scip ag
Transcription
scip ag
scip ag Da der besagte RPC DCOM Pufferüberlauf sämtliche aktuellen Windows-Systeme (Windows NT, 2000 und XP) betrifft, war es nur eine Frage der Zeit, bis erste Exploits herumgereicht, Einbrüche darüber verübt oder gar ein Wurm entwickelt werden würde. Es geschah wie erwartet und es stellt sich die Frage, wie denn ein Flächenbrand durch das ausnützen der leicht angestaubten Schwachstelle entstehen konnte. Wieso haben die Benutzer nicht die Patches eingespielt? Wieso sind nicht schon längst die Firewalls so abgerichtet, dass sie unnötigen NetBIOS-Verkehr blockieren? Fragen, die mehrdenje aufgeworfen wurden. Contents 1. Editorial 2. Neuerungen der scip AG 3. Neue Sicherheitslücken 4. Erfahrungsaustausch 5. Linktipps 6. Software-Tipps 7. Buchtipps 8. Fragen und Antworten 9. Kreuzworträtsel 10. Literaturverzeichnis 11. Impressum 1. Editorial Die Antwort auf diese Fragen ist einfach und deprimierend zu gleich: Die betroffenen Endbenutzer wussten grösstenteils nichts von dem über ihnen schwebenden Damokles-Schwert. Da die meisten von ihnen nicht viel auf Computersicherheit geben, interessierte es sie auch nicht gross, ob da was zu tun ist. Der eine oder andere sucht vielleicht ab und an windowsupdate.com auf, um die neuesten Treiber oder mal ein Service Pack einzuspielen. Ansonsten wird das Internet aber doch eher für andere Zwecke genutzt... Wer nicht patcht, der verliert? W32.Blaster.Worm heisst das jüngste Ungezifer, das Administratoren und Anwendern von Windows-Rechnern den Schlaf raubt (siehe Software-Tipps). Der Ärger ist gross, denn der Schädling hat sich innerhalb weniger Stunden verbreitet. Diesmal nicht über E-Mail oder eine präparierte Webseite, sondern über eine Pufferüberlauf-Schwachstelle, die schon seit über einem Monat bekannt war [scip 2003c]. Patches standen auch seit der Veröffentlichung des Advisories zur Verfügung. Die Guten (Whitehats) hatten einen, im Verhältnis zur Schnelllebigkeit der IT, enormen Vorsprung. scip monthly Security Summary Marc Ruef & Simon Zumstein scip_mss-20030819.doc Ist es denn wirklich so schwierig die Leute rechtzeitig zu informieren und ihnen die drohenden Gefahren vor Augen zu führen? Scheinbar schon. Die Medien sind einem Tagesgeschäft unterworfen, bei dem oft nicht weit in die Zukunft geblickt werden kann. Hätten Mitte Juni die Nachrichten und Zeitungen endanwenderfreundlich über den RPC DCOM Fehler informiert, hätte vielleicht so mancher Anwender sein Windows-System frühzeitig absichern können. Die meisten wären dankbar gewesen, denn der Stress und die Hektik nach einer Infizierung des Systems wäre ausgeblieben [Ruef 2003a]. © scip AG Druckdatum: 29.04.2014 News, Webseite, Security, Sicherheit public Seite 1/15 s c i p a g Vielleicht sollten aber auch einmal die Hersteller, in Fall des Blaster-Wurms entsprechend Microsoft, darüber nachdenken, wie sie schnell und effizient ihre Nutzer und Kunden über Sicherheitslücken und Patches informieren können. Was da fehlt sind durchdachte Prozeduren, die sich sowohl umsetzen lassen als auch durch die Anwender anerkennt werden. Dies, so scheint es, ist eine der schwierigsten Aufgaben im Bereich der IT-Sicherheit. Die meisten mittleren und grossen Firmen blieben vorerst von dem jüngsten Horror-Szenario verschont. Dies ist in erster Linie den langsam aber sicher restriktiv umgesetzten FirewallInstallationen zu verdanken. Hätten diese den Wurm-Angriff nicht im Sande verlaufen lassen, wäre das Ausmass noch viel grösser gewesen. Bei den Firmen ist es jedoch meistens gar nicht das fehlende Wissen über bestehende Schwachstellen. Vielmehr fehlt das Patch-Management und die Update-Prozeduren. Denn ehrlich, was wäre passiert, wenn Ihre Firewall NetBIOSZugriffe zulassen würde. Sind Ihre Systeme gepacht? Wie steht es mit den externen Remotebenutzern? Sind deren Systeme abgesichert oder können diese ungeschützt von zu Hause im Internet surfen? Ein Übergriff wie W32.Blaster.Worm sollte alle Verantwortlichen wachrütteln, frühzeitig ihre Patch-Gewohnheiten, Prozeduren und Konzepte zu überdenken, zu automatisieren oder gar ein geeignetes Softwaretool einzusetzten. Denn das nächste Mal wird es wie immer zu spät sein. Marc Ruef <[email protected]> Zürich, 18. August 2003 2. Neuerungen der scip AG 2.1 Verletzbarkeitsdatenbank Die deutschprachige Verletzbarkeitsdatenbank der scip AG wird kontinuierlich erweitert. Die direkt darauf aufbauenden Dienstleistungen )pallas(, )achilleus( und )Emergency-SMS( profitieren ebenso davon wie die weiteren Dienstleistungen der scip AG (z.B. Vulnerability Assessment). Als Schlussfolgerung: der Kunde! Das Ziel der letzten Anpassung war die grafische Darstellung der im Text bereits vorhanden Einschätzung und die Erweiterung der weiterführenden Informationlinks. Sie sehen auf einen Blick den Status der Sicherheitslücke und finden alle relevanten Informationsquellen und Buchverweise. scip monthly Security Summary Marc Ruef & Simon Zumstein scip_mss-20030819.doc 2.2 Erste offizielle CVE konforme Dienstleistungen des deutschsparchigen Raumes Die scip AG hat als erste Firma im deutschprachigen Raum (Deutschland, Österreich und Schweiz) Dienstleistungen, welche offiziell als CVE konform anerkannt sind. Seit der Gründung der scip AG stehen wir für Transparenz in Sachen IT-Security. Das auf Datenbankdesign basierende Modell erlaubt es unseren Kunden die durch unsere Dienstleistungen erhaltenen Daten zu verstehen und weiterzuverwenden. Das so gewonnene Verständnis hilft der Einschätzung täglicher Arbeiten. Das Common Vulnerabilities and Exposures Projekt entspricht dieser eindeutigen Zuweisbarkeit [scip 2003a]. 2.3 Security Awareness In einer durch den Informationsfluss geprägten Gesellschaft wird der Schutz vorhandener Informationen immer essentieller. Dieser Informationsschutz ist jedoch nur von Erfolg gekrönt, wenn das Problembewusstsein und die aktive Mitwirkung der Mitarbeiter sichergestellt wird. Dadurch kann im Zusammenspiel von technischen und organisatorischen Massnahmen ein effizienter und wirksamer Schutz gewährleistet werden. Hier greift das Konzept der Sensibilisierung und Schulung der Mitarbeiter. Diese Massnahmen müssen und können pro Zielgruppe unterschiedlich definiert und durchgeführt werden. Es beginnt bei den Schulungsunterlagen und Handouts, über die Intranet-Bereiche bis hin zu einer langfristigen Kampagne unter der Anwendung mannigfaltiger Hilfsmittel. Die scip AG unterstützt Sie fachmännsich in diesem Vorhaben. Anhand des scip AG exklusiven Security Awareness Masterlayout werden die geeigneten Hilfsmittel und Themen den individuellen Bedürfnisse des Kunden angepasst und © scip AG Druckdatum: 29.04.2014 News, Webseite, Security, Sicherheit public Seite 2/15 s c i p a g festgesetzt (technisch, physisch und organisatorisch). Die durchzuführenden Aufgaben werden so in überschaubare Stücke zerlegt. Die Erarbeitung der einzelnen Werte geschieht absolut transparent und erlaubt die Durchführung von Planspielen zur Erreichung des optimalsten Nutzen im Zusammenspiel von Business und Security. Als weiterer Pluspunkt des scip AG Security Awareness Masterlayout werden nebst den externen Kosten auch die internen Ressourcen berücksichtigt und transparent wiedergegeben. gegeben. Nicht ganz überraschend hat das „Kreuzworträtsel“ die beste durchschnittliche Bewertung eingeheimst. 0 1. INHALT 1 2 3 2. NUTZEN 2.00 2.00 3. GESTALTUNG 1.89 1. EDITORIAL 2.00 2. NEUERUNGEN DER SCIP AG 3. NEUE SICHERHEITSLÜCKEN 4. ERFAHRUNGSAUSTAUSCH 2.22 1.78 2.11 5. LINKTIPPS Planen Sie eine Security Awarenss Kampagne und sind an näheren Informationen und einem persönlichen Gespräch interessiert? Gerne zeigen wir Ihnen unser Vorgehensmodell. Senden Sie uns eine Email mit ihren Koordinaten an die Adresse mailto:[email protected] oder rufen Sie uns an +41 1 4451818. Wir beraten Sie gerne. 2.4 Fachartikel der scip AG In der aktuellsten Ausgabe des Linux Enterprise Magazin 09(03, finden Sie die zwei durch die scip AG (Marc Ruef) verfasste Titelthemen "Viren unter Linux" [Ruef 2003c] und "Security Auditing mit Linux" [Ruef 2003d]. 1.89 6. SOFTWARE-TIPPS 7. BUCHTIPPS 2.11 2.44 8. FRAGEN UND ANTWORTEN 9. KREUZWORTRÄTSEL 4 1.56 1.67 [Angewandte Notenskala (sehr gut=1, gut=2, ok=3, schlecht=4)] Als direkte Folge der eingetroffenen Feedbacks wurde im aktuellen smSS die am schlechtesten bewerteten Rubriken angepasst ("Neue Sicherheitslücken") respektive ersetzt ("Fragen und Antworten"). Der Artikel bezüglich Virologie ist über den folgenden Link online einsehbar: http://www.linuxenterprise.de/itr/online_artikel/pse com,id,405,nodeid,9.html. 2.5 Workshophinweise August 2003 26.08.2003 Vulnerability Assessment 27.08.2003 Log Management [LMST] September 2003 09.09.2003 Profiling 17.09.2003 Viren 18.09.2003 Firewallpolicy 25.09.2003 Vulnerability Assessment Das scip AG Workshop-Portfolio finden Sie auf der Firmenwebseite unter Dienstleistungen. 2.6 smSS Feedback 19.07.2003 Auswertung Vielen Dank für das zahlreiche Ausfüllen des Feedbackformulars. Wir nehmen die eingetroffenen Anregungen ernst. Personen welche Ihre Koordinaten eintrugen haben von uns bereits eine persönliche Antwort per Email erhalten. Die Beurteilungen fielen im Schnitt durchwegs gut aus. Es wurde keine Wertung „schlecht“ abscip monthly Security Summary Marc Ruef & Simon Zumstein scip_mss-20030819.doc © scip AG Druckdatum: 29.04.2014 News, Webseite, Security, Sicherheit public Seite 3/15 s c i p 3. a g fehlende Session-Keys Neue Sicherheitslücken Die erweiterte Auflistung hier besprochener Schwachstellen sowie weitere Sicherheitslücken sind unentgeltlich in unserer Datenbank unter http://www.scip.ch/cgi-bin/smss/showadvf.pl einsehbar. Die Dienstleistungspakete )scip( pallas liefern Ihnen jene Informationen, die genau für Ihre Systeme relevant sind. Contents: 3.1 Microsoft ActiveX Plug-In MCWNDX.OCX Pufferüberlauf 3.2 MS IIS 6.0 Admin Interface fehlende Session-Keys 3.3 MS IIS 6.0 Admin Interface AdministratorPasswort ändern 3.4 Microsoft DirectX quartz.dll Pufferüberlauf 3.5 BSD realpath() Pufferüberlauf 3.1 Microsoft ActiveX Plug-In MCWNDX.OCX Pufferüberlauf Einstufung: sehr kritisch Remote: Ja Datum: 18.08.2003 Advisory: http://www.secunia.com/advisories/9534 Patch: http://www.microsoft.com Der Microsoft Internet Explorer (MS IEX) ist der am meisten verbreitete Webbrowser und fester Bestandteil moderner Windows-Betriebssysteme. ActiveX Plug-In MCWNDX.OCX wurde ein Pufferüberlauf bei der Verarbeitung langer Zeichenketten im Zusammenhang mit Filename entdeckt. Ein Angreifer sieht sich so in der Lage, beliebigen Programmcode auf dem Zielsystem auszuführen. Grösstes Problem dabei ist, dass MCWNDX.OCX signiert ist und daher ohne Zutun des Anwenders im Hintergrund installiert werden kann. Es ist bisher kein Patch verfügbar oder angekündigt. Als Workaround wird die Deinstallation des besagten Plug-Ins sowie das Aktivieren der Sicherheitsabfrage bei der Installation neuer Plug-Ins empfohlen. Expertenmeinung: Aufgrund der Einfachheit dieses Angriffs ist es zu erwarten, dass der eine oder andere Einbruch über diese Schwachstelle umgesetzt wird. Zwar sind noch keine genauen Details bekannt, wie ein entsprechender Exploit zum Ausführen von Programmcode aussehen müsste. Es ist jedoch nur eine Frage der Zeit, bis diese Hürde genommen wird. 3.2 MS IIS 6.0 Admin Interface scip monthly Security Summary Marc Ruef & Simon Zumstein scip_mss-20030819.doc Einstufung: sehr kritisch Remote: Ja Datum: 23.07.2003 Advisory: http://www.securityfocus.com/archive/1/33 0027 Patch: http://www.microsoft.com Der Microsoft Internet Information Server (MS IIS) ist ein beliebter Webserver für die professionellen Windows-Betriebssysteme. Die Version 6.0 wird zusammen mit Microsoft Windows 2003 Server ausgeliefert. Hugo Vázquez Caramés und Toni Cortés Martínez posteten auf Bugtraq ein Advisory, bei dem sie auf mehrere Schwachstellen im Admin Interface von MS IIS 6.0 hinweisen. Auf das Heranziehen des Session-Keys __SAPageKey wird bei einigen ASP-Dokumenten verzichtet (/admin/default.asp, /admin/tasks.asp und /admin/users/users.asp). Diese sind sodann ohne Authentifizierung direkt von jederman, der sich mit dem Admin Interface verbinden kann, ansprechbar. Microsoft wurde nicht vorzeitig über die Existenz der Schwachstellen informiert. Es ist jedoch damit zu rechnen, dass sie einen Patch für diese Verwundbarkeit herausgeben werden. Expertenmeinung: Hugo Vázquez Caramés und Toni Cortés Martínez haben mit diesem Bugtraq-Posting sehr unfair und unprofessionell gehandelt. Sie weisen eingehends darauf hin, dass sie keine Freunde von Microsoft sind. Aus diesem Grund würden sie es unterlassen, Microsoft frühzeitig und explizit auf die Schwachstelle hinzuweisen. Resultat dieses ignoranten Verhaltens ist, dass ein Mehr an Zeit verstreichen wird, bis Microsoft den Fehler kennt und entsprechende Gegenmassnahmen einleiten kann. 3.3 MS IIS 6.0 Admin Interface Administrator-Passwort ändern Einstufung: sehr kritisch Remote: Ja Datum: 23.07.2003 Advisory: http://www.securityfocus.com/archive/1/33 0027 Patch: http://www.microsoft.com Durch network/adminpw_prop.asp des fehlerhaften Admin-Interface des MS IIS 6.0 kann das Administrator-Passwort des eingesetzten Windows 2003 geändert werden. Dazu ist jedoch die Eingabe des alten Passworts notwendig. Diese Voraussetzung ist jedoch nicht gegeben, wenn das Administrator-Passwort über © scip AG Druckdatum: 29.04.2014 News, Webseite, Security, Sicherheit public Seite 4/15 s c i p a g users/user_setpassword.asp geändert wird. Sodann ist jederman in der Lage, ein neues Administrator-Passwort für das Windows-System zu bestimmen. Microsoft wurde nicht vorzeitig über die Existenz der Schwachstellen informiert. Es ist jedoch damit zu rechnen, dass sie einen Patch für diese Verwundbarkeit herausgeben werden. Expertenmeinung: Hugo Vázquez Caramés und Toni Cortés Martínez haben mit diesem Bugtraq-Posting sehr unfair und unprofessionell gehandelt. Sie weisen eingehends darauf hin, dass sie keine Freunde von Microsoft sind. Aus diesem Grund würden sie es unterlassen, Microsoft frühzeitig und explizit auf die Schwachstelle hinzuweisen. Resultat dieses ignoranten Verhaltens ist, dass ein Mehr an Zeit verstreichen wird, bis Microsoft den Fehler kennt und entsprechende Gegenmassnahmen einleiten kann. 3.4 Microsoft DirectX quartz.dll Pufferüberlauf Einstufung: sehr kritisch Remote: Ja Datum: 23.07.2003 Advisory: http://www.eeye.com/html/Research/Advis ories/AD20030723.html Patch: http://www.microsoft.com/technet/treeview/ default.asp?url=/technet/security/bulletin/M S03-030.asp DirectX APIs erlauben Programmen unter Windows multimediale Inhalte darzugeben und zu manipulieren (wie z.B. Audio, Video usw.). Die beiden gefunden Pufferüberlauf Schwachstellen benutzen jeweils die Art und Weise wie DirectShow die Parameter des Musical Instrument Digital Interface (MIDI) überprüft. Im schlimmsten Fall besitzt der Angreifer nach erfolgreicher Ausführung der Attacke die Rechte des Users, welcher den Code ausgeführt hat. Diese Schwachstelle kann über präparierte MIDI Dateien in Netzwerkshares, auf Websiten (als Streaming oder Datei) oder gar in HTML-Mails ausgenutzt werden. Microsoft hat einen Patch herausgegeben. Expertenmeinung: Schnell ist ein Patch für gefundene Schwachstellen publiziert. Wie in anderen Fällen hat Microsoft wieder professionell reagiert. Einzig die Administratoren ohne Autoupdatefunktion oder ohne Softwareverteilung sind wieder in der Zwickmühle. Installieren oder nicht installieren. Das Ausführen beliebigen Codes nach scip monthly Security Summary Marc Ruef & Simon Zumstein scip_mss-20030819.doc erfolgreicher Attacke ist besorgniserregend. Da der Angreifer jedoch die Rechte des Angegriffenen besitzt kann etwas beruhigen. Dies hängt davon ab welche Personen in Ihrer Firma MIDI Dateien öffnen oder gar HTML-Mails eingeschaltet haben (wenn die Firmenpolicy diese nicht schon unterbindet!). Wenn Sie jedoch keinerlei Policy oder anderweitige Möglichkeiten der Eindämmung (ContentScanner usw.) nicht durchsetzten können, so ist Ihnen die Installation dieses Patches zu empfehlen. 3.5 BSD realpath() Pufferüberlauf Einstufung: sehr kritisch Remote: Ja Datum: 08.04.2003 Advisory: ftp://ftp.freebsd.org/pub/FreeBSD/CERT/ad visories/FreeBSD-SA-03:08.realpath.asc Patch: Die BSD-Betriebssysteme basieren auf Unix. Es gibt verschiedene Arten und Abkömmlinge, die sich jedoch in ihren Grundzügen stark gleichen. Durch einen Pufferüberlauf in realpath(), der auf der FreeBSD Security-Mailingliste besprochen wurde, kann ein Angreifer das System abstürzen lassen oder beliebigen Programmcode ausführen. Die Funktion realpath() wird verwendet, um absolute Pfadnamen zu ermitteln. Eine Vielzahl von Anwendungen greift auf diese Funktion der Standard-C-Bibliothek zurück. So zum Beispiel OpenSSHs sftp-server. Zuerst wurde nur vermutet, dass die Schwachstelle in FreeBSD 4.x und 5.x vorhanden ist. Wie sich jedoch herausstellte, sind auch NetBSD und OpenBSD betroffen. Die Bestätigung von Apple, das auch ihr MacOS X von der Schwachstelle betroffen war, wurde erst 2 Wochen später herausgegeben. Ein Exploit zur Schwachstelle ist nicht bekannt. Sämtliche Hersteller haben einen Patch herausgegeben. Expertenmeinung: Diese Schwachstelle birgt aus verschiedenen Gründen ein hohes Risiko in sich. Vor allem, da mehrere BSD-Systeme betroffen sind, ist eine Vielzahl der Benutzer verwundbar. BSD wird aufgrund des hohen Sicherheitsstandard gerne in kritischen Umgebungen eingesetzt, die natürlich jetzt gefährdet sind. Es ist ganz wichtig diese Schwachstelle schnellstmöglich aus der Welt zu schaffen. © scip AG Druckdatum: 29.04.2014 News, Webseite, Security, Sicherheit public Seite 5/15 s c i p 4. a g Anekdote aus Erfahrung 4.1 Security in der Unternehmung oder die Betrachtung einer Zwangsehe Guten Tag meine Damen und Herren. Ich erlaube mir Sie in eine Welt zu führen, welche nicht aus der Sicht eines Sicherheitsbeauftragten oder einer Person, welche ansonst mit Sicherheit zu tun hat, betrachtet wird. Ich werde Ihnen auch keine Referenz über Standards, Richtlinien, oder was es ansonsten noch an Facetten der Security gibt, geben. Ich werde Ihnen jedoch einen Einblick in die Praxis geben und wie sich die Sicherheit als Freud und Leid in das Geschäftsleben unserer Zeit eingebettet hat. Ich begrüsse Sie also zu einem Exkurs in ein Gebiet der Security Policy, welches nicht jedem so geläufig ist, jedoch so präsent ist wie nie. Haben Sie sich schon einmal Gedanken darüber gemacht, warum eigentlich Security Policies erstellt werden? Ja, Sie haben recht. Sie werden erstellt um vor allem die eigene Sicherheit aber auch die Sicherheit der Kunden, mit der im Augenblick vorherrschenden Technik, sicherzustellen. Es gibt Standards, welche von Spezialisten aufgestellt wurden, welche sich Nächte lang ihren Kopf zerbrochen haben, um die Welt und im speziellen, die Unternehmen, noch sicherer machen. Das Schlagwort ist: Sicherheit. Ich habe nun noch eines für Sie: Business. Diese beiden Schlagwörter trafen in der Vergangenheit, und teilweise auch heute noch, mit einer Wucht zusammen, dass keine der beiden Fronten, wenn man diese als solche bezeichnen möge, ohne Haare zu lassen aus der Konfrontation hervorgehen. Tja, ich höre schon den Verkäufer: Ohne Business würde es keine Security-Abteilung geben, denn wer würde sonst diese Leute bezahlen. Die für die Security zuständigen Personen halten dagegen: Ohne Security würden die Kunden mit keinem hochverfügbaren Service beliefert werden können – Fazit: Kein Business. Was war jetzt noch mal zuerst da, das Huhn oder das Ei? Nun ja, auch ich kann Ihnen diese Frage nicht beantworten. scip monthly Security Summary Marc Ruef & Simon Zumstein scip_mss-20030819.doc Was ich jedoch weiss ist, dass in Bezug auf Security und Business das letztere zuerst da war. Bezüglich der in der Überschrift zu diesem Artikel aufgeführte Zwangsehe bedeutet dies: Keine Entscheidung eines neuen Businessbereichs ohne Security. Um die Angelegenheit noch komplizierter zu gestalten, hat jedes Unternehmen seine eigene Security Policy. Mit dieser Situation sind wir bei der Realität angelangt und können uns nun einer kleinen Geschichte widmen, welche Ihnen die komplexe Verflechtung der beiden Themengebiete Security und Business verdeutlichen sollen. Die Idee Freitag morgen. Sie haben Ihr Frühstück genossen und fahren in Ihrem Wagen zur Arbeit. Auf der Autobahn sehen Sie die meisten Autos nur mit einer Person besetzt und Sie denken sich, dass hier eine Parallele zu der Situation bei Ihren Kunden besteht. Ihre Kunden haben auch alle eine eigene Infrastruktur, damit Sie den Service, den Sie anbieten, auch beziehen können. Nur bei Ihren Kunden sind es keine Autos, sondern Servereinheiten. Ach wie wäre es schön, denken Sie, wenn die Autobahn nicht so voll wäre (Ein Moment der Stille) und Sie haben die goldene Eingebung: Autosharing, Serversharing, Autosharing, Serversharing, ... Auf einmal sind Sie ganz ruhig und entspannt, auch der Stau vor Ihnen kann Sie nicht aus der Ruhe bringen, denn Sie wissen ganz genau, die Kunden werden zufrieden sein, das ROI wird sich sehr gut darstellen, der Chef wird zufrieden sein, wenn Sie ihm diese Idee unterbreiten, und, und, ... Eine Businessidee ist geboren. Sie machen sich an die Arbeit 45 Minuten später im Büro. Sie kennen Ihren Chef genau. Nur eine Idee reicht ihm nicht, er erwartet bereits erste Eckdaten. Also machen Sie sich an die Arbeit. Was brauche ich - Kundenanzahl, wie viel User hat ein Kunde, welche Applikation beziehen sie, Serveranzahl beim Kunden, durch die Useranzahl benötigte Umgebung Intern - Fragen über Fragen. Doch das kann Sie nicht erschüttern, Sie sind eifrig an der Arbeit. Sie haben bereits mit Ingenieuren, Technikern, Marketing, Verkäufern Vorgespräche absolviert und haben innert 14 Tagen einen Businesscase zusammengestellt, der bereits Zahlen beinhaltet und Ihrem Chef einen groben Umriss der Idee geben soll. Sie wollen gerade einen Terminein- © scip AG Druckdatum: 29.04.2014 News, Webseite, Security, Sicherheit public Seite 6/15 s c i p a g trag für das Gespräch mit Ihrem Chef tätigen, da klingelt das Telefon. Guten Tag, hier spricht Herr Hochsicher aus der Security Abteilung. Ich habe gerade gehört, dass Sie an einem Konzept arbeiten, welches einen Betrieb der Kundensysteme in unserem Gebäude beinhaltet und somit ein Zugriff der Kunden zu uns darstellt. Da ich bis heute noch nie Ihre Bekanntschaft gemacht haben, nehme ich an, dass die Belange aus unserer Sicht noch nicht in das Konzept eingeflossen sind. Ich würde vorschlagen wir besprechen Ihr Konzept so schnell als möglich, denn ohne unsere Zustimmung kann sowieso nichts in Betrieb genommen werden. Schallte es aus dem Hörer und es ward Stille. Sie denken sich nichts dabei. Warum auch. Die Software ist schon seit einigen Jahren bei den Kunden in Betrieb. Sicher, es hat nie eine Verbindung des Kunden in das eigene Netzwerk stattgefunden, doch das wird sicher kein Problem darstellen – was vorher funktioniert hat, funktioniert auch jetzt. Und ausserdem Security. Wir sind ja sicher, das hört man immer, wenn man durch die Gänge läuft. Zweifelsohne haben auch die Bestrebungen, um die Sicherheit zu erhöhen, zugenommen. Soviel ich weiss, hat unsere Sicherheitsabteilung mindestens 10 Personen. Mit diesen Tatsachen im Hinterkopf gehen Sie gelassen in das Meeting mit dem Herr aus der Sicherheitsabteilung. Sie haben das Konzept vorgängig Herrn Hochsicher zukommen lassen, damit er sich die offenen Fragen bereits schon selber beantworten kann und die Besprechung aus Ihrer Sicht nur noch der Absegnung des Konzepts dienen wird. Das Gespräch mit Herrn Hochsicher Herr Hochsicher ist nicht alleine. Zusätzlich sind noch 2 weitere Herren anwesend. Die Herren Stellen sich vor. Herr Hochsicher seines Zeichens CSO, Herr Algorithmus - Softwaresicherheit und Herr Intruder – Netzwerksicherheit/ Netzwerkbetrieb. Die nächsten 90 Minuten werden die Hölle für Sie gewesen sein. Was soll die Frage, ist die Software sicher? Das Protokoll ist kein Standard. Wo ist das Sicherheitskonzept für das Protokoll und die Software? Ist die Software via Proxy-Server lauffähig? Wie erfolgt die Anbindung, via Internet oder Point to Point? Ist das ganze in einer DMZ oder im internen Netzwerk geplant? Wie wird das ganze System unterhalten? Welche Verfügbarkeit wird dem Kunden versprochen? Wie gestaltet sich die Berechtigung? Ist eine Datensicherung geplant? Wenn der Service nicht verfügbar ist für den scip monthly Security Summary Marc Ruef & Simon Zumstein scip_mss-20030819.doc Kunden, ist sein Business gefährdet? Hat das neue System einen Einfluss auf andere Services, welche intern betrieben werden? Wie ist die Durchsatzrate? Muss man die Infrastruktur erneuern. Gibt es ein Konzept, welches das langfristige Kundenaufkommen darstellt? Schutzobjekte, Datenintegrität, usw. Das Abenteuer beginnt Sie verlassen die Sitzung und fragen sich, ob das wirklich geschehen ist. Sie wollten doch nur das Konzept absegnen lassen und nun stehen Sie vor einem Berg von lauter Fragen und Sie haben keine Ahnung, wer die beantworten soll. Eines jedoch wissen Sie genau, Sie können es nicht. Also machen Sie das, dass ein jeder in solch einer Situation macht. Sie gehen zu Ihrem Chef, unterbreiten ihm den Businesscase und beantragen ein Budget für das Projekt. Nach einer Projektzeit von 3 Monaten steht das Konzept inklusive Sicherheitsaspekte und den Zahlen. Nun kann das Marketing und der Verkauf anlaufen. Sie stellen sich schon vor, wie die Franken nur so reinpurzeln, denn für den Kunden ist es ein bomben Geschäft. Er braucht keine Hardware mehr zu kaufen, die Unterhaltskosten für Hardund Software fallen weg, Einsparungen im Personalbereich. Alles in allem eine Win-Win Situation. Insgeheim erhoffen Sie sich eine kleine Prämie oder reicht es diesmal sogar für eine richtig Dicke? Egal, denken Sie sich, Hauptsache das Projekt ist glatt über die Bühne gegangen. Der Kunde ist König Nach 2 Wochen erhalten Sie das erste Telefon von einem Verkäufer. Hallo ich bin es, Hans Verkaufalles. Ich war heute bei der Kaufalles AG, habe Ihnen Dein Konzept vorgestellt. Sie waren vom ersten Augenblick an begeistert von unserem Angebot und wollen so schnell wie möglich eine Startup-Sitzung vereinbaren. Sie haben mich gebeten unbedingt das „Sicherheitskonzept für den Kunden“ mitzubringen, damit ihre Sicherheitsabteilung es begutachten kann. Schallte es aus dem Hörer und es ward Stille. Was meint der mit „Sicherheitskonzept für den Kunden“. Wir haben ja eines gemacht, das muss ja reichen. Ich erinnere mich dunkel an meine Annahme vor der Sitzung mit Herrn Hochsicher. Diesen Fehler mache ich nicht noch einmal. Also rufe ich nochmals den Verkäufer an. © scip AG Druckdatum: 29.04.2014 News, Webseite, Security, Sicherheit public Seite 7/15 s c i p a g Hallo, ich bin es noch mal. Ich bin mir bezüglich des Sicherheitskonzepts für den Kunden nicht im klaren, was die verlangen. Kannst Du das bitte abklären. Kein Problem sagte er, ich werde das für Dich erledigen. allgemeine Firmenpolitik es nicht gestatt den Firmennamen oder weitere Angaben, welche Rückschlüsse auf die Unternehmung zulassen, in externen Publikationen preiszugeben. 30 Minuten später läutet das Telefon erneuert. Guten Tag. Mein Name ist Paranoid von der Firma Kaufalles AG. Ich bin Sicherheitsbeauftragter bei uns und habe gerade von Herrn Verkaufalles gehört, dass Sie genauere Angaben bezüglich Sicherheitsanforderung auf unserer Seite haben. Ja, entgegnete ich und hörte anschliessend seinen Ausführungen zu. Ich hatte ein déjà vu. Warum können die Anforderungen des Kunden so anders aber doch so ähnlich sein, als die des eigenen Unternehmens. Auch dieses Problem haben Sie gemeistert. Sie haben die notwendigen Personen an einen Tisch zusammengebracht und haben ein Sicherheitskonzept erstellt, welches dem Kunden abgegeben werden kann. Nach 2 Jahren, haben Sie es geschafft, dass 80 % Ihrer Kunden den Service bei Ihnen direkt beziehen. Die restlichen 20 % haben jedoch immer noch Bedenken in Punkto Sicherheit und haben Ihre Infrastruktur behalten. Fazit Damit bin ich am Ende meiner Geschichte angelangt. Die Erkenntnis daraus, darf jeder für sich selber definieren. Für meine Person, kann ich nur sagen, dass die Zwangsehe Security & Business existiert. Sie leben teils nebeneinander, teils miteinander. Manchmal gehen sie fremd, bleiben Ihren Prinzipien nicht treu, haben Streit. Wie in einer normalen Ehe eben auch. Am Ende siegt jedoch die Vernunft. Immer auf das gemeinsame Ziel ausgerichtet – weiter zu existieren. Ich persönlich bin schon so geimpft, dass immer der Gedanke Sicherheit aufkommt, wenn es um eine Veränderung innerhalb des Systems geht. Nicht nur weil ich gerne sehe, dass die Umgebung sicher ist, sondern weil dies alles Geld kostet. Noch eine erfolgreiche und sichere Zeit. Über den Autoren Der Autor ist im Management eines grossen schweizerischen Finanzdienstleisters. Dessen scip monthly Security Summary Marc Ruef & Simon Zumstein scip_mss-20030819.doc © scip AG Druckdatum: 29.04.2014 News, Webseite, Security, Sicherheit public Seite 8/15 s c i p 5. a g manchmal ein bisschen spät dran, im vergleich zu anderen freien Angeboten [Ruef 2003b]. Die Analysen der Schwachstellen sind zudem oft zu oberflächlich und lassen keine interessanten Einblicke in die Funktionsweise der Attacken zu. Da ist man mit anderen deutschsprachigen AlertAngeboten und Verwundbarkeitsdatenbanken besser beraten. Linktipps 5.1 Heise Security – Sicherheitsnews im gewohnten Heise-Format URL: Thema: Kategorie: http://www.heise.de/security/ Computer, Technik, Sicherheit Nachrichtenportal Aufmachung Umfang Aktualität Ergonomie Gesamtbewertung Die Fachartikel und Software-Tipps Zusätzlich zu den News werden auch Fachartikel zu spezifischen Themen geschrieben. Diese unterscheiden sich jenachdem im Umfang und der Detailtiefe. In den meisten Fällen sind sie sehr gut geeignet, um sich einen Überblick über ein Thema zu verschaffen. Gut Gut Gut Genügend Gut Heise ist jedem geläufig, der sich für aktuelle Geschehnisse aus dem Bereich der Computer und Elektronik interessiert. Seit vielen Jahren werden auf heise.de aktuelle News zu diesen Thema aufbereitet und publiziert. Seit dem 1. Juli 2003 wurde das Angebot durch Heise Security erweitert [Heise 2003]. Diese Abspaltung der klassischen Heise News beschäftigt sich ausschliesslich mit den Themen der Computersicherheit. Ähnlich dem News-Portal werden auch hier die Neuigkeiten zusammengefasst und dadurch der Leserschaft zugänglich gemacht. Desweiteren werden fortwährend Software-Tipps vergeben, die neuesten Security-Tools getestet und bewertet. Diese Rubrik fällt eher schmal aus. So kommen nur selten neue Anwendungen hinzu und die Analysen sowie Rezensionen sind dann auch nicht besonders detailliert. Trotzdem eine kleine Fundgrube, wenn man mal auf der Suche nach etwas neuem ist. Die Nachrichtenmeldungen und Alerts Hauptbestandteil des Heise-Angebots sind die Nachrichtenmeldungen, die sich mit neuen Schwachstellen (Alerts), Software-Updates (Patches) und Wirtschaftsnews beschäftigen. Die meistens sehr aktuellen Nachrichtenmeldungen sind Heise-typisch gehalten. Kurz und prägnant wird die Lage der Dinge erläutert. Manchmal ein bisschen voreingenommen, was sich spätestens durch die hitzigen Diskussionen im HeiseForum widerspiegelt. Fazit Heise Security ist eine hübsche aber nicht zwingend für Heise News erforderlich gewesene Erweiterung. Wer nur an Informationen aus dem Bereich der Computersicherheit interessiert ist, der wird das neue Angebot durchaus zu schätzen wissen. Alle anderen, die auch mal ein bisschen über den Tellerrand hinausschauen wollen oder mehr Informationen zu den einzelnen Einträgen wünschen, die sind an anderen Stellen besser aufgehoben. Was die Alerts betrifft, sind die Einträge doch scip monthly Security Summary Marc Ruef & Simon Zumstein scip_mss-20030819.doc © scip AG Druckdatum: 29.04.2014 News, Webseite, Security, Sicherheit public Seite 9/15 s c i p 6. a g /HELP, /H, /? /NOFIXREG Software-Tipps 6.1 Symantec FixBlast – W32.Blaster schnell und einfach entfernen /SILENT, /S /LOG=<pfad> URL: Thema: Kategorie: Plattform: http://securityresponse. symantec.com/avcenter/venc/data/w 32.blaster.worm.removal.tool. html Viren, Würmer, W32.Blaster Cleanup, Antivirus Microsoft Windows Funktionalität Technik Ergonomie Gesamtbewertung Sehr gut Sehr gut Gut Gut Eine Vielzahl der Privatbenutzer war und ist durch den Wurm W32.Blaster betroffen. Viele von ihnen wissen nicht, wie ihnen überhaupt geschieht oder was sie dagegen tun können. Einige Firman haben, zur Erleichterung der Kunden, automatische Tools herausgegeben, die ein infiziertes System bereinigen können. Eines dieser Tools ist FixBlast.exe der Firma Symantec. Start und Benutzung Das Tool FixBlast kommt als schlichte EXE-Datei daher. Sie kann sowohl durch einen Doppelklick als auch auf der Kommandozeile ausgeführt werden. Letzteres bietet die beiden Vorteile, dass mittels Parameter gewisse Funktionen angepasst und durch Skripting erweiterte Scans umgesetzt werden können. Sämtliche Parameter von FixBlast.exe sind auf der Download-Webseite von Symantec beschrieben. Zu den möglichen Schaltern zählen die folgenden: Schalter Beschreibung scip monthly Security Summary Marc Ruef & Simon Zumstein scip_mss-20030819.doc /MAPPED /START /EXCLUDE=<pfad> Zeigt die Hilfe an. Deaktiviert die Reparierung der Registry. Diese Option wird nicht empfohlen. Aktiviert den Silent-Mode und verhindert eine Ausgabe. Bestimmt den Pfad der zu erstellenden Protokoll-Datei. Standardmässig wird das FixBlast.exeArbeitsverzeichnis verwendet. Scant zusätzlich die gemappten Netzwerk-Laufwerke. Keine komplette Reparatur bei diesen möglich. Weist das Tool an, unverzüglich mit den Scans zu beginnen. Kann den angegebenen Pfad vom Scan ausschliessen. Der Scanvorgang Nachdem in der Kommandozeile das Tool mit den gewünschten Parametern gestartet wurde, öffnet sich ein kleines Fenster. Durch das Klicken auf den Button Start wird der Scanvorgang in Gang gesetzt. Als erstes werden sämtliche aktiven und speicherresidenten Instanzen von W32.Blaster.Worm und W32.Blaster.B.Worm deaktiviert. Sodann werden sämtliche angegebenen Laufwerke mittels Pattern-Matching nach dem Blaster-Wurm durchsucht. Da diese Funktionsweise sich nicht von der eines herkömmlichen AntivirusProgramms unterscheidet, kann dieser Check einige Minuten dauern. Dies ist zum Beispiel von der Grösse der zu überprüfenden Daten und der Geschwindigkeit der Laufwerke abhängig. Die vom Wurm eingebrachten und genutzten Dateien werden sodann gelöscht. Dadurch kann eine Neuinfektion und Weiterverbreitung verhindert werden. Zum Schluss findet noch eine BlasterBereinigung der Registry statt. Dies ist ein weiterer Ort, in dem sich der Schädling einnistet. Nach der Bereinigung Ist der Scan abgeschlossen, erscheint auf dem Bildschirm ein Popup-Fenster, dass den Benutzer über den aktuellen Stand der Dinge informiert. Bestens ist natürlich, wenn die Meldung ausgegeben wird, dass keine WurmInfektionausgemacht werden konnte. © scip AG Druckdatum: 29.04.2014 News, Webseite, Security, Sicherheit public Seite 10/15 s c i p a g Zu Analyse und Weiterverarbeitung legt das Tool eine Log-Datei an, die standardmässig im Arbeitsverzeichnis von FixBlast.exe abgelegt wird. Dieses Verhalten kann mit dem Schalter /LOG<pfad> beim Aufruf angepasst werden. In der Log-Datei namens FixBlast.log werden sämtliche durch das Programm ausgegebenen Meldungen im ASCII-Format abgespeichert. Was ist danach zu tun? FixBlast der Firma Symantec entfernt zwar den Blaster-Wurm, kann jedoch keine Neuinfektion verhindern oder die durch den Schädling ausgenutzte Schwachstelle beheben. Aus diesem Grund werden weitere Massnahmen empfohlen, um einen Übergriff zu einem späteren Zeitpunkt zu verhindern: Installieren Sie die neuesten SicherheitsPatches für Ihr Betriebssystem. Verhindern Sie den Zugriff auf nicht dringend benötigte Ports mittels Firewalling. Installieren und aktivieren Sie eine aktualisierte Antiviren-Software. Fazit Die Software ist sehr sauber und effizient programmiert. Dies merkt man zum Beispiel daran, dass eine laufende Instanz erkennt und ein Neustart der Applikation verhindert wird. So können Engpässe und fehlerhafte Eingaben vermieden werden. Symantec FixBlast ist ein hervorragendes und zu empfehlendes Hilfsmittel, wenn es um die Beseitigung der ersten Varianten von W32.Blaster geht. Sie sollten jedoch nicht vergessen, dass dadurch keine Neuinfektion verhindert werden kann. Setzen Sie zu ihrem eigenen Schutz entsprechende Gegenmassnahmen um. Patches http://www.microsoft.com/technet/security/bulletin /MS03-026.asp http://www.computec.ch/projekte/patchmirror/ http://homepage.hispeed.ch/mruef/patchmirror/ http://www.kryptocrew.de/rpc/infos.html http://www.ec-security.com/Patches/mirror.html Buchtipps 7.1 Programmieren von UNIXNetzwerken – Der Schlüssel zum scip monthly Security Summary Marc Ruef & Simon Zumstein scip_mss-20030819.doc Autor: Verlag: Datum: ISBN: Thema: Kategorie: Sprache: Webseite: W. Richard Stevens Hanser Fachbuch Februar 2000 3446213341 Computer, Netzwerke, Protokolle, TCP/IP Fachbuch, Lehrbuch Deutsch http://www.kohala.com/start/u npv12e.html Umfang Detailtiefe Aktualität Gesamtbewertung Sehr gut Sehr gut Gut Sehr gut Richard W. Stevens ist für mich einer der Götter von TCP/IP [scip 2003b]. Durch ihn habe ich erst das Verständnis moderner Netzwerktechnologien erlangt. Jahre nach dem Einstieg mit "TCP/IP Illustrated, Volume 1: The Protocols" habe ich mich endlich an die Bücher über Netzwerkprogrammierung von ihm herangewagt. Zuerst habe ich dieses Buch im englischen Original gelesen und war einmal mehr von Stevens Genauigkeit, seiner imposanten Darstellung und den faszinierenden Hintergrundinformationen erstaunt. Nur UNIX oder gar mehr? Der Titel dieses Buches lässt zwar vermuten, dass es sich hier nur um die Programmierung in UNIX-Umgebungen geht. Dies stimmt nicht ganz, denn viele Eigenschaften und Prozeduren sind auch für andere Betriebssysteme anwendbar. Dies ist vor allem darauf zurückzuführen, weil TCP/IP ansicht plattformunabhängig ist und überall in seinen Grundzügen gleich implementiert werden müsste. Links Informationen http://www.kryptocrew.de/rpc/infos.html http://www.ec-security.com/rpcdcom.html 7. TCP/IP-Guru Die Beispiele werden jedoch anhand von UNIXSystemen aufgezeigt. Ein solides Grundwissen über die entsprechenden Architekturen hilft, die komplexe Materie leichter und besser zu verstehen. Die deutsche Übersetzung Viele Jahre später habe ich diese deutsche Ausgabe des Buches geschenkt gekriegt und desöfteren einen Blick in die Übersetzung geworfen. Grundsätzlich muss ich sagen, dass der Übersetzer gute Arbeit geleistet hat. Die Sätze sind schön zu lesen und weichen nur geringfügig vom Original ab. Auch die akribische Genauigkeit wird in der deutschen Ausgabe nicht vermisst - Eine © scip AG Druckdatum: 29.04.2014 News, Webseite, Security, Sicherheit public Seite 11/15 s c i p a g kleine Glanzleistung, wenn man die Komplexität und den Umfang des Buches bedenkt. Trotzdem weist die deutsche Ausgabe einige Mängel auf. So finden sich kleine Schreibfehler, die zwar nicht wirklich stören, aber für Verwirrung sorgen können. Dies ist vor allem dann gegeben, wenn man sich durch die Welt der Akronyme zu wühlen versucht. Ausserdem scheint irgendwas mit der Erstellung des Indexes schief gegangen zu sein. So sucht man gewisse Wörter vergeblich oder findet sie an eher unerwarteten Stellen. Fazit Das mit Abstand beste Buch für die Programmierung von TCP/IP-Applikationen. Es ist aufgrund seines hohen Schwierigkeitsgrades nicht unbedingt für Einsteiger geeignet. Fortgeschrittene Entwickler und TCP/IP-Gurus werden dieses Werk jedoch von der ersten bis zur letzten Seite zu würdigen wissen. Ein Muss für jeden Netzwerk-Spezialisten. Wer der englischen Sprache mächtig ist, dem rate ich natürlich den Griff zum Original. 8. 8.1 DVD: Takedown – Realistischer Techno-Thriller der Extraklasse Genre: Actors: Joe Chappelle Tsutomu Shimomura und John Markoff Thriller Skeet Ulrich, Russell Wong, Donal Logue, Tom Berenger Film Bild Ton Extras Gesamtbewertung Sehr gut Gut Gut Genügend Gut Kevin Mitnick war, oder soll man noch immer sagen ist, eine Kultfigur der Hacker- und CrackerSzene [Kündig 1999]. Viele sehen ihn als modernen Robin Hood des Cyberspace, der in den 90er Jahren den Grossfirmen gezeigt hat, dass ein dynamischer junger Mann es mit den best ausgebildetsten Spezialisten aufnehmen kann. Endlich ist der Techno-Thriller mit der spannenden Verfolgungsjagd in Europa auf DVD erschienen. Die Geschichte Kevin Mitnick, der von Skeet Ulrich (Scream) scip monthly Security Summary Marc Ruef & Simon Zumstein scip_mss-20030819.doc Das Interesse Mitnicks ist sodann komplett auf diesen Nokitel-Code fixiert. Als Shimomura den ersten Social Engineering-Versuch von Mitnick als "lame" bezeichnet, tickt dieser komplett aus. Er bricht sodann in das Netzwerk des Sicherheitsexperten ein, entwendet den gewünschten Code und einen verheehrenden sowie neuartigen Virus namens "Contempt". Damit beginnt die Jagd auf Kevin Mitnick, der mit viel List und Tücke seinen Gegenspieler Tsutomu Shimomura und das FBI an der Nase herumführt... [Shimomura et al. 1997] Bild und Ton Es sind die englische und die deutsche Tonspur auf der DVD enthalten. Von der deutschen Variante ist jedoch dringendst abzuraten, da die Atmosphäre nicht übertragen werden konnte. Die Stimmen passen nicht zu den Schauspielern und die Färbungen der Sprache sind nur sehr schlecht den Räumlichkeiten angepasst. Alles klingt viel zu trocken; wie in einem Studio halt. Multimedia Regie: Buch: gespielt wird, ist bereits vorbestraft und auf Bewährung. Er legt sich ein weiteres Mal mit dem FBI an. Nach 2 Jahren auf der Flucht und total Ausgebrannt, kommt er wieder nach Hause zurück und sieht mit seinem alten Kumpel Alex Lowe, gespielt von Donal Logue (Grounded for Life), den Sicherheitsexperten Tsutomu Shimomura, gespielt von Russel Wong (Romeo Must Die), im Fernsehen. Dieser plaudert über die neuesten Cracker-Geheimnisse, und wie man ein Mobiltelefon als Abhöreinrichtung benutzen kann. Extras auf der DVD Die deutsche Fassung der DVD ist am 15. Mai 2003, vier Jahre nach der eigentlichen Produktion des Films, erschienen. Man könnte eigentlich meinen, dass DVDs heutzutage mit einer Vielzahl an Extras ausgeliefert werden. Takedown ist jedoch ein Paradebeispiel für eine schlecht ausgestattete DVD. Alles, was der Zuschauer bekommt, sind der Trailer, einige stimmige Fotos und Infosheets der Schauspieler. Kein MakingOf, keine Biographie zum wahren Kevin Mitnick und keine Audiokommentare. Sehr schade, denn das Thema und der Film hätte sich für eine umfassende DVD wahrhaftig angeboten. Fazit Wer schon immer einmal wissen wollte, wie sich Mitnick und Shimomura ein Kopf an Kopf Rennen liefern, der ist mit dieser DVD sehr gut beraten. Leider fehlen viele Details, die im Buch "Operation Takedown" (deutscher Titel „Data Zone“) enthalten waren und so ein Mehr der Vielschichtigkeit der Persönlichkeiten aufzeigte. © scip AG Druckdatum: 29.04.2014 News, Webseite, Security, Sicherheit public Seite 12/15 s c i p a g Alles in allem ein solider Computer-Thriller mit durchgehender Storyline und guten schauspielerischen Leistungen. Und dies alles ohne nervtötende 3D-Effekte, wie sie gerne in anderen Hacker-Filmen eingebracht werden müssen. Weiterführende Links http://www.amazon.de/exec/obidos/ASIN/B00008 XQHK/ http://us.imdb.com/Details?0159784 http://www.cybertraque.com/ scip monthly Security Summary Marc Ruef & Simon Zumstein scip_mss-20030819.doc © scip AG Druckdatum: 29.04.2014 News, Webseite, Security, Sicherheit public Seite 13/15 9. Kreuzworträtsel Wettbewerb Gewinnen Sie einen Monat unserer Dienstleistung )pallas(, im Wert von bis zu 285CHF (197EUR)! Die fünf ersten Einsendungen des richtigen Lösungswortes gewinnen. Mailen Sie das erarbeitete Schlüsselwort an die Adresse mailto:[email protected]. Einsendeschluss ist der 15.09.2003. Die GewinnerInnen werden nur auf ihren ausdrücklichen Wunsch publiziert. Jede Einsendung wird persönlich kommentiert! Dieser Wetbewerbsgewinn (Packetgrösse EXA und Wertauszahlung ausgeschlossen) kann auf einem bestehenden Abonnement oder einer Neuanmeldung verbucht werden. Die Auflösung der Security-Kreuzworträtsel finden Sie jeweils online auf http://www.scip.ch unter Publikationen > scip monthly Security Summary und dann bei Errata. scip monthly Security Summary Marc Ruef & Simon Zumstein scip_mss-20030819.doc © scip AG Druckdatum: 29.04.2014 News, Webseite, Security, Sicherheit public Seite 14/15 s c i p a g 10. Literaturverzeichnis 11. Impressum Heise, 01.07.2003, c’t eröffnet Portal für ITSicherheit, Heise News, http://www.heise.de/newsticker/data/anw30.06.03-010/ Herausgeber: scip AG Technoparkstrasse 1 CH-8005 Zürich T +41 1 445 1818 mailto:[email protected] http://www.scip.ch Kündig, Roger, 1999, Kevin Mitnick, http://www.computec.ch/dokumente/kultur/kevin_ mitnick/kevin_mitnick.html Ruef, Marc, 2003a, W32.Blaster Denial of Service vom 16. August bis 31. Dezember 2003, Computec Forum, http://www.computec.ch/forum/viewthread.php?ti d=333 Ruef, Marc, 2003b, Tipp: Deutschsprachige Verwundbarkeits-Datenbanken, Computec Forum, http://www.computec.ch/forum/viewthread.php?ti d=29 Ruef, Marc, 2003c, Viren unter Linux, Linux Enterprise, Ausgabe 09/03, http://www.linuxenterprise.de/itr/online_artikel/pse com,id,405,nodeid,9.html Zuständige Person: Marc Ruef Security Consultant T +41 1 445 1812 mailto:[email protected] PGP: http://www.scip.ch/firma/facts/maru_scip_ch.asc Einem konstruktiv-kritischen Feedback gegenüber sind wir nicht abgeneigt. Denn nur durch angeregten Ideenaustausch sind Verbesserung möglich. Senden Sie Ihr Schreiben an [email protected]. Anfragen bezüglich der Erstellung eines Erfahrungsaustausch Artikels, senden Sie bitte an die E-Mail mailto:[email protected]. scip AG, 2003a, scip monthly Security Summary, Ausgabe 19. März 2003, Editorial, http://www.scip.ch Die scip AG – zu 100% unabhängig - unterstützt Sie in allen Belangen einer ganzheitlichen ITSecurity. Sei es bei der Aufdeckung von neuen Sicherheitslücken, der Analyse und Examinierung Ihrer IT-Landschaft, der Ausbildung Ihrer Mitarbeiter, der gezielten Informationsbeschaffung zu den Sie betreffenden Verletzbarkeiten, der Wirtschaftlichkeitsprüfung Ihrer IT-Umgebung, der Konzeption Ihrer Security Architektur oder dem Einsatz von professionellem und pragmatischem Projektmanagement. scip AG, 2003b, scip monthly Security Summary, Ausgabe 19. Juli 2003, TCP/IP Illustrated, Volume 1: The Protocols – Die Internet-Bibel, BuchTipp, http://www.scip.ch Die ausgewiesenen Spezialisten der scip AG verfügen, in diesem sehr komplexen sowie breitgefächerten Spezialgebiet, über jahrelang erarbeitetes und angewandtes Wissen. scip AG, 2003c, Microsoft Windows RPC DCOM Pufferüberlauf, scip_Verwundbarkeitsdatenbank, http://www.scip.ch/cgibin/smss/showadvf.pl?id=178 Nutzen Sie unsere Dienstleistungen! Ruef, Marc, 2003d, Security Auditing mit Linux, Linux Enterprise, Ausgabe 09/03, http://www.linuxenterprise.de Shimomura, Tsutomu, Markoff, John, 1997, Data Zone – Die Hackerjagd im Internet, Deutscher Taschenbuch Verlag, ISBN 3423200863 Das Errata (Verbesserungen, Berichtigungen, Änderungen) der scip monthly Security Summary’s finden Sie online unter http://www.scip.ch/publikationen/smss/ . Der Bezug des scip monthly Security Summary ist kostenlos. Sie können sich mit einer Email an die Adresse [email protected] eintragen. Um sich auszutragen, senden Sie Ihr Email an die Adresse [email protected] scip monthly Security Summary Marc Ruef & Simon Zumstein scip_mss-20030819.doc © scip AG Druckdatum: 29.04.2014 News, Webseite, Security, Sicherheit public Seite 15/15