Ausgabe August 2012

Transcrição

Ausgabe August 2012

scip ag
Contents
1.
Editorial
2.
scip AG Informationen
3.
Neue Sicherheitslücken
4.
Statistiken Verletzbarkeiten
5.
Labs
6.
Bilderrätsel
7.
Impressum
1.
Editorial
Da diese Konferenzen häufig viele Teilnehmer
anziehen (sehr oft mehrere Tausend), ergeben
sich zwangsläufig Probleme, die leider erst in den
letzten Jahren angesprochen wurden.
Eines dieser Probleme ist, dass es immer mehr
Konferenzen gibt. Dadurch überlappen sich
manche Konferenzen terminlich und verlieren
deshalb eine teilweise betrachtlichte Anzahl
TeilnehmerInnen.
Auf der einen Seite bedeutet dies, dass es immer
mehr
Leute
gibt,
die
an
der
Informationssicherheit
und
einem
aktiven
Austausch (Konferenzbesuche) daran interessiert
sind. Andererseits bedeutet es, dass viele
Chancen
verpasst
werden,
wenn
die
Konferenzen beide interessante Thematiken
anbieten. Ob dies eine gute Entwicklung ist, wird
sich in der Zukunft herausstellen.
Infosec Konferenzen
scip monthly Security Summary 19.08.2012
Kürzlich fanden in Las Vegas drei der grössten
Konferenzen im Bereich der Informationssicherheit statt: Blackhat, DEFCON und BSides
Las Vegas. Alle drei gibt es seit vielen Jahren
und sie gelten als etablierte Treffpunkte für
sowohl erfahrene als auch neue Mitglieder der
Infosec Community.
Sean Rütschi <seru-at-scip.ch>
Security Consultant
Zürich, 19. August 2012
An solchen Ereignissen erhalten Forscher die
Gelegenheit,
ihre
Untersuchungen
zu
präsentieren,
Hacker
können
ihre
Errungenschaften präsentieren, Menschen mit
aussergewöhnlichen
Geschichten
können
ebendiese
erzählen.
Und
neben
allen
Präsentation und Workshops gibt es die
Gelegenheit,
sich
mit
Gleichgesinnten
auszutauschen oder mit Andersdenkenden
Diskussionen zu führen.
Sehr oft ist der soziale Austausch eine noch
wichtigere Komponente der Konferenzen als die
Präsentationen selbst, da sich viele Teilnehmer
jeweils nur an diesen Konferenzen sehen.
Denjenigen, die nicht derart in die Ferne reisen
möchten, um eine Konferenz zu besuchen, sei
ein Besuch der Hashdays, die dieses Jahr
wiederum in Luzern stattfinden, empfohlen.
1/25
s c i p
a g
© scip AG
2.
scip AG Informationen
2.1 Security Coaching
Das Ziel des Security Coaching ist die direkte
Beratung und das unmittelbare Coaching des
Kunden in den Bereichen der Information Security zur Sicherstellung nachhaltiger und sicherer
Prozesse, Architektur- und Technologieentscheide.
Der Kunde bespricht mit uns seine Ziele und
Vorgaben. Anhand dessen unterstützen wir den
Kunden mit unserer fachmännischen Expertise
und langjährigen Erfahrung im Security Bereich.
Bei Sitzungen mit Partnern stellen wir das entsprechende Know-How zur Formulierung wichtiger Nachfragen zur Verfügung.

Vorbereitung: Zusammentragen aller vorhandenen Informationen zur anstehenden Aufgabe.

Research: Einholen von weiteren Informationen (z.B. Erfahrungen von anderen Kunden).

Diskussion: Besprechung der Aufgabe und
der daraus resultierenden Möglichkeiten.

Empfehlung: Aussprechen und Dokumentieren eines vertretbaren Lösungswegs.
Durch die direkte Beteiligung an einem Projekt
kann unmittelbar Einfluss ausgeübt, damit die
Etablierung schwerwiegender Fehler verhindert
und ein Höchstmass an Sicherheit erreicht werden. Da Sicherheit von Beginn an zur Diskussion
steht, lassen sich Schwachstellen von vornherein
vermeiden. Aufwendigen Tests und nachträgliche
Anpassungen können so vorgebeugt werden.
Dank unserer langjährigen Erfahrung und unserem ausgewiesenen Expertenwissen konnten wir
als scip AG bereits eine grosse Anzahl an Kunden beraten und begleiten.
Zählen auch Sie auf uns!
http://www.scip.ch/?firma.referenzenalle
Zögern Sie nicht und kontaktieren Sie unseren
Herrn Simon Zumstein unter der Telefonnummer
+41 44 404 13 13 oder senden Sie im eine Mail
an [email protected].
2/25
s c i p
a g
© scip AG
3.
Neue Sicherheitslücken
Die erweiterte Auflistung hier besprochener Schwachstellen sowie weitere
Sicherheitslücken sind unentgeltlich in
unserer
Datenbank
unter
http://www.scip.ch/?vuldb einsehbar.
Das Dienstleistungspaket VulDB Alert
System liefern Ihnen jene Informationen, die genau für Ihre Systeme relevant
sind:
http://www.scip.ch/?vuldb.alertsystem
Inhalt
5960
Adobe Acrobat/Reader Pufferüberlauf
[CVE-2012-2051]
5959
[CVE-2012-4148]
5958
[CVE-2012-4147]
5957
[CVE-2012-4162]
5956
[CVE-2012-4161]
5955
[CVE-2012-2050]
5954
[CVE-2012-2049]
5953
[CVE-2012-1525]
5952
Adobe Shockwave Pufferüberlauf [CVE2012-2047]
5951
5950
5949
5972
[CVE-2012-4160]
5948
5971
[CVE-2012-4159]
5947
Adobe Flash Player Pufferüberlauf
[CVE-2012-1535]
5970
[CVE-2012-4158]
5946
Microsoft Visio/Visio Viewer Pufferüberlauf [CVE-2012-1888]
5969
[CVE-2012-4157]
5945
Microsoft Office Pufferüberlauf [CVE2012-2524]
5968
[CVE-2012-4156]
5944
Microsoft JScript/VBScript Pufferüberlauf [CVE-2012-2523]
5967
[CVE-2012-4155]
5942
Microsoft Windows Remote Desktop
Protocol Pufferüberlauf
5966
[CVE-2012-4154]
5941
Microsoft Windows Remote Administration Protocol Pufferüberlauf
5965
[CVE-2012-4153]
5940
Microsoft Windows Remote Administration Protocol Pufferüberlauf
5964
[CVE-2012-4152]
5939
Microsoft Windows Print Spooler Service Pufferüberlauf
5963
[CVE-2012-4151]
5937
Microsoft Internet Explorer JavaScript
Parser Pufferüberlauf
5962
[CVE-2012-4150]
5936
Microsoft Internet Explorer NULL Object
Handler Pufferüberlauf
5961
[CVE-2012-4149]
5935
Microsoft Internet Explorer Layout
3/25
s c i p
a g
© scip AG
5934
Microsoft Internet Explorer Deleted Virtual Function Table Handler Pufferüberlauf
5933
Microsoft SQL Server Common Controls TabStrip ActiveX
MSCOMCTL.OCX Pufferüberlauf
5932
Microsoft Office Common Controls
TabStrip ActiveX MSCOMCTL.OCX
Pufferüberlauf
5925
Google Chrome PDF Viewer Pufferüberlauf [CVE-2012-2862]
5924
Google Chrome PDF Viewer Pufferüberlauf [CVE-2012-2863]
5919
Cisco AnyConnect Secure Mobility Client Spoofing
5917
5916
5909
Opera Small Window Download Dialog
Box Display Spoofing
5906
Citrix Access Gateway Plugin
nsepa.exe StartEPA() Pufferüberlauf
5902
MIT Kerberos 5 src/kdc/kdc_util.c
kdc_handle_protected_negotiation()
Pufferüberlauf
5901
MIT Kerberos 5 src/kdc/do_as_req.c
finish_process_as_req() Pufferüberlauf
5896
Google Chrome WebP Decoder Pufferüberlauf [CVE-2012-2858]
5895
Google Chrome CSS DOM Pufferüberlauf [CVE-2012-2857]
3.1 Adobe Acrobat/Reader
Pufferüberlauf [CVE-2012-4160]
Risiko:
Datum:
VulDB:
kritisch
14.08.2012
http://www.scip.ch/?vuldb.5972
Eine kritische Schwachstelle wurde in Adobe
Acrobat/Reader 9.5.1/10.1.3 gefunden. Dies
betrifft eine unbekannte Funktion. Mittels
Manipulieren mit einer unbekannten Eingabe
kann
eine
Pufferüberlauf-Schwachstelle
ausgenutzt
werden.
Damit
lässt
sich
Programmcode ausführen. Mit Auswirkungen
muss man rechnen für Vertraulichkeit, Integrität
und Verfügbarkeit.
Ein Upgrade auf die Version 9.5.2/10.1.4 vermag
dieses Problem zu beheben. Das Erscheinen
einer Gegenmassnahme geschah direkt nach der
Veröffentlichung der Schwachstelle. Adobe hat
demnach sofort reagiert. Mitunter wird der Fehler
auch in den Datenbanken von OSVDB (ID
84632) und Secunia (ID 50281) dokumentiert.
Risiko:
Datum:
VulDB:
kritisch
14.08.2012
In Adobe Acrobat/Reader 9.5.1/10.1.3 wurde eine
kritische Schwachstelle gefunden. Betroffen ist
eine
unbekannte
Funktion.
Durch
die
Manipulation mit einer unbekannten Eingabe
kann
eine
ausgenutzt
werden.
Hiermit
lässt
sich
Programmcode ausführen. Die Auswirkungen
sind bekannt für Vertraulichkeit, Integrität und
Verfügbarkeit.
Ein Aktualisieren auf die Version 9.5.2/10.1.4
vermag dieses Problem zu lösen. Das
Erscheinen einer Gegenmassnahme geschah
direkt
nach
der
Veröffentlichung
der
Schwachstelle. Adobe hat demnach sofort
reagiert. Mitunter wird der Fehler auch in den
Datenbanken von OSVDB (ID 84631) und
Secunia (ID 50281) dokumentiert.
Risiko:
Datum:
VulDB:
kritisch
14.08.2012
Es wurde eine kritische Schwachstelle in Adobe
Acrobat/Reader 9.5.1/10.1.3 gefunden. Hiervon
betroffen ist eine unbekannte Funktion. Dank der
kann
eine
ausgenutzt werden. Dadurch lässt sich
Programmcode ausführen. Dies wirkt sich aus
auf Vertraulichkeit, Integrität und Verfügbarkeit.
Risiko:
kritisch
4/25
s c i p
a g
© scip AG
Datum:
VulDB:
14.08.2012
Integrität
und
Acrobat/Reader 9.5.1/10.1.3 entdeckt. Davon
betroffen ist eine unbekannte Funktion. Durch
das Beeinflussen mit einer unbekannten Eingabe
kann
eine
ausgenutzt
werden.
Damit
kann
man
Programmcode ausführen. Dies hat Einfluss auf
Vertraulichkeit, Integrität und Verfügbarkeit.
direkt
nach
der
Veröffentlichung
der
direkt
nach
der
Veröffentlichung
der
Risiko:
Datum:
VulDB:
kritisch
14.08.2012
kritische Schwachstelle entdeckt. Dies betrifft
eine unbekannte Funktion. Mittels dem
kann
eine
ausgenutzt werden. Dadurch kann man
Programmcode
ausführen.
Das
hat
Auswirkungen auf Vertraulichkeit, Integrität und
Verfügbarkeit.
dies
auf
Vertraulichkeit,
Verfügbarkeit.
Risiko:
Datum:
VulDB:
kritisch
14.08.2012
Acrobat/Reader 9.5.1/10.1.3 entdeckt. Betroffen
ist eine unbekannte Funktion. Durch das
kann
eine
ausgenutzt
werden.
Hiermit
kann
man
Programmcode ausführen. Auswirken tut sich
Risiko:
Datum:
VulDB:
kritisch
14.08.2012
Acrobat/Reader
9.5.1/10.1.3
ausgemacht.
Hiervon betroffen ist eine unbekannte Funktion.
Mittels Manipulieren mit einer unbekannten
Eingabe kann eine Pufferüberlauf-Schwachstelle
ausgenutzt
werden.
Damit
lässt
sich
Programmcode ausführen. Auswirkungen sind zu
beobachten bei Vertraulichkeit, Integrität und
Verfügbarkeit.
Risiko:
Datum:
VulDB:
kritisch
14.08.2012
kritische Schwachstelle ausgemacht. Davon
betroffen ist eine unbekannte Funktion. Durch die
kann
eine
ausgenutzt
werden.
Hiermit
lässt
sich
Programmcode ausführen. Auswirkungen hat
dies
auf
Vertraulichkeit,
Integrität
und
Verfügbarkeit.
direkt
nach
der
Veröffentlichung
der
5/25
s c i p
a g
© scip AG
Risiko:
Datum:
VulDB:
kritisch
14.08.2012
Acrobat/Reader 9.5.1/10.1.3 ausgemacht. Dies
betrifft eine unbekannte Funktion. Dank der
kann
eine
und Verfügbarkeit.
Risiko:
Datum:
VulDB:
kritisch
14.08.2012
Acrobat/Reader 9.5.1/10.1.3 gefunden. Betroffen
ist eine unbekannte Funktion. Durch das
Beeinflussen mit einer unbekannten Eingabe
kann
eine
ausgenutzt
werden.
Damit
kann
man
Verfügbarkeit.
direkt
nach
der
Veröffentlichung
der
Risiko:
Datum:
VulDB:
kritisch
14.08.2012
kritische Schwachstelle gefunden. Hiervon
betroffen ist eine unbekannte Funktion. Mittels
dem Manipulieren mit einer unbekannten
Risiko:
Datum:
VulDB:
kritisch
14.08.2012
Acrobat/Reader 9.5.1/10.1.3 gefunden. Davon
das Manipulieren mit einer unbekannten Eingabe
kann
eine
ausgenutzt
werden.
Hiermit
kann
man
direkt
nach
der
Veröffentlichung
der
Risiko:
Datum:
VulDB:
kritisch
14.08.2012
Acrobat/Reader 9.5.1/10.1.3 entdeckt. Dies
kann
eine
ausgenutzt
werden.
Damit
lässt
sich
Programmcode
ausführen.
Das
hat
Verfügbarkeit.
6/25
s c i p
a g
© scip AG
Risiko:
Datum:
VulDB:
kritisch
14.08.2012
kritische Schwachstelle entdeckt. Betroffen ist
eine
unbekannte
Funktion.
Durch
die
kann
eine
ausgenutzt
werden.
Hiermit
lässt
sich
dies
auf
Vertraulichkeit,
Integrität
und
Verfügbarkeit.
direkt
nach
der
Veröffentlichung
der
Risiko:
Datum:
VulDB:
kritisch
14.08.2012
Acrobat/Reader 9.5.1/10.1.3 entdeckt. Hiervon
betroffen ist eine unbekannte Funktion. Dank der
kann
eine
Verfügbarkeit.
Risiko:
Datum:
VulDB:
kritisch
14.08.2012
Acrobat/Reader 9.5.1/10.1.3 (Mac) ausgemacht.
Davon betroffen ist eine unbekannte Funktion.
Durch das Beeinflussen mit einer unbekannten
ausgenutzt
werden.
Damit
kann
man
dies
auf
Vertraulichkeit,
Integrität
und
Verfügbarkeit.
direkt
nach
der
Veröffentlichung
der
Risiko:
Datum:
VulDB:
kritisch
14.08.2012
In Adobe Acrobat/Reader 9.5.1/10.1.3 (Mac)
wurde eine kritische Schwachstelle ausgemacht.
Dies betrifft eine unbekannte Funktion. Mittels
dem Manipulieren mit einer unbekannten
und Verfügbarkeit.
Risiko:
Datum:
VulDB:
kritisch
14.08.2012
Acrobat/Reader
9.5.1/10.1.3
ausgemacht.
Betroffen ist eine unbekannte Funktion. Durch
7/25
s c i p
a g
© scip AG
das Manipulieren mit einer unbekannten Eingabe
kann
eine
ausgenutzt
werden.
Hiermit
kann
man
Verfügbarkeit.
direkt
nach
der
Veröffentlichung
der
Risiko:
Datum:
VulDB:
kritisch
14.08.2012
Acrobat/Reader 9.5.1/10.1.3 gefunden. Hiervon
kann
eine
ausgenutzt
werden.
Damit
lässt
sich
Risiko:
Datum:
VulDB:
kritisch
14.08.2012
kritische
Schwachstelle
gefunden.
Davon
betroffen ist eine unbekannte Funktion. Durch die
kann
eine
ausgenutzt
werden.
Hiermit
lässt
sich
direkt
nach
der
Veröffentlichung
der
3.21 Adobe Shockwave Pufferüberlauf
[CVE-2012-2047]
Risiko:
Datum:
VulDB:
kritisch
14.08.2012
Shockwave bis 11.6.5.635 gefunden. Dies betrifft
eine
unbekannte
Funktion.
Dank
der
Manipulation
durch
Eingabe
kann
eine
Pufferüberlauf-Schwachstelle ausgenutzt werden.
Dadurch lässt sich Programmcode ausführen.
Das hat Auswirkungen auf Vertraulichkeit,
Integrität und Verfügbarkeit.
Ein Upgrade auf die Version 11.6.6.636 vermag
[CVE-2012-2046]
Risiko:
Datum:
VulDB:
kritisch
14.08.2012
Shockwave bis 11.6.5.635 entdeckt. Betroffen ist
eine
unbekannte
Funktion.
Durch
das
Beeinflussen
durch
Eingabe
kann
eine
Damit kann man Programmcode ausführen.
Auswirken tut sich dies auf Vertraulichkeit,
Ein Aktualisieren auf die Version 11.6.6.636
direkt
nach
der
Veröffentlichung
der
[CVE-2012-2045]
Risiko:
Datum:
VulDB:
kritisch
14.08.2012
8/25
s c i p
a g
© scip AG
In Adobe Shockwave bis 11.6.5.635 wurde eine
kritische Schwachstelle entdeckt. Hiervon
dem Manipulieren durch Eingabe kann eine
Dadurch kann man Programmcode ausführen.
Auswirkungen
sind
zu
beobachten
bei
[CVE-2012-2044]
Risiko:
Datum:
VulDB:
kritisch
14.08.2012
Shockwave bis 11.6.5.635 entdeckt. Davon
das Manipulieren durch Eingabe kann eine
Hiermit kann man Programmcode ausführen.
Auswirkungen hat dies auf Vertraulichkeit,
direkt
nach
der
Veröffentlichung
der
[CVE-2012-2043]
Risiko:
Datum:
VulDB:
kritisch
14.08.2012
3.26 Adobe Flash Player Pufferüberlauf
[CVE-2012-1535]
Risiko:
Datum:
VulDB:
kritisch
14.08.2012
In Adobe Flash Player bis 11.3.300.270 wurde
eine kritische Schwachstelle ausgemacht.
Betroffen ist eine unbekannte Funktion. Durch die
kann
eine
ausgenutzt
werden.
Hiermit
lässt
sich
Verfügbarkeit.
direkt
nach
der
Veröffentlichung
der
3.27 Microsoft Visio/Visio Viewer
Risiko:
Datum:
VulDB:
kritisch
14.08.2012
Es wurde eine kritische Schwachstelle in
Microsoft Visio/Visio Viewer bis 2010 SP1
ausgemacht. Hiervon betroffen ist eine
unbekannte Funktion. Dank der Manipulation
durch
Datei
kann
eine
PufferüberlaufSchwachstelle ausgenutzt werden. Dadurch lässt
sich Programmcode ausführen. Dies wirkt sich
aus
auf
Vertraulichkeit,
Integrität
und
Verfügbarkeit.
Shockwave bis 11.6.5.635 ausgemacht. Dies
Manipulieren
durch
Eingabe
kann
eine
Damit lässt sich Programmcode ausführen. Mit
Auswirkungen
muss
man
rechnen
für
Als bestmögliche Massnahme wird das
Einspielen
des
entsprechenden
Patches
empfohlen.
Das
Erscheinen
einer
Gegenmassnahme geschah direkt nach der
Veröffentlichung der Schwachstelle. Microsoft hat
3.28 Microsoft Office Pufferüberlauf
9/25
s c i p
a g
© scip AG
[CVE-2012-2524]
Risiko:
Datum:
VulDB:
kritisch
14.08.2012
Eine kritische Schwachstelle wurde in Microsoft
Office bis 2007 SP3/2010 SP1, ein Office Suite,
gefunden. Davon betroffen ist eine unbekannte
Funktion. Durch das Beeinflussen durch
Computer
Graphics
Metafile
kann eine
Damit kann man Programmcode ausführen. Dies
hat Einfluss auf Vertraulichkeit, Integrität und
Verfügbarkeit.
Installieren des jeweiligen Patches empfohlen.
Das
Erscheinen einer Gegenmassnahme
geschah direkt nach der Veröffentlichung der
Schwachstelle. Microsoft hat demnach sofort
3.29 Microsoft JScript/VBScript
Risiko:
Datum:
VulDB:
kritisch
14.08.2012
In
Microsoft
JScript/VBScript,
ein
Programmiersprache, wurde eine kritische
Schwachstelle gefunden. Dies betrifft eine
unbekannte Funktion. Mittels dem Manipulieren
mit einer unbekannten Eingabe kann eine
Einspielen
des
entsprechenden
Patches
empfohlen.
Das
Erscheinen
einer
3.30 Microsoft Windows Remote
Desktop Protocol Pufferüberlauf
Risiko:
Datum:
VulDB:
kritisch
14.08.2012
Windows XP, ein
Betriebssystem, entdeckt.
Hiervon betroffen ist eine unbekannte Funktion
der Komponente Remote Desktop Protocol.
Mittels Manipulieren durch RDP Packet kann eine
Damit lässt sich Programmcode ausführen.
Auswirkungen
sind
zu
beobachten
bei
Einspielen
des
entsprechenden
Patches
empfohlen.
Das
Erscheinen
einer
Administration Protocol
Pufferüberlauf
Risiko:
Datum:
VulDB:
kritisch
14.08.2012
In Microsoft Windows XP, ein Betriebssystem,
wurde eine kritische Schwachstelle entdeckt.
Davon betroffen ist eine unbekannte Funktion der
Komponente Remote Administration Protocol.
Durch die Manipulation durch RAP Request kann
eine Pufferüberlauf-Schwachstelle ausgenutzt
werden. Hiermit lässt sich Programmcode
ausführen.
Auswirkungen
hat
dies
auf
Das
Administration Protocol
Pufferüberlauf
Risiko:
Datum:
VulDB:
kritisch
14.08.2012
Microsoft Windows XP, ein Betriebssystem,
entdeckt. Dies betrifft eine unbekannte Funktion
der
Komponente
Remote
Administration
Protocol. Dank der Manipulation durch RAP
Request kann eine Pufferüberlauf-Schwachstelle
10/25
s c i p
a g
© scip AG
und Verfügbarkeit.
Einspielen
des
entsprechenden
Patches
empfohlen.
Das
Erscheinen
einer
3.33 Microsoft Windows Print Spooler
Service Pufferüberlauf
Risiko:
Datum:
VulDB:
kritisch
14.08.2012
Windows XP/Vista/7/Server 2003/2008 R2, ein
Betriebssystem, ausgemacht. Betroffen ist eine
unbekannte Funktion der Komponente Print
Spooler Service. Durch das Beeinflussen mit
einer
unbekannten
Eingabe
kann
eine
Damit kann man Programmcode ausführen. Die
Auswirkungen sind bekannt für Vertraulichkeit,
Das
3.34 Microsoft Internet Explorer
JavaScript Parser Pufferüberlauf
Risiko:
Datum:
VulDB:
kritisch
14.08.2012
Microsoft Internet Explorer 8/9, ein Webbrowser,
ausgemacht.
Davon
betroffen
ist
eine
unbekannte Funktion der Komponente JavaScript
Parser. Durch das Manipulieren mit einer
unbekannten Eingabe kann eine PufferüberlaufSchwachstelle ausgenutzt werden. Hiermit kann
man Programmcode ausführen. Dies hat Einfluss
Das
3.35 Microsoft Internet Explorer NULL
Object Handler Pufferüberlauf
Risiko:
Datum:
VulDB:
kritisch
14.08.2012
Internet Explorer bis 9, ein
Webbrowser,
gefunden. Dies betrifft eine unbekannte Funktion
der Komponente NULL Object Handler. Mittels
kann
eine
ausgenutzt
werden.
Damit
lässt
sich
Programmcode
ausführen.
Das
hat
Verfügbarkeit.
Einspielen
des
entsprechenden
Patches
empfohlen.
Das
Erscheinen
einer
3.36 Microsoft Internet Explorer Layout
Risiko:
Datum:
VulDB:
kritisch
14.08.2012
In Microsoft Internet Explorer 6/7, ein
Webbrowser, wurde eine kritische Schwachstelle
gefunden. Betroffen ist eine unbekannte Funktion
der Komponente Layout Handler. Durch die
kann
eine
ausgenutzt
werden.
Hiermit
lässt
sich
dies
auf
Vertraulichkeit,
Integrität
und
Verfügbarkeit.
Das
3.37 Microsoft Internet Explorer Deleted
11/25
s c i p
a g
© scip AG
Virtual Function Table Handler
Pufferüberlauf
Risiko:
Datum:
VulDB:
kritisch
14.08.2012
Microsoft Internet Explorer bis 9, ein
Webbrowser, gefunden. Hiervon betroffen ist
eine unbekannte Funktion der Komponente
Deleted Virtual Function Table Handler. Dank der
kann
eine
Verfügbarkeit.
Einspielen
des
entsprechenden
Patches
empfohlen.
Das
Erscheinen
einer
3.38 Microsoft SQL Server Common
Controls TabStrip ActiveX
Risiko:
Datum:
VulDB:
kritisch
14.08.2012
SQL Server 2000/2005/2008/2008 R2 entdeckt.
Davon betroffen ist eine unbekannte Funktion der
Datei MSCOMCTL.OCX der Komponente
Common Controls TabStrip ActiveX. Durch das
Beeinflussen mit einer unbekannten Eingabe
kann
eine
ausgenutzt
werden.
Damit
kann
man
dies
auf
Vertraulichkeit,
Integrität
und
Verfügbarkeit.
Das
3.39 Microsoft Office Common Controls
TabStrip ActiveX
Risiko:
Datum:
VulDB:
kritisch
14.08.2012
In Microsoft Office 2003/2007/2010, ein Office
Suite, wurde eine kritische Schwachstelle
der Datei MSCOMCTL.OCX der Komponente
Common Controls TabStrip ActiveX. Mittels dem
kann
eine
und Verfügbarkeit.
Einspielen
des
entsprechenden
Patches
empfohlen.
Das
Erscheinen
einer
3.40 Google Chrome PDF Viewer
Risiko:
Datum:
VulDB:
kritisch
08.08.2012
Es wurde eine kritische Schwachstelle in Google
Chrome 21.0.1180.74 gefunden. Davon betroffen
ist eine unbekannte Funktion der Komponente
PDF Viewer. Durch das Manipulieren mit einer
unbekannten Eingabe kann eine PufferüberlaufSchwachstelle ausgenutzt werden. Auswirkungen
hat dies auf Vertraulichkeit, Integrität und
Verfügbarkeit.
sofort
nach
der
Veröffentlichung
der
Schwachstelle. Google hat demnach unmittelbar
3.41 Google Chrome PDF Viewer
Risiko:
Datum:
VulDB:
kritisch
08.08.2012
Eine kritische Schwachstelle wurde in Google
12/25
s c i p
a g
© scip AG
Chrome 21.0.1180.74 entdeckt. Dies betrifft eine
unbekannte Funktion der Komponente PDF
Viewer.
Mittels
Manipulieren
mit
einer
unbekannten Eingabe kann eine PufferüberlaufSchwachstelle
ausgenutzt
werden.
Mit
Auswirkungen
muss
man
rechnen
für
Ein Upgrade auf die Version 21.0.1180.75
vermag dieses Problem zu beheben. Das
sofort
nach
der
Veröffentlichung
der
Schwachstelle. Google hat demnach unmittelbar
3.42 Cisco AnyConnect Secure Mobility
Client Spoofing
Risiko:
Datum:
VulDB:
kritisch
03.08.2012
Es wurde eine kritische Schwachstelle in Cisco
AnyConnect Secure Mobility Client bis 3.0.07059
ausgemacht. Betroffen ist eine unbekannte
Funktion. Durch das Manipulieren mit einer
unbekannten Eingabe kann eine SpoofingSchwachstelle ausgenutzt werden. Hiermit kann
man Zertifikat vortäuschen. Auswirken tut sich
dies auf die Integrität.
Ein Aktualisieren auf die Version 3.0.08057
sofort
nach
der
Veröffentlichung
der
Schwachstelle. Cisco hat demnach unmittelbar
reagiert. Mitunter wird der Fehler auch in der
Verwundbarkeitsdatenbank von OSVDB (ID
84472) dokumentiert.
Client Spoofing
Risiko:
Datum:
VulDB:
kritisch
03.08.2012
In Cisco AnyConnect Secure Mobility Client bis
3.0.08066 wurde eine kritische Schwachstelle
gefunden. Davon betroffen ist eine unbekannte
Funktion. Durch die Manipulation mit einer
unbekannten Eingabe kann eine SpoofingSchwachstelle ausgenutzt werden. Hiermit lässt
sich Zertifikat vortäuschen. Auswirkungen hat
dies auf die Integrität.
alternativen Produkts bietet sich im Zweifelsfall
an. Mitunter wird der Fehler auch in der
Client Spoofing
Risiko:
Datum:
VulDB:
kritisch
03.08.2012
Es wurde eine kritische Schwachstelle in Cisco
AnyConnect Secure Mobility Client bis 3.0.07059
gefunden. Dies betrifft eine unbekannte Funktion.
Dank der Manipulation mit einer unbekannten
Eingabe kann eine Spoofing-Schwachstelle
ausgenutzt werden. Dadurch lässt sich Zertifikat
vortäuschen. Mit Auswirkungen muss man
rechnen für die Integrität.
Ein Upgrade auf die Version 3.0.08057 vermag
einer Gegenmassnahme geschah sofort nach
der Veröffentlichung der Schwachstelle. Cisco
hat demnach unmittelbar reagiert. Mitunter wird
der
Fehler
auch
in
der
3.45 Opera Small Window Download
Dialog Box Display Spoofing
Risiko:
Datum:
VulDB:
kritisch
02.08.2012
Eine kritische Schwachstelle wurde in Opera bis
12.00, ein
Webbrowser, gefunden. Davon
betroffen ist eine unbekannte Funktion der
Komponente Small Window Download Dialog
Box Display. Durch das Beeinflussen mit einer
unbekannten Eingabe kann eine SpoofingSchwachstelle ausgenutzt werden. Damit kann
man Benutzer umleiten. Auswirkungen hat dies
auf die Integrität.
Ein Aktualisieren auf die Version 12.01 vermag
dieses Problem zu lösen. Das Erscheinen einer
Veröffentlichung
der
Schwachstelle.
Die
Entwickler haben demnach sofort reagiert.
Mitunter wird der Fehler auch in den
Es
sind
keine
Informationen
bezüglich
Gegenmassnahmen bekannt. Der Einsatz eines
13/25
s c i p
a g
© scip AG
3.46 Citrix Access Gateway Plugin
nsepa.exe StartEPA()
Pufferüberlauf
Risiko:
Datum:
VulDB:
kritisch
01.08.2012
Eine kritische Schwachstelle wurde in Citrix
Access Gateway Plugin bis 9.3.49.5 (Windows)
entdeckt. Hiervon betroffen ist die Funktion
StartEPA() der Datei nsepa.exe. Mittels
kann
eine
ausgenutzt
werden.
Damit
lässt
sich
Es
sind
keine
Informationen
bezüglich
Gegenmassnahmen bekannt. Der Einsatz eines
alternativen Produkts bietet sich im Zweifelsfall
an. Mitunter wird der Fehler auch in den
3.47 MIT Kerberos 5 src/kdc/kdc_util.c
kdc_handle_protected_negotiation(
) Pufferüberlauf
Risiko:
Datum:
VulDB:
kritisch
31.07.2012
In MIT Kerberos 5 bis 1.8 wurde eine kritische
Schwachstelle ausgemacht. Hiervon betroffen ist
die Funktion kdc_handle_protected_negotiation()
der Datei _src/kdc/kdc_util.c_. Mittels dem
kann
eine
Verfügbarkeit.
Einspielen
des
entsprechenden
Patches
empfohlen.
Das
Erscheinen
einer
Veröffentlichung der Schwachstelle. MIT hat
3.48 MIT Kerberos 5
src/kdc/do_as_req.c
finish_process_as_req()
Pufferüberlauf
Risiko:
kritisch
Datum:
VulDB:
31.07.2012
Es wurde eine kritische Schwachstelle in MIT
Kerberos 5 bis 1.10 ausgemacht. Davon
betroffen ist die Funktion finish_process_as_req()
der Datei _src/kdc/do_as_req.c_. Durch das
Manipulieren
durch
Eingabe
kann
eine
Hiermit kann man Programmcode ausführen.
Auswirkungen hat dies auf Vertraulichkeit,
Das
Schwachstelle. MIT hat demnach sofort reagiert.
Mitunter wird der Fehler auch in den
3.49 Google Chrome WebP Decoder
Risiko:
Datum:
VulDB:
kritisch
31.07.2012
In Google Chrome bis 20.0.1132.57, ein
Webbrowser, wurde eine kritische Schwachstelle
der Komponente WebP Decoder. Mittels dem
Manipulieren
durch
Eingabe
kann
eine
Ein Upgrade auf die Version 21.0.1180.57
vermag dieses Problem zu beheben. Das
direkt
nach
der
Veröffentlichung
der
Schwachstelle. Google hat demnach sofort
Secunia (ID 50105) dokumentiert. In deutscher
Sprache berichtet unter anderem Heise zum Fall.
3.50 Google Chrome CSS DOM
Risiko:
Datum:
VulDB:
kritisch
31.07.2012
Es wurde eine kritische Schwachstelle in Google
Chrome bis 20.0.1132.57, ein Webbrowser,
entdeckt. Betroffen ist eine unbekannte Funktion
der Komponente CSS DOM. Durch das
14/25
s c i p
a g
© scip AG
kann
eine
ausgenutzt
werden.
Hiermit
kann
man
dies
auf
Vertraulichkeit,
Integrität
und
Verfügbarkeit.
direkt
nach
der
Veröffentlichung
der
Schwachstelle. Google hat demnach sofort
Secunia (ID 50105) dokumentiert. Auf Deutsch
berichtet mitunter Heise zum Fall.
15/25
s c i p
a g
© scip AG
4.
Statistiken Verletzbarkeiten
Die im Anschluss aufgeführten Statistiken basieren auf den Daten der
deutschsprachige
Verletzbarkeitsdatenbank der scip AG.
http://www.scip.ch/?vuldb
Zögern Sie nicht uns zu kontaktieren. Falls Sie
spezifische Statistiken aus unserer Verletzbarkeitsdatenbank wünschen so senden Sie uns
eine E-Mail an info-at-scip.ch. Gerne nehmen wir
Ihre Vorschläge entgegen.
Auswertungsdatum:
18. August 2012
Verlauf der Anzahl Schwachstellen pro Jahr
Verlauf der letzten drei Monate Schwachstelle/Schweregrad
Verlauf der letzten drei Monate Schwachstelle/Kategorie
16/25
s c i p
a g
© scip AG
Verlauf der Anzahl Schwachstellen pro Monat - Zeitperiode 2012
Verlauf der Anzahl Schwachstellen/Schweregrad pro Monat - Zeitperiode 2012
17/25
s c i p
a g
© scip AG
Verlauf der Anzahl Schwachstellen/Kategorie pro Monat - Zeitperiode 2012
18/25
s c i p
a g
© scip AG
Verlauf der Anzahl Schwachstellen pro Quartal seit Q1/2003
Verlauf der Anzahl Schwachstellen/Schweregrad pro Quartal seit Q1/2003
19/25
s c i p
a g
© scip AG
Verlauf der Anzahl Schwachstellen/Kategorie pro Quartal seit Q1/2003
20/25
s c i p
a g
© scip AG
5.
Labs
In
unseren
scip
Labs
werden
unter
http://www.scip.ch/?labs regelmässig Neuigkeiten
und Forschungsberichte veröffentlicht.
5.1 Las Vegas 2012
08./14.08.2012 Stefan Friedli, stfr-at-scip.ch
Wenn die Opt-Out Rate am McCarran Airport in
Las Vegas schlagartig in die Höhe schiesst, dann
heisst das meistens eines: Es ist Sommer, Zeit
für die alljährlichen Sicherheitskonferenzen
Blackhat, BSides Las Vegas und DEFCON. Für
unsere Branche sind die Events, sowohl aus
inhaltlicher Sicht wie auch im Hinblick auf Networking, von essentieller Bedeutung. Naheliegenderweise hat es sich die scip AG auch dieses
Jahr nicht nehmen lassen, vor Ort zu sein. Stefan
Friedli, der selber schon in Vegas präsentieren
durfte, fasst seine Erlebnisse in diesem Artikel
zusammen.
Gut 10’000km lang ist der Flug von Zürich nach
Las Vegas via Los Angeles. Die SWISS LX40,
angeboten im Codeshare mit United Airlines, legt
dabei die längste Direktdistanz im derzeitigen
Streckennetz der Schweizer Fluggesellschaft
zurück. Gut 13 Stunden dauerte der Flug an diesem Montag. Die Fähigkeit, in einem Flugzeug
erholsamen Schlaf zu finden, fehlt mir leider vollends. Dementsprechend schaute ich mir Joss
Whedons “Avengers” noch einmal an, beendete
das mitgebrachte Buch und ging dann dazu über
mir noch einmal die Schedule der anstehenden
Events anzuschauen und meine Favoriten herauszupicken. Nachdem dies nicht mein erstes
Jahr in Vegas war, weiss ich dass es keinen Sinn
macht sich einen allzu ambitionierten Plan aufzustellen: Erstens kommt es anders und zweitens
als man denkt. Gerade im Kontext zu Securityund Hackerkonferenzen beweist diese Floskel
seine Gültigkeit Jahr für Jahr. So bezahlt man
seine Ambition, möglichst viele Talks zu sehen
oft mit verpassten Adhoc-Sessions, ungeführten
Gesprächen und verpassten neuen Kontakten.
Spontanität hilft, dementsprechend hatte ich meine Favoriten gewählt und beschlossen, den Rest
auf mich zukommen zu lassen.
Für den ersten Teil der Woche stand der industrielastige Grossevent Blackhat an. Da unser
Labs Blog zu den meistgelesenen Ressourcen
zum Thema Informationssicherheit im deutschsprachigen Raum gehört, kamen wir dieses Jahr
in den Genuss eines kostenlosen Pressebadges.
Die Blackhat Briefings boten auch dieses Jahr
wieder eine Fülle an Inhalt, meine vorgängig genannten Favoriten hier waren SexyDefense –
Maximizing the home-field advantage, von Iftach
Ian Amit und Don’t Stand So Close To Me: An
Analysis of the NFC Attack Surface von Charlie
Miller. Beide Talks konnten überzeugen und wurden vom Publikum gesamthaft gut aufgenommen.
Ganz anders erging es Dallas De Atley von Apple, der den zweiten Tag mit seinem Talk zum
Thema iOS Security eröffnen sollte. Manch einer,
der in den letzten Monaten die Freude hatte, sich
mit der Integration von iOS Devices in globale
Unternehmensnetzwerke auseinanderzusetzen, –
ich zähle mich zu ihnen – wartete gespannt auf
neue Insights von De Atley, der bei Apple immerhin in führender Position für die Sicherheit des
mobilen Betriebssystems zuständig ist. Sie alle
wurden bitter enttäuscht. Während 50 Minuten
rezitierte der Vortragende das, vor einigen Monaten veröffentlichte, Whitepaper zur iOS Security
und ging dabei keinen Schritt über die bereits
bekannten Informationen hinaus, was für Kopfschütteln im Publikum sorgte. De Atley komplettierte seine enttäuschende Vorstellung damit,
dass er nach Abschluss seiner Präsentation
mehr oder minder fluchtartig die Bühne verliess,
ohne – wie es eigentlich üblich wäre – auch nur
eine einzige Frage zu beantworten.
Positiv überraschen konnte dafür die vorhergegangene Keynote, bei der der bekannte SecurityBlogger Brian Krebs (Krebs on Security) ein Interview mit Neal Stephenson, Author zahlreicher
Romane wie “Snowcrash” oder “Reamde”, führte.
Stephenson, der eigentlich mit der “realen” Informationssicherheitswelt nur limitierte Berührungspunkte hat, beeindruckte dabei durch überlegte Statements und Ansichten zu einer Vielfalt
von Themen, die in einem vernetzten Zeitalter
von Signifikanz sind.
Neben all dem Inhalt, der auf insgesamt 7 Tracks
(exkl. Workshops) präsentiert wurde und hier in
Form von Slides/Whitepapers online betrachtet
werden kann, bot die Blackhat natürlich auch
zahlreiche Möglichkeiten zum Networking. So
gab Microsoft dieses Jahr, nach eigenen Aussagen, für ihre “Researcher Appreciation Party”
mehr Geld aus, als Kim Kardashian für ihre Geburtstagsparty und erhob entsprechend auch den
Anspruch, damit eine bessere Party zu haben als
das skandalerprobte It-Girl. Die Meinungen dazu
dürften auseinandergehen. Doch so waren die
Nächte in der “City of Sin” auch dieses Jahr lang
und manch einer war froh, wenn er endlich im
Taxi zum eigenen Hotel sass, in dem der – erst
gerade zur Frühschicht erschienenene und entsprechend muntere – Taxifahrer amüsiert erzählt,
er würde während der Woche in der “die Hacker
da sind”, nie einen ATM benutzen. Recht hat er,
vermutlich.
21/25
s c i p
a g
© scip AG
Es ist schon eine interessante Konstellation, die
die drei Konferenzen zur Sommerzeit in Las Vegas bilden: Die BlackHat, die mit ihren relativ
hohen Ticketpreisen ein eher businessorientiertes Publikum anzieht bietet meistens
exklusiven Inhalt, wirkt aber relativ emotionsfrei.
Man bemüht sich, Professionalität zu emphasieren und in der Sponsor Hall bemühen sich diverse Hersteller und Sponsoren darum, möglichst
viele Besucher auf die eigenen Produkte aufmerksam zu machen, in der Hoffnung den einen
oder anderen grossen Lead an Land zu ziehen.
Die BSidesLV versucht seit Jahren, ein kostenloses Alternativprogramm für all jene zu bieten,
denen die BlackHat entweder zu teuer oder zu
kommerziell/untechnisch geworden ist. Mit Erfolg,
denn auch dieses Jahr war das Artisan Hotel, das
bereits letztes Jahr als Kulisse für die BSides
diente, prall gefüllt.
Und trotz der non-kommerziellen Natur konnte
die BSides auch dieses Jahr wieder mit hochqualitativen Inhalt punkten: HD Moore präsentierte
einen Talk mit dem klangvollen Titel “Empirical
Exploitation” sowie einen weiteren mit dem nicht
weniger poetischen Namen “Global Loot”. Ian
Amit, der bereits letzte Woche Erwähnung für
seinen vielbeachteten BlackHat Talk fand, präsentierte denselben Inhalt, in leicht Zielgruppenoptimierter Form. Aber auch sonst präsentierte
sich ein durchaus attraktives, abgerundetes Programm im Artisan. Die Schedule sowie Informationen zu den Talks sind auf der offiziellen Webseite der BSides Las Vegas einsehbar.
Am meisten Aufmerksamkeit dürfte dieses Jahr
allerdings mit Abstand die grösste der drei Konferenzen abgestaubt haben: Die DEFCON feierte
ihr 20-jähriges Bestehen und zog zu diesem Anlass natürlich auch alle Register. So warteten fünf
prall gefüllte Tracks auf die Besucher, die bereits
lange vor Türöffnung Schlange standen, um einen der begehrten elektronischen Badges zu
ergattern, nachdem die Verfügbarkeit der “regulären” Badges in vergangenen Jahren öfters mal
bereits nach kurzer Zeit zur Neige ging.
Besonders viel Beachtung erhielt zu Anfang der
Konferenz der Direktor der NSA, General Keith B.
Alexander, der in seinem Talk mit dem Titel
“Shared Values, Shared Responsibility” um die
Gunst der Anwesenden buhlte und dabei auf
überraschend viel Zuspruch stiess. In Jeans und
T-Shirt erschienen, erläuterte Alexander die Aktivitäten des Geheimdienstes und forderte die
Hackercommunity zur Mitarbeit auf. Die Reaktionen waren, wie zu erwarten war, gemischt, trotzdem dürfte das öffentliche Auftreten eines Geheimdienstlers, das in der 20-jährigen Existenz
der DEFCON eine Premiere darstellt, einen Mei-
lenstein in deren Geschichte darstellen.
Ein anderer Talk, der vor allem in unserem Feld
durchaus einiges an Beachtung erhalten dürfte,
kam von Moxie Marlinspike, der demonstrierte
wie PPTP VPN Authentisierungen via MSCHAPv2 binnen absehbarer Frist gecrackt werden können, sofern ein Mitschnitt des Traffics
vorliegt. Gerade viele kleinere Firmen, die auch
heute noch PPTP einsetzen, dürften hier mittelfristig auf Probleme stossen, sobald entsprechende Tools auch für weniger versierte Angreifer frei zugänglich sind. Entsprechende Proof of
Concepts kursierten bereits kurz nach der Präsentation in den üblichen Kanälen.
Während meine Auflistung in diesem Rahmen
bei weitem nicht alle erwähnenswerten Talks
abzudecken vermag, so komme nicht darum
herum kurz auf Felix “FX” Lindner’s Talk zu verweisen. Unter dem Titel “Hacking [redacted] Routers” enthüllte FX verschiedene Probleme, die vor
allem SOHO-Router des massiven chinesischen
Herstellers betreffen. Was durchaus amüsant
und interessant präsentierte wurde, ist hoffentlich
ein Wake-up Call für den Grosslieferanten: Weder ein Kontakt für Sicherheitsfragen ist vorhanden, noch hat der Konzern jemals ein Sicherheitsadvisory veröffentlicht. Huawei hat inzwischen reagiert und angekündigt, man würde gemeinsam mit der britischen Regierung an der
Sicherheit der Produkte arbeiten. Inwiefern dies
ein Trost für all jene ist, die bereits mit entsprechenden Produkten arbeiten und unter der mangelhaften Qualität leiden, das bleibt offen.
Zurück zur DEFCON als solches: Neben den
Präsentationen gab es natürlich, wie jedes Jahr,
auch viele andere Dinge zu sehen. So gab es
auch dieses Jahr ein Lockpicking- und ein Hardware-Hacking Village und in der Vendor Area
boten diverse Händler ihre Waren – T-Shirts,
Hardware, Lockpicks, … – feil. Und dann gab es
da natürlich auch noch die zahlreichen Social
Events, die nach den langen Konferenztagen
auch noch für entsprechende lange Nächte sorgten. Unvergessen ist die Performance der israelischen
Psy-Trance-Electro
Band
“Infected
Mushroom”, die im Rahmen der IOActive
Freakshow ein unglaublich stimmungsvolles Set
ablieferten.
So verging auch diese Woche in Vegas schnell
und bald trat ich den langen Rückflug via Toronto
nach Zürich an um dann direkt für eine Woche in
die Schweizer Alpen zu fahren, quasi als Kompensation für die Reizüberflutung der bunten und
blinkenden Stadt in der Wüste Nevadas. Eine
Stadt, in die ich jederzeit gerne reise, solange ich
sie nach einiger Zeit auch wieder verlassen kann.
22/25
s c i p
a g
© scip AG
5.2 Erfahrungen aus der Information
Security
16.08.2012 Sean Rütschi, seru-at-scip.ch
Durch meine Arbeit als Security Consultant bei
der scip AG habe ich die Branche der Information
Security besser kennengelernt und Einblick in
Dinge erhalten, die ich ausserhalb dieses Bereichs noch nicht gesehen habe.
Da ich bisher, wie viele andere, die in die Informationssicherheit einsteigen wollen, aus beruflicher Sicht hauptsächlich als System Engineer
gearbeitet habe, möchte ich für Neueinsteiger
einen kurzen Erfahrungsbericht vorstellen.
troffenen Zugriff hatten, einfach stehlen können.
Beispiele für unsicheres Verhalten gibt es also
unzählige. Alle Personen, die meine Situation
kennen oder nachvollziehen können, haben also
ein anderes Verhältnis zu Sicherheit wie der
durchschnittliche User (und schlimmstenfalls gar
Administrator).
Dieses Verhältnis macht einen grossen Teil der
Affinität zur Informationssicherheit aus. Einsteiger
ohne diese Affinität werden wohl umso grössere
Schwierigkeiten haben, sich zurechtzufinden, als
jene mit.
Neue Trends
Information Security
Menschen, die in der Informationssicherheit tätig
sind, haben meist eine hohe Affinität zu Sicherheit im Allgemeinen. Es ist eine Leidenschaft, die
sie beruflich ausleben können.
Durch die Tatsache, dass viele Menschen Sicherheit bewusst ignorieren oder deren Wichtigkeit herunterspielen, bleibt die Anzahl an Leuten,
die in dieser Branche tätig sind, vergleichsweise
klein.
Dieses Tatsache ist beispielsweise IT-Supportern
bestimmt schon mehrmals untergekommen:



User setzen beim erstmaligen Gebrauch
kurze Passwörter
Diese Passwörter werden nach Ablauf lediglich inkrementell geändert
Nach Änderung der Passwörter wird der ITSupport aufgeboten, die frisch vergessenen
Passwörter erneut zurückzusetzen
Eine weitere beliebte Geschichte sind nicht gesperrte Arbeitsrechner. Seit ich die Funktion der
Rechnersperre kenne, nutze ich sie sobald ich
mich von meinem Rechner entferne. Umso erstaunter bin ich, dass es Leute gibt, die einen PC
stundenlang unbeaufsichtigt lassen. Und kommt
dann noch das Passwort auf dem Post-it am
Bildschirm dazu ist es geschehen. In solchen
Situationen war ich häufig der Einzige der sich
daran störte und häufig eine Nachricht auf einem
Editor hinterliess, um auf die unsichere Gewohnheit aufmerksam zu machen.
Noch erstaunlicher wurde es dann, wenn die
betroffenen Personen ausriefen und sich darüber
aufregten. Ganz so, als ob ihr Verhalten in bester
Ordnung war und sie dies nicht einmal in Frage
stellten. Natürlich konnte ich dies nicht verstehen.
Denn genauso gut hätte ich via USB-Stick sämtliche geheimen Firmendaten, auf die die Be-
Die IT ist an sich schon eine sehr schnelllebige
Branche. Was heute noch neu ist, wird morgen
bereits mit etwas anderem ersetzt werden. In der
Informationssicherheit ist diese Schnelllebigkeit
noch extremer. Entsprechend bedeutet dies
auch, dass man immer dazu bereit sein muss,
Neues zu lernen und sich zu erarbeiten. Es gilt,
wichtige Ereignisse als solche zu erkennen und
entsprechend zu reagieren.
Ein Beispiel dafür ist der im Mai gefundene
Schädling Flame. Viele Reaktionen waren masslos übertrieben und entbehrten jeglicher grundlegender Fachkentnnisse. Stefan Friedli fasste es
schlussendlich bestens zusammen:
Für die meisten Benutzer und Firmen ändert sich
nichts, ausser einem neuen Eintrag in der Datenbank ihres Virenscanners. (Quelle: 20 Minuten
Online)
Ein weiteres Beispiel eines neuen Trends wäre
die sogenannte BYOD-Strategie (Bring Your Own
Device), die seit der Einführung des iPhone grassiert. Der Trend führt dazu, dass immer mehr
Mitarbeiter mit privaten Geräten geschäftliche
Daten bearbeiten. Diese Geräte stehen natürlich
nicht unter der Kontrolle der für die Daten zuständigen Administratoren und sind aus dieser
Sicht ein nicht zu unterschätzendes Gefahrenpotenzial.
Da herkömmliche Schutzstrategien nicht mehr
greifen, müssen neue erstellt, evaluiert und eingeführt werden. Dies natürlich im besten Falle so
schnell wie nur möglich.
Grundwissen
Alle oben besprochenen Eigenschaften sind sicher sehr wichtig und nicht zu unterschätzende
Faktoren. Allerdings setzt die Informationssicherheit ein sehr solides IT-Grundwissen voraus,
23/25
s c i p
a g
© scip AG
ohne das es nicht möglich ist, viele Abläufe zu
verstehen. So sollten Begriffe wie beispielsweise
Three-Way-Handshake, asymmetrische und
symmetrische Verschlüsselung, Exploit, Vulnerability, Risk Assessment oder Firewall (unter vielen, vielen weiteren) nicht unbekannt sein und
zumindest im Ansatz verstanden sein.
Wer über kein Grundwissen verfügt wird nicht in
der Lage sein, Entscheidungen zu treffen, die
dieses Grundwissen dringendst voraussetzen,
und wird früher oder später eine Fehlentscheidung treffen, die möglicherweise gravierende
Folgen mit sich zieht.
Schlusswort
Die Branche der Informationssicherheit ist ein
Kapitel für sich. Wo IT ist, ist auch Security. Und
dies ist im heutigen Informationszeitalter nun mal
überall.
Diese Tatsache macht die Informationssicherheit
zu einem der interessantesten Gebiete, auf denen man arbeiten kann, denn man erhält Einblick
in die unterschiedlichsten Branchen, Systeme
und Kulturen. Für alle Einsteiger oder die, die
einsteigen wollen: Bleibt dran, gebt nicht auf und
geht stetig Euren Weg. Denn der Weg ist das
Ziel!
Grundwissen beinhaltet für mich allerdings nicht
nur technisches Wissen, sondern auch Wissen
über Firmen und Erfahrungen mit der Art und
Weise, wie sie funktionieren. Ein rein akademischer Ansatz, der nur mit idealen Voraussetzungen funktioniert, wird in der realen Wirtschaft
zwangsläufig versagen.
Des weiteren beinhaltet Grundwissen für mich
auch ein Verständnis der menschlichen Psyche.
Wer nicht versteht, dass ein Verwaltungsratsmitglied einen anderen Kommunikationsansatz wie
ein Netzwerkadministrator benötigt, wird trotz
bestem technischen Wissen und ausgezeichneter, korrekter Analyse häufig erfolglos sein.
Community
Schlussendlich empfiehlt es sich, sich in die
Community einzubringen. Twitter bietet sich hierfür bestens an, da viele Profis der Branche über
Twitter direkt ansprechbar sind und viel Wissen
darüber verteilen und zur Verfügung stellen.
Ein Einstieg wird auch erleichtert, wenn man
keine unbekannte Persönlichkeit ist, sondern
vorgägnig auf sich aufmerksam gemacht hat.
Vorzugsweise nicht mit peinlichen Nacktfotos,
wie es heute unter Hollywoodsternchen verbreitet
ist, sondern mit wohlüberlegten Fragen, Überlegungen und Äusserungen zu aktuellen Themen
und Anlässen.
Auch an Konferenzen, Treffen und ähnlichen
Anlässen lassen sich gut Kontakte knüpfen. Im
November findet beispielsweise zum 3. Mal die
hashdays-Konferenz in Luzern statt, an der man
hautnah die neusten Entwicklungen aus der
Community präsentiert bekommt.
Wer sich aktiv einbringt, wird auch etwas dafür
zurückerhalten. Allerdings wird der Einstieg nicht
einfach passieren. Man muss sich anstrengen
und am Ball bleiben, um nicht in der Flut von
“Eintagsfliegen” unterzugehen.
24/25
s c i p
a g
© scip AG
6.
Impressum
Herausgeber:
scip AG
Badenerstrasse 551
CH-8048 Zürich
T +41 44 404 13 13
info-at-scip.ch
http://www.scip.ch
Zuständige Person:
Sean Rütschi
Security Consultant
T +41 44 404 13 13
seru-at-scip.ch
scip AG ist eine unabhängige Aktiengesellschaft
mit Sitz in Zürich. Seit der Gründung im September 2002 fokussiert sich die scip AG auf Dienstleistungen im Bereich Information Security. Unsere Kernkompetenz liegt dabei in der Überprüfung
der implementierten Sicherheitsmassnahmen
mittels Penetration Tests und Security Audits
und der Sicherstellung zur Nachvollziehbarkeit
möglicher Eingriffsversuche und Attacken (LogManagement und Forensische Analysen). Vor
dem Zusammenschluss unseres spezialisierten
Teams waren die meisten Mitarbeiter mit der
Implementierung von Sicherheitsinfrastrukturen
beschäftigen. So verfügen wir über eine Reihe
von Zertifizierungen (Solaris, Linux, Checkpoint,
ISS, Cisco, Okena, Finjan, TrendMicro, Symantec etc.), welche den Grundstein für unsere Projekte bilden. Das Grundwissen vervollständigen
unsere Mitarbeiter durch ihre ausgeprägten Programmierkenntnisse. Dieses Wissen äussert sich
in selbst geschriebenen Routinen zur Ausnutzung
gefundener Schwachstellen, dem Coding einer
offenen Exploiting- und Scanning Software als
auch der Programmierung eines eigenen LogManagement Frameworks. Den kleinsten Teil
des Wissens über Penetration Test und LogManagement lernt man jedoch an Schulen – nur
jahrelange Erfahrung kann ein lückenloses Aufdecken von Schwachstellen und die Nachvollziehbarkeit von Angriffsversuchen garantieren.
Einem konstruktiv-kritischen Feedback gegenüber sind wir nicht abgeneigt. Denn nur durch
angeregten Ideenaustausch sind Verbesserungen möglich. Senden Sie Ihr Schreiben an [email protected]. Das Errata (Verbesserungen,
Berichtigungen, Änderungen) der scip monthly
Security Summarys finden Sie online. Der Bezug
des scip monthly Security Summary ist kostenlos. Anmelden! Abmelden!
25/25

Ausgabe August 2012

Transcrição

Documentos relacionados

Manuelle Plug-In-Installation

Anleitung zur Prüfung von qualifizierten elektronischen Signaturen

Mediengestalter/-in Digital und Print (IHK)

i-training Update!.mmp - Adobe Photoshop, InDesign, Illustrator

druckbare PDF-Datei

scip ag

2014: Jahr des Aufbruchs

scip ag

scip ag

WEITERBILDUNG - DTP

Ulrich Rohde, Marketing Manager DACH Adobe

Vividforms Reader mit Vista / Windows 7: Administratorrechte !

scip ag

scip ag