Qbi's Weblog

Wer einen Vortrag über IT-Sicherheit oder Social Engineering besucht, wird zwangsläufig die Geschichte von den USB-Sticks zu hören bekommen. Demnach hat der Vortragende oder eine andere Person in einem Unternehmen USB-Sticks platziert und kurze Zeit später wurden diese an die Arbeitsplatzrechner gesteckt, obwohl dies strengstens verboten ist. Doch ist an der Geschichte wirklich etwas dran? Forscher verschiedener Universitäten veröffentlichten eine Studie, die dem Phänomen auf den Grund geht.

Dazu präparierten sie USB-Sticks und verteilten sie auf dem Campus der University of Illinois at Urbana-Champaign. Die Sticks waren unterschiedlich gestaltet. Das rangierte von neutral bis zu beschrifteten Sticks oder solchen, die an einem Schlüsselbund hingen. In der Studie finden sich Beispielbilder. Auf den Sticks befanden sich HTML-Dateien, die einen img-Tag zur Anzeige von Bilder beinhalteten. Dieses Bild wurde von einem Server geladen, den die Forscher kontrollierten. So sahen sie, wenn jemand den Stick einsteckte.

Insgesamt verschwanden fast alle der abgelegten USB-Sticks (290 von 297 Stück). Knapp die Hälfte wurde von den Findern geöffnet. Dabei zeigte sich, dass nur die Geräte, bei denen eine Adresse vermerkt war, weniger geöffnet wurde. Bei allen anderen Markierungen wurden jeweils so um die Hälfte in den eigenen Rechner gesteckt und geöffnet. Welche Dateien interessierten die Finder besonders? Je nach Stick trugen die Dateien unterschiedliche Namen. Besonders häufig wurde der Bilderordner mit Bildern des »Winter Break« geöffnet. Aber auch Prüfungen und Lebensläufe fanden die Finder interessant.

Ein weiterer interessanter Nebeneffekt der Studie fand im Web statt. Die Forscher überwachten verschiedene Seiten und wollten sehen, ob die USB-Sticks dort erwähnt wurden. Ein Student postete ein Bild seines Fundes auf Facebook, andere posteten dies bei der Sub-Reddit-Seite der Uni. Dort entspann sich eine Diskussion und die Diskutanten warnten sich, die Sticks in den Rechner zu stecken.

Insgesamt ist die Studie sehr interessant. Sie bestätigt genau die oben angeführte Geschichte, dass Sticks gern mitgenommen und in den Rechner gesteckt werden. Die Angreifer haben hier ein nahezu leichtes Spiel.

Doch wie könnt ihr euch schützen, dass euer Stick verloren geht und in einen fremden Rechner gesteckt wird? Die Erkenntnisse der Studie legen nahe, dass der Stick an einem Schlüsselbund sein sollte und mit einem Namen sowie Adresse beschriftet sein sollte. In diesen Fällen wurden die Sticks äußerst selten an den Rechner gesteckt und auch häufig zurück gegeben. Viel besser ist natürlich die Sticks zu verschlüsseln und ein Backup der Daten zu haben.

Gestern war ich auf dem IT-Sicherheitstag bei der IHK Gera eingeladen. Dort hielten verschiedene Fachleute Vorträge oder Workshop. Die einleitenden Vorträge kamen von einem Experten für Spionageabwehr beim Bundesamt für Verfassungsschutz und von mir.

Der Referent des Verfassungsschutzes erklärte, woher die Bedrohungen für die Wirtschaft kommen, wie die aussehen können und was die Firmen dagegen tun können.

Woher kommen die Bedrohungen? Anfangs wurden insbesondere Russland und China mit ihren diversen Einheiten genannt. Die im weiteren Vortrag folgenden Beispiele wurden immer von chinesischen Bürgern ausgeführt. Zum Abschluss stellte der Redner fest, dass der Verfassungsschutz ja einen 360°-Blick hat und es keine Bedrohungen von westlichen Diensten gibt. Hauptgrund war die Tatsache, dass es keine Anzeigen aus der Wirtschaft gibt. Bedeutet das, dass Spionageabwehr nur aus dem Warten auf Anzeigen besteht?

Ich griff den Ball dann in meinem Vortrag nochmal auf und verwies auf den Fall Enercon, wo die NSA spionierte. Daneben verwies ich auf den DGSE und andere Dienste, deren Ziel Wirtschaftsspionage ist und in deren Fokus auch westliche Unternehmen stehen.

Der Vortrag des BfV-Referenten hatte viele Filme zur Illustration dabei. Wenn es dabei um Wirtschaftsspionage ging, kamen die Beispiele aus der Schweiz oder Österreich. Ich fragte mich, warum es keine Beispiele deutscher Unternehmen gibt und was das BfV mit schweizer oder österreicher Unternehmen zu tun hat. Eigentlich soll die Behörde Informationen sammeln, die sich gegen die FDGO richten oder deutsche Unternehmen gefährden.

Den Abschluss des Vortrages bildete ein wenig Werbung für die Behörde. Den schließlich würde diese diskret mit Informationen umgehen und, was dem Vortragenden wichtig zu sein schien, sie unterliegt nicht dem Legalitätsprinzip. Das heißt, bei Kenntnis von Straftaten müssen diese nicht angezeigt werden.

Insgesamt hinterließ der Vortrag bei mir einen recht faden Beigeschmack und bestätigte mein Bild von den »Verfassungsschützern«.

Woher kommen eigentlich Viren, Würmer und andere Schadsoftware? Über welchen Weg brechen Angreifer in Computersysteme ein? In vielen Fällen heißt die Antwort »Buffer Overflow« oder Pufferüberlauf. Jörg und ich sind der Frage nachgegangen, was so ein Buffer Overflow eigentlich ist. Wir versuchen anhand einer Analogie mit Kisten und deren Inhalten das Wesen des Überlaufs zu erklären. Anschließend bieten wir einige Lösungen für das Problem an. Neugierig geworden? Dann hört mal in den Datenkanal 19 rein:

• DK19 als MP3
• DK19 als OGG

Durch Bitlove könnt ihr beide Dateien über BitTorrent herunterladen.

• MP3 als BitTorrent
• OGG als BitTorrent

Viel Spass beim Anhören und, falls ihr mögt, könnt ihr flattrn.

Geek and Poke beschreibt sehr schön, wie sich ein Security-Geek in einem Restaurant beschweren kann:

Da die Rezension etwas länger wurde, gibt es in der Artikelübersicht eine Zusammenfassung und in der erweiterten Ansicht alle Details.

Ich wurde kürzlich auf das Buch „Web-Sicherheit – Wie Sie Ihre Webanwendungen sicher vor Angriffen schützen“ von Sebastian Kübeck aufmerksam. Das Thema Web-Sicherheit spielt im Rahmen meiner Vorlesung zu IT-Sicherheit eine Rolle und daher war ich sehr daran interessiert, das Buch kennen zu lernen.

Der Aufbau des Buches gefiel mir sehr gut. Der Leser kann sich zuerst theoretisches Wissen erarbeiten, steigt dann in praktische Aspekte ein und lernt schließlich, wie er die Probleme umgeht.

Beim Lesen fiel mir dann auf, dass einige Teile meinen Erwartungen nicht gerecht werden. So wäre es bei einem Buch über Webanwendungen wünschenswert, dass es zumindest stichpunktartig auf die Techniken des Internet und des Web eingeht. Dieser Teil fehlt hier fast vollständig. Auch werden relevante Aspekte wie beispielsweise SSL zu kurz behandelt. Demgegenüber halte ich die Erwähnung des BTX-Hacks und anderer im Rahmen des Buches vernachlässigenswert.

Im ersten und zweiten Teil des Buches findet sich ein ausführliches Literaturverzeichnis. Das sollte dem Leser helfen, tiefer in die Thematik einzusteigen. Es wäre besser, dass die Zitierschlüssel geändert werden und mehr auf Fachliteratur statt auf Zeitschriftenartikel verwiesen wird.

Ich kann mich schlecht mit Java als Sprache für das Buch anfreunden. Aus verschiedenen Aspekten halte ich diese für weniger gut geeignet und Sprachen wie PHP, Python oder Ruby wären für mich eine bessere Wahl gewesen.

Im Buch selbst ist nach meiner Meinung zu viel Quellcode zu finden. Mindestens ein Fünftel besteht aus abgedrucktem Quellcode. Dabei ist zu viel Irrelevantes mit gedruckt. Für die Beispiele im Buch reichen oft wenige Zeilen. Code über viele Seiten finde ich zu unübersichtlich. Insbesondere auf Grund der Tatsache, dass sich der Autor auch die Arbeit gemacht hat und eine Demoanwendung mitliefert. Hier wäre es empfehlenswert, einfach die zur Erklärung des Beispiels relevanten Zeilen zu drucken und dann auf die betreffende Datei in der Demoanwendung zu verweisen.

Insgesamt bietet das Buch Licht und Schatten. Es hat viele gute Ansätze, die aber noch ausgearbeitet werden sollten. Wenn der Autor dies in einer nächsten Auflage schafft, so ist das Buch dann zu empfehlen. Derzeit bin ich unsicher, ob das Buch dem Publikum wirklich den erhofften Mehrwert bringt.

Continue reading "Rezension des Buches „Web-Sicherheit“ von Sebastian Kübeck"

Die Phrack Ausgabe 67 markierte das 25-jährige Jubiläum des Magazins. Herzlichen Glückwunsch:

                                 \\\ ,
                                  \ `|
                                   ) (   .-“”-.
                                   | |  /_  {  ‘.
                                   | | (/ `\   } )
                                   | |  ^/ ^`}   {
                                   \  \ \=  ( {   )
                                    \  \ ‘-, {   {{
                                     \  \_.’  ) }  )
                                      \.-’   (     (
                                      /’-.’_. ) (  }
                                      \_(    {   _/\
                                       ) ‘--’ `-;\  \
                                   _.-’       /  / /
                            <\/>_.’         .’  / /
                        <\/></\>/.  '      /<\// /
                        </\>  _ |\`- _ . -/|<// (
                     <\/>    - _- `  _.-’`_/- |  \
                     </\>        -  - -  -     \\\
                      }`<\/>                <\/>`{
                      { </\>-<\/>_<\/>_<\/>-</\> }
                      }      </\> </\> </\>      {
                   <\/>.                         <\/>
                   </\>                          </\>
                    {`<\/>                     <\/>`}
                    } </\>-<\/>_<\/>_<\/>_<\/>-</\> {
                    {      </\> </\> </\> </\>      }
                    }                               }
                    {           H A P P Y           {
                    }                               }
                    {             25th              {
                 <\/>                               <\/>
                 </\>        B I R T H D A Y        </\>
                   `<\/>                          <\/>’
                jgs </\>-<\/>_<\/>_<\/>_<\/>_<\/>-</\>
                         </\> </\> </\> </\> </\>

Heute startete das Wintersemester an der Uni. Für mich ist es das erste Mal, dass ich keine Vorlesungen höre, sondern selbst eine halte. Das Thema ist IT-Sicherheit. Dort bespreche ich die üblichen Schwerpunkte (Kryptografie, Sicherheitsmodelle, CC etc.). Zur ersten Veranstaltung kamen etwa 40 Personen. Ich bin gespannt, wie die Zahl am Ende des Semesters ist.

Heute habe ich als Einführungsbeispiel etwas zu Stuxnet erzählt. Der Wurm ist wegen seiner Komplexität sehr interessant. Es schien so, als ob der Großteil der Teilnehmer meinen Ausführungen folgen konnte. Immerhin gab es am Ende einige Fragen und zur Freude der Studenten war auch einige Minuten eher Schluss.

Am letzten Freitag des Monats startet dann ein Seminar zu Wikileaks. Hier erstaunt mich die Zahl der Teilnehmer. Im Friedolin steht nur der Titel des Seminars und es haben sich etwa 50 Personen angemeldet. Ich würde mich freuen, wenn sich alle für das Seminar entscheiden. Dann können wir vielleicht wirklich etwas auf die Beine stellen.

Natürlich will ich mich in die eine oder andere Vorlesung reinsetzen. In der Mathematik finde ich algebraische Zahlentheorie recht interessant und das passt bei mir gut rein. Andere Vorlesungen sind entweder zu lang oder ich schaffe es zu den Terminen nicht. Dann habe ich mir einige Jura-Veranstaltungen herausgesucht. Eine davon sollte heute beginnen. Als ich die Tür öffnete, stand ich vor einer Wand Menschen und habe den Saal gleich wieder verlassen. Mal sehen, ob die anderen Veranstaltungen genauso sind.

Ich wünsche allen Studenten ein erfolgreiches Semester.