Technorati Tags: Links, Security

Unter J-Security Center kann sich jeder ein Bild davon machen.

Hier sind allgemeine Bugs aufgelistet, mit einer von Juniper vergebenen Priorität, ebenso sind die Mircosoft Security Bulletins gelistet.

Auch die Anzeige der aktuellen Pattern-Versionen auf einen Blick ist sehr praktisch.

Als letzes lohnt sich noch der Blick auf das Juniper-eigene Honeynet: http://www.juniper.net/security/honeypot/.

Technorati Tags: J-Tac, Juniper, Security

Der Vollständigkeit halber, hier die aktuelle Statistik von Netcraft von Februar 2008:

Apache schneidet in dieser Statistik immer noch etwas schlechter ab als IIS. Was für Gründe kann es geben:

• Apache läuft meist auf Linux/Unix. Diese Betriebssysteme sind, was die Konfiguration und Verwaltung angeht, einfach komplexer als Win32-Systeme.
• Patchmanagement: Wenn Microsoft einen Patch rausbringt, dann wird er auch von den meisten Administratoren eingespielt. Aufgrund der unterschiedlichen Linux-Distributionen sind oft nicht alle Pakete auf den *X-Systemen auf dem aktuellen Stand.
• Apache ist aktuell weiter verbreitet als IIS, daher gibt es natürlich auch eine größere Angriffsfläche. Ich schätze, das ist vergleichbar mit Mac OS- es ist kaum verbreitet, hat allerdings auch kaum Probleme mit Viren/Würmer und sonstigen Tieren (außer vielleicht Käfern… ).

Technorati Tags: Hacks, Security, Webserver

Nach Angaben des US-Geheimdienstes CIA ist es Hackern bereits mehrfach gelungen, die Stromversorgung amerikanischer Städte anzugreifen. Dies habe ein CIA-Experte auf einer Sicherheitskonferenz zugegeben, wie US-Medien am Samstag berichteten. In mindestens einem Fall sei es zu einem Stromausfall in mehreren Städten gekommen.

[Quelle: N24.de]

Da bin ich zufällig drüber gestolpert bei N24- quasi die kleine Notiz am Rande… Wenn der Geheimdienst das schon soweit zugibt, kann man doch wohl davon ausgehen, dass diese Art von Angriffen (mit ihren Folgen) an der Tagesordnung sind.

Technorati Tags: Hacker, Security

Für NAC-interessierte allemal einen Feed wert. Ich will mehr blogs von Juniperlern…

Das Blog ist unter  http://nacblog.juniper.net/ erreichbar.

Technorati Tags: Juniper, Security

Bundesinnenminister Wolfgang Schäuble hat den Entwicklungsstopp für den heftig umstrittenen Bundestrojaner beim Bundeskriminalamt (BKA) wieder aufgehoben. Dies berichtet der Spiegel in seiner kommenden Ausgabe. Der CDU-Politiker treibt demnach sein Prestigeprojekt der heimlichen Online-Durchsuchung gegen alle Widerstände weiter voran.

[Quelle: Heise]

Hmmm, sind "Prestigeprojekte" nicht diese Projekte, die immer um den Faktor 10 oder 100 teurer werden, als geplant?

Der Bundestrojaner (offiziell "Remote Forensic Software"). Ok, wie kann/soll er funktionieren? Grundsätzlich sind ja 2 Möglichkeiten im Gespräch:

1. Vor-Ort-Auftauchen eines BKA-teams und implementieren eines, auf dieses System, zugeschnittenen Trojaners.
2. "Online-Zugriff" auf das System und "Einschleusen" einer Software.

Punkt 1 hat ein paar Haken: Extremer Aufwand, geringe Abdeckung (wenige Überwachungen), Unauffällige Installation ist schwierig und, wie ich finde, einer der wichtigsten Punkte: schon die Installation eines solchen tools verändert das zu überwachende System, daher sind die Ergebnisse zumindest anzuzweifeln (Andreas Pfitzmann, Informatikprofessor an der Technischen Universität Dresden).

Diese Methode fällt meiner Meinung nach fast schon weg, da der zeitliche, personelle und finanzielle Aufwand für eine Überwachung im Großen Stil definitiv zu groß wäre.

Ok, kommen wir zu Weg 2: Einschleusen einer Software, die, mindestens in eingeschränktem Maße, Daten mitloggt. Dass solch ein "Einschleusen" grundsätzlich funktioniert, sieht man an der Anzahl der aktuell im Umlauf befindlichen Trojaner. Allerdings, funktioniert es da, wo es funktionieren soll? Dass sich Hausfrau Lieschen Müller, die 30 Minuten die Woche am PC verbringt, diesen Trojaner einfangen kann, weil sie in der falschen Mail den Anhang öffnet, oder der 15-jährige Bob, der ständig unbedarft auf Pornoseiten surft, ist ja einleuchtend. Aber: trifft das auch auf die Personen zu, die wirklich etwas zu verbergen haben (und ich rede jetzt mal nicht von 2 geklauten .mp3s)? In Diskussion war auch das Einschleusen der Software über die vorhandenen Überwachungsschnittstellen bei den Providern (quasi eine klassische Man-in-the-middle-Attacke). Selbst wenn sich jemand solch einen Trojaner eingefangen hat, gibt es immer noch einige Variablen, die hier "Probleme" machen könnten, wie z. B. Betriebssystem (Windows, Linux, Mac, BSD, …) Personal Firewall, Hardwarefirewall (z. B. auf dem Router), Benutzerkontext (arbeitet derjenige als Administrator/root oder als extrem eingeschränkter Benutzer), Benutzung von Virtuellen Maschinen, usw. Des weiteren, um vor Gericht vernünftig verwertbar zu sein, müssten die gewonnenen Ergebnisse auf sehr sicherer Weise gespeichert/übertragen werden und alles müsste sehr nachvollziehbar sein.

Ich bezweifle, dass sich die Politiker im klaren darüber sind, was für Hürden hier im Wege liegen, wie lückenhaft diese Art der Überwachung ist und was alles dagegen unternommen werden kann. Ein Großteil der Antiviren-Hersteller hat angekündigt, einen eventuellen "Bundentrojaner" als Schadsoftware zu erkennen, und diesem keinen Freischein zu geben. Es ist halt nicht immer alles so einfach, wie man es gerne hätte. Und ein einfaches "Wir schreiben jetzt eine remote-Überwachungssoftware" genügt nicht, es muss erst noch durchgeführt werden.

Bei all dem Hype und der Panikmache um den "Bundestrojaner" (und all der Abneigung dagegen und der notwendigen Vorsicht), bin ich momentan der Meinung, dass so ein Tool nicht gegen ernsthaft gefährliche und ausreichend bewanderte Personen helfen wird- wenn man weiß wie, sind die Abwehrmöglichkeiten (z. B: die die Fähigkeiten einer modernen Hardwarefirewall oder eines Proxies) ziemlich umfangreich.

Ich lasse mich hier aber gerne auch auf Diskussionen ein.

Technorati Tags: Bundestrojaner, firewall, Security

Die Bedeutung des Gesetztes im Hinblick auf Internet- und Email-Nutzung ist weitreichender als man denkt:

Bei der reinen Internetnutzung werden Einwahlzeitpunkt, Benutzerkennung, vom Provider zugewiesene IP-Adresse, sowie Name und Anschrift des Benutzers und “der in Anspruch genommene Internetdienst” gespeichert. Es ist damit nachvollziehbar, wer, wann online war. Es ist, durch Zugriff auf die Provider, nachvollziehbar, wer welche Internetseite aufgerufen hat. Es ist nachvollziehbar, wer Kommentare in Foren (oder in blogs) hinterlassen hat. Ähnliches gilt auch für Email, Voice-over-IP und Mobilfunk (hier ist über die Speicherung der Cell-ID möglich, je nach Umgebung bis auf 100m genau festzustellen, wo sich die Gesprächspartner aufhielten).

Es drängt sich ein Generalverdacht gegen alle Nutzer dieser Medien auf. Sicherlich, “ich habe doch nichts zu verbergen” ist natürlich ein Argument. Trotzdem widerstrebt mir der Gedanke, “jemand” kann ein detailliertes Nutzerprofil über die letzten 6 Monate über mich erstellen.

Der Zweck des Gesetzes verdeutlicht folgender Ausschnitt aus dem Gesetzentwurf:

Auch zur Abwehr von erheblichen Gefahren für die öffentliche Sicherheit und zur Erfüllung der gesetzlichen Aufgaben der Nachrichtendienste – zumal im Bereich der Bekämpfung des internationalen Terrorismus – ist die Kenntnis des Kommunikationsverhaltens der Zielpersonen von unverzichtbarem ermittlungstaktischem Nutzen für die Aufklärung komplexer Organisationsstrukturen etwa von kriminellen oder terroristischen Vereinigungen.

Wer diese Umsetzung im Endeffekt zu bezahlen hat, steht wohl außer Frage. Entweder die Nutzer indirekt durch die Steuern oder direkt durch Gebührenerhöhungen der Provider, die die Daten erheben müssen. Aber steht das im Verhältnis? Es geht hier immerhin darum, die Daten von ~300-400 Millionen Internetnutzern (EU-weit) für ein halbes Jahr zu speichern. Nach einer Studie des BKA (hier der heise-Bericht) könnte die durchschnittliche Aufklärungsquote von derzeit 55% auf maximal 55,006% steigen. Hier ein Vergleich der absoluten Zahlen:

Nach einer Studie des Bundeskriminalamts vom November 2005 konnten in den letzten Jahren 381 Straftaten wegen fehlender Telekommunikationsdaten nicht aufgeklärt werden, vor allem in den Bereichen Internetbetrug, Austausch von Kinderpornografie und Diebstahl. Diese 381 Fälle machten allerdings nur 0,006 % der 6,4 Mio. jährlich begangenen Straftaten aus. Laut Kriminalstatistik blieben Jahr für Jahr 2,8 Mio. Delikte aller Art unaufgeklärt. Vor diesem Hintergrund sei nicht einzusehen, warum gerade die Nutzer von Telefon, Handy und Internet überwacht werden sollten, zumal die Aufklärungsquote in diesem Bereich schon ohne Vorratsdatenspeicherung überdurchschnittlich hoch sei.

[Quelle: http://de.wikipedia.org/wiki/Vorratsdatenspeicherung]

Was kann nun ich als Anwender tun, um meine zugesicherte Privatsphäre (im Rahmen der geltenden Gesetze) zu schützen?

Verschlüsselung:

Verschlüsselung wird immer relativ schnell genannt, wenn es um den Schutz der Privatsphäre geht. Grundsätzlich ist Verschlüsselung natürlich zu empfehlen, allerdings unabhängig von der Vorratsdatenspeicherung. Wie Kai Nehm in seinem Artikel unter http://trau.kainehm.de/2007/11/12/verbindungsdaten-und-verschlussselung/ gut beschrieben hat, habe ich bei der Verschlüsselung natürlich immer noch die Verbindungsdaten (IP, Uhrzeit, Datum, Telefonnummer, etc) im Klartext, sowie unter Umständen einige Nachteile mehr (siehe Artikel von Kai). Wenn ich allerdings den aktuellen Heise-Artikel lese, kann ich mir gut vorstellen, wie es weitergeht, und dann ist die Verschlüsselung der Kommunikation eine Option:

Ein Zugriff auf die laufende Kommunikation, etwa auf ein verschlüsseltes Gespräch mit Skype könne sich die SPD vorstellen[...]

[Quelle: http://www.heise.de/newsticker/meldung/98860]

Im Hinblick auf die nähere Zukunft halte ich Verschlüsselung für den Privatmann für überaus sinnvoll (Eine Firma kommuniziert sowieso nur über verschlüsselte Verbindungen). Allerdings muss es richtig gemacht werden. Des weiteren bringt die Verschlüsselung der Daten wenig, wenn ich die Emails beim Provider im Klartext abhole oder im Klartext sende. Hier muss einfach jeder etwas sensibilisiert werden (und vielleicht hilft dieser Medien-Hype zu diesem Thema trotzdem etwas).

Außen vor bleiben die Spekulationen über Mittel und Wege eventueller Behörden, selbst hoch verschlüsselte Daten in akzeptabler Zeit zu entschlüsseln.

Verwendung von Anonymizer:

Diese Proxy-Server im Internet nehmen für mich eine Verbindung (z. B. GET auf eine Webseite) entgegen und leiten diese Anfrage durch mehrere andere Server. Diese Proxies schreiben keine logs mit, und somit ist es nicht mehr möglich, nachzuvollziehen, welche Webseiten aufgerufen werden, da im Logfile des Webservers die IP-Adresse des letzten Proxies steht. Das ist ein effektiver Weg, allerdings ist für Laien nicht ganz einfach einzurichten.

Somit sind wir wohl schon am Ende der Maßnahmen, die ein einzelner für sich einrichten kann. Jeder sollte sich einfach ein paar grundsätzliche Dinge im Umgang mit der Kommunikation zu Herzen nehmen:

• Emails nur verschlüsselt abrufen und wenn möglich versenden
• Passwörter aus mindestens 8 Zeichen, darunter Sonderzeichen und Zahlen, Groß- und Kleinschreibung, nirgends notieren!!!
• Verzicht auf “Legacy-Dienste” wie Telnet, FTP, HTTP für die Administration, die R-Dienste, etc. Hier werden Benutzernamen und Passwort immer im Klartext übertragen.

Link zu diesem Thema:

• “Vorratsdatenspeicherung” in der Wikipedia
• Artikel zur Verabschiedung des Gesetzes bei Golem
• Artikel zur Verabschiedung des Gesetzes bei Heise
• Gesetzentwurf der Bundesregierung
• “Richtlinie über die Vorradsdatenspeichering” in der Wikipedia
• “Arbeitskreis Vorradsdatenspeicherung”
• Umfangreiche Artikelsammlung zum Thema bei heise
• Kurzer Frage-/Antwortartikel der Tagesschau
• Neue Vorschläge zur weitergehenden Überwachung bei heise
• “Anonymizer” in der Wikipedia
• Links zur Anonymität vom Datenschutzzentrum Schleswig-Holstein

Technorati Tags: Security, Überwachungsstaat