Newsletterarchiv

Dieser Newsletter ist in Englisch verfasst - It evaluates configuration options, reflecting security and possible usability impact, incorporating typical large scale enterprise usage of browser based content. The evaluation was done for a globally operating enterprise.

In diesem Newsletter werden drei Security ‚Appetizer‘ und eine Studie zur Sicherheit von Cisco WLAN Enterprise-Lösungen vorgestellt. Die drei Appetizer finden Sie auf Deutsch in Newsletter 30a und die englischsprachige Studie in Newsletter 30b.

In dem neusten Newsletter führt Sie Matthias Luft in das Thema "Data Leakage Prevention" (DLP) ein. Neben einigen grundlegenden Definitionen und Erklärungen werden zwei DLP Lösungen im Detail betrachtet. Die Bewertung basiert auf mehreren Voraussetzungen und daraus hergeleiteten Testszenarien. Diese decken eine Vielzahl DLP-relevanter Aspekte ab und dienen daher auch als Leitfaden für weitere Prüfungen. Das Dokument ist in englischer Sprache verfasst.

Dieses Dokument analysiert sicherheitsrelevante Implikationen bei der Verwendung des Privilegs „Trusted for delegation“ im Active Directory und gibt Empfehlungen für die sichere Implementierung dieses Privilegs.

Dieser Newsletter analysiert und bewertet die Sicherheit der Erzeugung von Master Encryption Keys zur Inbetriebnahme von BlackBerry-Geräten und für das automatische Update von Master Encryption Keys zwischen BlackBerry-Geräten und dem BlackBerry Enterprise Server. Die technische Analyse wird von flankierenden Maßnahmen-Empfehlungen zum sicheren Einsatz begleitet.

Der folgende Text erzählt, wie ein Sicherheitsloch in der VoIP-Infrastruktur eines Unternehmens nachgewiesen werden konnte. Das Unternehmen benutzt das Internet, um Gespräche zwischen zwei Standorten abzuwickeln. Die Untersuchung wurde nach einem Vorfall in Auftrag gegeben, der das Unternehmen viel Geld kosten könnte. Die Darstellung beleuchtet den Vorfall von der technischen Seite.

This newsletter will introduce different approaches how malware can be analyzed and discuss their respective pros and cons. It will cover online sandboxes, individually built sandbox systems with a dedicated tool set and also a reverse engineering approach. Obfuscation techniques that are used by attackers to prevent malware analysis are discussed and possible solutions to defeat them are presented. Finally we will give some recommendations which approach works best in different corporations from our point of view.

TrueCrypt – Eine Einführung

Crypto ist in! Noch nie war es so einfach Daten zu ver- und entschlüsseln, ohne die verwendeten Technologien vollständig zu durchdringen. Im Speziellen erfreuen sich die Technologien großer Beliebtheit, bei denen der Prozess des Vier- oder Entschlüsselns transparent, das heisst für den Benutzer unsichtbar abläuft. Ein freies Open-Source Produkt, um das man bei der näheren Betrachtung von transparenter Daten (-träger) Ver- und Entschlüsselung nicht herumkommt, ist TrueCrypt. Vor Kurzem in der Version 6.0a erschienen, bietet TrueCrypt mittlerweile eine Vielzahl von Features und Funktionen und deckt ein weites Anwendungsfeld ab.
Dieser Newsletter soll einen Überblick verschaffen, sowie den Einstieg in benutzerfreundliche Verschlüsselung von Daten geben.

Am 27. März war es wieder soweit, 2 Tage lang wurden auf der Blackhat Europe in Amsterdam die neusten Ergebnisse aus der Hacker Szene präsentiert, mit dabei war auch wieder ERNW mit einem Vortrag über „Hacking SecondLife“.
Neben dem eigenen Vortrag gab es aber auch reichlich Gelegenheit, sich über die Ergebnisse anderer Experten zu informieren und mit Bekannten aus der Szene die aktuellen Trends zu diskutieren. Die Information aus erster Hand möchten wir an unsere Newsletter Abonnenten weitergeben und haben daher die wichtigsten und interessantesten Vorträge hier zusammen gefasst.

Abstract:
Dieser Newsletter beschreibt ausgehend von einem Fallbeispiel die Fragen, die sich das IT-Sicherheitsmanagement beim unternehmensweiten Einsatz von USB-Laufwerken stellen sollte. Neben einer Risikobetrachtung werden technische und organisatorische Maßnahmen zur Problemlösung unter Einbezug von Windows Vista behandelt.

Dieser Newsletter beschäftigt sich mit einem der wichtigstenTeilprozesse effektiver Sicherheitsarbeit, der Risiko-Analyse. Nach einer kurzen Einführung wird als Beispiel eine Präsentation aus einem Kundenprojekt referenziert.

Das ‚Simple Network Management Protocol‘ in der Version 3 wird von Netzwerkadministratoren trotz seiner Vorteile gegenüber seinen Vorgängern stiefmütterlich behandelt. Dieses Dokument versucht es, sowohl die Vorteile als auch die Gründe für die Benachteiligung auf den Punkt zu bringen und an einem praktischen Beispiel zu zeigen, dass SNMPv3 durchaus für den Betrieb interessant sein kann.

von Dror-John Röcher

Einleitung:
Dieser Newsletter erläutert eine Methodik zur Bewertung von Schwachstellen, die auf den Metriken des Common Vulnerability Scoring Systems (CVSS) basiert, und stellt dar, wie diese Bewertung in den Patchmanagement Prozess eingebunden werden kann.

von Friedwart Kuhn, Dror-John Röcher und Michael Thumann

Einleitung:
"Der folgende Newsletter thematisiert Compliance aus dem Blickwinkel des Chief Information Security Officers (CISO) und analysiert, inwiefern Sophos NAC 3.0 in diesem Kontext ein sinnvolles Werkzeug sein kann."

Einleitung:
In Windows Vista hat Microsoft mit Mandatory Integrity Control (MIC) erstmals ein Zugriffskontrollmodell implementiert, das sich unter dem Stichwort „Multilevel Security“ führen lässt und die Integrität des Betriebssystems selbst maßgeblich sichern soll. Der Artikel beleuchtet, wie MIC funktioniert und ob MIC hält, was es verspricht.

Das Thema Logging und Logauswertung wird in den meisten Umgebungen unabhängig von der konkreten Implementierung nach wie vor stiefmütterlich behandelt. Dies, obwohl das Erfassen, Speichern und Verarbeiten von Logdaten heute einen kritischen Faktor innerhalb jeder IT-Sicherheitsarchitektur darstellt und gesetzliche Rahmenbedingungen, wie sie im KonTraG, in Basel II oder im Sarbanes-Oxley Act formuliert werden, das Vorhandensein von zuverlässigen Protokolldaten direkt oder indirekt verlangen – ganz abgesehen davon, dass im Verdachts- oder Schadensfall Protokolldaten unabdingbar für eine forensische Analyse sind. Hinzu kommt, dass das Thema Logging im Windows-Umfeld aufgrund des Microsoftschen Designs und der Implementierung hinsichtlich Konfiguration und Auswertung nicht immer besonders transparent ist und daher zu Verwirrung bei der Umsetzung konkreter Anforderungen führt. Der vorliegende Artikel will deshalb einen grundsätzlichen und zusammenfassenden Überblick über Logging und Logauswertung im Windows-Umfeld geben.

Das Cisco „Network Admission Framework“ hat zum Ziel, den Zugang zum Netzwerk basierend auf der Einhaltung einer „Policy“ zu reglementieren. Dazu werden Clients einer Prüfung unterzogen und basierend auf dieser Prüfung wird der Zugang in verschiedenen Stufen gewährt. Cisco NAC ist eine relativ junge Technologie, die langsam an Bedeutung für den Markt gewinnt. Neben Cisco gibt es noch etliche andere Hersteller mit eigenen „Admission-Control“-Lösungen, die aber in diesem Newsletter nicht näher beschrieben oder analysiert werden.
Im ersten Teil wird ein kurzer Überblick über die Funktionsweise und wichtigen Bestandteile des Cisco NAC Frameworks gegeben, der zweite, aufbauende Teil, enthält eine Sicherheitsanalyse des Cisco NAC Framework. Abschliessend werden Maßnahmen zur Erhöhung des Sicherheitsniveaus in Cisco NAC diskutiert.

Der von Visa und MasterCard initiierte Payment Card Industry Data Security Standard (PCI DSS) beschreibt Massnahmen und Werkzeuge zur sicheren Verarbeitung von Kreditkarten-Daten. Online-Händler (aber etwa auch Entwickler von Software im Bankenbereich) sind - je nach Anzahl der jährlich abgewickelten Transaktionen - zum Nachweis ihrer "Compliance" zum PCI DSS verpflichtet und werden mittlerweile bei Verstössen sogar mit Bussgeldern belegt.

Der folgende Artikel unternimmt den Versuch einer Bestandsaufnahme des aktuellen Stands von WLAN-Sicherheit.

Mit Windows Vista fuehrt Microsoft eine komplette neue Sicherheits-Architektur ein. Zentrale Bestandteile sind hier die Technologien "User Access Control" (UAC) und "Mandatory Integrity Control" (MIC). Wahrend UAC mittlerweile gut dokumentiert ist, ist MIC bis auf einen Blog des Microsoft-Mitarbeiters Steve Riley [1] weitgehend undokumentiert. Unser Mitarbeiter Enno Rey hat daher einige Tests durchgefuehrt, die zu (fuer ihn) ueberraschenden Ergebnissen fuehrten und deren Ergebnis er als Kommentar in Steve Rileys Blog gepostet hat.

Dieser Newsletter beinhaltet eine Zusammenfassung der aktuellen Security Diskussion rund um BlackBerry Geräte und RIM-Email-Push-Dienste. Neben den technischen Aspekten werden auch organisatorische Aspekte und der Benutzer berücksichtigt.

Die beschriebene Sicherheitslücke
"Buffer Overflow in Algorithmic Researchs PrivateWire Online Registration Facility"
hat unser IT-Security Research-Team unter der Leitung von Michael Thumann aufgedeckt. Die Aufgabe des ERNW IT-Security Research-Teams ist es, bisher unbekannte Sicherheitsprobleme aufzudecken. Dies können sowohl Sicherheitsprobleme auf konzeptioneller wie auch auf technischer Ebene sein (z.B. Fehlersuche in Software). Gefundene Probleme werden an die jeweiligen Hersteller kommuniziert und üblicherweise in Kooperation behoben. Sobald eine Lösung für das Problem (z.B. in Form eines Patches) verfügbar ist, wird das Thema entweder in Form eines White-Papers oder als ERNW Security-Advisory veröffentlicht.

Das Research-Team setzt unterschiedlichste Techniken ein um Sicherheitslücken aufzuspüren: von Reverse Engineering über Code Audits bis zur Protokollierung von Netzwerk-Kommunikation oder auch Fault-Injection Techniken.

Die Arbeit des ERNW IT-Security Research-Teams dient sowohl der internen Weiterbildung als auch unseren Kunden, die durch die Ergebnisse dieser Forschungen die allgemeine Sicherheit in der IT weiter verbessern können.

In diesem How To ist detailliert dargelegt, wie eine Smartcard-basierte Authentifizierung in verschiedenen Microsoft Active Directory-Umgebungen mit öffentlichen (d.h. etwa von einer M-PKI erstellten) Zertifikaten und der Verwendung von Citrix stattfinden kann.