma, deren europäischer Hauptsitz in Dublin liegt, hatte diese Forderungen bislang ignoriert, da sie rechtlich von Deutschland aus nur schwer zu greifen ist. Auf diese Weise erzielt sie Konkurrenten mit Sitz in Deutschland gegenüber aus Sicht von Datenschützern unlautere Wettbewerbsvorteile. So hat Facebook allein im ersten Halbjahr 2011 weltweit etwa eine halbe Milliarde Euro Gewinn erzielt.
Das Kieler Unabhängige Landeszentrum für Datenschutz (ULD) beschloss daher das Problem vom anderen Ende her anzugehen und statt Facebook die in Deutschland rechtlich greifbareren Betreiber von .de-Websites, die Facebook-Buttons einbinden, rechtlich unter Druck zu setzen. Indirekt sollte so auch Facebook selber zum Handeln bewegt werden, da ansonsten vermehrt Websites angesichts möglicher fünfstelliger Geldbußen für Verstöße gegen das Datenschutzrecht die Buttons aus dem Netz nehmen und Facebooks Datenzuflüsse abklemmen würden. Eine umstrittene aber wirksame Vorgehensweise, da das Problem erst auf diesem Wege überhaupt einer breiteren Netzöffentlichkeit bewusst wurde. Bislang wurde es eher in der datenschutzrechtlichen Fachliteratur diskutiert.
Kürzlich schlugen Programmierer von Heise.de eine technische Lösung des Problems vor: den +2-Button. Dabei erscheinen Buttons sozialer Netzwerke wie Facebook oder Twitter zunächst inaktiv auf der Website und übermitteln keine Daten. Erst wenn der Nutzer sie anklickt werden sie aktiviert (erkennbar am Farbwechsel des Buttons) und ein zweiter Klick startet dann die damit verbundene Funktion. Doch auch das ist keine Einwilligung i.S.d. § 4a BDSG, da die rechtsverbindliche Mitteilung über Art, Umfang und Zweck der Datenübermittlung fehlt und auch unklar bleibt, wohin Daten übermittelt werden (z.B. auf Facebook-Server in den USA). Da die Entwickler den Quellcode freigaben, wurde die Idee rasch aufgegriffen und z.B. als Plugin für verbreitete Content-Management-Systeme wie WordPress umgesetzt.
Tatsächlich ist das Thema derzeit noch ungeklärt. Es gilt daher, die Entwicklung bei den technischen und rechtlichen Rahmenbedingungen für den Einsatz solcher „aktiven Codeelemente“ in Webauftritten speziell von Unternehmen im Blick zu behalten und sich ergebenden Compliance-Risiken konsequent entgegenzutreten.
Generell sollten sich Betreiber von Webauftritten zudem vergegenwärtigen, dass jedes Element, mit dem sie Code anderer Websites oder Dienste einbinden, ein potentielles Sicherheitsrisiko darstellt, Schließlich wissen sie nicht, was da im Einzelfall auf die Rechner ihrer Besucher und Kunden übertragen wird. Die Mehrzahl aller webbasierten Schadcodeverteilmechanismen macht sich solche Lücken zunutze und infiziert so ahnungslose Besucher von gut frequentierten Websites mit Schadsoftware.
Kommentar schreiben » | Compliance, Datenschutz, GABAL, Informationssicherheit, IT-Recht, Netzkultur, Privacy | Mit Tag(s) versehen: Browser, Compliance, Data Leakage, Datenhandel, Datenschutz, e-Business, Facebook, Funktionalität, GABAL, Internet, IP-Adresse, IT-Recht, Kundendaten, Malware, Monetarisierung, Netzpolitik, Open Source, Privacy, Quellcode, Schadcode, Schadsoftware, Schwachstelle, Sicherheitslücken, Sicherheitspraxis, Unternehmen, Verbindungsdaten, Verbraucherschutz, Vorratsdatenspeicherung, Web 2.0, Webanwendung, Webapplikation | Permalink
Verfasst von Guido Strunck
14. Juni 2011
Wer durch dDoS-Angriffe (distributed Denial of Service) kommerzielle Websites anderer Leute lahmlegt, macht sich damit nach § 303b StGB (Computersabotage) strafbar. Dies entschied das Landgericht Düsseldorf laut dem kürzlich veröffentlichten Urteil vom 22. März 2011 (Az.: 3 KLs 1/11).
Inhaltlich ging es um einen Fall von teilweise versuchter, teilweise tatsächlich erfolgter Erpressung. Der Angeklagte hatte im Laufe des vergangenen Jahres mehrere Betreiber von Sportwettenportalen damit bedroht, ihre Webseiten lahmzulegen, wenn sie ihm nicht eine geforderte Summe bezahlen würden. Um seiner Forderung Nachdruck zu verleihen, griff er die Firmen mit einem Botnetz an, worauf einige bezahlten, andere wiederum nicht. Deren Websites griff er einige Tage später erneut an, was nach Ansicht der Betreiber zu massiven Störungen ihrer Geschäfte sowie einem sechsstelligen Umsatzausfall und beträchtlichen Reparatur- und Wiederanlaufkosten führte.
Die Art und Weise der Lösegeldzahlung über eine ausländische Zahlungsabwicklungsgesellschaft ermöglichte aufgrund günstiger Umstände eine Rückverfolgung bis zum Täter, so dass Ermittlungen zu einer Anklage und schließlich zu einer Verurteilung wegen gewerbsmäßiger Erpressung in Tateinheit mit Computersabotage in mehreren Fällen und damit zu einer Freiheitsstrafe von zwei Jahren und zehn Monaten Haft führten.
Bei der Entscheidung dürfte es sich um eines der ersten Urteile eines deutschen Gerichts zur strafrechtlichen Wertung von dDOS-Angriffen handeln. Hinsichtlich der juristischen Beurteilung dieser Attacken folgt das Gericht Überlegungen in der juristischen Literatur, in der diese Thematik bereits seit einiger Zeit diskutiert wird.
Unabhängig davon können die Geschädigten natürlich auch noch zivilrechtlich Schadensersatzansprüche geltend machen. Auf den Täter dürfte damit zusätzlich zu den bereits aufgelaufenen Verfahrenskosten des Strafprozesses noch eine höhere Rechnung sowie (mindestens) ein Zivilprozess zukommen.
Darüber sollten auch jene Leute nachdenken, die sich überlegen, ob sie an einer Art „Flashmob mit dDOS-Anteil im Internet“ teilnehmen wollen, indem sie sich Tools wie etwa die quelloffene Lasttest-Software „Low Orbit Ion Cannon (LOIC)“ herunterladen, mit der sich Freiwillige im sog. „Hive-Mode“ zu einer Art Botnetz zusammenschließen und ein Ziel im Internet gemeinsam per dDOS angreifen können. Da die LOIC nicht mal die IP-Adressen der Beteiligten verfälscht oder maskiert, ist deren Rückverfolgung durch die damit Angegriffenen sogar besonders einfach.
dDOS-Attacken zählen zu den einfacheren Hackerangriffen, da man sich die dafür erforderlichen Tools (i.W. leistungsstarke Botnetze) einfach mieten kann und deren Bedienung dann keinerlei tiefergehendes technisches Wissen über Schadsoftware, Exploits oder Netzwerkprotokolle mehr erfordert. Aber rechtlich ist damit inzwischen nicht mehr zu spaßen.
Kommentar schreiben » | Compliance, IT-Recht, IT-Sicherheit | Mit Tag(s) versehen: Access Blocking, Access Control, Botnetz, Compliance, Computersabotage, Cyber-Crime, Daten, Datensicherheit, DOS-Attacke, Ermittlung, Gericht, Hacker, Hackertools, Informationssicherheit, Internet, IT-Recht, IT-Risiken, Lasttest, Open Source, Script-Kiddy, Staatsanwaltschaft, Strafrecht, Webserver, Webspace | Permalink
Verfasst von Guido Strunck
5. Juni 2011
Es ist immer wieder erstaunlich, was die weltweite Open-Source-Community so möglich macht. Programmierumgebungen, Tools und andere Software, die noch vor wenigen Jahren nur für viel Geld (oder als illegale Kopie) erhältlich war, ist heute kostenlos für Jedermann verfügbar. Dazu zählt „Backtrack“, eine auf Ubuntu basierende Linux-Distribution speziell für Sicherheitsexperten, Pen-Tester und anderweitig an Security- und Hacker-Tools interessierten Leuten. Das bekannte Hacker-Linux ist kürzlich in der Version 5 „Revolution“ erschienen. Zahlreiche darin enthaltene Tools wurden runderneuert und auch Linux-Kernel (2.6.38) und sonstige Komponenten wurden auf den aktuellen Stand gebracht. Große Teile des zugrunde liegenden Systems wurden sogar komplett neu entwickelt und zusammengestellt, so dass ein Upgrade von Backtrack 4 zu Backtrack 5 nicht möglich ist. Zuviel hat sich „unter der Motorhaube“ getan, so dass man um eine Neuinstallation nicht herumkommt.
Auf www.backtrack-linux.org wird Backtrack 5 als ISO-Datei oder VMWare-Image für 32- und 64bit-Systeme angeboten. Wahlweise mit vorkonfigurierter KDE- oder Gnome-Oberfläche. Einmal auf DVD gebrannt, kann man Backtrack 5 als Live-System einsetzen oder auch direkt auf einem Rechner installieren. Oder Backtrack als virtualisierte Umgebung nutzen. Ein Blog, ein Wiki, ein Forum sowie ein Tutorials-Bereich bieten Tipps und Infos für den Einstieg an.
Backtrack 5 kann wie auch die vorherigen Versionen per Shell oder GUI bedient werden. In letzterer sind die zahlreichen Tools geordnet nach Kategorien abrufbar.
Die Backtrack-Entwicklergemeinde bezeichnet Backtrack als „das am weitesten verbreitete Framework für Penetrationstests, das weltweit von der Security-Community eingesetzt wird“. Was aufgrund der gut 350 darin enthaltenen Tools, darunter Spezialwerkzeuge zum Finden von Systemschwachstellen sowie für forensische Netzwerkanalysen, auch nicht verwundert.
Wie aber finanzieren die Backtrack-Entwickler ihr Dasein, wenn sie dieses dicke Softwarepaket einfach so verschenken? Die meisten sind selbst als IT-Sicherheitsberater tätig. Sie setzen ihr eigenes Werkzeug ein und gewinnen mit der weiteren Verbreitung der Backtrack-Distribution an fachlicher Reputation. Andere haben entdeckt, dass das Arbeiten mit Backtrack sowie der Einsatz aktueller Hackertechniken durchaus auch Gegenstand von Schulungen sein kann, die sie unter dem Label „Offensive Security“ anbieten.
Auch hier gilt wieder: Nicht alles was kostenlos erhältlich ist, darf auch überall ausprobiert werden! In Deutschland bewegt man sich damit dank des „Hackerparagraphen“ in einer rechtlichen Grauzone. Verwenden Sie die Werkzeuge von Backtrack daher nur im Zusammenhang mit Ihren eigenen Rechnern.
Für Hobbyhacker und Einsteiger in das Thema technische IT-Sicherheit empfiehlt sich daher zunächst ein rechtlich sicheres „Übungsgelände“. Auch dafür gibt es die passende Linux-Distro: Damn Vulnerable Linux (DVL). Mit der Distribution ist es möglich, ein System mit unterschiedlichsten Sicherheitslücken zu simulieren, mittels diverser Testprogramme zu überprüfen und letztendlich zu schließen. Sie wird üblicherweise im Umfeld von Schulungen für Sicherheitsexperten eingesetzt, kann aber auch zum Privatgebrauch verwendet werden. Für Sommer 2011 ist eine runderneuerte Version 2.0 von DVL angekündigt.
3 Kommentare | Angriff & Abwehr, IT-Sicherheit, Tools | Mit Tag(s) versehen: Angriff & Abwehr, Backtrack, Computerforensik, Damn Vulnerable Linux, Hacker, Hackerparagraph, Hackertools, IT-Forensik, IT-Sicherheit, Linux, Open Source, Pen-Test | Permalink
Verfasst von Guido Strunck
10. April 2011
Dieses von Sebastian Kübeck verfasste Buch aus dem mitp-Verlag befasst sich mit den Methoden sicherer Softwareentwicklung speziell für webbasierte Anwendungen. Die zugrunde liegenden Überlegungen sind aber größtenteils auch auf andere Bereiche der Softwareentwicklung übertragbar. Das Buch richtet sich an Softwareentwickler, die sich noch nicht intensiver mit Informationssicherheit und dem Schreiben sicheren Codes befasst haben. Und die somit einen Einstieg in die Themen Informationssicherheit sowie Methoden sicherer Webentwicklung suchen. Aber auch Administratoren webbasierter Systeme können davon profitieren.
Das Buchh ist in drei Teile gegliedert. Im ersten Teil werden nach einer kurzen Einführung in die Geschichte der Informationssicherheit Grundkonzepte der IT-Sicherheit speziell aus der Sicht des Softwareentwicklers erläutert. Dazu zählen Dinge wie die Prinzipien sicherer Softwareentwicklung, Authentisierungsverfahren oder sichere Datenübermittlung durch den Einsatz kryptografischer Verfahren.
Teil zwei befasst sich mit häufig auftretenden Schwachstellen in Softwareprodukten sowie Wegen zu deren Vermeidung. Dazu zählen Filterung und Aufbereitung nahezu jeder Form von Eingabe durch Anwender, um z.B. Code-Injection- und Scripting-Angriffen vorzubeugen. Oder die Vermeidung von Webserver-Konfigurationen durch die Teile der Systemkonfiguration per Suchmaschine erfassbar (Google Hacking) oder durch manuelles Suchen (Path Traversal) erreichbar werden.
Oftmals beginnen Probleme mit der Applikationssicherheit jedoch bereits bei der Verwendung von altbewährten und weit verbreiteten Bibliotheksfunktionen gerade der C-Sprachen, welche direkte Speicherzugriffe ermöglichen und die aufgrund von Implementationsfehlern zu Sicherheitsproblemen wie Pufferüberläufen, Code Injection-Schwachstellen u.ä. führen und daher nicht mehr verwendet werden sollten.
Webanwendungen können auch anfällig für DDOS-Attacken werden, wenn sich in ihnen Code aufspüren lässt, der zu Speicherlecks, Endlosschleifen, Rekursionen mit fehlerhafter Abbruchbedingung führt oder der Wartezeiten auf (schwächere) nachgelagerte Systeme wie z.B. entfernte Datenbanken generiert.
Schließlich gibt Teil drei konkrete Tipps und Hinweise wie man durch qualitätssichernde Maßnahmen wie Pen-Tests, Code Reviews, Softwaretests sowie der Berücksichtigung von Prinzipien sicherer Entwicklung von Webapplikationen seine Software sicherer macht. Hier wird z.B. auch auf (meist quelloffene) Testing-Tools wie Schwachstellen-Scanner, Mustersucher für die Quellcodeanalyse oder Tools zur Testautomation eingegangen.
Stets werden die Erläuterungen im Buch von entsprechenden Codebeispielen (meist in Java oder Javascript sowie in SQL für Datenbankzugriffe) begleitet, in denen die problematischen Stellen nachvollziehbar erläutert werden.
Alles in allem ein sehr lesenswertes Buch speziell für Softwareentwickler aber auch für generell am Thema sicherer Software interessierter IT-Fachleute. Wobei das Thema Entwicklung sicherer webbasierter Anwendungen gerade im Zeitalter von Cloud Computing und mobiler Apps drastisch an Bedeutung gewinnen dürfte.
1 Kommentar | Angriff & Abwehr, IT-Sicherheit, Rezensionen, Softwarequalität | Mit Tag(s) versehen: Angriff & Abwehr, App, Buffer Overflow, Clean Code Development, Clickjacking, Cloud Computing, Code-Injection, Codeanalyse, Codeoptimierung, Data Leakage, Datenleck, Exploits, Fehlersuche, Google Hacking, Hackertools, HTML, Informationssicherheit, Internet, Intrusion Detection System, IT-Risiken, IT-Sicherheit, Kryptografie, Open Source, Path Traversal, Pen-Test, Pufferüberlauf, Quellcode, Reverse Engineering, Schadcode, Schwachstelle, Security by Design, Sicherheitslücken, Software, Softwareentwicklung, Softwarequalität, Softwarequalitätssicherung, Softwaretest, SQL, SQL-Injection, SSL-Verschlüsselung, Verschlüsselung, Web 2.0, Webanwendung, Webapplikation, Webserver, Webservice, XSS | Permalink
Verfasst von Guido Strunck
27. März 2011
Gestern fand in den Räumen der Fakultät für Informatik der FH Augsburg der 10. Linux-Infotag, veranstaltet vom Verein der Linux-User Augsburg e.V. (LUGA) statt. Zum Teil parallel in mehreren Räumen wurden unter dem diesjährigen Motto „Leben mit Pinguinen – Freie Software im Alltag“ Vorträge rund um das Thema Linux angeboten. Dabei reichte das Themenspektrum von Angeboten für Einsteiger über solche für Entwickler oder Systemadministratoren bis hin zum Blick auf aktuelle Entwicklungen rund um den Linux-Kernel. Ich richtete meinen Fokus dieses Jahr auf Vortragsangebote rund um die Themen Projektmanagement, IT-Sicherheit und freie Software im Allgemeinen.
Eröffnet wurde das mehrteilige Vortragsprogramm von Thomas Gleixner mit seiner Keynote zum Thema „Management und Open Source – zwei Welten?“. Darin schilderte Gleixner, der selbst Unternehmer sowie aktiver Linux Kernel-Maintainer ist, das bestehende Konfliktfeld zwischen freier quelloffener Software und sog. „geistigem Eigentum“ (ein Kampfbegriff der Content-Lobby, den viele Manager unkritisch übernommen haben). Gerade unsichere und qualitativ minderwertige Software hat ihren Ursprung häufig darin, dass Firmen versuchen, das Rad zum x-ten Mal neu zu erfinden und eine selbst entwickelte proprietäre Lösung einen anerkannten Standard vorziehen. Da aber keine Firma allein dauerhaft Standards etablieren kann und Kunden sich nur ungern von einzelnen Unternehmen abhängig machen, werden so volkswirtschaftlich Ressourcen in beträchtlichem Umfang verschwendet, die durch unternehmens- und bereichsübergreifende Kollaboration und Kooperation effektiver nutzbar wären. Inzwischen stellen aber immer mehr Unternehmen (z.B. Chiphersteller und Smartphone-Produzenten) fest, dass quelloffene Systeme wie Linux einfacher an neue Gegebenheiten anzupassen sind, Versionswirrwar und Diskontinuitäten bei Produktkomponenten vermieden werden, Lizenzpolitiken anderer Unternehmen nicht mit eingeplant werden müssen. Trotzdem gibt es noch eine weitverbreitete relative Unkenntnis verbunden mit gezielt gestreuten Desinformationen in den Köpfen von Entscheidern in der Wirtschaft, wie Gleixner ausführte. Daneben empfahl er, sich mal die Enduser-Licence-Agreements (EULAs) genauer anzusehen, die kommerziellen Softwareprodukten beiliegen. Das dort enthaltene „Kleingedruckte“ schränkt die Nutzbarkeit einer an sich funktionsfähigen Software rechtlich oft derart ein, dass sie unbrauchbar wird – ein klassischer Fall von „Produktion vom Fließband in den Müllcontainer“. Daneben betonte Gleixner, wie wichtig es sei, dass Basistechnologien wie Betriebssysteme, Netzwerkprotokolle, Datenbanken aber auch Informationen frei und losgelöst von den Interessen Einzelner allgemein und frei verfügbar sind, so dass jeder darauf aufbauend Geschäftsmodelle entwickeln kann, ohne dass ihm andere dreinreden oder ihm durch das Ergaunern leistungsloses „Schutzgelder“ schädigen können (Stichworte Softwarepatente und Patenttrolle).
Oliver Rath gab einen Überblick über Projektmanagement im Allgemeinen. Und dessen Unterstützung mit linuxbasierter Software im Speziellen. Und hier zeigte sich auch rasch das Kernproblem: Der Goldstandard im Bereich werkzeugunterstützen Projektmanagements ist Microsoft Project. Auch wenn die große Mehrheit gerade mittelständischer Projektleiter immer noch per Tabellenkalkulation plant. Etwas was man mit Open Office Calc und Draw ebenso hinbekommt wie mit Excel & co. Etliche Linux-Tools wie z.B. OpenProj, TaskJuggler oder planner können jeweils ein oder zwei Dinge besonders gut, andere aber gar nicht. Es fehlt nach wie vor ein vollwertiges MS-Project-Äquivalent hoher Produktreife, auch wenn OpenProj ein guter erster Versuch war (bis die Entwicklung 2008 eingestellt wurde). Rath trug seinen Vortrag interessant und witzig zugleich vor und wies dabei auf Dinge wie die „größte Lüge der IT“ (Ich mach mal schnell), „die größte Lüge im Projektmanagement“ (Ich bin zu 90% fertig) oder die Probleme der letzten 10% eines Arbeitspaketes hin (in denen sich oftmals die gravierendsten Probleme verbergen).
Zu diesem Themenbereich rechne ich auch die Vorträge von Ulrich Habel (Dokumentation in Open-Source-Projekten) und Sebastian Harl (Verteilte Versionskontrolle mit Git). Denn es war letztlich die OSS-Community, die als Erste global verteilte Entwicklung komplexer Software betrieb. Lange bevor Offshoring und die spezifischen Probleme mit den kulturellen Differenzen zwischen indischen Programmierern und mitteleuropäischen IT-Architekten wirklich zum Branchenthema der international arbeitenden IT wurden. Hierbei sind Systeme zur gemeinschaftlichen Codeverwaltung, Versionierung, zur projektbegleitenden Dokumentation und für Defect-Tracking und Bug-Reporting nahezu unentbehrlich, um räumlich und zeitlich verteilte Zusammenarbeit an einer gemeinsamen Code- und Projektbasis zu ermöglichen. Beispielhaft wären hier Systeme wie Mantis (Bugtracking), GIT (Versionierung) oder die Nutzung von Wikis (Projektdokumentation) zu nennen.
Ingo Blechschmidt gab eine Kurzeinführung in elementare Konzepte der Kryptographie wie kryptographische Primitive (elementare Operationen eigentlich aller Kryptoverfahren), Challenge-Response-Authentifizierung, Zero-Knowledge-Beweise oder die Sicherheitsmechanismen bei „gesalzenen“ Passwörtern. Obwohl das tiefere Verständnis kryptografischer Konzepte eine intensivere Beschäftigung mit deren mathematischen Hintergründen sowie Überlegungen aus den Bereichen Algorithmik und theoretischer Informatik erfordern, machte sein Vortrag Lust auf mehr.
Wer jetzt auf die Vorträge neugierig geworden ist, wird in den nächsten Tagen die meisten Folien bei LUGA in der Programmübersicht als PDF-Download vorfinden.
Parallel zum Vortragsprogramm boten zahlreiche Linux-affine Organisationen Infostände mit aktuellen Projekten an. Und es dürften wohl stapelweise Live-CDs diverser Linux-Distributionen verteilt worden sein. Alles in allem eine sehr interessante Veranstaltung mit vollem Programm, die wohl bei mehreren Hundert Besuchen Anklang gefunden hat.
Kommentar schreiben » | Allgemeines, IT-Sicherheit, Netzkultur, Softwarequalität | Mit Tag(s) versehen: Angriff & Abwehr, Creative Commons, Datenschutz, Datensicherheit, Informatik, Informationssicherheit, Kongress, Kryptografie, Linux, Lizenzen, Monetarisierung, Netzkultur, Open Access, Open Source, Projektmanagement, Quellcode, Rechteinhaber, Sicherheitspraxis, Softwareentwicklung, Softwarepatente, Softwarequalität, Standard, Verschlüsselung | Permalink
Verfasst von Guido Strunck
15. November 2010
Oft fliegen einem die interessantesten Dinge einfach so zu: Beispielsweise Logins, Passwörter und Sitzungsdaten sozialer Netze, die in offenen WLAN-Netzen unverschlüsselt in die Luft geblasen werden. Darauf weisen Sicherheitsexperten schon seit Längerem hin und fordern von den Betreibern gängiger sozialer Netze, Shopping-Sites, dass diese ihren Datenverkehr verschlüsselt und über Zertifikate gesichert abwickeln, beispielsweise über SSL.
Allerdings wurde und wird diese Forderung nach wie vor ignoriert. Das brachte den Programmierer Eric Butler auf die Idee, mit dem Firefox-Plugin „Firesheep“ ein Programm für den „Account-Diebstahl für Dummies“ zu entwickeln, dass die Brisanz des Themas steigern und den Druck auf die Diensteanbieter so erhöhen soll.
Zwar kann bereits seit langem jeder, der mit einem Snifferprogramm wie z.B. Wireshark in ein WLAN hineinhorcht, den dortigen Datenverkehr überwachen und Interessantes per Filterfunktion herausfischen. Aber das erfordert gewisse Kenntnisse über den Aufbau von Netzwerkprotokollen sowie eine Einarbeitung in die oftmals recht mächtigen aber auch unübersichtlichen Programme.
Butlers quelloffenes Firesheep betreibt HTTP-basiertes Session Hijacking, indem es in offenen WLANs nach Sitzungsdaten etlicher sozialer Netze wie etwa Twitter oder Facebook lauscht, diese bei ihrem Auftreten herausfischt und dem Browsernutzer in einer Sidebar anzeigt. Er kann daraufhin die Sitzungen auf Wunsch per Mausklick übernehmen und sich mit den Identitätsdaten des betreffenden Nutzers in dem sozialen Netzwerk bewegen.
Firesheep nutzt eine Lücke in der Datenübertragung zwischen Nutzer und Webdienst. Wenn man sich bei einem Dienst wie Twitter oder Facebook anmeldet, wird dem Nutzerrechner ein sogenannter Session-Cookie geschickt, der Sitzungs- und Statusdaten enthält. Der Erstkontakt ist bei den meisten Seiten durch Verschlüsselung geschützt, nicht jedoch die weitere Übertragung von Daten z.B. bei der Aktualisierung der Sitzung. Oftmals werden dabei Datenübertragungen zwar zunächst per verschlüsseltem HTTPS initiiert, dann aber über normales unverschlüsseltes HTTP fortgesetzt. Der Nutzer wähnt sich sicher, während seine Daten im Klartext über die Leitung oder in den Äther gehen.
Firesheep sucht dazu diese unverschlüsselt übertragenen Session-Cookies und schickt eine eigene Anfrage an die betreffende Seite samt einer Kopie des Cookies – gaukelt dem Dienst also vor, der echte Nutzer zu sein.
Butler kündigte sein Tool erst im Oktober 2010 auf der Hacker- und Security-Konferenz „ToorCon“ in San Diego an, auf der er dazu einen Vortrag hielt, den er treffenderweise „Hey Web 2.0: Fang an, die Daten der Nutzer zu schützen, statt dies nur zu behaupten“ betitelte. Ganz klar – hier sollte mal wieder der oftmals etwas trägen und behäbigen Unternehmenswelt eine mitgegeben werden. Was aber heute – leider – ebenso nötig erscheint, wie in den 80ern des letzten Jahrhunderts als die Hacker des Chaos Computer Clubs zeigten, wie man mit Hilfe BTX-basierter „Mehrwertdienste“ eine Bank ausnimmt (Youtube-Video Heute-Journal).
Firesheep wirft zudem eine spezifische-deutsche Frage auf: Handelt es sich dabei um ein Hackertool i.S.d. § 202 c StGB (der sog. „Hackerparagraph“)? Dafür würde sprechen, dass die zugrundeliegende Methode des automatisierte Session Hijacking wohl recht eindeutig den Angriffsformen auf IT-Systeme zugerechnet werden kann. Dagegen spricht, dass Firesheep ausschließlich auf Informationen zurückgreift, die über unverschlüsselte offene WLAN-Netze verbreitet werden und daher quasi-öffentlich verfügbar sind.
Zwar arbeiten Firmen wie z.B. Zscaler an Gegenmaßnahmen, um im Einsatz befindliche Firesheeps in WLAN-Netzen durch Rückmeldungen auf manipulierte Session-Cookies zu identifizieren. Aber das zugrunde liegende Problem der ganz oder teilweise unverschlüsselt übertragenen Identitätsinformationen für Internetdienste wird uns wohl noch einige Zeit erhalten bleiben.
1 Kommentar | Angriff & Abwehr, Informationssicherheit, Privacy, Tools | Mit Tag(s) versehen: Access, Angriff & Abwehr, Browser, Data Leakage, Datenleck, Exploits, Firefox, Hacker, Hackerparagraph, Hackertools, Identitätsdiebstahl, Internet, IT-Risiken, IT-Sicherheit, Kryptografie, Open Source, Passwörter, Plugins, Schwachstelle, Session Hijacking, Sicherheitslücken, Sniffing, SSL-Verschlüsselung, Web 2.0, Webanwendung, Webapplikation, Webservice, Wireshark, WLAN | Permalink
Verfasst von Guido Strunck
14. Oktober 2010
Die Zeit als Mobiltelefone hauptsächlich zum Telefonieren benutzt wurden, ist bereits seit Längerem vorbei. Heute sind Handys Hilfsmittel zur Verwaltung des eigenen Lebens. Dementsprechend sind Handys technisch gesehen spätestens ab der Gerätegeneration der sog. „Smartphones“ schlicht vollwertige Computer mit funktionell reduzierten Ein- und Ausgabemöglichkeiten. Das Smart im Phone steht dabei für die erweiterten und verbesserten Einsatzmöglichkeiten dank flexibler Technologie.
Jeder Computer ist aber programmierbar, d.h. er kann Anweisungen in Programmform ausführen und tun, was ihm vorgegeben wird. Jeder Computer kann dementsprechend so programmiert werden, dass er Schadcode ausführt und den nichtsahnenden Benutzer „hintergeht“. Viren, Trojaner und co. gibt es auch für Smartphones.
Lange Zeit aber war Schadsoftware für Mobiltelefone ein eher akademisches Thema. Die grundsätzliche Machbarkeit („proof of concept“) war nachgewiesen, trotzdem spielte das Thema in der Praxis kaum eine Rolle. Denn jeder Handyhersteller gab seinem Gerät ein eigenes Betriebssystem und eigene herstellerspezifische Software mit. Das machte es aufwendig und zugleich uninteressant, für jedes Handy eigene Varianten von Schadsoftware zu entwickeln. Außerdem funktionierten gefundene Schwachstellen und Sicherheitslücken der Software nur eben auf dem jeweiligen Gerätetyp. Zudem war das Spektrum an Möglichkeiten der so gehackten Geräte überschaubar.
Heute stecken in einem Smartphone oftmals mehr persönliche Daten als in einer Geldbörse voller Ausweise und Kreditkarten. Man kann es dazu benutzen, um auf Kosten des Simkartenbesitzers Daten zu übermitteln oder kostenpflichtige Dienstleistungen in Anspruch zu nehmen. Oder ihm Verträge über Abzockaboabrufseiten unterzujubeln. So berichtet z.B. die aktuelle ct‘ über Abofallen in Smartphone-Apps, die durch das ahnungslose Berühren von Werbeeinblendungen ausgelöst werden. Ein Vorgang der sich ebenfalls per Schadsoftware automatisieren lässt.
Und heute basieren auch nahezu alle aktuellen Smartphones auf einer von nur wenigen Betriebssystemplattformen. Apples iOS, das quelloffene Android-System von Google, das ebenfalls quelloffene MeeGo sowie (mit abnehmender Bedeutung) Symbian und Windows Mobile. Für jedes der Betriebsysteme gibt es zahlreiche funktionell sehr ähnliche Geräte mit im Wesentlichen gleichartigen Systeminterna und Schwachstellen. Auch werden zunehmend herstellerübergreifende Standards für Inhalte wie Flash und Java eingesetzt.
In Summe nimmt so die Attraktivität der Smartphone-Welt für Schadcodeautoren rasch zu, da eine Version eines Trojaners auf vielen Geräten lauffähig ist. So sind z.B. für das aktuelle Edelphone von Apple sowie dessen „großen Bruder“ das i-Pad gleich mehrere Sicherheitslücken aktenkundig, vor denen etwa das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits warnt.
Das lässt die Bedeutung von Virenschutzsoftware für Handys zunehmen. Noch wichtiger aber ist die bewusste und überlegte Nutzung der Geräte. So muss ein Handy im Normalfall keine Bluetooth-Verbindung offen halten (kann man abschalten) – es wird dadurch aber für Mobilfunkhacker leicht aus der Entfernung identifizierbar. Und wer seinem i-Phone eine neue App spendiert (d.h. aus dem App-Store im Internet runterlädt), sollte sich im Anschluss daran fragen, ob z.B. wirklich alle angeforderten Rechte für eine einwandfreie Funktion erforderlich sind. Nicht jede Spiel-App benötigt Vollzugriff auf alle privaten Daten im Gerät oder die Möglichkeit im Hintergrund Datentransfers von und nach sonstwohin abzuwickeln. Passen angeforderte Rechte nicht zum eigentlichen Verwendungszweck der App sollte man ruhig auch mal beim Hersteller anfragen. Unbefriedigende oder ausweichende Antworten sollten zu einem Aussortieren der Software führen.
Ein eigenes Thema wäre zudem der Schutz der Daten auf verloren gegangenen oder gestohlenen Geräten. Auch hierfür bilden sich am Markt zunehmend Lösungen in Form spezieller Software heraus. Schließlich kann man ein Smartphone durchaus auch aus der Ferne orten oder dazu bringen, sich zu sperren und gespeicherte Daten zu verschlüsseln oder zu löschen.
Auch sollte man sich bezgl. Neuigkeiten zum Betriebssystem und der Software des verwendeten Smartphones auf den Laufenden halten. Das Thema Handyviren und Smartphonetrojaner ist erst noch im Kommen. Die Berichterstattung in den Medien dürfte dazu in den nächsten Monaten deutlich zunehmen, wenn sich auch Tablet-PCs basierend auf Smartphone-Plattformen weiter ausbreiten.
Viele Smartphone-Nutzer, sind bisher zwar beim Arbeiten am PC halbwegs sicherheitssensibel, achten auf den Einsatz aktueller Software und Patches für ihren PC, setzen Virenschutz und Firewall ein oder arbeiten gleich mit einer gehärteten Linux-Distribution. Aber ihr Handy benutzen sie wie einen Haarfön: Einschalten und loslegen ohne weitere Hintergedanken. Ist doch die Technik praktisch kinderleicht, wartungsfrei und ausfallsicher gestaltet. Das wird sich ändern (müssen). Spätestens wen Handyviren in größerem Umfang damit beginnen kostenpflichtige Mehrwertdienste anzurufen (wie zu Zeiten des Einwahlinternets im Gebührentakt die Dialerprogramme), Abofallen auszulösen, wichtige Daten zu stehlen oder das Gerät gleich unbrauchbar zu machen, bis man es mit Hilfe eines vom Virenautor gegen „Lösegeld“ zu kaufenden Entsperrcodes wieder aktiviert (sog. „Ransomware“).
Kommentar schreiben » | Angriff & Abwehr, Datenschutz, GABAL, Informationssicherheit, Privacy | Mit Tag(s) versehen: Datenschutz, Datenleck, Microsoft, Schadsoftware, Viren, Trojaner, Exploits, Open Source, Sicherheitslücken, Hacker, Datendiebstahl, Sicherheitspraxis, ct, BSI, Angriff & Abwehr, Schadcode, IT-Risiken, Daten, Malware, Access Control, GABAL, Internetbetrug, Datensicherheit, Access Blocking, Abofalle, Mobilfunk, Bluetooth, iPhone, iPad, Apple, Smartphone, Android, MeeGo, Symbian, Schwachstelle, Java, App, Dialer, Ransomware | Permalink
Verfasst von Guido Strunck
25. Juli 2010
Die Entwickler des beliebten freien Krypto-Tools Truecrypt haben kürzlich die Version 7.0 herausgebracht. Mit Truecrypt lassen sich Datenträger wie Festplatten und USB-Sticks verschlüsseln sowie verschlüsselte Container-Dateien auf ansonsten unverschlüsselten Speichermedien anlegen.
Für Besitzer von Rechnern mit bestimmten Intel-Prozessoren, die sog. AES New Instructions verarbeiten können, wird die damit mögliche hardwarebeschleunigte AES-Verschlüsselung unterstützt. Dadurch sind Geschwindigkeitsvorteile im Bereich x4 bis x8 möglich. Truecrypt erkennt automatisch, ob ein solcher Prozessor vorhanden ist.
Truecrypt-verschlüsselte Datenträger können unter Windows mit der neuen Version automatisch angemeldet werden, wenn das richtige Passwort eingegeben wird und der Datenträger passend konfiguriert wurde.
Die Zugriffspfade häufig genutzter Container-Dateien können nun in einem Favorites-Menü gespeichert werden, was den Zugriff vereinfacht.
Ab Windows Vista aufwärts gibt es eine Microsoft-API zur Verschlüsselung der Windows-Auslagerungsdateien. Diese API wird nun von Truecrypt zur Verschlüsselung dieser Dateien verwendet. Für ältere Windows –Versionen nutzte Truecrypt dazu undokumentierte Windows-Funktionen, deren jederzeit korrekte Arbeitsweise nicht sichergestellt war. Um diese Funktion auf ein verlässliches Fundament zu stellen, richteten die Truecrypt-Entwickler entsprechende Anfragen an Microsoft und machten das publik, bis Redmont ein Einsehen hatte und die API standardisierte und offenlegte.
Desweiteren wurde im Rahmen der Produktpflege etliche kleinere Bugs bereinigt und kleinere Verbesserungen vorgenommen.
Truecrypt kann hier kostenlos heruntergeladen werden. Außerdem kann man das Projekt durch Spenden per PayPal unterstützen.
2 Kommentare | Angriff & Abwehr, Datenschutz, Privacy, Tools | Mit Tag(s) versehen: Angriff & Abwehr, Datenschutz, Datensicherheit, Funktionalität, Kryptografie, Open Source, Privacy, Sicherheitspraxis, Software, Tools, Truecrypt, Verschlüsselung | Permalink
Verfasst von Guido Strunck
5. April 2010
Von Karfreitag bis heute fand in München im dortigen Eine-Welt-Haus das 10. Easterhegg statt. Eine Veranstaltung des Chaos-Computer-Club, die jährlich an wechselnden Orten in Deutschland von den dortigen Regionalgruppen des CCC ausgerichtet wird und auf der sich Hacker, OSS-Fans, Entwickler, Bastler, Piraten und zahlreiche andere Freunde der kreativen Technologienutzung zum mehrtägigen Zusammensein und zum Austausch im Rahmen von Vorträgen, Workshops und gemeinsamen Arbeiten treffen. Die gut 300 Teilnehmer füllten das recht verwinkelte Eine-Welt-Haus, jeder Quadratmeter Raum war belegt. Nahezu jeder Platz, der nicht zu Vortrags- und Workshopräumen gehörte war mit Tischen undd Stühlen belegt, auf denen Leute vor mitgebrachten Laptops und Netbooks saßen und an was auch immer arbeiteten.
Dabei wurde in den vier Tagen ein breites Spektrum an Themen geboten. Es reichte vom LiMux-Projekt in der Münchner Stadtverwaltung über Cloud Computing, Semantic Web und IPv6 bis hin zu Entwicklung von Identitäten im Netz, über die Profiling-Methoden der Arbeitsagentur oder Einführungen in Social Engineering und den Umgang mit der UNIX-Shell bis hin zu Hardware-Workshops für Amateurfunkter, Lockpicker sowie Interessenten am Rapid Prototyping (3D-Drucker), selbstgebauten Schwarmrobotern, Schlafhacking, Geocaching, den Methoden des Reverse Engineerings von Mikrochips oder praktischen Rechtshilfetipps für Cyber- und Hacktivisten.
Da kaum jemand an allen Vorträgen gleichzeitig teilnehmen konnte und zudem viele Leute gar kein Ticket mehr bekommen hatten, werden die Vortagsunterlagen, Präsentationen und Videos (hoffentlich) im Laufe der nächsten Tage online bereitgestellt.
Vorab schon mal ein dickes Danke an die Organisatoren des Chaos Computer Club München e.V., die diese tolle Veranstaltung geplant und durchgeführt haben. Echt tolle Leistung Leute!
Kommentar schreiben » | Allgemeines, Netzkultur | Mit Tag(s) versehen: CCC, Chaos Computer Club, Easterhegg, Hacker, Kongress, Netzkultur, Open Access, Open Source | Permalink
Verfasst von Guido Strunck
