Diplom-Informatiker, CISSP, CSSLP, ISO 27001 Lead Implementer
Die Kolumne berichtet aus dem Alltag eines CISSP (Certified Information Systems Security Professional), eines Sicherheitsexperten also, dessen täglich Brot es ist, sich mit allen Themen quer durch die IT-Sicherheit zu beschäftigen. Sie finden hier Einschätzungen, Tipps und Meinungen vom Experten.
Die Kolumne erscheint monatlich unter http://www.cissp-gefluester.de.
A Tool for calculating CVSS-Scores.
platform independent (using Python and GTK)
copy & paste for CVSS vectors
colorful score indicator for easy visual feedback
supports CVSS Version 2
both GUI and command line usage
License granted
free for personal use
free for non-commercial use
free for commercial use for companies up to 49 employees
For detailed information please read the file 'LICENSE.txt' enclosed in the archives and displayed when running the Windows installer.
Version 0.1:
cvssmanager-installer-0.1.exe (Installer für Windows)
cvssmanager-0.1-py2.5.egg (Python-Egg für Python 2.5, siehe Installationsanleitung)
cvssmanager-0.1-py2.6.egg (Python-Egg für Python 2.6, siehe Installationsanleitung)
For suggestions, bug reports, etc, please send us an e-mail
Die Entscheidung, um was sich die aktuelle Kolumne drehen sollte, war diesmal schwierig: Die Zugriffe der USA auf alle europäischen Banktransaktionen bei SWIFT schien spannend, ebenso der neue „Internet-Brief“ der Deutschen Post. Aber jetzt wurde es doch ein ganz anderes Thema, nämlich Programmiersprachen und Security.
Was hat das eine mit dem anderen zu tun?
Buffer Overflows sind bekanntlich die Ursache vieler Schwachstellen. Die Ursache vieler Buffer Overflows ist aber ausgerechnet eine Programmiersprache, nämlich C . Erst Ende Juni hat Adobe eine Sicherheitslücke in Flash gemeldet. Betroffen sind auch Flash-Filme, die in PDFs eingebunden sind. Die Ursache der Schwachstelle ist ein Buffer Overflow.
Ein weiteres, großes Problem bei C ist: es kennt nur primitive Datentypen, noch nicht einmal einen String (oder ähnliches) kennt es, sondern immer nur 'char *' (Zeiger auf einen Charakter). Will man den String durchlaufen, wird der Zeiger erhöht. C kann in einem derartigen Konstrukt nicht feststellen wie groß der Speicherbereich für den String ist und damit besteht keine Chance zu bemerken, wenn der Zeiger schon nicht mehr auf den Puffer zeigt. Genau das ist die Ursache für die ständig auftretenden Buffer-Overflows!
Es gibt zwarGegenmaßnahmen, beispielsweise strncpy() statt strcpy(), aber dazu muss man die Länge der Puffer durch das gesamte Programm schleifen. Das ist lästig und fehleranfällig.
Noch ein Beispiel: Eine Schwachstelle in der ActiveX Template Library (ATL), die Microsoft am Wochenende (sic!) gemeldet hat, wird ebenfalls durch eine umständliche Syntax von C verursacht: Ein Typecast und ein kleines, unscheinbares &-Zeichen, das leicht zu übersehen ist, bedingt den Fehler: '(void *)&varname'. Der Typecast verhindert, dass der Compiler den Fehler entdeckt.
Auf Heise Security gibt es übrigens eine recht lesbare Beschreibung zur Fehlerursache.
Eine Programmiersprache soll den Programmierer bei seiner Arbeit unterstützen. Dazu gehört es, möglichste wenige Fallstricke und dafür das eine oder andere Sicherungsseil einzubauen. Aber nur wenige Programmiersprachen werden hier ihrer Aufgabe gerecht.
C ist mehr oder weniger ein offener Geländewagen, bei dem sich der Programmierer um alles kümmern darf – und muss. Es ist verständlich, dass der Sprache ein Modulkonzept fehlt. Das wurde erst ein Jahr nach C erdacht. Es stellt sich aber die Frage, weshalb noch so viele Programmierer das Risiko in Kauf nehmen und mit einer Sprache arbeiten, die mit so vielen konzeptionellen Mängeln behaftet ist.
Es muss ja nicht gleich ein Programmiersprache wie Modula oder Oberon sein und Sie brauchen auch nicht auf Java umzusteigen. Schon der simple Wechsel zu C++ oder Objective-C bringt mehr Sicherheit. Denn in diesem Programmiersprachen gibt es intelligente Datentypen, beispielsweise einen String-Typ, der die Länge des Puffers kennt und überwacht. Die Programmierer werden dadurch entlastet, der Compiler nimmt ihnen Arbeit ab.
Übrigens: Meine Philosophie findet sich in The Zen of Python genau wieder.
Eigentlich wollte ich nie mehr einen Sprachenstreit lostreten, die Diskussion anno 1993 mit 470 Beiträgen war brotlos genug. Wenn Sie aber diskutieren wollen: Mailen Sie einfach an kolumne@goebel-consult.de. Oder posten Sie besser gleich in alt.religion.programming-languages :-)
Viele assozieren mit VPN „vertraulich“. Die Einstellung stammt oft noch aus den Zeiten als das einzige „VPN“ ein Frame-Relay- oder Standleitungs-Netz war, das über das öffentliche Telefonnetz lief. Heute verkaufen Carrier MPLS-Netze (Multi Protocol Label Switching) als als ebenso privat. Das sind sie jedoch nur in Grenzen!
Zum einem werden die Daten in einem MPLS-Netz unverschlüsselt übertragen, zum anderen läßt sich ein MPLS-Netz leichter manipulieren als gedacht. Aus der Kombination ergibt sich: Wer also auf die Vertraulichkeit seines MPLS-VPN vertraut, muss umdenken.
Bereits 2006 haben die Security-Experten Enno Rey und Peter Fiers gezeigt, dass man MPLS-Netz manipulieren kann. Auf der letzten BlackHat Europe legten Daniel Mende und Enno Rey nach und veröffentlichten ein paar Tools, die diese Angriffe sehr einfach machen. Hat ein Angreifer Zugang zum MPLS-Core, kann er per BGP (Border Gateway Protocol) die interessanten Daten zu sich selbst umleiten - wenn er will mit einem simplen Tool in ein anders MPLS-VPN verschieben. Ein Tool zum Knacken der BGP-MD5-Hashes wird auch gleich mitgeliefert.
Trauen Sie eigentlich Ihrem MPLS-Provider? Dann hoffe ich, Sie haben gute Verträge mit ihm. Er sollten beispielsweise mit einer sehr hohen Summe haften, wenn Daten aus seinem MPLS-Netz abhanden kommen oder manipuliert werden. Das heisst, wenn Sie eine Manipulation oder einen Datenverlust überhaupt bemerken. Denn, was schätzen Sie, wie gut Ihre Chancen dazu stehen? 10 Prozent? 1 Prozent? Ich tippe auf nahezu Null Prozent.
Wenn Ihr Unternehmen international tätig ist, dann ist doppelte Vorsicht geboten. Die Aussage Ihres Providers, dass eine Verschlüsselung im MPLS-Netz nun wirklich nicht nötig sei, schenken Sie bitte vorsichtshalber keinen Glauben. Ausländische Geheimdienste haben oft den Auftrag, die Wirtschaft des eigenen Landes zu fördern. Das heißt im Klartext: Die Mitbewerber zu behindern und Daten abzugreifen. Aber das ist für Sie sicher nichts Neues.
Auf alle Fälle tun Sie gut daran, Ihre Leitungen ins (ferne) Ausland zu verschlüsseln. Auch bei einer MPLS-Verbindung und auch wenn Ihr Vorstand oder Geschäftsführer hier unbedingt sparen will. Seien Sie hartnäckig, versuchen Sie Ihre Chefs zu überzeugen.
Noch etwas: Fragen Sie mal privat bei Ihrer Bank nach, ob dort MPLS eingesetzt wird. Viele Geldinstitute verwenden zwar MPLS, doch nur wenige verschlüsseln. Oft wird ein Netz kurzerhand als „vertrauenswürdig“ eingezustuft, wenn eine vertragliche Bindung mit dem Netzbetreiber existiert. Na ja...
Diskussionsbedarf? Mailen Sie einfach an kolumne@goebel-consult.de.
Folien zum Vortrag „All your Packets“: http://www.ernw.de/content/e7/e181/e1309/download1357/ERNW_BlackHatEurope09_all_your_packets_ger.pdf
Sourcecode der Tools http://www.ernw.de/download/bh09_all_your_packets_tools.tar.bz2
Im Organisationshandbuch Netzwerksicherheit beim Weka Verlag habe ich noch mehr über verschiedenen VPN-Typen geschrieben.
In der Juliausgabe der Zeitschrift iX erscheint ein Artikel von Hartmut Goebel über "Jericho"
Der Artikel "Eingerissen - Konzept Jerichio - kann man Firewalls abschaffen?"
Die Fachzeitschrift iX, die Schwesterzeitschrift der c't, ist eines der renommiertesten deutschsprachigen Magazine. Hartmut Goebel: "Ich bin schon ein bisschen stolz, auf meine zweite Veröffentlichung dort. Und die wird auch noch auf dem Titel angekündigt." Und das kann er auch sein.
Das Heft kann beim Abo-Service noch bestellt werden. Über den Heise Kiosk kann der Artikel aber auch einzeln erworben werden. Details hierzu: Heft 2009/07, Seite 112, Titel: "Eingerissen".
Ende Februar wurde ein Zero-Day Exploit für Adobe Reader veröffentlicht, wenige Tage später eine kritische Schwachstelle in Excel. Bei dem Adobe-Exploit war der empfohlene Work-around, JavaScript zu deaktivieren, dann könne nichts mehr passieren.
Kurz danach zeigt sich, dass die Adobe-Reader-Lücke auch ausnutzbar ist, wenn JavaScript deaktiviert ist. Der Patch – besser gesagt das Update-Ungetüm – für Version 10 erschien dann am 11. März, für ältere Versionen gar erst am 18. März – sprich fast vier Wochen nach der Meldung des Exploits. Eine Menge Zeit ...
Der Sicherheitsanbieter F-Secure geht so weit, vom Einsatz des Acrobat Readers derzeit gänzlich abzuraten. Er berichtete Mitte April, dass sich Angriffe gezielt gegen leitende Angestellte, Politiker und andere hochrangige Personen richten.
Anfang April gesellte sich noch eine kritische Sicherheitslücke in Powerpoint dazu. Auch hier dauerte es sechs bis acht Wochen bis die Patches für die beiden Anwendungen verfügbar waren. Für diese Lücken existieren bereits Exploits „in the wild“.
Eigentlich hätte jeder verantwortungsvolle Admin alle diese Dokumenten-Typen an der Firewall und am Mail-Gatways ausfiltern müssen. Doch jeder, der das vorschlüge, würde wohl schlichtweg für verrückt erklärt werden. Denn via Acrobat-, Excel- und Powerpoint-Formaten wird schließlich ein Großteil aller geschäftsrelevanten Informationen weitergegeben. Sie zu blockieren, hieße soviel wie der „Geschäftsführung mit nacktem Arsch ins Gesicht springen“.
Dennoch mein Rat: Springen Sie! Seien Sie mutig und riskieren Sie, dass Sie schwach angeredet werden. Letztendlich werden nämlich Sie dafür verantwortlich gemacht, wenn etwas passiert.
Auch beim „nächsten Mal“ werden Sie wieder in der gleichen Situation sein. Bereiten Sie sich vor:
Nutzen Sie die Gelegenheit, dem Vorstand und den leitenden Angestellten zu vermitteln, dass gerade sein Unternehmen das Ziel von Angreifern sein könnten.
Bereiten Sie eine Mitarbeiter-Information vor, die Sie schnell in Umlauf bringen können. Weisen Sie auch darauf hin, dass es eine Entwarnung geben wird, wenn die akute Gefahr vorbei ist.
Nutzen Sie die Gelegenheit, Mitarbeiter/-innen darauf hinzuweisen, nur Dokumente aus vertrauenswürdigen Quellen zu öffnen, die sie auch erwarten.
Wenn Sie dürfen, setzen Sie Software ein, die Sie raus aus dem Mainstream bringt und damit raus aus der Schußlinie! Nutzen Sie andere PDF Viewer (http://www.pdfreaders.org. ) und es gibt auch Alternativen zu MS Office: TextMaker, OpenOffice bzw. StarOffice.
Diskussionsbedarf? Mailen Sie einfach an kolumne@goebel-consult.de.
Hartmut Goebel absolviert erfolgreich CSSLP-Zertifizierung
Nach dem CISSP, nun der CSSLP. Das Zertifikat „Certified Secure Software Lifecycle Professional“ (CSSLP) bescheinigt Hartmut Goebel das Know-how, die Sicherheitsaspekte während des gesamten Lebenszyklus´ einer Software überwachen zu können. Denn nur so lassen sich die Schwachstellen in Anwendungen und Programmen wirtschaftlich und effektiv in den Griff bekommen. Nachweislich sind jedoch 70 Prozent aller Sicherheitsprobleme softwarebezogen und Sicherheitmaßnahmen werden erst als Reaktion auf eine Bedrohung oder nach einem Angriff am Ende des Softwarelebenszyklus hinzugefügt.
Das CSSLP-Zertifikat wird vergeben vom International Information Systems Security Certification Consortium - (ISC²), das auch die renommierte Zertifizierung zum Certified Information Systems Security Professional (CISSP) durchführt.
Sicherheitsspezialist Goebel einstimmig in 7-it-Aufsichtsrat gewählt
Goebel Consult ist seit vier Jahren Mitglied bei der Genossenschaft 7-it. Die Mitglieder bieten IT-Dienstleistungen für kleine und mittelständische Unternehmen an. Seit drei Jahren ist Hartmut Goebel bereits im Aufsichtsrat der Genossenschaft tätig. Und auch auf der diesjährigen Generalversammlung stellte er sich für das Amt zur Verfügung: Er wurde einstimmig wieder in den Aufsichtsrat gewählt.
Hartmut Goebel bringt in seine Funktion als Aufsichtsrat ganz bewusst sein Know-how als Security Consultant mit ein. Er hat als konkretes Ziel definiert, ein hohes Niveau für die internen Prozesse der Genossenschaft zu gewährleisten. So kommunizieren inzwischen Vorstand und Aufsichtsrat ausschließlich verschlüsselt.
„Als Dienstleister für sicherheitsrelevante Kunden ist es unsere erste Pflicht, im eigenen Unternehmen hohe Standards zu pflegen. Wir freuen uns, dass Hartmut Goebel als Aufsichtsrat diese Aufgabe auch weiterhin kritisch und aktiv zu seinem Anliegen macht“, betont Aufsichtsratsvorsitzender Dieter Pohl.
Täglich steht jeder IT-Administator vor demselben, großen Problem: Eine Flut an Sicherheitslücken und dazugehöriger Patches wartet darauf, beurteilt zu werden. Der Admin steht jedesmal vor der schwierigen Frage: Welchem Patch soll ich mich als erstes zuwenden? Wie gefährlich ist eine Sicherheitslücke, wie dringend ist es also, den Patch, einzuspielen? Glücklicherweise gibt es Methoden wie etwa das „Common Vulnerability Scoring System“ (CVSS), das Admins dabei wirkungsvoll unterstützt, all diese Risiken schneller und besser einschätzen und damit Prioritäten setzen zu können. Es lohnt sich auf jeden Fall, sich damit etwas näher auseinanderzusetzen.
Die Basisbewertung (base metrics) beschreibt die Gefährlichkeit der Schwachstelle. Dazu gehören, ob die Schwachstelle über das Netzwerk ausgenutzt werden kann, der Angreifer die Hürde einer Authentifizierung nehmen muss und wie komplex der Angriff ist. Auch die Beeinträchtigung der drei klassischen Sicherheitsziele Vertraulichkeit, Verfügbarkeit und Integrität werden hier bewertet. Die "base metric" wird für die jeweilige Schwachstelle einmal festgelegt und ändert sich nicht mehr.
Der aktuelle Bewertungsfaktor (temporal metrics) gibt die aktuelle Bedrohung an: Gibt es einen Exploit, dann steigt der Wert, existiert ein Patch des Herstellers, so sinkt der Wert. Damit wird quasi der „Vulnerability Lifecycle“ abgebildet.
Der Faktor für das eigene Unternehmen (environmental metric) versucht, die Umgebung des Unternehmens in der Bewertung zu berücksichtigen: die Anforderungen an Vertraulichkeit, Verfügbarkeit, und Integrität, die Verbreitung von betroffenen Systemen und den „Kollateralschaden“. Letzeres beinhaltet Produktivitäts- oder Umsatzverlust, die Gefahr für Leib und Leben oder anderer materieller Natur (z.B. Diebstahl)
Hierzu gibt es mehrere Tools zum Berechnen des CVS-Score. Ausgangspunkt ist immer der „Base Score“, den man in der National Vulneratbility Database (NVD) des NIST nachschlagen kann. Falls der Eintrag dort noch nicht existiert, lässt sich der Base Score mit etwas Erfahrung auch selbst bestimmen. Vom NVD-Eintrag kommt man direkt zu einem CVSS-Rechner, in dem man die Angaben für die „temporal metric“ und die „environmental metric“ eingeben kann.
Für die Priorisierung wird der „Remediation Level“ auf „Not Defined“ gestellt. Er gibt an, welche Gegenmaßnahme existiert. Ein offizieller Patch würde den Wert senken.
Für große Unternehmen bietet das NIST einen XML-Feed. Damit kann man die Base-Scores automatisch mit der ITIL Config-DB verknüpfen und den Admins die priorisierte Liste vorlegen.
Arbeiten Sie immer mit dem Ergebnis des „temporal scores“. Das ist die Stelle die die Unterscheidung zwischen „unbestätigte Schwachstelle“ und „Wurm nutzt Exploit aktiv aus“ getroffen wird.
Wer mehr darüber wissen möchte: Mailen Sie einfach an kolumne@goebel-consult.de.
Beispiel einer Schwachstellenbeschreibung mit Bewertung: http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-0219
Nachtrag: Mein Artikel "Eins nach dem anderen - Sicherheitsaufgaben priorisieren mit CVSS", iX Magazin 5/2010. Reprint im iX Special 3/2010.
Kolumne von Hartmut Goebel auf „All about Security“
Anfang Mai startete Hartmut Goebel auf dem Web-Portal All About Security eine eigene Kolumne "CISSP-Geflüster". Die Kolumne berichtet monatlich aus dem Alltag eines CISSP (Certified Information Systems Security Professional), eines Sicherheitsexperten also, dessen täglich Brot es ist, sich mit allen Themen quer durch die IT-Sicherheit zu beschäftigen. Sie finden hier Einschätzungen, Tipps und Meinungen vom Experten.
Hartmut Goebel beschäftigt sich seit über zehn Jahren mit IT-Sicherheit und ist seit Mitte 2008 als CISSP zertifiziert.