Thoughts. Ideas. Photography.

Posts tagged “IT-Sicherheit

Keine „einfach zu erratenden Zahlen“ in der PIN

Manche Leute lernen es nie: Man sollte, wenn man PIN oder ähnliches vergeben will, sich nicht den Bereich, aus dem die PIN stammen soll, durch angeblich sicherheitssteigernde Regeln verkleinern. Das hat schon bei der Enigma nicht funktioniert!
So gerade eben: 5-stellige PIN als Passwort, nur Zahlen, keine Buchstaben, keine Sonderzeichen. Auf den ersten Blick also 100.000 mögliche Kombinationen.
Dann die Einschränkungen:
1. Keine Null als erste Ziffer (-10.000 Mögliche PINs)
2. Keine Ziffernwiederholungen (also 11, 22, 33, 44, 55, 66, 77, 88, 99, 00, 111, 222, …; weitere -39.000)
3. Keine Ziffer mehr als zwei mal in der PIN (auf Grund der 2. Regel kostet das nur nochmal 10 weitere Möglichkeiten)

Mit diesen drei Regeln hat der PIN-Vergeber den Suchraum fast halbiert. Da wird’s einfacher…


RTFB: Die Kunst des Einbruchs

Kevin Mitnick und William Simon gehen in die zweite Runde, diesmal ein wenig techniklastiger als Teil 1 (Die Kunst der Täuschung).
Die Schilderungen von Mitnick sind nicht allzu aktuell, sie sind sogar eher leicht veraltet. Die Software, die er vorstellt, ist zwar nach wie vor erhältlich, doch die Exploits sind geschlossen, die Schwachstellen wohl bekannt und die Angriffsmethoden gehören mehr in die Einführung in IT-Sicherheit und IT-Forensik als das sie state-of-the-art wären.
Doch das tut dem Buch keinen Abbruch – genau das macht das Buch sogar lesenswert. Gerade die Bekanntheit der Schwachstellen und Exploits macht das Buch allgemein verständlich, und der schon in der Kunst der Täuschung genutzte erzählende Sprachstil fesselt den Leser ungemein. Man möchte wissen, wie es weitergeht, man fiebert mit, wenn Pakete gesnifft, wenn WLAN-Zugänge verschleiert oder John the Ripper sich über ein Passwort hermacht.
Mitnick und Simon schaffen es auch in diesem Teil, IT-Sicherheit unterhaltsam und lehrreich zu vermitteln. Daher ein klares RTFB.
Momentan gibt’s das Buch als Taschenbuch zum reduzierten Tarif, der Hardcover sieht aber auch gut im Regal aus.


RTFB: Die Kunst der Täuschung

Auf vielfachen Wunsch eines einzelnen Herrn fange ich heute eine neue Rubrik an: Meine Leseempfehlungen – oder kurz RTFB – Read This Fabulous Book.

Kevin Mitnick und William Simon: Risikofaktor Mensch – Die Kunst der Täuschung.

Dieses Buch handelt von IT-Sicherheit. Aber es handelt nicht von Antiviren-Software, Patch-Strategien, Grey-Listing, Backup-Reglungen oder Multiplen DMZ-Umgebungen. Es handelt von der häufigsten Fehlerquelle, von dem, was Admins gerne als den OSI-Layer-8 nennen. Es handelt von den Menschen, die in Firmen arbeiten.

Social Engineering gilt als die gefährlichste Angriffsform auf Rechnernetze. Mit ihr greift man an der verwundbarsten Stelle des Rechnersystems an. Und wie Social Engineering funktioniert, wie es durchgeführt wird und wie man Schutzmaßnahmen dagegen aufbaut, ist das Thema, welches von Mitnick und Simon gekonnt und anschaulich dargestellt wird.

Mitnick und Simon verwenden einen sehr gut nachvollziehbaren Erzählstil, um ihre Beispiele für Social Engineering auszuschmücken. Sie machen an vielen Beispielen die Gefahr deutlich, die von Social Engineering ausgeht: So erzählen Sie, wie man durch scheinbar harmlose Telefongespräche Vertrauen aufbauen kann oder wie man durch geschicktes Nachfragen Information für weitere Angriffe sammelt. Sie beschreiben, wie man Eitelkeiten oder auch die Hilfsbereitschaft von Mitarbeitern ausnutzt, um an Information zu kommen.

Doch beschränken Sie sich nicht auf eine reine erzählende Darstellung eines Angriffs mittels Social Engineering. Sie analysieren im Nachgang auch, welche Schwachstellen sie ausgenutzt  haben und wie man sich davor schützen könnte. Der Stil dabei ist unterhaltsam, aber zugleich präzise. Dies macht das Buch einfach verständlich, und dennoch tiefgehend genug.

Es  ist klar, keiner der Autoren ist ein Psychologe und wäre somit in der Lage, wissenschaflich exakt die Denkmuster und Verhaltensweisen zu analysieren, welche ausgenutzt werden.  Doch das ist auch nicht das Ziel des Buches. Es ist auch kein Werk wie das IT-Grundschutz-Handbuch, welches genaue Handlungsanweisungen gibt. Und es ist auch keine Wissenschaftliche Abhandlung über IT-Sicherheit. Es ist eine Einführung in das Social Engineering. Und die ist gelungen!

Um sich den Stil besser vorstellen zu können, habe ich ein Social-Engineering-Experiment, an dem ich selbst mitgewirkt habe, ein wenig im Stil von Mitnik und Simon ausgeschmückt. Wem der Stil gefällt, dem sei das Buch von Mitnik und Simon empfohlen. Gute Unterhaltung.


Ausflug nach K-Town

Nach noch nicht einmal 4 Monaten (März, April, Mai und Juni) kehre ich kurz an die TU Kaiserslautern zurück. Allerdings nur um einen kurzen Vortrag über IT-Sicherheit zu halten. Wenn den jemand sich ansehen möchte:

Donnerstag, 26. Juni 2008, 17:15 – 18:45 in Hörsaal 46-210

Für alle, die meinen alten Sicherheitsvortrag schon kennen: Es gibt einen neuen, und es hat sich mehr verändert als nur das Folienlayout. Allerdings sind knapp 160 Folien in 90 Minuten eine Herausforderung. Und ich verwende nicht den Stil von Alec Muffet.


Voreingestellte WPA-Schlüssel in WLAN-Routern leicht erratbar

Gestern auf Heise: Eine unglaubliche Sensation! Voreingestellte WPA-Schlüssel in WLAN-Routern leicht erratbar

Sensationell, liebe Heiseredaktion. Machen wir uns dieses GENERELLE Problem doch mal klar. WPA-Keys sind eigenlich bis zu 64 Zeichen lang. Probiert man anhand einer mitgesnifften Probe auf einem Rechner jetzt herum, welcher Key denn passt – also ein normaler Brute-Force-Angriff – so ist man selbst bei 1.000.000 Keys pro Sekunde (die erreicht man aktuell nur durch Parallelisierung, beispielsweise mit einem Bot-Net) etwa eine Billiarde Jahre beschäftigt. Das ist sicher.

Aber: Man kann den zu durchsuchenden Raum sehr einfach einschränken:

  1. Kein Hardwarehersteller verwendet mehr als 10-12 Zeichen. Die haben nur wenig Platz auf den Typenschildern, und die Vertippwahrscheinlichkeit nimmt nun mal bei steigender Anzahl der Zeichen zu.
  2. Die Hersteller werden immer gleich lange Schlüssel verwenden. Sonst hätte man an der Hotline das Problem, den Leuten sagen zu müssen, dass der Schlüssel das unförmig lange Ding auf der Unterseite des Gerätes ist. Ebenso hat der Schlüssel vermutlich eine zweite Bedeutung und unterliegt beispielsweise den Regeln, nach denen eine Seriennummer vergeben wird.
  3. Kein Hersteller wird den vollständigen ASCII-Zeichensatz verwenden. Man wird sich auf die wenigen Zeichen beschränken, welche auf einer beliebigen Tastatur auf diesem Planeten immer zu finden sind. Groß- und Kleinschreibung werden viele Hersteller meiden.
  4. Auch werden die Hersteller nicht die Null und das große O gemeinsam nutzen. Noch ein Zeichen weniger.
  5. Einige Hersteller werden es sich bequem machen, und generell Buchstaben meiden.

Im schlimmsten Fall reduziert sich der Suchraum also auf alle Zahlen zwischen 0 und 9.999.999.999. Bei 1.000.000 Schlüssel pro Sekunde ist man also in 3 Stunden durch.

Gut, den voreingestellten WPA-Schlüssel auf Basis der MAC-Adresse zu vergeben, ist mehr als grob fahrlässig. Auch wenn man den Algorithmus nicht kennt, man könnte ihn, wenn man genug „Stützpunkte“ hat, mit einer entsprechenden Funktion oder einem neuronalen Netz annähern. Dann wären es nur noch Sekunden, nachdem man das erste Paket mitgesnifft hat.

Ein Vorschlag zur Lösung: Der voreingestellte Key sollte ruhig 64 Zeichen lang und per Zufallsgenerator erstellt worden sein. Den Key speichert man in einer Datei auf einem USB-Stick ab. Diesen Stick legt man dem Router bei, besser aber man macht eine Halterung im Router dafür. Jetzt kann man sich den Key bequem in seine Betriebssysteme kopieren.

Für Sicherheitsfanatiker noch einen Bonus: Der Stick sitzt im Router in einem Sockel. Man kann ihn zum Kopieren des Keys herausnehmen. Wenn der Stick aber 10 Minuten weg ist, schaltet sich der Router aus. So kann man auch das Entwenden des Sticks absichern.


Aus gegebenem Anlass

Liebe Vorgesetzte, Kollegen und Mitarbeiter, die sich bestimmt angesprochen fühlen,

es tut mir aufrichtig leid, Sie in diesem offenen Brief noch so kurz vor Jahresende auf unangenehme Dinge hinweisen zu müssen. Doch leider sehe ich mich aufgrund der letzten Stunden dazu genötigt.

Wenn Sie schon Webapplikationen installieren, würde ich mich freuen, wenn Sie diese auch regelmäßig warten. Zur Wartung gehört auch, hin und wieder mal ein Update zu machen – insbesondere wenn die Hersteller oder Communities der Webapplikationen schon vor einigen Jahren Hinweise auf Sicherheitslücken gegeben haben. Ebenfalls ist es sinnvoll, Anwendungen, die nicht mehr benötigt werden, auch wieder zu löschen. Sonst wundert man sich irgendwann, was da noch alles rumliegt und Ärger macht.

Es ist mir klar, dass einige mit solchen Aufgaben überfordert sind. In diesem Fall ist es sinnvoll, solche Sachen nicht selbst zu machen, sondern jemanden damit zu beauftragen. Managed Services sind keine Dämonen, sondern durchaus sinnvoll.

Mit freundlichen Grüßen

Jan Brosowski


§202c StGB- Juristischer Podcast

Ein sehr schöner Podcast zum Thema §202c, aus juristischer Perspektive.

http://www.law-podcasting.de/der-neue-202c-stgb-quo-vadis-hacker-paragraph 

Am besten gefallen mir die Stellen:

„Was sich zunächst relativ alltäglich und profan anhört, könnte sich für die im Bereich der IT-Sicherheit Beschäftigten relativ schnell zum Super- GAU entwickeln, wenn eine Staatsanwaltschaft oder ein Gericht ihr Handeln einmal auf Herz und Nieren prüfen sollte.“

„Der Gesetzgeber hat – wie so häufig in der letzten Zeit – in einem vollkommenen Wahn die gesetzlichen Änderungen im Online-Bereich durchgepeitscht, ohne auf die berechtigte Kritik von Rechts oder Links Rücksicht zu nehmen.  All dies zeigt – wieder einmal – wie dilettantisch inzwischen in diesem Bereich gearbeitet wird.“

„Aha, ein kleiner Trost also für die Betroffenen. Sollte es Ermittlungsverfahren geben, wird man also das Gesetz ändern. Hier offenbart sich der gesamte Wahnsinn des gesetzgeberischen Verhaltens.“

Fassen wir also zusammen: Das Gesetz ist ein dilettantisches Werk eines sich im Wahn befindlichen Gesetzgebers. Er hat berechtigte Einsprüche ignoriert, und will nun abwarten, was so passieren kann.

Etwas ist ja schon passiert: TecChannel hat das BSI wegen der Verbreitung von Hacker-Tools angezeigt. Die Ermittlungsverfahren wurden eingestellt, der ermittelnde Staatsanwalt erkannte keinen subjektiven Tatbestand.

Das mit dem subjektiven Tatbestand ist verständlich – die Intention des BSI wird wohl kaum das Vorbereiten einer Straftat gewesen sein. Allerdings hat der Staatsanwalt das nicht ermittelt, sondern hat schon bei den Vorüberlegungen abgebrochen. Zwar schreibt er

„Andererseits soll es zur Verwirklichung des Tatbestandes genügen, wenn dem Tool nach dem Willen des Handelnden zumindest auch die Zweckbestimmung zukommt, eine Computerstraftat zu begehen.“,

doch relativiert er es wieder auf der vierten Seite seines Schreibens:

„Schließlich muss durch das Handeln jedoch eine andere Tat, nämlich ein (rechtswidriges und unbefugtes) Ausspähen oder Abfangen von Daten, vorbereitet werden. Hier genügt […] grundsätzlich ein Eventualvorsatz. Allerdings muss der Täter auch beim sogenannten „dolus eventualis“ dies andere Tat zumindest in groben Zügen vor Augen haben. Es reicht für die Erfüllung des subjektiven Tatbestandes daher nicht hin, damit zu rechnen (oder gar lediglich rechnen zu müssen), dass irgend eine andere Person das überlassene Tool zum Ausspähen  irgendwelcher Daten benutzen könnte. Vielmehr muss über die allgemeine Möglichkeit eines derartigen Einsatzes des Programms hinaus eine grobe Vorstellung des Handelnden darüber vorliegen, welche konkrete Tat verwirklicht werden könnte“

Super! Es hängt also von der Fantasie, der Kreativität und dem Umfeld eines Täters ab, ob er eine Straftat begeht oder nicht. Wenn ich mir beim besten Willen nicht vorstellen kann, wer ein Tool wofür gebrauchen könnte, mache ich mich nicht strafbar. Wenn ich das aber kann, oder jemanden kenne, der da was plant, muss ich sofort alle Links von meiner Homepage entfernen, den Kontakt einstellen und per MiB-Blitzdings alles aus seinem Hirn löschen, was ich ihm zum Thema IT-Sicherheit gesagt habe.


Löschen einer defekten Festplatte

Wie löscht man eine Festplatte, die defekt ist und auf die nicht mehr zugegriffen werden kann? Eine Platte mit sehr sensiblen Daten gab den Geist auf, und der Eigentümer wollte sicherstellen, dass niemand mehr – auch mit Datenrettungsmethoden – an die Inhalte rankommt.

Auf Anhieb gibt’s dabei ein Problem: shred und dd versagen gnadenlos, da mit Software nicht mehr auf die Platte zu komen war. Die lief nicht mal mehr an.

Also bleiben drei (auch nach militärischen Normen korrekte Varianten): Schreddern, Degaussen und Erhitzen.

Die erste Variante leuchte ein: Physische Gewalt zum zerlegen der Platte in kleine Stücke und dann kontrolliertes Einschmelzen der Metallteile. Perfektes Recycling. Leider kann man es nicht mal eben im Büro machen, außer mit starken Brennern und schweren Tiegeln zum Kochen. Außerdem möchte ich nicht wissen, welche Gase dabei entstehen können.

Alternative 2, das Entmagnetisieren, ist da schon einfacher. Am bequemsten dürfte es mit einem fertigen Gerät für diesen Zweck gehen, beispielsweise der Degausser DG.02 von Ibas . Das Gerät liefert etwa 1,15 Tesla, was sehr viel mehr ist, als der Schreibstrom beim Beschreiben der Platte. Allerdings sind die Geräte nicht so weit verbreitet,als dass in jeder Firma irgendwo einer rumsteht.

Magnet-Resonanz-Tomographen, oder auch Kernspintomatographen, stehen schon häufiger bei irgendwelchen Radiologen herum. Die Geräte schaffen auch 3 Tesla , das sollte also locker ausreichen. Daher aber auch die Empfehlung: Nicht an der Notebooktasche festkrallen, wenn man nach einem Unfall eben mal in die Röhre muss. Die Daten wären weg. Und um Eckart von Hirschhausen zu zitieren:

„Also sprechen Sie vor der Untersuchung mit der Assistentin über Ihren Herzschrittmacher, und auch über Ihr Intimpiercing!“

Der Herzschrittmacher würde warm werden, die Elektronik würde gestört und an den Leitungen würden Spannungen entstehen – ziemlich tötlich. Was am Piercing entsteht, möge man sich bitte selbst vorstellen.

Alternative 3 ist übrigens auch interessant: Wenn man die Platte genug erhitzt, verlieren die ferromagnetischen Stoffe irgendwann ihre magnetischen Eigenschaften und richten sich chaotisch aus. Man spricht dabei von der Curie-Temperatur . Angenehmer – oder unangenehmer – Nebeneffekt: Für Festplatten liegt diese Temperatur etwa bei 700°C, sämtliche Kunststoffteile sind dann bestimmt auch weg.

Wir haben das Problem übrigens mit Schraubendrehern (zum Demontieren), einem Excenterschleifer (zum Zerkratzen der magnetischen Beschichtung auf den Platten) und einer Lötlampe (zum Glühen der Magnetscheiben nach dem Zerkratzen) gelöst. Der Plattenbesitzer hat alle Teile mitgenommen und möchte Sie nun irgendwie entsorgen.