Freitag, 29. August 2008

News

präsentiert von: entwickler.com
Montag, 23. Juni 2008

KW 26/08: Standpunkt Sicherheit

Diese Woche erfahren Sie im "Standpunkt Sicherheit" etwas über die Bedrohung durch USB-Sticks und andere mobile Geräte, ein Update für Microsofts Bulletin MS08-030 und eine neue Version von BackTrack. Außerdem gibt es Infos zu Schwachstellen im Internet Explorer, Safari, Mac OS X und einer Kaffeemaschine.

USB ist gefährlich

Wie ich bereits in About Security #4 und später dann im Standpunkt Sicherheit vom 23. Oktober 2006 und vom 10. März 2008 erwähnt habe, sind mobile Geräte aller Art allgemein eine potenzielle Gefahr. Die möglichen Bedrohungen sind vielfältig:

  • Auf betriebseigenen USB-Sticks gespeicherte Daten können beim Verlust des USB-Sticks in unbefugte Hände gelangen (was durch einen gezielten Diebstahl noch unterstützt werden kann),
  • ein bösartiger Besucher kann einen unbeobachteten Augenblick nutzen, um über das so genannte Pod-Slurping interessante Dateien von der Festplatte eines Rechners auf sein mobiles Gerät zu kopieren,
  • über einen zugespielten USB-Stick kann Schadsoftware in das lokale Netz gelangen.

Für alle diese Fälle gibt es bereits Beispiele: Bei den verloren gegangenen Datenträgern sei nur an die besondere Fähigkeit britischer Behörden erinnert, immer mal wieder sensitive Informationen auf diesen Weg zu verbreiten. Pod-Slurping wurde seit der Erfindung des Begriffs im Sommer 2005 durch Abe Usher bereits mehrfach demonstriert, und was die über zugespielte USB-Sticks eingeschleuste Schadsoftware betrifft, sei nur an die Industriespionage 2005 in Israel (damals noch mit CDs statt USB-Sticks) und entsprechende Tests, z.B. im Juni 2007, erinnert.

Alles schon bekannt?!?

Im Wesentlichen sind das also alles seit langem bekannte Probleme, und als Gegenmaßnahme gibt es außer den entsprechenden Funktionen der Betriebssysteme z.B. die im CeBIT-Bericht 2006 in About Security vorgestellten Programme und viele weitere. Ein aktueller Report (PDF) der EU Agency for European Network and Information Security (ENISA) weist nun noch einmal auf einen Teil dieser Gefahren, nämlich die durch USB-Sticks, hin.

Und was seht in der Sicherheitsrichtlinie?

Generell kann man sagen: "Wenn in Ihrer Sicherheitsrichtlinie (auch Security Policy genannt) die Worte USB und/oder 'mobile Geräte' nicht vorkommen, ist die unvollständig und muss ergänzt werden". Wie, Sie haben gar keine Sicherheitsrichtlinie? Auch nichts Derartiges, was nur anders heißt, z.B. ein Organisationshandbuch mit einem entsprechenden Kapitel oder Ähnliches? Nun, dann müssen Sie nicht nur ein Kapitel über USB-Sticks und ähnliche Geräte ergänzen, sondern den gesamten Text neu schreiben. Das ist je nach Größe der betroffenen Organisation schnell erledigt oder eine umfangreiche Aufgabe. Egal was bei Ihnen zutrifft, keine entsprechende Richtlinie zu haben, kann im Falle eines Falles fatal sein. Ein paar allgemeine Informationen gibt es in About Security #53, ein Beispiel in About Security #54, #55 und #56.

Sicherheitsrichtlinie, ganz einfach

Wer sich noch nie mit dem Thema beschäftigt hat, sollte mal genau nachdenken, ob er nicht doch irgendwo einen "Plan B" für irgendeinen Unglücksfall parat hat. Denn manchmal hat man eine Sicherheitsrichtlinie, ohne es überhaupt zu wissen. Nehmen wir einmal als einfaches Beispiel einen ganz kleinen Betrieb ohne IT- und Einkaufsabteilung etc. Was passiert, wenn Sie eines Morgens einen Rechner einschalten, und der gibt keinen Mucks mehr von sich? Ach, Sie gehen zum Händler ihres Vertrauens oder auch einfach zum nächsten Super- oder Fachmarkt und kaufen das nächstbeste Gerät, benutzen Ihre externe Backup-Festplatte um an die Daten zu gelangen und arbeiten damit weiter, bis ihr ursprünglicher Rechner repariert wurde? Na, da haben Sie ja doch eine Sicherheitsrichtlinie! Zwar eine sehr unvollständige, aber immerhin. Denn Sie haben ja irgendwann festgelegt, Backups auf einer externen Festplatte zu speichern, um damit im Falle eines Rechner-Ausfalls zu arbeiten. Und auch für den Fall eines Rechnerausfalls haben Sie bereits einen Plan. Prima!

Stein auf Stein...

Dann schauen wir doch mal, was sich darauf aufbauend machen lässt. Wie sieht es denn mit der Sicherheit des Backups aus? Mal angenommen, das Backup ist auf einer kleinen USB-Festplatte - was passiert, wenn Sie die verlieren oder sie gestohlen wird? Richtig, jeder kann mit ihren Daten tun und lassen, was ihm gerade einfällt. Das ist je nach Art der Daten unter Umständen äußerst unangenehm. Um das zu verhindern, können Sie die Daten verschlüsseln. Entweder über ein Programm oder indem Sie gleich eine USB-Festplatte mit integrierter Verschlüsselung verwenden wie z.B. die im diesjährigen CeBIT-Bericht vorgestellte SINA Mobile Disk. Das wäre also ein weiterer Punkt für die Sicherheitsrichtlinie: Wie werden Daten auf externen Massenspeichern geschützt?

... auf Stein ...

Und wie sieht es eigentlich aus, wenn sich ein Wurm oder Virus auf ihrem Rechner häuslich einrichtet? Eigentlich ist es dann für eine Gegenmaßnahme reichlich spät, richtig? Besser ist es, es erst gar nicht soweit kommen zu lassen. Dazu wird zentral auf dem Mailserver oder einem Gateway und/oder lokal ein Virenscanner installiert. Ach, den haben Sie schon? Sehen Sie, das ist wieder ein Punkt der Sicherheitsrichtlinie, den Sie abhaken können, nachdem Sie ihn der Liste hinzugefügt haben.

... das Häuslein wird bald fertig sein?

Und so geht es weiter - selbst wenn Sie keine schriftlich festgelegte Security Policy haben, rudimentäre Teile davon haben Sie sehr wahrscheinlich. Oft, ohne es zu wissen. Darauf kann man wunderbar aufbauen. Und irgendwann ist die Sicherheitsrichtlinie fertig. Fast, denn vollkommen fertig wird sie nie, kann sie nie werden. So, wie sich die äußeren Bedingungen ändern, muss sich auch die Sicherheitsrichtlinie ändern. So, wie es jetzt höchste Zeit ist, die Bedrohung "USB-Stick" zu berücksichtigen, so kommt früher oder später der nächste Punkt, der hinzugefügt oder geändert werden muss. Aber keine Angst, so häufig wie befürchtet passiert das gar nicht, und vor allem: Es lohnt sich!

Weitere Neuigkeiten in Kürze
  • Microsoft hat für das Security Bulletin MS08-030 (Eintrag in Security aktuell) einen korrigierten Patch für Windows XP SP2 und SP3 veröffentlicht. Der ursprünglich verteilte behob die Schwachstelle nicht zuverlässig.
  • Die Entwickler des Penetrationstest-Systems BackTrack (About Security 'Security Live CDs') haben eine neue Version veröffentlicht. Verfügbar ist BackTrack 3.0 als Image für CD, USB-Stick und VMware.
  • Das im Standpunkt Sicherheit der vorigen Woche beschriebene Problem, das über eine Schwachstelle im Internet Explorer und das Default-Download-Verzeichnis von Apples Webbrowser Safari aus der Ferne beliebiger Code ausgeführt werden kann, wurde von Apple teilweise entschärft: In Safari Version 3.1.2 wurde eine Nachfrage vor automatischen Downloads eingefügt und das Default-Download-Verzeichnis geändert. Die Schwachstelle im Internet Explorer ist weiterhin vorhanden und kann evtl. über andere Programme und/oder Social Engineering ausgenutzt werden.
  • Unter Mac OS X 10.4 und 10.5 ist es möglich, über den zum Apple Remote Desktop gehörenden ARDAgent, dessen SUID-Bit gesetzt ist, AppleScript-Skripte mit root-Rechten zu starten und damit beliebige Shell-Befehle auszuführen. Laut SecureMac und Intego wird die Schwachstelle bereits durch einen Trojaner ausgenutzt. Als Gegenmaßnahme sollte es ausreichen, das SUID-Bit des ARDAgent zu löschen:
    chmod u-s /System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/MacOS/ARDAgent
    sorgt dafür, das keine root-Rechte mehr erlangt werden können. Und ansonsten gilt der altbekannte Rat, keine verdächtigen Programme auszuführen - der Trojaner kommt entweder als AppleScript-Skript oder übersetztes Programm daher und muss vom Benutzer gestartet werden, bevor er sein unheilvolles Werk beginnen kann. Thomas Ptacek von Matasano hat ein paar Argumente dafür veröffentlicht, warum man sich über diese Schwachstelle keine all zu großen Sorgen machen sollte. Dem kann ich nur zustimmen.
  • Hacker mit Langeweile können sich inzwischen auch über Kaffeemaschinen hermachen, sofern die über einen Internetanschluss verfügen: Craig Wright hat auf der Mailingliste Bugtraq eine Schwachstelle im Jura Internet Connection Kit der Jura F90 Kaffeemaschine veröffentlicht und etwas später Details nachgereicht. Ein Hacker kann darüber z.B. das Kaffeerezept ändern. Hintergrund der auf den ersten Blick lächerlichen Aktion: Craig Wright wollte darauf hinweisen, das Schwachstellen in Embedded Devices und anderen Geräten oft unterschätzt werden, und da hat er eindeutig Recht. Oder haben Sie sich schon mal Gedanken darüber gemacht, das jemand z.B. den Speicher ihres Netzwerkdruckers für die Ablage von Raubkopien nutzen könnte? Theoretisch ist das sicher eine mögliche Bedrohung, praktisch aber wohl zumindest zur Zeit noch nicht. Trotzdem sollte man das Problem im Auge behalten und bei Bedarf entsprechend handeln.

Carsten Eilers

Weitere Infos:
"About Security": Die wöchentliche Serie von Carsten Eilers
Ihre Meinung ist uns wichtig!
Mobile Computing Heute & Morgen!
Nehmen Sie an unserer Umfrage zum Thema Mobile Computing in Deutschland teil und nutzen Sie die Chance eine Casio Exilim EX-Z1050-Digitalkamera zu gewinnen!
Mehr Informationen »
alle Konferenzen »

Konferenzen

BASTA! 2008

BASTA! 2008

22.-26. September 2008
Rheingoldhalle, Mainz

SQLCON 2008

SQLCON 2008

22.-26. September 2008
Rheingoldhalle, Mainz

IPC 2008

IPC 2008

27.-31. Oktober 2008
Rheingoldhalle, Mainz

AJAX IN ACTION 2008

AJAX IN ACTION 2008

28.-31. Oktober 2008
Rheingoldhalle, Mainz

EKON 12

EKON 12

28.-31. Oktober 2008
Congress Centrum, Mainz

W-JAX 2008

W-JAX 2008

3.- 7. November 2008
ArabellaSheraton Hotel München

SOACON 2008

SOACON 2008

3.- 7. November 2008
Arabella Sheraton Hotel, München

JAX Asia 2008

JAX Asia 2008

25.-28. November 2008
Singapore, Kuala Lumpur, Jakarta

Werbung
Top-Jobs

Hueber Verlag GmbH & Co. KG

Webdesigner/ Webprogrammierer (m/w)

Software & Support Verlag GmbH

Volontär (w/m) Redaktion, Vollzeit

OLYMPUS EUROPA Holding GmbH

Web-Entwickler (m/w)

Gebit Solutions

Java Profis gesucht (m/w)

Magazine

Entwickler Magazin - Enterprise Technologies & Business Solutions

Entwickler Magazin

Enterprise Technologies & Business Solutions

dot.net magazin - die unabhängige Quelle für .NET-Technologien

dot.net magazin

Die Quelle für .NET-Technologien

Eclipse Magazin

Eclipse Magazin

Weltweit erstes Magazin für Eclipse-Entwickler

Java Magazin - Internet & Enterprise Technology

Java Magazin

Internet & Enterprise Technology

CREATE OR DIE - Ein Leben für die Kreativität

CREATE OR DIE

Ein Leben für die Kreativität

Business Technology - Management Magazin

Business Technology

Management Magazin

PHP Magazin - Professional PHP Development

PHP Magazin

Professional PHP Development

Bücher


hosted by HostEurope