Newsletterarchiv

This paper discusses practical attacks against unencrypted high speed Ethernet links. There is a common misconception that the sheer amounts of data which can be transferred using multiplexed channels (e.g. WDM technology) make successful attacks highly unlikely. We will show that a skilled and motivated attacker can easily identify and extract sensitive information if he observes/collects a large amount of raw data and, more importantly, will be able to do so in a feasible manner as for the time or technical resources needed.

Newsletter 36 covers the topic of "Sell Your Own Device – A Field Study on Decommissioning of Mobile Devices". The newsletter is the result of a field study on decommissioned mobile business devices bought on eBay and about how stored data may be extracted in different ways. At the end we will give you the mitigating controls how to securely handle mobile devices at the end of their life cycle process.

This Newsletter is a follow-up on the talk ERNW's experts Michael Schaefer and Matthias Luft gave on this year's TROOPERS11 conference in Heidelberg. They focused on developing a guideline for secure operation and reducing risk of Multifunction Devices (MFD) in a corporate environment. This newsletter describes how Michael and Matthias approached the topic of MFD security, which results they ended up with and what they recommend in order to increase the security level of MFDs within a corporate environment.

Mobile device like iPhones and iPads are used more and more often in corporate environments. Companies not supporting such devices find their users unhappy and doing all kinds of silly stuff like forwarding confidential data to free email accounts to be able to access them on their private iOS devices. The pressure on the IT departments to support these devices in an official way grows from day to day.
To integrate those devices into the corporate environment a lot of use cases require access to internal resources. Those devices basically have two ways to connect to a corporate network: WLAN and VPN connections. WLAN is a wireless technology and a VPN typically can be accessed over the InternetInternetInternet – also a very insecure network.
In order to protect the internal corporate network, strong authentication mechanisms are required. Thus all devices must support these authentication methods.
Using cryptographic authentication methods, such as client certificates, can fulfill the need for a strong authentication mechanism.
This newsletter shows how certificates can be used for device authentication on iOS devices.

Dieser Newsletter beleuchtet die aktuell heiß diskutierten Web Application Firewalls (WAFs) und untersucht, ob diese meist kostspielige Technologie das hält, was ihre Hersteller versprechen. Dazu stellen wir Ihnen ein von ERNW entwickeltes Tool mit dem Namen tsakwaf vor, mit dem die Fähigkeiten einer WAF auf die Probe gestellt werden können.

Im diesem Newsletter wird die Implementierung von IEEE 802.1X Netzwerkzugangskontrolle über Cisco-Komponenten, mit EAP-TLS, mit einer Microsoft-PKI mit Software-Zertifikaten in einer Windows Server 2008 R2-basierten Active Directory-Umgebung erläutert.

Der hier vorliegende Newsletter fasst die gängigen Bedrohungen des iPads in Bezug auf die Unternehmens-IT zusammen, enthält eine Risikoanalyse – basierend auf dem Rapid Risk Assessment Konzept von ERNW – und gibt Empfehlungen für einen akzeptabel sicheren Betrieb des iPads im Unternehmenskontext. Weiterhin werden bereits einige Neuerungen betrachtet, die das für Oktober/November 2010 erwartete iOS 4 für iPad mit sich bringen wird.

Da das iPad und das iPhone das gleiche Betriebssystem nutzen, treffen nahezu alle hier erwähnten Konzepte und Empfehlungen auch auf das iPhone zu.

To contribute to the discussion whether application virtualization can help to mitigate browser based security risks we’ve performed some tests with an application virtualization solution (VMware ThinApp). The goal of the tests was to determine whether exploits can be stopped from causing harm if they happened within a virtualized deployment, which modes of deployment to use, which additional tweaks to apply etc.
This newsletter describes the test cases and results and might thereby help to have a basis for well-informed decisions when it comes to the deployment of an application virtualization technology.

Dieser Newsletter ist in Englisch verfasst - It evaluates configuration options, reflecting security and possible usability impact, incorporating typical large scale enterprise usage of browser based content. The evaluation was done for a globally operating enterprise.

In diesem Newsletter werden drei Security ‚Appetizer‘ und eine Studie zur Sicherheit von Cisco WLAN Enterprise-Lösungen vorgestellt. Die drei Appetizer finden Sie auf Deutsch in Newsletter 30a und die englischsprachige Studie in Newsletter 30b.

In dem neusten Newsletter führt Sie Matthias Luft in das Thema "Data Leakage Prevention" (DLP) ein. Neben einigen grundlegenden Definitionen und Erklärungen werden zwei DLP Lösungen im Detail betrachtet. Die Bewertung basiert auf mehreren Voraussetzungen und daraus hergeleiteten Testszenarien. Diese decken eine Vielzahl DLP-relevanter Aspekte ab und dienen daher auch als Leitfaden für weitere Prüfungen. Das Dokument ist in englischer Sprache verfasst.

Dieses Dokument analysiert sicherheitsrelevante Implikationen bei der Verwendung des Privilegs „Trusted for delegation“ im Active Directory und gibt Empfehlungen für die sichere Implementierung dieses Privilegs.

Dieser Newsletter analysiert und bewertet die Sicherheit der Erzeugung von Master Encryption Keys zur Inbetriebnahme von BlackBerry-Geräten und für das automatische Update von Master Encryption Keys zwischen BlackBerry-Geräten und dem BlackBerry Enterprise Server. Die technische Analyse wird von flankierenden Maßnahmen-Empfehlungen zum sicheren Einsatz begleitet.

Der folgende Text erzählt, wie ein Sicherheitsloch in der VoIP-Infrastruktur eines Unternehmens nachgewiesen werden konnte. Das Unternehmen benutzt das Internet, um Gespräche zwischen zwei Standorten abzuwickeln. Die Untersuchung wurde nach einem Vorfall in Auftrag gegeben, der das Unternehmen viel Geld kosten könnte. Die Darstellung beleuchtet den Vorfall von der technischen Seite.

This newsletter will introduce different approaches how malware can be analyzed and discuss their respective pros and cons. It will cover online sandboxes, individually built sandbox systems with a dedicated tool set and also a reverse engineering approach. Obfuscation techniques that are used by attackers to prevent malware analysis are discussed and possible solutions to defeat them are presented. Finally we will give some recommendations which approach works best in different corporations from our point of view.

TrueCrypt – Eine Einführung

Crypto ist in! Noch nie war es so einfach Daten zu ver- und entschlüsseln, ohne die verwendeten Technologien vollständig zu durchdringen. Im Speziellen erfreuen sich die Technologien großer Beliebtheit, bei denen der Prozess des Vier- oder Entschlüsselns transparent, das heisst für den Benutzer unsichtbar abläuft. Ein freies Open-Source Produkt, um das man bei der näheren Betrachtung von transparenter Daten (-träger) Ver- und Entschlüsselung nicht herumkommt, ist TrueCrypt. Vor Kurzem in der Version 6.0a erschienen, bietet TrueCrypt mittlerweile eine Vielzahl von Features und Funktionen und deckt ein weites Anwendungsfeld ab.
Dieser Newsletter soll einen Überblick verschaffen, sowie den Einstieg in benutzerfreundliche Verschlüsselung von Daten geben.

Am 27. März war es wieder soweit, 2 Tage lang wurden auf der Blackhat Europe in Amsterdam die neusten Ergebnisse aus der Hacker Szene präsentiert, mit dabei war auch wieder ERNW mit einem Vortrag über „Hacking SecondLife“.
Neben dem eigenen Vortrag gab es aber auch reichlich Gelegenheit, sich über die Ergebnisse anderer Experten zu informieren und mit Bekannten aus der Szene die aktuellen Trends zu diskutieren. Die Information aus erster Hand möchten wir an unsere Newsletter Abonnenten weitergeben und haben daher die wichtigsten und interessantesten Vorträge hier zusammen gefasst.

Abstract:
Dieser Newsletter beschreibt ausgehend von einem Fallbeispiel die Fragen, die sich das IT-Sicherheitsmanagement beim unternehmensweiten Einsatz von USB-Laufwerken stellen sollte. Neben einer Risikobetrachtung werden technische und organisatorische Maßnahmen zur Problemlösung unter Einbezug von Windows Vista behandelt.

Dieser Newsletter beschäftigt sich mit einem der wichtigstenTeilprozesse effektiver Sicherheitsarbeit, der Risiko-Analyse. Nach einer kurzen Einführung wird als Beispiel eine Präsentation aus einem Kundenprojekt referenziert.

Das ‚Simple Network Management Protocol‘ in der Version 3 wird von Netzwerkadministratoren trotz seiner Vorteile gegenüber seinen Vorgängern stiefmütterlich behandelt. Dieses Dokument versucht es, sowohl die Vorteile als auch die Gründe für die Benachteiligung auf den Punkt zu bringen und an einem praktischen Beispiel zu zeigen, dass SNMPv3 durchaus für den Betrieb interessant sein kann.

von Dror-John Röcher

Einleitung:
Dieser Newsletter erläutert eine Methodik zur Bewertung von Schwachstellen, die auf den Metriken des Common Vulnerability Scoring Systems (CVSS) basiert, und stellt dar, wie diese Bewertung in den Patchmanagement Prozess eingebunden werden kann.

von Friedwart Kuhn, Dror-John Röcher und Michael Thumann

Einleitung:
"Der folgende Newsletter thematisiert Compliance aus dem Blickwinkel des Chief Information Security Officers (CISO) und analysiert, inwiefern Sophos NAC 3.0 in diesem Kontext ein sinnvolles Werkzeug sein kann."

Einleitung:
In Windows Vista hat Microsoft mit Mandatory Integrity Control (MIC) erstmals ein Zugriffskontrollmodell implementiert, das sich unter dem Stichwort „Multilevel Security“ führen lässt und die Integrität des Betriebssystems selbst maßgeblich sichern soll. Der Artikel beleuchtet, wie MIC funktioniert und ob MIC hält, was es verspricht.

Das Thema Logging und Logauswertung wird in den meisten Umgebungen unabhängig von der konkreten Implementierung nach wie vor stiefmütterlich behandelt. Dies, obwohl das Erfassen, Speichern und Verarbeiten von Logdaten heute einen kritischen Faktor innerhalb jeder IT-Sicherheitsarchitektur darstellt und gesetzliche Rahmenbedingungen, wie sie im KonTraG, in Basel II oder im Sarbanes-Oxley Act formuliert werden, das Vorhandensein von zuverlässigen Protokolldaten direkt oder indirekt verlangen – ganz abgesehen davon, dass im Verdachts- oder Schadensfall Protokolldaten unabdingbar für eine forensische Analyse sind. Hinzu kommt, dass das Thema Logging im Windows-Umfeld aufgrund des Microsoftschen Designs und der Implementierung hinsichtlich Konfiguration und Auswertung nicht immer besonders transparent ist und daher zu Verwirrung bei der Umsetzung konkreter Anforderungen führt. Der vorliegende Artikel will deshalb einen grundsätzlichen und zusammenfassenden Überblick über Logging und Logauswertung im Windows-Umfeld geben.

Das Cisco „Network Admission Framework“ hat zum Ziel, den Zugang zum Netzwerk basierend auf der Einhaltung einer „Policy“ zu reglementieren. Dazu werden Clients einer Prüfung unterzogen und basierend auf dieser Prüfung wird der Zugang in verschiedenen Stufen gewährt. Cisco NAC ist eine relativ junge Technologie, die langsam an Bedeutung für den Markt gewinnt. Neben Cisco gibt es noch etliche andere Hersteller mit eigenen „Admission-Control“-Lösungen, die aber in diesem Newsletter nicht näher beschrieben oder analysiert werden.
Im ersten Teil wird ein kurzer Überblick über die Funktionsweise und wichtigen Bestandteile des Cisco NAC Frameworks gegeben, der zweite, aufbauende Teil, enthält eine Sicherheitsanalyse des Cisco NAC Framework. Abschliessend werden Maßnahmen zur Erhöhung des Sicherheitsniveaus in Cisco NAC diskutiert.

Der von Visa und MasterCard initiierte Payment Card Industry Data Security Standard (PCI DSS) beschreibt Massnahmen und Werkzeuge zur sicheren Verarbeitung von Kreditkarten-Daten. Online-Händler (aber etwa auch Entwickler von Software im Bankenbereich) sind - je nach Anzahl der jährlich abgewickelten Transaktionen - zum Nachweis ihrer "Compliance" zum PCI DSS verpflichtet und werden mittlerweile bei Verstössen sogar mit Bussgeldern belegt.

Der folgende Artikel unternimmt den Versuch einer Bestandsaufnahme des aktuellen Stands von WLAN-Sicherheit.

Mit Windows Vista fuehrt Microsoft eine komplette neue Sicherheits-Architektur ein. Zentrale Bestandteile sind hier die Technologien "User Access Control" (UAC) und "Mandatory Integrity Control" (MIC). Wahrend UAC mittlerweile gut dokumentiert ist, ist MIC bis auf einen Blog des Microsoft-Mitarbeiters Steve Riley [1] weitgehend undokumentiert. Unser Mitarbeiter Enno Rey hat daher einige Tests durchgefuehrt, die zu (fuer ihn) ueberraschenden Ergebnissen fuehrten und deren Ergebnis er als Kommentar in Steve Rileys Blog gepostet hat.

Dieser Newsletter beinhaltet eine Zusammenfassung der aktuellen Security Diskussion rund um BlackBerry Geräte und RIM-Email-Push-Dienste. Neben den technischen Aspekten werden auch organisatorische Aspekte und der Benutzer berücksichtigt.

Die beschriebene Sicherheitslücke
"Buffer Overflow in Algorithmic Researchs PrivateWire Online Registration Facility"
hat unser IT-Security Research-Team unter der Leitung von Michael Thumann aufgedeckt. Die Aufgabe des ERNW IT-Security Research-Teams ist es, bisher unbekannte Sicherheitsprobleme aufzudecken. Dies können sowohl Sicherheitsprobleme auf konzeptioneller wie auch auf technischer Ebene sein (z.B. Fehlersuche in Software). Gefundene Probleme werden an die jeweiligen Hersteller kommuniziert und üblicherweise in Kooperation behoben. Sobald eine Lösung für das Problem (z.B. in Form eines Patches) verfügbar ist, wird das Thema entweder in Form eines White-Papers oder als ERNW Security-Advisory veröffentlicht.

Das Research-Team setzt unterschiedlichste Techniken ein um Sicherheitslücken aufzuspüren: von Reverse Engineering über Code Audits bis zur Protokollierung von Netzwerk-Kommunikation oder auch Fault-Injection Techniken.

Die Arbeit des ERNW IT-Security Research-Teams dient sowohl der internen Weiterbildung als auch unseren Kunden, die durch die Ergebnisse dieser Forschungen die allgemeine Sicherheit in der IT weiter verbessern können.

In diesem How To ist detailliert dargelegt, wie eine Smartcard-basierte Authentifizierung in verschiedenen Microsoft Active Directory-Umgebungen mit öffentlichen (d.h. etwa von einer M-PKI erstellten) Zertifikaten und der Verwendung von Citrix stattfinden kann.