aramido-Blog für IT-Sicherheit Blogbeiträge und Materialien zum Thema IT-Sicherheit und Pentesting 2017-09-21T21:22:22+02:00 https://aramido.de/blog/feed aramido GmbH https://aramido.de/blog/aramido/stellenangebot-assistenz-der-geschaftsfuhrung <![CDATA[Stellenangebot: Assistenz der Geschäftsführung]]> Wir suchen ab sofort eine Assistenz der Geschäftsführung, die mit uns daran arbeitet aramido auf die nächste Stufe zu heben. Als ambitioniertes Unternehmen in einem spannenden und sich dynamisch entwickelnden Umfeld bieten wir Ihnen die Möglichkeit über sich selbst hinauszuwachsen. Als verlässliche und kommunikationsstarke Persönlichkeit unterstützen Sie uns in einem breit gefächerten Tätigkeitsgebiet.

Alle Informationen zum Stellenangebot

Wir freuen uns auf Ihre Bewerbungsunterlagen per PDF. Bei Rückfragen sprechen Sie uns gerne an.

]]>
2017-09-01T10:04:21+02:00
https://aramido.de/blog/kommunikationssicherheit/http-public-key-pinning-sicher-einsetzen <![CDATA[HTTP Public Key Pinning sicher einsetzen]]> HTTP Public Key Pinning (HPKP) ist ein Verfahren zur Absicherung gegen Man-in-the-Middle-Angriffe, die durch unzulässig ausgestellte Zertifikate möglich werden. Ein prominenter Angriff war der Fall von Diginotar, bei dem diese Zertifizierungsstelle gültige Zertifikate für Domains wie google.com oder www.cia.gov an iranische Hacker ausgestellt hatte. Die Hackergruppe konnten in der Folge verschlüsselte Verbindungen abhören und dadurch in Besitz weiterer sensitiver Daten gelangen. Der Angriff aus dem Jahr 2011 ist deshalb aufgefallen, weil Google kurz vor dem Vorfall Zertifikatspinning als neue Sicherheitsfunktion in seinen Chrome-Browser eingebaut hatte.

Public Key Pinning
Abbildung 1 Alice vertraut nur noch gültigen Zertifikaten, wenn die in ihrem Browser gespeicherten SPKI-Fingerabdrücke mit denen des Zertifikats übereinstimmen.

Bei HTTP Public Key Pinning können einem Browser durch sogenannte Pins mitgeteilt werden, welche Zertifikate für die Absicherung einer verschlüsselten Verbindung zulässig sind. Die Pins – ein Fingerabdruck der SPKI – werden als HTTP-Header in der Antwort des Servers übertragen (vgl. Codebeispiel 1). Ähnlich wie bei HSTS handelt es sich hier um ein TOFU-Verfahren (Trust On First Use): Beim ersten Aufruf des Browsers weiß dieser noch nichts über eine Einschränkung durch Pins. Er baut eine verschlüsselte Verbindung mit dem Server auf und wird anschließend darüber informiert, dass gemäß der Public Key Pins nur eine Auswahl an Zertifikaten zum Aufbau der verschlüsselten Verbindung zulässig ist. Für nachfolgende Verbindungen wird der Browser nur noch Zertifikate für verschlüsselte Verbindungen akzeptieren, die mit den gespeicherten Public Key Pin-Informationen übereinstimmen. Damit können Verbindungen vor Angriffen wie im eingangs beschriebenen Diginotar-Fall geschützt werden.

Public-Key-Pins:
  pin-sha256="ygFAna6QwOObKwAP+LJvDLGD2MRxKQTko04tQIPZuJk=";
  pin-sha256="H9peR7D23RgyX47aT8syA8i1iZ3zr4vNiTU659U0nm4=";
  max-age=2592000; 
  report-uri="https://example.com/pkp-report"
Codebeispiel 1 Public Key-Pins als HTTP-Header mit einer Gültigkeit von 30 Tagen (2.592.000 Sekunden)

Vertrauensproblem der Public Key Infrastruktur gelöst

Durch HPKP ist es einem Betreiber einer Webseite möglich explizit zu definieren, welche Zertifikate für eine verschlüsselte Verbindung zulässig sind. Lässt man den TOFU-Umstand außer Acht, löst dieses Verfahren das Vertrauensproblem der Public Key Infrastruktur. Der Browser weiß vor dem Aufruf einer Domain, welche Zertifikate er akzeptieren darf. Antwortet der Server mit einem unbekannten Zertifikat, lehnt dieser die Verbindung ab. Solch ein Segen kann natürlich auch schnell zum Fluch werden: Kann ein Betreiber einer Webseite keines der Zertifikate zu den vorab kommunizierten Pins mehr verwenden – aus welchen Gründen auch immer – lehnen Browser andere Verbindungsversuche ab. Die Webseite ist bis zum Ablauf der Pin-Informationen nicht mehr zu verwenden.

Absicherung vor Selbst-DoS

In Anbetracht eines solchen Szenarios gilt es mehrere Dinge zu berücksichtigen und Risiken gegeneinander abzuwägen. Wer seine eigenen Zertifikate pinnt, muss ständig den ausgelieferten Public-Key-Pins-Header überprüfen. Einer von beiden Pins muss dem aktuell verwendeten Zertifikat gehören; der andere Pin muss dem offline, an einem sicheren Ort gespeicherten Zertifikat entsprechen. Ebenso muss der rollierende Erneuerungsprozess der Pins zunächst getestet und später regelmäßig geprüft werden. Glücklicherweise bietet der Mechanismus die Möglichkeit einen Public-Key-Pins-Report-Only-Header einzusetzen. Damit wird die Policy nicht zwingend durchgesetzt, Verstöße dagegen können jedoch an eine URL gesendet werden.

Wer weniger Risiko eingehen möchte, kann auch andere Zertifikate pinnen, die in der Zertifikatskette der Serverantwort ausgeliefert werden. Es ist möglich das Zwischen- oder das Wurzelzertifikat seines Zertifikatanbieters zu pinnen. Dadurch gibt man etwas mehr Kontrolle darüber ab, welches Zertifikat verwendet werden darf. Allerdings beschränkt man die Menge an potentiell zulässigen Zertifikaten auf diejenigen, die durch das Zwischen- bzw. Wurzelzertifikat signiert wurden, und das ist immer noch besser als der Status Quo: allen Zertifizierungsstellen zu vertrauen.

]]>
2017-07-21T16:00:57+02:00
https://aramido.de/blog/kommunikationssicherheit/vertrauen-ist-gut-kontrolle-ist-besser <![CDATA[Vertrauen ist gut. Kontrolle ist besser.]]> Vom 25. bis 28. Mai fand die 17. Gulaschprogrammiernacht erneut im ZKM und der HfG statt. Vier Tage lang gab es Vorträge, Workshops, außer­ordent­liche Projek­te und natür­lich Tschunk und Gulasch. Vielen Dank an den Entropia und alle Helfer, die das Event möglich gemacht haben!

Andreas Sperber hat in seinem Vortrag "Vertrauen ist gut. Kontrolle ist besser." über das Ver­trauens­pro­blem in PKIs gespro­chen und Lö­sungs­an­sätze wie HTTP Public Key Pinning, Certifi­cate Trans­paren­cy und DANE vorge­stellt.

Das Thema des Vortrags ist an der Tages­ord­nung: ab Sep­tem­ber 2017 wird DNS Certifi­cation Autho­rity Autho­rization (CAA) verpflich­tend eingeführt und auch Google wird mit seinem Chrome-Browser ab Oktober diesen Jahres Certificate Transparency verpflich­tend ein­füh­ren. HTTP Public Key Pinning ist ein wirkungs­voller Schutz­mechanis­mus, der derzeit jedoch einige Hürden mit sich bringt. Der aramido-Blog wird zu diesen Themen berichten. Bleiben Sie auf dem Laufen­den und abonnieren Sie den Blog-Feed.

Alle Vorträge der GPN gibt es übrigens auf media.ccc.de.

]]>
2017-05-31T18:30:48+02:00
https://aramido.de/blog/kommunikationssicherheit/certificate-transparency-transparenz-im-zertifikatsdschungel <![CDATA[Certificate Transparency – Transparenz im Zertifikatsdschungel]]> Die­ser Artikel ist Teil der Se­rie zum The­ma "Wa­rum vertrau­en wir Zertifizierungs­stel­len". Nach­dem der Leit­artikel das Vertrau­ens­problem von SSL-/TLS-Zertifika­ten beschrie­ben hat, stellt die­ser Artikel ei­nen Lösungs­vorschlag vor.

Certificate Trans­pa­rency (kurz CT) ist ein Sys­tem zur Prüfung und Überwa­chung digi­taler Zertifikate. Es wurde von den Goog­le-Mit­arbeitern Ben Laurie und Adam Lang­ley ent­wickelt und als IETF-Stan­dard vor­ge­schla­gen. Goog­le selbst treibt das Pro­jekt stark voran: ab Oktober 2017 wird der Goog­le-Brow­ser Chro­me Zertifikate, die nicht im CT-Log regis­triert sind, als nicht vertrau­enswürdig ein­stu­fen. Damit wer­den Zertifizierungs­stel­len gezwun­gen an Certificate Trans­pa­rency teilzu­nehmen. Certificate Trans­pa­rency verhindert kei­ne unzulässig aus­ge­stell­ten Zertifikate, wird aber zu ei­ner ra­schen Ent­deckung von sol­chen füh­ren, indem folgen­den Ziele an­ge­strebt wer­den:

  • Für ei­ne Zertifizierungs­stel­le soll es qua­si unmöglich sein ein Zertifikat für ei­ne Domain aus­zu­stel­len, ohne dass die­ser Vor­gang vom Inhaber der Domain bemerkt wird.
  • Domain-Besitzer und Zertifizierungs­stel­len sol­len über­prüfen können, ob Zertifikate irrtümlich oder bös­wil­lig aus­ge­stellt wur­den.
  • Nutzer sol­len möglichst gut vor irrtümlich oder bös­wil­lig aus­ge­stell­ten Zertifika­ten ge­schützt wer­den.

Logs, Moni­tore und Au­di­to­ren

Certificate Trans­pa­rency fügt drei neue Komponen­ten zum be­stehen­den Zertifikatssys­tem hinzu: Logs, Moni­tore und Au­di­to­ren. Benötigte ein Domain­inhaber bisher ein neues Zertifikat, be­an­tragte er dies bei sei­ner Zertifizierungs­stel­le, die nach ei­ner Prüfung das Zertifikat aus­stel­len konnte. Mit Certificate Trans­pa­rency kommen nun weite­re Schritte hinzu, die im Folgen­den blau-kursiv hervor­geho­ben und in Ab­bildung 1 in ei­ner Übersicht dar­ge­stellt sind:

  1. Der Domain­inhaber von example.com erwirbt ein neues Zertifikat bei sei­ner Zertifizierungs­stel­le.
  2. Die Zertifizierungs­stel­le über­prüft die Au­thentizität des Domain­inhabers, also ob die­ser be­rechtigt ist das Zertifikat zu be­an­tra­gen.
  3. Die Zertifizierungs­stel­le erzeugt ein Vor­abzertifikat.
  4. Die Zertifizierungs­stel­le sendet das Vor­abzertifikat an ein CT-Log, das mit ei­nem si­gnier­ten Zeitstempel (eng­lisch si­gned certificate timestamp, kurz SCT) antwortet.
  5. Die Zertifizierungs­stel­le übergibt das Zertifikat mit der SCT an den Domain­inhaber, der damit sei­ne Systeme konfiguriert.
  6. Bei ei­nem Ver­bindungs­aufbau mit example.com validiert der Brow­ser das Zertifikat und die Si­gnatur der SCT.
  7. Sind Zertifikat und SCT in Ord­nung, wird ei­ne verschlüsselte Ver­bindung mit dem Server herge­stellt und dar­über kommuniziert.

Anmerkung: Dieser Ablauf und Abbildung 1 beschreiben die Ausstellung von Zertifikaten mit SCT als x.509-Erweiterung. Andere Möglichkeiten werden im Abschnitt Logs beschrieben.

Certificate Transparency
Ab­bildung 1 Certificate Trans­pa­rency hilft unzulässige oder nicht korrekt aus­ge­stellte Zertifikate rasch zu ent­de­cken.

Logs

Das zen­trale Element von Certificate Trans­pa­rency sind demnach Logs. In die­se wer­den neue Zertifikate zu ei­nem stetig wach­sen­den Hash-Baum angehängt. Der Hash-Baum (eng­lisch Merk­le Tree) schützt zudem vor nach­träg­li­cher Manipu­lati­on des Logs, das von jedermann auf irrtümlich oder bös­wil­lig aus­ge­stellte Zertifikate hin über­prüft wer­den kann.
Wird ein Zertifikat an ein Log ge­schickt, antwortet dieses mit ei­ner SCT, was ei­nem Ver­spre­chen gleichkommt das Zertifikat spä­tes­tens bis zu diesem Zeitpunkt in das Log einzu­tra­gen. Beim späte­ren Ver­bindungs­aufbau zwi­schen Client und Server wird auch die SCT über­prüft. Sie kann über drei Wege an den Client kommuniziert wer­den:

  1. als x.509-Para­me­ter des Zertifikats: die Zertifizierungs­stel­le fügt die SCT kurz vor dem Si­gniervor­gang zum Zertifikat hinzu. Der Domain­inhaber bzw. Web­seitenbe­treiber muss kei­ne Ände­run­gen an sei­ner Konfigurati­on vornehmen.
  2. als TLS-Para­me­ter beim Ver­bindungs­aufbau: der Web­seitenbe­treiber muss den Ver­bindungs­aufbau so konfigurie­ren, dass die SCT an den Client kommuniziert wird. Die Zertifizierungs­stel­le muss hingegen kei­ne Ände­run­gen bei der Aus­stellung von Zertifika­ten vornehmen.
  3. per OCSP Stapling: ne­ben In­formationen zur Revokati­on von Zertifika­ten können auch SCTs übermit­telt wer­den. Auch hier muss der Web­seitenbe­treiber Ände­run­gen vornehmen und OCSP-Handling implementie­ren.

Wel­cher die­ser drei Möglichkei­ten sich schließlich durch­set­zen wird, ist noch un­klar. Es gibt gu­te Grün­de für den 1. Weg die SCT als x.509-Erweiterung zu über­tra­gen. Dadurch müs­sen Web­seitenbe­treiber kei­ne Ände­run­gen vornehmen. Dafür sind Zertifizierungs­stel­len in der Pf­licht ih­ren Aus­stellungs­prozess zu übe­r­arbei­ten. Sie müs­sen Vor­abzertifikate an Logs sen­den und auf die SCT-Antwort war­ten. Dass es bei diesem syn­chronen Pro­zess gelegentlich zu Verzögerun­gen kommen kann, ist zu erwar­ten: Ab­bildung 2 zeigt den Verlauf der Anzahl von aus­ge­stell­ten Let's Encrypt-Zertifika­ten pro Tag. Wenn an Spitzenta­gen mehr als 1,3 Mil­lionen Zertifikate nur für Let's Encrypt in Logs ein­ge­tra­gen wer­den müs­sen (der RFC-Stan­dard empfiehlt ein Zertifikat gleichzeitig in meh­re­re Logs einzu­tra­gen), müs­sen für schnel­le Antwortzei­ten umfang­rei­che Ressourcen vor­ge­hal­ten wer­den.

Ausgestellte Let's Encrypt Zertifikate pro Tag
Abbildung 2 Ausgestellte Let's Encrypt Zertifikate pro Tag, Quelle: letsencrypt.org.

Moni­tore

Ne­ben Logs existie­ren Moni­tore (deutsch Wäch­ter), die über ver­dächtige Vor­gänge in Logs wa­chen. Moni­tore können bei­spielsweise von größe­ren Dienst­anbietern im In­ternet (Facebook, etc.) oder Zertifizierungs­stel­len (COMODO und an­de­re) betrie­ben wer­den. Es steht aber grundsätzlich jedem frei sei­nen ei­genen Monitoring-Dienst zu be­trei­ben oder das Dienst­angebot ei­nes Drit­ten zu nut­zen. Sslmate bietet ei­nen sol­chen Dienst für bis zu fünf Domains kosten­los an.

Da zukünftig alle aus­ge­stell­ten Zertifikate an Logs ge­meldet wer­den müs­sen und jeder ei­nen Monitoring-Dienst be­trei­ben kann, wer­den un­ter Umstän­den auch "geheime" Domains und Subdomains öff­entlich bekannt, auch wenn der Be­treiber dies gerne verheimli­chen würde.

Au­di­to­ren

Auditoren überprüfen, ob Logs untereinander konsistent sind. Außerdem sollen sie sicherstellen, dass alle Zertifikate zu mindestens einem Log hinzugefügt wurden. Schließlich wird durch Log Proofs auditiert, ob ein Log manipuliert wurde, beispielsweise durch nachträgliches Hinzufügen, Bearbeiten oder Löschen von Zertifikatsinformationen.

Browser werden zukünftig eine Softwarekomponente enthalten, die als Auditor fungiert: sol­len verschlüsselte Ver­bindun­gen herge­stellt wer­den, über­prüfen die­se Module die SCT und fra­gen Logs nach dem Zertifikat ab. Ebenso kann ein Au­di­tors ein ei­genständi­ger Dienst oder ein sekundäre Funkti­on ei­nes Moni­tors sein.

Certificate Trans­pa­rency: Ein Schritt in die richtige Rich­tung

Certificate Trans­pa­rency wird in Zukunft nicht verhindern, dass Zertifikate irrtümlich oder bös­wil­lig aus­ge­stellt wer­den. Allerdings ist es durch CT möglich solch ei­nen Ver­stoß schnell zu bemerken und Gegenmaßnah­men zu ergrei­fen. Ei­ne Gegenmaßnah­me, in der Regel die Revokati­on von Zertifika­ten, ist ein weite­res, komple­xes Themenfeld, das bisher nur unzurei­chend gelöst ist. Dennoch ist Certificate Trans­pa­rency ein Schritt in die richtige Rich­tung, der Dienstbe­treibern mehr Kontrolle über ihre Domain gibt.

]]>
2017-04-17T16:23:09+02:00
https://aramido.de/blog/datensicherheit/wenn-alle-stricke-reissen-backup <![CDATA[Wenn alle Stricke reißen: Backup?]]>

Ein Backup (deutsch Datensicherung) ist eine Kopie von Daten mit der Absicht, diese im Fall eines Datenverlusts wiederherstellen zu können.

Der 31. März ist der Welt-Backup-Tag. An diesem Tag soll daran erinnert werden für die Sicherheit von Daten zu sorgen. Davon gibt es nämlich in der Zettabyte-Ära besonders viel: wir speichern ständig Bilder, Videos, Dokumente – privat und geschäftlich – und verursachten dadurch im Jahr 2016 1,1 Zettabytes (1.100.000.000.000.000 Megabytes) an Datenverkehr, Tendenz stark steigend. Wer nicht möchte, dass seine Daten verloren gehen, muss sich deshalb um Backups kümmern. Und seien Sie ehrlich: haben Sie ein aktuelles Backup von Ihrem Computer, Ihrem Smartphone, Ihrem Tablet und Ihren Inhalten in der Cloud?

Gegen was sollen die Daten geschützt werden?

Bevor mit einer willkürlichen Datensicherung begonnen wird, muss zunächst die Frage beantwortet werden, gegen welche Arten von Verlust die Daten geschützt werden sollen. Zwar trägt eine Spiegelung von Daten, zum Beispiel durch ein RAID-System, zur Datensicherheit bei, doch handelt es sich nicht immer um ein Backup im eigentlichen Sinn. Wer eine Festplattenspiegelung im Einsatz hat und eine Datei versehentlich löscht, der wird diese Datei auf beiden Festplatten löschen, da ja auf beiden Datenträgern zur gleichen Zeit die gleichen Operationen ausgeführt werden. Häufige Bedrohungen wie Feuer, Überflutungen, technisches Versagen, Diebstahl oder Verlust lassen schnell einige Anforderungen an Datensicherungen erkennen: ein Backup sollte auf einem qualitativ hochwertigen Datenträger an einem entfernten Ort, der vor Feuer, Wasser und Diebstahl sicher ist, gelagert werden.

Neben der Frage, vor welchen Bedrohungen ein Schutz bestehen soll, muss im Rahmen des Business Continuity Managements (BCM) auch geklärt werden, wie schnell das Backup wiederhergestellt werden muss. Darf es maximal zu einer Dienstunterbrechung im Minuten- oder gar Sekundenbereich kommen, müssen Verfahren wie Hot-Standbys eingerichtet werden. Wer Ausfallzeiten im Stundenbereich verkraften kann, muss dennoch für eine zügige Wiederherstellung sorgen. Komplettsicherungen auf Bandlaufwerken sind robust, benötigen aber unter Umständen einen längeren Zeitraum zur Wiederherstellung. Auch können diese Verfahren kombiniert werden, sodass wichtige System innerhalb von einem bestimmten Zeitraum wieder verfügbar sind, und Sekundärsysteme später folgen.

Weiterführend gibt es gesetzliche und regulatorische Anforderungen, die jeweils im Einzelfall geklärt werden müssen. Kontaktieren Sie uns, um für Ihre Daten eine Datensicherungsstrategie zu entwickeln.

Arten von Backups

Je nachdem, wie häufig Daten sich ändern, können unterschiedliche Herangehensweisen für Datensicherungen gewählt werden. Unter einer Komplettsicherung versteht man eine Kopie aller zu sichernden Daten. Sie ist Ausgangspunkt für differenzielle oder inkrementelle Sicherungen, die zu einem späteren Zeitpunkt erfolgen. Bei der differenziellen Sicherung werden nur diejenigen Dateien gesichert, die sich seit der letzten Komplettsicherung verändert haben, was Speicherplatz spart. Noch platzsparender ist das inkrementelle Backup, bei dem nur die Daten gesichert werden, die sich seit dem letzten inkrementellen Backup verändert haben. Gerade in Zeiten von Virtualisierung bekommt die Speicherabbildsicherung eine große Relevanz. Bei dieser Art des Backups wird der gesamte Datenträger, beispielsweise die Festplatte oder die Partition, gesichert, was auch eine sehr rasche Wiederherstellung ermöglicht.

Bestimmte Systeme haben spezielle Anforderungen an die Art und Weise, wie eine Sicherung durchgeführt werden kann. Um Inkonsistenzen bei Datenbanken zu vermeiden, kann es sein, dass diese vor einer Sicherung heruntergefahren werden muss. In diesem Fall spricht man von einem Cold Backup. Im Gegensatz hierzu kann bei einem Hot Backup eine Sicherung der Datenbank im laufenden Betrieb hergestellt werden. Bei einem Systemausfall kann dann der Hot-Standby sofort übernehmen.

Verschlüsselte Backups

Die Speicherung von Backups in der Cloud erfreut sich immer größerer Beliebtheit. Leistungsfähigere Internetleitungen und günstige Preise für Cloud Speicher erlauben die Speicherung von Datensicherungen off-site (außerhalb des Standorts), wobei die Sicherstellung der Vertraulichkeit der Daten besonders relevant wird. Grundsätzlich sollten Backups verschlüsselt werden, insbesondere wenn sie in der Cloud liegen. Dies beugt dem Datendiebstahl von Backup-Datenträgern vor und ist ohnehin eine häufige regulatorische Anforderung.

Funktionierende Backups

Aller Aufwand für die Datensicherungen ist umsonst, wenn im Fall der Fälle die Wiederherstellung der Backups nicht funktioniert. Deshalb ist es wichtig nach der Erstellung einer Sicherung diese auf ihre Konsistenz hin zu überprüfen, wofür das Sicherungsprotokoll wichtige Hinweise liefert. Schließlich bringen aber nur regelmäßige Wiederherstellungsversuche das Vertrauen in den Backup-Prozess. Bei einem Wiederherstellungsversuch auf einem Testsystem kann man erkennen, ob alle Daten problemlos hergestellt werden, wie lange der Versuch dauert und ob es zu unvorhergesehenen Problemen kommt.

Sorgen Sie für den Ernstfall vor

Datensicherungen sind eine wesentliche Komponente eines Sicherheitskonzepts. Werden Daten durch Verschlüsselungstrojaner, einen technischen Defekt oder höhere Gewalt zerstört, kann dies schwerwiegende Folgen haben. Klären Sie, gegen welche Bedrohungen Sie Ihre Daten schützen müssen und wie schnell eine Wiederherstellung stattfinden muss. Wer ein Auge auf regelmäßige, verschlüsselte und wiederherstellbare Datensicherungen hat, ist für den Ernstfall gut gewappnet.

]]>
2017-03-31T11:15:27+02:00
https://aramido.de/blog/kommunikationssicherheit/warum-vertrauen-wir-zertifizierungsstellen <![CDATA[Warum vertrauen wir Zertifizierungsstellen?]]> Im August 2011 berich­tet ein irani­scher In­ternetnutzer von ei­ner Brow­ser-War­nung, wenn er sich zu sei­nem Gmail-Konto einloggen will. Der Nutzer des Chro­me-Browsers wendet sich damit in ei­nem Forum direkt an Goog­le und fragt, ob es sich um ei­nen MITM-Angriff auf die Verschlüsselung handeln könnte. Goog­le un­tersucht dar­aufhin die Si­tuati­on und bestätigt sei­ne Vermu­tung: es gab Angriffe auf die Verschlüsselung der Kommunikati­on, wovon primär In­ternetnutzer im Iran betroffen wa­ren. Die Zertifizierungs­stel­le DigiNo­tar habe un­ter an­de­rem für goog­le.com nicht autorisier­te Zertifikate aus­ge­stellt, die von Browsern an­stands­los akzep­tiert wur­den. Allein der kurz vor dem Vorfall veröff­entlich­ten Si­cherheits­funkti­on des Chro­me-Browsers sei es zu ver­danken, dass das missbräuch­lich verwende­te Zertifikat bemerkt wurde. Die neue Si­cherheits­funkti­on prüfe für den Goog­le E-Mail-Dienst Gmail nicht nur, ob das Zertifikat gültig ist, sondern auch ob es von ei­ner autorisier­ten Zertifizierungs­stel­le aus­ge­stellt wurde.
In Chro­me und an­de­ren Browsern wur­den sofort alle Zertifikate ge­sperrt, die von DigiNo­tar aus­ge­stellt wur­den. Die Zertifizierungs­stel­le, die seit Juli 2011 von den nicht autorisier­ten Zertifika­ten für Domains von Goog­le, dem CIA, dem Mossad, dem MI6 und an­de­ren wusste, wurde unter die Aufsicht nieder­ländi­scher Behörden gestellt und es wurde ein Ermittlungs­verfah­ren ein­ge­leitet.

Weshalb wir auf Zertifizierungs­stel­len angewiesen sind

Der Fall von DigiNo­tar wiegt schwer und lässt die Fra­ge auf­kommen, weshalb es überhaupt Zertifizierungs­stel­len gibt. Um dies zu ver­stehen, be­trach­ten wir zu­nächst verschlüsselte Kommunikati­on im Allgemei­nen. Möch­ten die zwei Kommunikati­ons­partner Alice und Bob si­cher mit­ein­an­der kommunizie­ren, müs­sen sie sich zu­nächst auf ein Verschlüsselungs­verfah­ren einigen, das nach heutigen Maßstä­ben als si­cher erach­tet wird. Das bedeu­tet, dass kei­ne Wege bekannt sein dürfen, durch die die Verschlüsselung in akzep­ta­bler Zeit gebro­chen wer­den kann. An­schließend müs­sen sich bei­de auf ei­nen geheimen Schlüs­sel (bei­spielsweise ein Kennwort aus Buchsta­ben und Zah­len) einigen. Hierfür existie­ren Verfah­ren, wodurch Alice und Bob ei­nen gemeinsamen Schlüs­sel ver­einba­ren können, ohne sich selbst persönlich treffen oder den Schlüs­sel durch ei­nen Bo­ten aus­tau­schen las­sen zu müs­sen. Mit dem Schlüs­sel, den Alice durch ein sol­ches Verfah­ren erhal­ten hat, könnte sie Bob nun ei­ne verschlüsselte In­formati­on zusen­den. Doch ei­ne Fra­ge bleibt bei diesen Verfah­ren offen: stammt der Schlüs­sel tatsächl­ich von Bob?

Ab­bildung 1 zeigt ei­ne Si­tuati­on, in der Schlüs­sel aus­ge­tauscht wer­den. Alice erhält ei­nen Schlüs­sel und geht davon aus, dass die­ser von Bob stammt (und umgekehrt aus der Sicht von Bob). Tatsächl­ich jedoch klinkt sich der Angreifer Mall­ory in die Kommunikati­on ein und sendet Alice und Bob jeweils sei­nen Schlüs­sel. Alice und Bob ha­ben kei­ne Möglichkeit mit Si­cherheit festzu­stel­len, ob sie den richtigen Schlüs­sel besit­zen.

Authentizität beim Schlüsselaustausch, Mallory als Man in the Middle
Ab­bildung 1 Mall­ory gibt sich als der jeweilige an­de­re Kommunikati­ons­partner aus, um so die verschlüsselte Kommunikati­on abhören zu können.

Dieses Au­thentizitäts­p­roblem kann durch vertrau­enswürdige Zertifizierungs­stel­len gelöst wer­den, denen alle Kommunikati­ons­teilneh­mer vertrau­en. Jeder Teilneh­mer lässt sei­nen Schlüs­sel von der Zertifizierungs­stel­le si­gnie­ren. Den Schlüs­sel und die Si­gnatur ver­sen­den die Teilneh­mer als Zertifikat an die Ge­gen­stel­le. Die­se kann die Si­gnatur prüfen und die Echt­heit des Schlüs­sels bestätigen. Ab­bildung 2 zeigt die­se Si­tuati­on für Alice und Bob: Bob lässt sei­nen Schlüs­sel von der Zertifizierungs­stel­le si­gnie­ren und sendet ihn Alice. Alice vertraut auf die Prüfung durch die Zertifizierungs­stel­le; sie kann sich durch die Si­gnatur si­cher sein, dass sie Bobs Schlüs­sel erhal­ten hat. Mall­ory kann sich mit sei­nem Schlüs­sel nicht als Bob aus­ge­ben, da er hierfür kei­ne gültiges Zertifikat vorweisen kann.

Austausch signierter, vertrauenswüridiger Schlüssel
Ab­bildung 2 Bob sendet sei­nen si­gnier­ten öff­entli­chen Schlüs­sel. Alice kann die Echt­heit von Bobs Schlüs­sel über­prüfen. Mall­ory kann sich nicht als Bob aus­ge­ben.

Im World Wide Web findet der Aus­tausch von Schlüs­seln für ei­ne si­che­re Kommunikati­on ähnlich statt. Ein Web­seitenbe­treiber weist für sei­ne Domain, bei­spielsweise example.com, den Besitz gegenüber der Zertifizierungs­stel­le nach. Die­se stellt ihm dafür ein Zertifikat aus, das der Web­seitenbe­treiber für die verschlüsselte Kommunikati­on mit sei­nen Benutzern verwendet. Da die Benutzer (vielmehr ihre Brow­ser) al­len gültigen Zertifika­ten der Zertifizierungs­stel­le vertrau­en, können sie die Echt­heit des Schlüs­sels bestätigen und ihn verwen­den.

Zertifizierungs­stel­len sind ei­ne wesentli­che Komponente in diesem Vertrau­ensmodell. Von ihnen gibt es welt­weit meh­re­re Dutzend. Nutzer des Browsers Fi­refox bei­spielsweise vertrau­en implizit 92 Zertifizierungs­stel­len (Stand 20.03.2017). Doch wie im Bei­spiel von DigiNo­tar ein­gangs erwähnt, gibt es Zertifizierungs­stel­len, die – gewollt oder un­gewollt – nicht autorisier­te Zertifikate aus­stel­len. Der Fall von DigiNo­tar ist nämlich kein Ein­zelfall; an­de­re Bei­spiele sind DigiCert (2011), das Natio­nal In­formatics Cent­re of India (2014), Comodo (2015), Thawte (2015), Symantec (2017), WoSi­gn (diverse) et cete­ra. Die Grün­de für das Aus­stel­len nicht autorisier­ter Zertifikate sind vielfältig. Sie rei­chen von ei­ner Miss­ach­tung von Stan­dards über gehack­te Zertifizierungs­stel­len bis hin zu Missbrauch durch Geheimdienste oder Regierun­gen.

Kommt ein Angreifer in den Besitz ei­nes nicht autorisier­ten aber gültigen Zertifikats, sind verschlüsselte Ver­bindun­gen nicht mehr si­cher. Der Angreifer würde sich mit ei­nem Man-in-the-Middle-Angriff zwi­schen zwei Kommunikati­ons­partner set­zen und das gültige Zertifikat präsentie­ren. Dieses wird akzep­tiert, da der Client Zertifika­ten der nicht mehr vertrau­enswürdigen Zertifizierungs­stel­le vertraut. Die Kommunikati­on wird abgehört.

Ab­si­cherung gegen fal­sche Zertifikate

Das Pro­blem mit Zertifika­ten ist nicht neu. Aus diesem Grund wur­den in der Vergan­genheit meh­re­re Möglichkei­ten zur Ab­si­cherung gegen fal­sche Zertifikate vor­ge­schla­gen. Die­se können in die folgen­den vier Klas­sen ein­ge­teilt wer­den:

  1. DNS-basier­te An­sät­ze
    • Certificati­on Aut­hority Aut­horizati­on (CAA)
    • DNS-based Au­thenti­cati­on of Named En­t­i­ties (DANE)
  2. Notar-basier­te An­sät­ze
    • Perspectives
    • Convergence
  3. Pin­ning-basier­te An­sät­ze
    • HTTP Public Key Pin­ning (HPKP)
    • Trust Asserti­ons for Certificate Keys (TACK)
    • DNSChain
  4. Trans­pa­renz-basier­te An­sät­ze

Die auf­gezähl­ten Verfah­ren wer­den in nach­folgen­den Artikeln beschrie­ben und mit­ein­an­der ver­gli­chen.

Blin­des Vertrau­en gegenüber Zertifizierungs­stel­len?!

In diesem Bei­trag wurde erklärt, wel­che Rolle Zertifizierungs­stel­len für verschlüsselte Kommunikati­on spie­len. Sie bestätigen durch Zertifikate die Au­thentizität von Schlüs­seln. Die Vergan­genheit hat jedoch gezeigt, dass auch nicht autorisier­te Zertifikate aus­ge­stellt wur­den und demnach offenbar nicht alle Zertifizierungs­stel­len vertrau­enswürdig sind. Ein blin­des Vertrau­en gegenüber diesen Stel­len wäre also falsch, weshalb neue Verfah­ren ent­wickelt wer­den, um das Sys­tem zu ver­bes­sern. Die­se Verfah­ren wer­den in zukünftigen Bei­trägen im aramido-Blog vor­ge­stellt und diskutiert.

]]>
2017-03-21T01:01:23+01:00
https://aramido.de/blog/sicherheitshinweise/mehrere-schwachstellen-im-neuen-portal-des-cyberforums <![CDATA[Mehrere Schwachstellen im neuen Portal des CyberForums]]> Sicherheitsforscher von aramido haben auf der Seite des CyberForums mehrere Sicherheitslücken gefunden. Diese Lücken wurden im Rahmen des Vorgehens zum verantwortlichen Offenlegen von Sicherheitslücken dem Betreiber der Seite gemeldet. Nach Aussagen des CyberForums wurde die Seite inzwischen mit Updates zu den Lücken aktualisiert. Dieser Artikel beschreibt die vorgefundenen Lücken, da sie so oder so ähnlich bei vielen anderen Webseiten mit von Nutzern erstellten Inhalten vorkommen können.

Die CyberForum-Webseite als Prototyp einer Community-Webseite

Das CyberForum ist mit über 1.000 Mitgliedern eines der größten Netzwerke für Hightech- und IT-Unternehmen in Europa. Mitglieder sind Unternehmen aus dem gesamten südwestdeutschen Raum. Mit seinen verschiedenen Angeboten für Unternehmen, Startups, Investoren, Auszubildenden und Studenten ist das CyberForum ein starker Standortfaktor insbesondere für die TechnologieRegion Karlsruhe. Als IT-Unternehmen ist die aramido GmbH selbstverständlich auch Mitglied im CyberForum und weiß das vielseitige Angebot sehr zu schätzen. Mit dem Launch der neuen Webseite auf Basis von Typo3 am 20.07.2016 hat das CyberForum verschiedene Angebote für die Mitglieder eingeführt. Diese können neben der Pflege eines eigenen Profils auf der Seite Nachrichten einstellen, Termine ankündigen und Stellenanzeigen schalten. Zum Erstellen dieser Inhalte wurde auf den Open Source Medium Editor als Rich Text Editor zurückgegriffen.

Persistentes Cross Site Scripting (XSS) auf der CyberForum-Webseite

Die erste von aramido gefundene Sicherheitslücke betrifft das Erstellen von neuen Inhalten. Eine der Grundregeln sicherer Softwareentwicklung und damit auch Schwerpunkte der Secure Coding Schulung von aramido ist es sämtliche Nutzereingaben serverseitig zu validieren und sämtliche Ausgaben zu maskieren. Diese Regeln wurden offensichtlich nicht eingehalten. Stattdessen wurde eine clientseitige Validierung des JavaScript Rich Text Editors verwendet. Grundsätzlich ist eine Überprüfung auf der Client-Seite nur ein Feature zur Verbesserung der Benutzbarkeit einer Seite, aber keine Sicherheitsprüfung, da Eingaben vor dem Absenden zum Server von Angreifern trotzdem beliebig manipuliert werden können. Durch die unzureichende Validierung und Maskierung von Nutzerinhalten war es jedem mit Zugang zu einem Mitgliedskonto möglich JavaScript-Code dauerhaft auf der Webseite des CyberForums zu speichern. Im aramido Sicherheitshinweis ARAMIDO-2017-001 finden Sie weitere Informationen zu dieser persistenten XSS-Sicherheitslücke.

Fehlender Autorisierung beim Bearbeiten und Löschen von Artikeln

Bei der Überprüfung des Behebungsstands der XSS-Sicherheitslücke sind den aramido Sicherheitsforschern weitere Sicherheitslücken aufgefallen, die in Kombination sogar noch schwerwiegender gewesen wären, als die zuerst entdeckte XSS-Lücke. Durch eine fehlende Überprüfung der Zugangsberechtigungen von angemeldeten Nutzern gepaart mit einer Cross Site Request Forgery (CSRF) Sicherheitslücke wäre es einem Angreifer möglich gewesen eine manipulierte Webseite zu bauen, die beim Besuch durch ein eingeloggtes CyberForum-Mitglied sämtliche nutzergenerierten Inhalte aller CyberForum-Mitglieder gelöscht hätte. Diese Sicherheitslücken wurden im Sicherheitshinweis ARAMIDO-2017-002 Unautorisiertes Bearbeiten und Löschen von Inhalten der CyberForum Webseite zusammengefasst und dem Betreiber gemeldet.

Fazit

Die gefundenen Sicherheitslücken sind typische Schwachstellen von Webanwendungen, die die Pentester von aramido regelmäßig auch in Penetrationstests von Webanwendungen entdecken. Deshalb lautet die Empfehlung: Neue Webseiten und andere Anwendungen sollten vor einer Veröffentlichung und nach maßgeblichen Änderungen durch einen Penetrationstest von unabhängigen Dritten überprüft werden.

Die aramido GmbH bedankt sich für die gute Zusammenarbeit mit dem CyberForum während der Schwachstellenbehebung. Nach Aussage des CyberForums wurde den Schwachstellen inzwischen durch Updates der Webseite begegnet.

]]>
2017-03-03T12:16:08+01:00
https://aramido.de/blog/aramido/live-hacking-fur-hoteliers <![CDATA[Live Hacking für Hoteliers]]> Hotels stehen im Visier von kriminellen Hackern. Sie bieten mit Kreditkartendaten und intimen Gästedaten attraktive Angriffsziele. Durch die öffentliche Präsenz von Hotels sind diese aber auch allgemeinen IT-Gefahren wie Ransomware und WLAN Hacks besonders ausgesetzt.

Seminar für Hoteliers zu IT-Sicher­heit

Im Rahmen der Initiative IT-Sicherheit für Hotels hat sich aramido der Sicherheit des Gast­gewerbes verschrieben. In Kooperation mit dem DEHOGA Rheinland-Pfalz und der Sozietät Bietmann wird aramido am 21. März 2017 ein Seminar zu Datenschutz und Datensicherheit in der DEHOGA-Akademie in Bad Kreuznach durchführen.

Aktuelle Bedrohungen für Hotels

Hoteliers und Gastwirte erhalten in dem Seminar einen Überblick zu Pflichten, Fristen und Umsetzungs­bedarf im Bereich des Daten­schutzes und der Datensicherheit im Gastgewerbe. So werden aktuelle gesetzliche Anforderungen wie die EU-Datenschutz­grund­verordnung, das IT-Sicher­heits­gesetz und das Privacy Shield-Abkommen mit den USA und ihre Implikationen für das Gastge­werbe betrachtet. Durch ein Live Hacking wird demonstriert, wie einfach zum Beispiel kriminelle Gäste durch einen Angriff auf das Hotel-WLAN an Kreditkartendaten und andere sensible Gästedaten gelangen können. Schließlich wird gezeigt, wie sich Hotels mit effektiven Maßnahmen für mehr Datenschutz und Daten­sicherheit einen Vorsprung im Wettbewerb verschaffen können.

Datenschutz- und Daten­sicherheits­exper­ten als Re­fe­ren­ten

Die Referenten sind der Rechtsanwalt Boris Maskow von der Sozietät Wietmann und der IT-Sicher­heits­berater Armin Harbrecht von der IT-Sicherheitsberatung aramido. Beide haben jahrelange Erfahrung in ihren Fach­bereichen und der Hotellerie-Branche.

Boris Maskow
Boris Maskow studierte Rechts­wissen­schaften in Bonn und Münster. Er ist seit 2015 als Fach­anwalt für Arbeits­recht in der Sozietät Bietmann tätig. Zu seinen Mandanten zählen vor allem Unter­nehmen der Hotel- und Gast­stätten­branche. Neben seiner anwaltlichen Tätigkeit ist er auch als Datenschutz­beauftrag­ter tätig. 
Armin Harbrecht
Armin Harbrecht ist Mitgrün­der und Geschäfts­führer der aramido GmbH. Er hat bereits mehrere Unter­nehmen gegründet und dabei unter anderem selbst ein Hotel geleitet. Als digitaler Ent­decker und Ent­wickler treibt ihn die Neugier zu verstehen, wie Tech­nologie funk­tioniert und sicher gemacht werden kann.

DEHOGA-Seminar zum Thema Daten­schutz und Daten­sicher­heit

21. März 2017, 13:00 bis 17:00 Uhr
Datenschutz und Datensicherheit: Pflichten, Fristen und Umsetzungsbedarf im Gastgewerbe
DEHOGA Zentrum, Brückes 18, 55545 Bad Kreuznach

129,00 € inkl. MwSt. für DEHOGA-Mitglieder
179,00 € inkl. MwSt. für Nicht-DEHOGA-Mitglieder
Seminarverpflegung (Kaffeepause & Getränke)

]]>
2017-02-14T10:41:25+01:00
https://aramido.de/blog/sicherheitshinweise/sicherheit-durch-transparenz-wie-wir-sicherheitslucken-veroffentlichen <![CDATA[Sicherheit durch Transparenz – wie wir Sicherheitslücken veröffentlichen]]> Wir haben aramido mit der Vision gegründet, die Benutzung von Infor­mations­technik für jeden sicher zu machen. Um dieses Ziel zu errei­chen, muss man an verschie­denen Hebeln ansetzen. Einer der effek­tivsten ist es Unter­nehmen, die Soft­ware herstel­len oder für eine große Zahl an Mitar­beitern und Kun­den betrei­ben, zu helfen Sicher­heit von Grund auf nach den Prin­zipien von Security By Design in ihre Produk­te einzu­bauen. Eine der wirk­samsten Maß­nah­men, um Schwach­stellen in IT-Sys­temen und Anwen­dungen zu finden, sind Pene­trations­tests. Dabei unter­suchen wir gezielt und im Auf­trag unserer Kunden IT-Sys­teme nach Schwach­stellen und geben Handlungs­empfeh­lungen, wie diese beho­ben werden können. Doch was passiert mit Schwach­stellen, die wir außer­halb kon­kreter Kunden­aufträge finden? Hier folgen wir einem branchen­weit aner­kannten Vor­gehen.

Wie kann man mit gefun­denen Sicher­heit­slücken um­gehen

Wie wir schon in unserem Artikel zu sicheren Soft­ware-Up­dates beschrie­ben haben, ist es auf­grund der Komple­xität von Soft­ware nahezu unmöglich fehler­freie Soft­ware zu ent­wickeln. Werden aber später Feh­ler gefun­den sollten Sie vom Her­steller der Soft­ware beho­ben werden, beson­ders wenn sie die Sicher­heit betref­fen. Wenn man sich wie wir beruf­lich mit der Sicher­heit von Soft­ware und speziell Web­anwen­dungen beschäf­tigt, fallen einem regel­mäßig Sicher­heits­lücken auf. Diese Sicher­heits­lücken kann man dann

  1. dem für die Soft­ware Verant­wort­lichen melden, oder
  2. nicht melden.

Variante zwei, das Wissen über eine Sicherheits­lücken nicht zu melden, selbst aus­zunutzen oder zu ver­kaufen, kommt für uns aus ethischen Grün­den nicht in Frage. Es kann aber nie aus­geschlos­sen werden, dass schon jemand anderes die Sicher­heits­lücke entdeckt hat und aktiv aus­nutzt. Außer­dem wider­spräche das Vor­gehen Sicher­heits­lücken zu ver­schwei­gen unserer Mission, IT sicher zu machen.

Bleibt also die Variante die Sicherheits­lücke an den Verant­wortli­chen für die Soft­ware zu melden, damit er die Sicher­heits­lücke beheben kann. Hierbei gibt es folgende Vorge­hens­weisen:

  1. Full Disclosure
  2. Non Disclosure
  3. Coordinated Disclosure

Full Disclosure – Sicherheits­lücken sofort ver­öffent­lichen

Full Disclosure beschreibt das Vorgehen Sicherheits­lücken sofort und voll­ständig zu ver­öffent­lichen ohne einen Patch des Her­stellers abzu­warten. Für dieses Vor­gehen spricht, dass Anwender möglichst schnell von Sicher­heits­lücken erfahren, um selbst Schutz­maß­nahmen einzu­leiten. Wie bereits bemerkt, könnte die Sicher­heits­lücke auch von anderen Per­sonen bereits ent­deckt und aus­genutzt wor­den sein. Dennoch kann es durch­aus kritisch sein eine Sicher­heits­lücke, für die noch kein Patch bereit steht, zu ver­öffent­lichen, da Anwen­der möglicher­weise dann erst recht gefährdet werden. Falls die Schwach­stelle bisher nicht ausge­nutzt wurde, steigt die Wahr­schein­lichkeit damit zumin­dest stark an – immerhin steht das Wissen nun bös­willi­gen Hackern zur Verfü­gung. Ein populärer Weg, um Sicher­heits­lücken nach dem Full Disclosure-Prinzip zu ver­öffentli­chen, ist die Bekannt­machung über die Mailing­liste Full Disclosure.

Non Disclosure – Si­cher­heits­lücken nicht veröffentlichen

Das Gegenteil zur vollständigen Offen­le­gung ist die NichtVer­öffent­li­chung von Schwach­stel­len. Stattdessen werden diese dem Hersteller vertraulich gemeldet. Es liegt dann an ihm, ob und wann er einen Patch für die Si­cher­heits­lücke bereitstellt. Die Begründung für das nicht Veröffentlichen von Si­cher­heits­lücken ist, dass man bösartigen Hackern die Arbeit nicht erleichtern will. Dem steht gegenüber, dass Angreifer häufig auch schon auf anderen Wegen die Si­cher­heits­lücken selbst entdeckt haben. Ein Verheimlichen von Si­cher­heits­lücken würde so zu einem Informationsungleichgewicht von Angreifern und Anwendern führen. Außerdem führen Kritiker einer Non Disclosure Policy an, dass Hersteller nur unter dem Druck der Ver­öffent­li­chung den Si­cher­heits­lücken angemessen Aufmerksamkeit schenken, die Allgemeinheit von den Fehlern lernen kann und ähnliche Fehler hierdurch vermieden werden.

Coordinated Disclosure – Si­cher­heits­lücken ver­ant­wor­tungs­voll veröffentlichen

Die koordinierte Offen­le­gung wird häufig auch als ver­ant­wor­tungs­volle Offen­le­gung (Responsible Disclosure) bezeichnet. Sie ist der Mittelweg zwischen Non Disclosure und Full Disclosure. Hierbei wird zunächst der Hersteller in vertraulicher Art und Weise über eine Si­cher­heits­lücke informiert. Ihm wird ein angemessener Zeitraum gegeben, die Si­cher­heits­lücke zu beheben. Erst nach Ver­öffent­li­chung eines Sicherheitsupdates oder dem Ablauf der gesetzten Frist werden Details zur Schwach­stel­le veröffentlicht. Damit sollen die Risiken für Anwender minimiert werden: Einerseits soll die Wahrscheinlichkeit der Ausnutzung von Si­cher­heits­lücken durch die Ver­öffent­li­chung ohne gleichzeitigen Patch verringert werden, andererseits sollen Anwender vor Schwach­stel­len in der von ihnen verwendeten Soft­ware gewarnt werden. Ein bekanntes Projekt, das nach diesem Prinzip arbeitet ist Google Project Zero. Dieses besteht aus einer Gruppe von Sicherheitsforschern, die im Auftrag von Google unbekannte Si­cher­heits­lücken (sogenannte Zero Days) in verschiedenen, nicht von Google entwickelten Anwendungen suchen und im Coordinated Disclosure-Verfahren, üblicherweise mit einer Frist von 90 Tagen, veröffentlichen. Aber auch immer mehr große Anbieter, wie Facebook oder Mozilla organisieren die ver­ant­wor­tungs­volle Offen­le­gung von Schwach­stel­len in ihren Produkten über Bug Bounty-Programme selbst.

Wie handhabt aramido gefundene Si­cher­heits­lücken?

Nach Abwägung der oben beschriebenen Argumente für die verschiedenen Offen­le­gungsvarianten hat sich aramido dazu entschlossen Si­cher­heits­lücken ver­ant­wor­tungs­voll nach dem folgenden Verfahren offen­zu­legen:

Vorgehen zur ver­ant­wor­tungs­vollen Offen­le­gung von Si­cher­heits­lücken (Responsible Disclosure Policy)

Fast jedes IT-System weist Fehler auf. Diese Fehler werden häufig erst im Laufe der Zeit gefunden. Erlauben diese Fehler die Vertraulichkeit, Integrität oder Verfügbarkeit der Systeme, der Anwendungen oder der darin gespeicherten Daten zu beeinträchtigen, liegt eine Si­cher­heits­lücke vor. Die aramido GmbH sieht es als ihre Aufgabe Si­cher­heits­lücken in einer ver­ant­wor­tungs­vollen Art und Weise den Herstellern, Betreibern und Nutzern zu melden.

Die von der aramido GmbH gefundenen Si­cher­heits­lücken werden nach dem folgenden Verfahren zur ver­ant­wor­tungs­vollen Offen­le­gung veröffentlicht. Ausnahmen davon sind Schwach­stel­len, die im Verantwortungsbereich eines Kunden der aramido GmbH liegen oder durch anderweitige vertragliche Vereinbarungen von der Ver­öffent­li­chung ausgeschlossen sind.

Nach dem Fund einer Si­cher­heits­lücke wird der für die Anwendung oder das System Verantwortliche darüber auf einem vertraulichen Weg in Kenntnis gesetzt. Dabei werden Informationen zur Schwach­stel­le und zu ihrer Ausnutzbarkeit mitgeteilt. Nach Behebung der Schwach­stel­le oder spätestens nach 45 Tagen, unabhängig vom Begebungsstatus, wird diese auf der Webseite der aramido GmbH veröffentlicht. Von diesem Vorgehen wird nur in begründeten Ausnahmen und nach Abwägung der Auswirkungen auf die Allgemeinheit abgewichen.

Wird eine Si­cher­heits­lücke durch aramido gefunden, könnte sie bereits durch andere Parteien gefunden und ausgenutzt worden sein. Daher sollten Si­cher­heits­lücken so schnell wie möglich geschlossen werden. Zum Schutz der Allgemeinheit sollte die Öffent­lich­keit über gefundene Si­cher­heits­lücken informiert werden. Auf diese Weise können Schwach­stel­len behoben, aus Fehlern gelernt und das Verhalten angepasst werden.

Unter der Kategorie Sicher­heits­hin­weise finden Sie in Zukunft Sicher­heits­hin­weise, die von Mitarbeitern von aramido gefunden und offengelegt wurden.

]]>
2017-02-06T13:33:04+01:00
https://aramido.de/blog/aramido/aramido-auf-der-18-industriemesse-i-e-2017 <![CDATA[aramido auf der 18. Industriemesse i+e 2017]]> aramido ist auf der dies­jährigen Industrie­messe i+e in Freiburg als Aus­steller mit vertre­ten. Die Industrie­messe i+e 2017 ist mit 360 Ausstel­lern und knapp 6.000 m² Aus­stellungs­fläche die größte Indus­trie­messe im Süd­westen der Repu­blik. Auf der Messe werden sich etwa 10.000 Besu­cher der Bran­chen Elektro­technik und Elektronik, Maschi­nenbau, Metall­verar­beitung, Informa­tions­technik, Kunststoff und indus­trielle Dienst­leis­tung über Pro­dukte und Dienst­leis­tungen infor­mieren.

Treffen Sie aramido in der Halle 3, Stand R106

1. und 2. Februar 2017, 9:00 bis 18:00 Uhr
aramido GmbH auf der 18. Industriemesse i+e 2017
Stand R106 – Gang R in der Halle 3
Messe Freiburg, Europaplatz 1, 79108 Freiburg

Vereinbaren Sie ein Gespräch mit aramido oder kommen Sie direkt zu unserem Stand R106 in der Halle 3 (Gang R). Die Sicher­heits­exper­ten von aramido lernen Sie gerne kennen, stellen Ihnen Pro­dukte und Dienst­leistun­gen von aramido vor und beraten Sie in Fragen der Infor­mations­sicher­heit. Sichern Sie sich eine Frei­karte für Besucher.

Security by Design für Industrie 4.0 wichtig

Manche nennen es Industrial Internet of Things, andere Smart Manu­factu­ring oder Indus­trie 4.0 – die enge Ver­zah­nung von indus­triel­ler Produk­tion mit Infor­mations- und Kommu­ni­ka­tions­tech­nik wird es ohne IT-Sicher­heit nicht geben. Unter­nehmen, die es schaffen Security by Design in das Unter­nehmen zu inte­grieren, haben einen Wett­bewerbs­vor­teil und schaffen Ver­trau­en sowohl bei Kun­den als auch bei Liefe­ranten. Für diesen Schritt ist eine enge Zusam­menar­beit von Produ­zenten und IT-Sicher­heits­exper­ten wichtig.

]]>
2017-01-28T14:17:53+01:00
https://aramido.de/blog/aramido/live-hacking-auf-der-messe-produkte-suchen-produzenten <![CDATA[Live Hacking auf der Messe „Produkte suchen Produzenten“]]> Erleben Sie Live-Hacking hautnah auf der Messe Produkte suchen Produzenten in Karlsruhe. Armin Harbrecht von aramido wird dort am 27.01.2017 um 13:30 Uhr bei einer Live Hacking-Demonstration zeigen, wie Geschäftsgeheimnisse in Zeiten der Digitalisierung geschützt werden müssen. Der Referent steht nach dem Vortrag für Fragen und Gespräche zum Thema IT-Sicherheit von digitalen Medien zur Verfügung.

Die Messe

Steinbeis IHK Karlsruhe Digitales Innovationszentrum Innovationsallianz Technologieregion Karlsruhe
Das Thema der Messe Produkte suchen Produzenten lautet Digitale Medien. Sie wird gemeinsam vom Steinbeis Zentrum Wissen + Transfer, der IHK Karlsruhe, dem DIZ (Digitales Innovationszentrum) und der Innovationsallianz TechnologieRegion Karlsruhe veranstaltet. Die Messe findet am 27.01.2017 von 9:30 – 16:30 Uhr in den Räumen der IHK-Karlsruhe statt. Neben einem interessanten Vortragsprogramm stellen Unternehmen, Hochschulen und Erfinder innovative Technologien aus dem Bereich Hard- und Software an ihren Messeständen vor. Neben dem Live Hacking-Vortrag von aramido gibt es Vorträge zum Digitalisieren ohne Risiko, zu Finance 2020 und zu Needmining. Der Eintritt zur Messe ist kostenlos. Wir freuen uns Sie am 27. Januar in Karlsruhe zu treffen. Weitere Informationen zum Programm und der Messe finden Sie auf der Messe-Webseite.

Über den Referenten

Armin Harbrecht
Armin Harbrecht ist Mitgrün­der und Geschäfts­führer der aramido GmbH. aramido will die Verwendung von Informationstechnik für jeden sicher machen. Dafür berät aramido Unternehmen zum Thema IT-Sicher­heit und prüft durch Pene­trations­tests, ob sie und ihre Anwendungen einem Hacker­angriff stand­halten wür­den. Armin Harbrecht hatte zuvor den Privat­unter­kunfts­vermittler gloveler und das Crossgolf-Label HOLZundEISEN mitgegründet und ein Buch zum Thema Social Entrepreneurship geschrieben. Als digitaler Entdecker und Entwickler treibt ihn die Neugier zu verstehen, wie Technologie funktioniert und sicher gemacht werden kann.

Live Hacking: Sicherheit digitaler Medien

27. Januar 2017, 13:30 bis 14:00 Uhr
Live Hacking-Vortrag auf der PsP-Messe
IHK Karlsruhe, Lammstraße 13-17, 76133 Karlsruhe
Der Eintritt ist frei
]]>
2017-01-18T15:50:40+01:00
https://aramido.de/blog/softwaresicherheit/sichere-software-updates <![CDATA[Sichere Software-Updates]]> Als IT-Forensiker werden wir gerufen, wenn bereits in IT-Systeme eingebrochen wurde. Die Angreifer folgen dabei meistens dem gleichen Schema: Sie nutzen bekannte Schwachstellen in nicht aktualisierten Anwendungen aus. Dieses Problem kann von zwei Seiten aus be­kämpft werden. IT-Verantwortliche müssen einerseits dafür sorgen ihre Anwendungen aktuell zu halten. Andererseits sollten Softwarehersteller ihren Nutzern auto­matische Up­dates anbieten. Doch Vorsicht! Auto­matische Update­mechanis­men werden sowohl durch bös­artige Hacker als auch durch uns Penetrations­tester besonders genau untersucht. Denn sind sie unzu­reichend umge­setzt, eröffnen sie eine Vielzahl an potentiellen Angriffs­punkten. Deshalb wollen wir in diesem Artikel darauf eingehen, worauf man bei der Implemen­tierung von sicheren, auto­matischen Software-Update-Mechanismen achten muss.

Wer ist betroffen?

Software wird heutzutage vielfältig eingesetzt. Zum einen sprechen wir von klassischer Desktop-Software, die zum Beispiel als exe-Datei auf einem Windows-PC installiert wird. Der PC selbst wird vom Betriebssystem gesteuert. Unter­halb des Betriebs­systems steht die Firmware als Binde­glied zur spezifischen Hard­ware. Sie kommt bei diversen elektro­nischen Geräten wie WLAN-Routern, Druckern und Haushalts­geräten zum Einsatz. Bei mobilen Geräten wie Tablets und Smartphones kommt die Anwendungssoftware in Form von Apps daher. Diese werden in der Regel über App-Stores unterschiedlicher Anbieter installiert. Eine besonders wichtige und kritische Software ist der Web­browser. Über ihn rufen wir Web­anwen­dungen auf. Hierbei handelt es sich beispiels­weise um Content-Management-Systeme (CMS) oder Customer-Relationship-Management-Systeme (CRM). Man spricht bei diesen Web­an­wendungen auch häufig von Software-as-a-Service-Angeboten. Sie laufen zusammen mit anderen Diensten wie E-Mail-Diensten auf Servern.

Es gibt keine fehlerfreie Software

Nachdem wir gezeigt haben, wie vielfältig der Einsatz von Software ist, stellt sich als nächstes die Frage, warum Soft­ware überhaupt aktualisiert werden muss. Jeder Software-Entwickler kommt früher oder später zu der Einsicht, dass es aufgrund der Kom­plexität von Soft­ware kaum möglich ist fehler­freie Soft­ware zu entwickeln. Manche Fehler be­ein­trächtigen nur die Funktio­nalität der Soft­ware, andere führen zu schweren Sicherheits­lücken. Werden diese Fehler bekannt, muss die Soft­ware aktu­alisiert werden und das Up­date zum Kunden gebracht werden. Im Fall von Software-as-a-Service-Lösungen (SaaS) muss sich zwar der End­kunde nicht um das Update kümmern, der SaaS-Anbieter ist dann aber in der Pflicht die Web­anwen­dungen auf seinen Servern zu aktuali­sieren.

Vom 0-Day zum Update

 Der Lebenszyklus einer Software-Sicherheitslücke
Der Lebens­zyklus einer Software-Sicherheitslücke

Die obige Grafik zeigt den Weg, den eine Sicherheits­lücke von ihrer Entstehung bis zur Behe­bung nimmt. Zum Zeitpunkt A wird der Fehler im Code der Soft­ware eingefügt, was in der Regel unbe­absich­tigt statt­findet. Der Fehler wird zum Zeit­punkt B mit der Installation der Soft­ware für den Anwen­der relevant. Zum Zeitpunkt C wird der Fehler zum ersten Mal durch irgend­jemanden entdeckt. Dies kann der Hersteller selbst oder ein externer Dritter sein. Der Externe kann die Sicherheitslücke für sich behalten, sie dem Unternehmen melden, gewinnbringend auf dem Schwarzmarkt verkaufen oder direkt an die Öffentlich­keit damit gehen. Sobald der Hersteller von der Sicherheits­lücke erfährt, hat er die Möglich­keit mit einem Patch den Fehler zu beheben. Dieser wurde zum Zeitpunkt D entwickelt und zum Zeitpunkt E veröffent­licht. Zum Zeitpunkt F wurde das Softwareupdate mit dem Bugfix schließlich vom Betreiber der Software eingespielt. Sein System ist jetzt nicht mehr für die Sicher­heitslücke anfällig. Bevor diese veröffent­licht wurde (irgendwann zwischen Zeitpunkt C und E) spricht man von einem 0-Day. Dies ist eine Sicherheits­lücke, die nur dem Entdecker oder einem kleinen Personen­kreis bekannt ist. Nach Veröffent­lichung der Sicherheits­lücke gilt sie als allgemein bekannt. Sicherheits­forscher verzeichnen dann vermehrt Angriffe, die versuchen diese Sicherheits­lücke bei verwund­baren Systemen auszunutzen.

Prinzipien für sichere Software-Updates

Als Software-Entwickler will man vermeiden Sicherheits­lücken überhaupt in seinen Code einzubauen. Sind sie aber entstanden, soll der Zeit­raum zwischen Fund und Update möglichst kurz sein.

Sichere Software durch Secure Coding. Hochwertige Trainings für Entwickler.

Um die Zeitspanne von der Veröffentlichung eines Software­updates bis zur Anwendung durch alle Benutzer möglichst klein zu halten, haben sich auto­matische Updates als Best Practice durchgesetzt. Bei der Umsetzung von auto­matischen Updates sollten allerdings die folgenden Punkte beachtet werden.

1. Automatische Updates per Default

Die Installation von Updates birgt stets das Risiko, dass Systeme gestört werden. Nicht umsonst galt unter System-Adminis­tratoren lange Zeit die Maxime „Never change a running system“. Dies zum Vorwand zu nehmen gar keine Sicherheitsupdates einzuspielen ist sehr gefährlich – besonders dann, wenn die Systeme mit dem Internet verbun­den sind. Da es aber durchaus Szenarien gibt, in denen der Adminis­trator selbst den Zeitpunkt zum Ein­spielen eines Updates bestimmen können muss, sollte die Anwendung diese Option anbieten. In diesem Fall wird der Adminis­trator benachrichtigt, worauf er das Update zu einem Zeitpunkt seiner Wahl einspielen kann. Die Standard­variante sollte aber nach dem Security-By-Default-Prinzip das automatische Update für sicherheits­kritische Patches sein.

2. Updates über sichere Kanäle

Eine häufig beobachtete Schwachstelle von Software­downloads und -updates ist der Down­load über unver­schlüsselte Verbindungen wie über http. Hier kann durch einen Man-in-the-Middle-Angriff das Update durch eine Malware ausgetauscht werden. Gerade bei automatischen Updates, die möglicherweise über ein unsicheres Netzwerk herunter­geladen werden, ist es wichtig auf sichere Transport­kanäle wie https-Verbindungen zu setzen.

Neben der Integrität der Software ist die Verfüg­barkeit der Software­updates eine weitere Dimension von Software-Sicherheit. Damit Angreifer nicht per DDoS den Zugriff auf Updates unterbinden können, sollten die Updates über ein breites Netzwerk (zum Beispiel über Mirror-Server oder Bit­Torrent) zur Verfügung gestellt werden. Ebenso müssen Updates verifiziert werden, sodass sicher­gestellt werden kann, dass diese auch tatsächlich vom Hersteller stammen.

3. Verifizierte Updates

Updates werden von den Nutzern nicht immer von der Original-Quelle heruntergeladen und selbst diese könnte kompromittiert werden. Daher sollten Updates immer durch eine digitale Signatur verifiziert werden, die vor der Installation anhand des mit der Software ausgelieferten öffentlichen Schlüssels überprüft wird. Zur Signierung von Software sind GnuPG oder andere moderne, auf elliptischen Kurven basierte krypto­graphische Verfahren geeignet. Bei besonders kritischer Open Source-Software hat sich zudem der Weg des nachvollziehbaren Build-Prozesses etabliert, um Mani­pulationen zwischen offenem Quellcode und gepackter Software zu erkennen. Um gezielte Angriffe auf einzelne Benutzer zu unterbinden, existiert außerdem noch die Möglich­keit über ein öffentliches, nur beschreib­bares Log die Konsistenz der Updates zwischen allen Benutzern sicher­zu­stellen. Weiter­gehende Infor­mationen zur Umsetzung beschreibt das Dreieck der sicheren Code-Auslieferung.

Fazit: Sichere Software-Updates als Teil des Secure Development Lifecycles

Das Ausspielen von sicheren, automatischen Software-Updates ist kein triviales Problem. Es ist Teil eines sicheren Software-Entwicklungs­prozesses. Die aramido GmbH hilft Ihnen Sicherheit nach dem Prinzip von Security-by-Design entlang des gesamten Software-Lebenszykluses umzusetzen. Die Sicherheits­experten von aramido freuen sich darauf Sie bei Ihrem Software­entwicklungs­projekt zu beraten.

]]>
2017-01-05T21:02:58+01:00
https://aramido.de/blog/sicherheit-von-webanwendungen/live-hacking-einer-symfony-anwendung <![CDATA[Live-Hacking einer Symfony-Anwendung]]> Der Gründer von aramido, Andreas Sperber, ist am 21.12.2016 zu Gast bei SensioLabs in Köln. Er führt auf dem Tref­fen der Symfony UserGroup einen Hack einer Symfony-Anwen­dung vor. Anschlie­ßend zeigt er, wie man sich vor be­stimm­ten Angrif­fen schü­tzen kann und wie Ent­wick­ler sicheren Code erzeu­gen kön­nen. Diese Demons­tration ist ein kurzer Aus­zug aus der Secure Coding-Schulung von aramido, die für Entwick­ler von Web­an­wendun­gen, bei­spiels­weise mit der Spra­che PHP und dem Symfony-Frame­work, gedacht ist.

IT-Sicherheit und Symfony

Symfony ist eines der erfolg­reichs­ten PHP-Frame­works. Es wird als Framework und mit seinen Kom­po­nen­ten sowohl bei Eigen­ent­wick­lungen als auch bei Sys­temen wie Magento, Shopware, Wordpress und vielen anderen einge­setzt. Das Frame­work erleich­tert Entwick­lern die Arbeit und zwingt sie auch dazu guten Code zu erzeu­gen. Dennoch können schwer­wie­gende Feh­ler gemacht wer­den, wodurch Hacker ein leich­tes Spiel haben. Bei­spiele für Fehler bei der Input-Validie­rung, dem Output-Esca­ping oder dem Rechte­mana­gement werden als Live-Hacks gezeigt. Anschlie­ßend wird für die Bei­spiel­anwen­dung gezeigt, wie entsprechender Quellcode sicher implementiert werden kann.

Über den Referenten

Andreas Sperber
Andreas Sperber ist Mitgrün­der und Geschäfts­führer der aramido GmbH. Er arbeitet mit Symfony seit der Version 1.0 und kennt das Framework seit vielen Jahren. aramido berät Firmen zum Thema IT-Sicher­heit und prüft durch Pene­trations­tests, ob diese einem Hacker­angriff stand­halten wür­den. Andreas Sperber war zuvor beim Privat­unter­kunfts­vermittler gloveler als CTO tätig und kennt die Web-Branche: zum Thema IT-Sicher­heit gibt es noch viel zu tun.

IT-Security: Hacking a Symfony application

21. Dezember 2016, 18:30 bis 21:00 Uhr
IT-Security: Hacking a Symfony application
SensioLabs, Neusser Straße 27–29, Köln
Der Eintritt ist frei | Eine Veranstaltung der Symfony UserGroup Köln
]]>
2016-12-15T11:50:26+01:00
https://aramido.de/blog/netzwerksicherheit/swr-interview-zum-hack-der-telekom-router <![CDATA[SWR-Interview zum Hack der Telekom-Router]]> Die Sicherheitsexperten von aramido wurden letzte Woche vom SWR zum Hack der Telekom Speedport-Router interviewt.

Was war vorgefallen?

Am 27.11.2016, sonntagabends, hat bei mehreren Kunden der Deutschen Telekom das Internet und andere über das Internet Protocol (IP) laufende Dienste wie Telefon (VoIP) und Fernsehen (IPTV) plötzlich nicht mehr funktioniert. Als Grund für die Störung wurde zunächst ein Angriff auf den zur Fernwartung (von der Telekom EasySupport genannt) verwendeten Port 7547 verantwortlich gemacht. Auf diesem Port konnte ein Dienst mit dem Protokoll TR-069 erreicht werden, der eine Sicherheits­lücke hatte. Später stellte sich jedoch heraus, dass die Geräte gar nicht für diese spezielle Sicherheitslücke anfällig und damit auch nicht das Ziel des Angriffs waren. Der eingesetzte Schadcode sollte gehackte Geräte zu einem Botnetz zusammen­zu­schließen, um sie anschließend aus der Ferne steuern und für weitere Angriffe nutzen zu können.

Die Telekom-Router hatten allerdings eine andere Schwach­stelle: Eine hohe Anzahl von Anfragen auf dem besagten Port führten zu einem Dienstversagen des Routers, wodurch über 900.000 Telekom-Kunden vom Internet zwangs­getrennt wurden. Das eigentliche Ziel des Angriffs waren Router des Herstellers Zyxel, die unter anderem vom irischen Tele­kommu­nikations­unter­nehmen Eir eingesetzt werden. Diese wurden auch erfolgreich infiziert und haben im Anschluss ihrerseits weitere Geräte im Internet angegriffen. Darunter befanden sich auch die Telekom-Router.

Hätte der Vorfall verhindert werden können?

Dem Angriff wurde von allen Medien große Aufmerksamkeit geschenkt. Doch dass dieser überhaupt aufgefallen ist, liegt nur an der Tatsache, dass er ungeplante Aus­wirkungen hatte, nämlich dem Ausfall der Telekom-Router. Nach dem Vorfall sind sich Sicherheitsexperten einig, dass es nicht dazu hätte kommen müssen. So hätte der Fernwartungs­port nicht aus dem kompletten Internet erreichbar sein dürfen. Außerdem sind mangelnde Updates und Wartung bei Router-Firmware ein generelles Problem. Es ist bemerkenswert, dass sich bereits vor zwei Jahren ein Kunde im Support-Forum Telekom Hilft beim Unternehmen gemeldet hatte, um vor potentiellen Sicherheits­lücken im Fernwartungs­protokoll TR-069 zu warnen. Die Antwort des Telekom­mitarbeiters von Januar 2014 auf diesen Hinweis klingt im Nachhinein gewagt: „Sie können davon ausgehen, dass EasySupport sicher ist.“

Telekomhilft zu TR-069

Welche Schlüsse können gezogen werden?

Der SWR4-Reporter Thorsten Helber hatte Andreas Sperber und Armin Harbrecht von aramido nach dem Vorfall interviewt, um zu erfahren, wie man sich effektiv vor IT-Sicherheitsrisiken schützen kann. Das folgende Interview ist ein Ausschnitt des Beitrags, der am 1.12.2016 im SWR-Radio gesendet.

Helber: Es ist wohl der Alptraum jedes Unternehmers: sämtliche Geschäftsdaten plötzlich weg, verschlüsselt, ausgespäht oder böswillig verändert. In solchen und ähnlichen Fällen werden die IT-Spezialisten der Karlsruher Firma aramido gerufen. Meistens allerdings erst, wenn schon etwas passiert ist. So wie beispielsweise der Angriff auf eine Unternehmenswebseite, erinnert sich einer der Geschäftsführer Andreas Sperber.
Sperber: Es gab eine Webseite, die wurde offensichtlich mit Schadsoftware infiziert, die wiederum andere Rechner infiziert hat. Es hat tatsächlich gereicht diese Webseite aufzurufen. Es war ein sogenannter Drive-by-Download. Man konnte sich dann darüber infizieren.
Helber: Besonders kritisch daran: über Monate hinweg blieb der Hackerangriff erst einmal unbemerkt. Die Schadsoftware konnte sich ungestört verbreiten. Im Fall der angegriffenen Telekom-Router ist es daher positiv zu sehen, dass die Sicherheitslücke nun aufgeflogen ist, erklärt Armin Harbrecht.
Harbrecht: Wir können eben froh sein, dass die Autoren dieser Schadsoftware das so schlecht gemacht haben. Sonst wären jetzt vielleicht 900.000 Router infiziert, ohne dass es jemand gemerkt hätte. Ziel eines Hackers ist es eigentlich unbemerkt zu bleiben, weil er nun dann die Sicherheitslücke weiterhin ausnutzen kann.
Helber: Die beiden IT Spezialisten arbeiten als so genannte White Hat-Hacker. Also die guten Hacker, sinnbildlich mit den weißen Hüten — White Hat. Im Gegensatz zu den Black Hat-Hackern setzen sie ihr Wissen nur zum Schutz von IT-Systemen ein, suchen Schwachstellen und machen darauf aufmerksam. Manchmal ist es Unwissenheit, oft führen aber auch Kostendruck und Bequemlichkeit zu Sicherheitsrisiken.
Harbrecht: Ein ganz gutes Beispiel dazu sind mit dem Internet verbundene Überwachungskameras, die es bei Aldi zu kaufen gab. Die hatten einfach ein Standard-Passwort voreingestellt. Das macht es für den Hersteller günstiger und ist für den Nutzer dann erst einmal bequem. Dass das eben auch ausgenutzt werden kann, ist klar.
Helber: Das allgemeine Bewusstsein für IT Sicherheit nehme zwar zu meinen die Experten, oft herrsche aber ein zu sorgloser Umgang und die Haltung „wer interessiert sich schon für meine persönlichen Daten“. Dabei zeigt gerade der aktuelle Fall der Telekom Router mal wieder:“
Harbrecht: Die Hacker hatten kein Interesse die privaten Urlaubsfotos von den Leuten zu hacken, sondern eben die Masse der Router, die dann wiederum für neue Angriffe verwendet werden können. Das war das Interesse.
Helber: „Und was kann man tun, um sich und eben auch andere zu schützen? Für Andreas Sperber gibt es zwei entscheidende Punkte.
Sperber: „Dass man die Standardkennwörter beispielsweise abändert, auf eigene, sichere Passwörter — entsprechend auch lang und mit komplexen Zeichen. Und das zweite Wichtige ist, dass man für Updates seiner Geräte sorgt. Genauso wie man ein Auto eigentlich auch in die Werkstatt zur Wartung bringt, muss man sich darum kümmern, dass seine Geräte auch gewartet werden.
Helber: Das gilt für jeden zu Hause, aber natürlich ganz besonders für den Schutz von Unternehmen.
Sperber: Ein ehemaliger FBI Direktor hat einmal gesagt, dass es zwei Arten von Firmen gibt: Firmen, die bereits gehackt wurden, und Firmen die es noch werden.
SWR-Logo

Was ist zu tun?

Aus dem Hack der Telekom Router kann man verschiedenen Lehren ziehen.

  1. Die Telekom muss ich fragen lassen, warum sie bekannte Sicherheits­lücken so lange nicht behoben hat.
  2. Die Aufhebung des Routerzwangs war eine richtige Entscheidung. Kunden können jetzt aus einer größeren Auswahl an Routern wählen und sind nicht gezwungen, einen möglicher­weise unsicheren Router Ihres Providers zu benutzen.
  3. Hersteller von Routern und anderen Internet of Things (IoT)-Geräten müssen einen Weg finden, ihre Geräte sofort nach Bekanntwerden einer Sicherheits­lücke zu patchen.
  4. Es kann davon ausgegangen werden, dass solche Angriffe täglich im Internet ablaufen und erfolgreich sind. Als Konsequenz steigt die Gefahr für DDoS-Angriffe durch massive Botnetze weiter an, wie Beispiele der jüngsten Vergangenheit zeigen.
  5. Wenn man sich selbst schützen will, darf man nicht blind einem Anbieter vertrauen. Sicherheit entsteht nach dem Zwiebel­schalen­prinzip aus der Kombination mehrerer Schutzschichten.

Wie können Sie Internet of Things-Geräte in Ihrem Unter­nehmen sicherer machen? Ein IoT-Penetrationstest verrät Ihnen, wo Sie angreifbar sind.

]]>
2016-12-09T11:23:15+01:00
https://aramido.de/blog/penetrationstest/was-kostet-ein-penetrationstest <![CDATA[Was kostet ein Penetrationstest?]]> Penetrationstests sind eine beliebte Dienst­leistung, um die Sicherheit von IT-Systemen zu über­prüfen. Dies zeigt die in den letzten Jahren steigende Nach­frage nach diesen Sicher­heits­über­prüfungen. Immer mehr Unter­nehmen nehmen die Tests genauso selbst­verständ­lich in ihren Produkt­entwicklungs­prozess auf, so wie heute kein Auto mehr auf der Straße fährt, das nicht einen Crash-Test bestanden hat. Viele Unter­nehmen fragen also nicht mehr „warum brauche ich einen Penetrations­test?“, sondern eher „was kostet mich ein Penetrations­test?“.

Was muss man für einen Penetrationstest bezahlen?

Bei einer Auswahl verschie­dener Penetrations­test-Unter­nehmen auf dem Markt fragen sich Ein­käufer und IT-Ver­antwort­liche, was Penetrations­tests für sie kosten. Die erfreu­liche Nach­richt für Auftrag­geber: der Preis eines Penetrations­tests bemisst sich üblicher­weise nicht am Wert des Tests für den Auftrag­geber. Dieser ist nämlich, wenn schwer­wiegende Sicherheits­lücken gefunden werden, nahezu un­bezahl­bar. Im Fall von Yahoo! soll sich der Kauf­preis, den Verizon bereit ist zu be­zahlen, nach den bekannt ge­wor­denen Hacks um 1 Milliar­de US-Dollar ver­ringert haben. Pene­trations­tests werden als Dienst­leistung üblicher­weise auf Basis des Auf­wands, also der für den Test kalkulierten Berater­tage, berechnet.

Die Kosten eines Penetrationstests hängen von verschiedenen Faktoren ab

Die Kalku­lation des Aufwands für einen Pene­trations­test hängt von verschie­denen Fak­toren ab. Diese sind:

Testgegenstand
Einen großen Einfluss auf den letzt­endlichen Preis eines Pene­trations­tests hat die Art und die Kom­plexität des Test­gegen­stands. So macht es einen Unter­schied, ob eine gesamte Orga­nisa­tion mit mehreren hun­dert Mit­arbeitern und diver­sen IT-Systemen einem Pene­trations­test unter­zogen werden sollen, oder ob im Rahmen eines fokus­sierten Web-Pene­trations­tests eine einfache Web­anwen­dung ge­testet werden soll.
Pentest-Module
Im Vorfeld des Pene­trations­tests werden die Test­module fest­gelegt. Bei einer Web­anwen­dung kann bei­spiels­weise nur der Programm­code und die Kon­fi­guration oder zusätzlich auch die IT-Infra­struktur, auf der die Web­anwen­dung ge­hostet wird, unter­sucht werden. Eine Er­weiterung des Um­fangs wäre es außer­dem das Deploy­ment-System und sonstige Develop­ment-Systeme zu unter­suchen. Als Alter­native zu klar ein­ge­grenzten Test­gegen­ständen und Modu­len gibt es die „Red Teaming“ oder „Tiger Teaming“ ge­nannte Variante des Pene­trations­tests, bei dem den Testern bei der Wahl ihrer Mittel und Ziele zum Ein­dringen in ein System weit­gehend freie Hand gelas­sen wird.
Konfiguration des Tests
Ist einmal der Um­fang des Pene­trations­tests fest­gelegt, gilt es die kon­krete Aus­gestal­tung zu kon­figu­rieren, die eben­falls eine Aus­wirkung auf den Auf­wand haben kann. Ein Black Box Test ist mitunter auf­wändiger, wenn er dieselbe An­zahl an gefun­denen Schwach­stellen liefern soll, als ein White Box Test. Wird ein Test nicht nur von außen, aus dem Inter­net durch­geführt, sondern zusätz­lich aus dem internen Netz, steigt eben­falls der Aufwand.
Angestrebtes Sicherheitsniveau
Der letzte Einflussfaktor ist schließlich das angestrebte Sicherheits­niveau. Die Zahl der Schwach­stellen, die ein Hacker — egal ob White Hat oder Black Hat Hacker — findet, kor­reliert direkt mit der zur Ver­fügung stehen­den Zeit. Ein längerer Test führt daher gewöhn­lich auch zu einer um­fassenderen Unter­suchung des Test­objekts und damit einem höheren Sicherheits­niveau.

Keine Äpfel mit Birnen vergleichen

Weichen die Preise verschiedener Anbieter stark von­einander ab, kann ein Grund dafür sein, dass man­che An­bieter den Begriff Penetrations­test fälsch­licher­weise für einfache Schwachstellenscans verwen­den. Scanner können aber nur bekannte Schwach­stellen auf­decken und liefern darüber hinaus keine Infor­mationen, ob die gefun­denen Schwach­stellen tatsäch­lich aus­genutzt werden können. Sie werden oft zu Beginn eines Pene­trations­tests einge­setzt, um einen ersten Über­blick zu erlangen. Im weiteren Ver­lauf ent­scheidet aber die Expertise und Krea­tivität der einzelnen Pene­trations­tester über die Qualität der Ergeb­nisse.

Fazit: Penetrationstest als Timeboxed-Prüfungen

Penetrationstests sind zeitlich eingegrenzte Sicher­heits­prüfungen. Der Preis dieser Dienst­leistung berechnet sich deshalb auf Basis des veran­schlagten Zeit­budgets und des indi­viduellen Tages­satzes der Pene­trations­tester. Erfahrungs­gemäß startet der zeitliche Auf­wand eines Pene­trations­tests für einen klar abge­grenzten Test­gegen­stand bei zwei Tagen und kann bei kom­plexen Test­objekten mit einem hohen Sicher­heits­bedürfnis bis zu zehn Tage bean­spruchen. Die üblichen Tages­sätze von profes­sionellen Pene­trations­testern liegen aktuell bei 1.000 bis 1.800 Euro, woraus sich für einen ziel­gerich­teten Pene­trations­test eine Preis­spanne von 2.000 bis 18.000 Euro ergibt.

Kontaktieren Sie uns und beschrei­ben Sie Ihre Ausgangs­situation, um ein Angebot für einen Pene­trations­test von uns zu erhalten.

]]>
2016-11-14T18:07:03+01:00
https://aramido.de/blog/aramido/ruckblick-it-sa-messe-2016-in-nurnberg <![CDATA[Rückblick it-sa Messe 2016 in Nürnberg]]> aramido war letzte Woche auf der it-sa Messe in Nürnberg, einer der größten euro­päischen Fach­messen für Informations­sicherheit. Die Messe fand dieses Jahr vom 18. - 20. Oktober im Messe­zentrum Nürnberg statt. In unserer Rück­schau zur it-sa berichten wir über die Trends und Prog­nosen der Messe.

Die EU-Datenschutzgrundverordnung bewegt auch die IT-Sicherheit

Mit der diesjährigen Keynote von Max Schrems (Initiator der Kampagne Europe vs Facebook, die das Safe Harbor-Abkommen gekippt hat) zur EU-Daten­schutz­grund­verordnung (DSGVO) haben die Veranstalter den Schwer­punkt der Messe gesetzt. Mit dem Artikel 32, hat die Ver­ord­nung der IT-Sicher­heit einen eigenen Artikel gewidmet. Der Pflicht „ein Verfahren zur regelmäßigen Über­prüfung, Bewertung und Evaluierung der Wirk­samkeit der technischen und organisatorischen Maß­nahmen zur Gewähr­leistung der Sicherheit der Verarbeitung“ (DSGVO Art. 32 Abs. 1 Satz 1d) lässt sich mit regelmäßigen Penetrationstests durch neutrale Dritte nachkommen. Von der neuen DSGVO ist quasi jedes Unternehmen betroffen und sollte die Um­setzungs­frist bis zum 25.05.2018 nutzen, um seine Orga­nisation ent­sprechend vor­zu­bereiten.

 Max Schrems auf der it-sa 2016
Max Schrems auf der it-sa 2016

Das IT-Sicherheits­gesetz fördert die Nachfrage nach IT-Sicherheit

Laut der Umfrage der Messe­gesellschaft erwarten 82 Prozent der Aussteller einen positiven Effekt auf ihr Geschäft durch das IT-Sicherheitsgesetz (IT-SiG). Durch dieses Gesetzespaket, das 2015 verabschiedet wurde, werden vor allem Betreiber kritischer Infra­strukturen (KRITIS) aber auch normale Web­seiten­betreiber zu mehr IT-Sicherheit ver­pflichtet. Die Aussteller sehen vor allem in der Energie-Branche sowie dem Finanz- und Versicherungs­wesen Aufhol­bedarf im Rahmen des IT-SiG.

Live Hacks sorgen für volle Bühnen

Live Hacks auf den drei offiziellen Präsentations­foren und auf den Ständen der Her­steller waren der Publikums­magnet. Wann immer ein Sicherheits­forscher seine Live Hacks vorstellte, war ihm die Auf­merk­samkeit der Messe­besucher sicher. Vom Öffnen konventioneller Schlösser per Lock-Picking, über WLAN-Hacks bis hin zum Abhören von Funk­tastaturen wurden ver­schieden­ste Live Hacks vorgeführt.

Buchen Sie jetzt aramido für eine Live Hacking-Demonstration.

IT-Sicherheit ist ein Wachstumsmarkt

Das Wachstum der Besucherzahlen spiegelt auch das Wachstum der IT-Sicherheits­branche wieder. Nach gut 9.000 Fachbesuchern im Vorjahr kamen dieses Jahr über 10.000 Besucher. 81 Prozent der Aussteller vermelden für 2016 wachsende Umsätze.

Eine Fachmesse kommt ohne Fachjargon nicht aus

Wie für eine Fachmesse üblich sparen die Aussteller nicht mit Fach­begriffen und Ab­kürzungen. Die Fantastischen Vier (bekannt durch ihren Song „MFG - Mit freundlichen Grüßen“) hätten ihre Freude: WAF, IAM, SIEM, IDS und IPS. DoS, DEP, DLP und FIDO. BDSG, DSGVO, ISMS und ITSiG. APT, CERT, MDM und 2FA, das war die it-sa.

Ausblick it-sa 2017

Die it-sa 2017 wird vom 10.-12. Oktober stattfinden. Schwer­punkte der it-sa 2017 sollen Cloud Computing, IT-Forensik, Daten­sicherung und Hosting sein. Die it-sa wird auch nächstes Jahr weiter wachsen, so ist geplant die Messe 2017statt in einer Messe­halle in zwei Messe­hallen zu veranstalten.

Wenn Sie keine Möglichkeit hatten uns auf der it-sa 2016 zu treffen, können Sie uns gerne per Telefon oder E-Mail für ein persön­liches Gespräch kontaktieren.

]]>
2016-10-28T11:52:20+02:00
https://aramido.de/blog/aramido/grunderstories-und-live-hacking <![CDATA[Gründerstories und Live-Hacking]]> Die beiden aramido Gründer, Armin Harbrecht und Andreas Sperber, sind am 8. November 2016 zu Gast bei der PionierGarage und berichten über ihre Unter­nehmens­grün­dungen. Die PionierGarage ist die Platt­form für gründungs­interes­sierte Stu­denten in Karls­ruhe. Die Hoch­schul­gruppe fördert die Begeis­terung am Thema Gründen durch Grün­dervor­träge, Startup-Touren, Work­shops, Wett­bewer­be und andere Events.

Meet the Founder

Die beiden Unter­nehmer berichten von aramido, wie es zur Grün­dung kam, wie diese abläuft und was notwen­dig war, um die Unter­neh­mung zu starten. Durch eine Live-Hacking-Demons­tration wird außer­dem ge­zeigt, was aramido macht: Dem Publi­kum wird auf unter­halt­same Weise IT-Sicher­heit und die Vision von aramido vermit­telt.

Referent

Der Referent ist Exper­te für Daten­schutz und IT-Sicher­heit. In seiner Ar­beit betreut er mittel­ständi­sche Unter­nehmen, die den digitalen Heraus­forderun­gen der heutigen Zeit öko­no­misch-effi­zient gerecht werden müssen.

Andreas Sperber

Andreas Sperber

Andreas Sperber ist Mitgrün­der und Geschäfts­führer der aramido GmbH. Das Unter­nehmen berät Firmen zum Thema IT-Sicher­heit und prüft durch Pene­trations­tests, ob diese einem Hacker­angriff stand­halten wür­den. Zuvor war er beim Privat­unter­kunfts­vermittler gloveler als CTO tätig und er kennt die Web-Branche: zum Thema IT-Sicher­heit gibt es noch viel zu tun.

Meet the Founder: Gründerstories und Live-Hacking mit aramido

8. November 2016, 19:30 bis 21:00 Uhr
Meet the Founder: Gründerstories und Live-Hacking mit aramido
KreaLab, 5. Stock im Gebäude 10.23, KIT, Campus Süd
Der Eintritt ist frei | Eine Veranstaltung der PionierGarage
]]>
2016-10-24T17:30:49+02:00
https://aramido.de/blog/penetrationstest/wozu-dient-ein-penetrationstest <![CDATA[Wozu dient ein Penetrationstest?]]>

Durch einen Pene­trations­test wird das Angriffs­poten­tial auf IT-Netz­werke, Rech­ner, Anwen­dungen oder Organi­satio­nen über­prüft. Der Test deckt Schwach­stellen auf, wonach durch deren Behe­bung die Sicher­heit der geprüf­ten Sys­teme und Pro­zesse ver­bessert wer­den kann.

Definition Penetrationstest

In der heutigen Welt sind Angrif­fe auf IT-Sys­teme von Unter­nehmen und Orga­nisa­tionen an der Tages­ordnung. Hacker versu­chen Arbeits­abläufe lahm­zu­legen, wer­tvolle Daten zu erbeu­ten oder Infor­matio­nen zu ihren Gunsten zu mani­pulieren. Wer denkt, dass nur Internet­größen wie Yahoo oder LinkedIn betrof­fen sind, irrt: mehr als die Hälfte aller deutschen Unter­nehmen ist in den ver­gan­genen zwei Jahren Opfer von digi­taler Wirtschafts­spio­nage, Sabo­tage oder Daten­dieb­stahl gewor­den, ermittelt der Digital­ver­band Bitkom.

Penetra­tions­tests zum Schutz vor An­grif­fen

Durch einen Pene­trations­test (kurz: Pentest) werden IT-Netz­werke, IT-Systeme, Anwen­dungen und Organi­satio­nen bzw. deren Pro­zesse auf Sicher­heit geprüft. Der Test sollte möglichst um­fassend alle Be­stand­teile des Prüf­objekts unter­suchen. Pen­tester bedie­nen sich hierzu diverser Werk­zeuge, um ge­paart mit Fach­wissen und Krea­tivität Schwach­stellen zu finden. Alle durch­geführ­ten Tests, ins­besondere gefun­dene Schwach­stellen, werden in einem Be­richt dar­gestellt und mit dem Auftrag­geber be­spro­chen. Gemein­sam werden Lösun­gen zur Be­he­bung der Angriffs­punkte disku­tiert und umge­setzt, sodass ein wirk­samer Schutz vor An­griffen besteht.

Wie sicher sind Ihre IT-Sys­teme?
Ver­ein­ba­ren Sie mit uns ein Ge­spräch und in­for­mie­ren Sie sich über ei­nen Pe­ne­tra­tions­test für Ihre Sys­teme.

Penetrations­tests als Teil des IT-Sicher­heits­kon­zepts

Penetrations­tests sind immer eine Moment­auf­nahme des Sys­tems. Nach­folgende, selbst unschein­bare Än­derun­gen können das Erge­bnis zur Beur­teilung des Angriffs­poten­tials verän­dern. Dennoch sind sie wesent­licher Bestand­teil eines IT-Sicher­heits­konzepts, bei dem die IT-Sicher­heit durch einen un­ab­hän­gigen Dritten über­prüft wird. Die meisten großen Unter­neh­men führen regel­mä­ßig Pene­trations­tests durch, um die IT-Sicher­heit im Rah­men eines konti­nuier­lichen Ver­besserungs­prozesses zu ge­währ­leis­ten. Aber auch kleinere Unter­neh­men erkennen ver­mehrt die Vor­teile von Pene­trations­tests. Diese sind unab­ding­bar, wenn Hacking­angriffe für kleine Unter­neh­men existenz­bedro­hend sein kön­nen.

]]>
2016-10-23T16:03:05+02:00
https://aramido.de/blog/sicherheit-von-webanwendungen/https-auf-dem-vormarsch-warum-2017-jeder-seine-seite-auf-https-umstellen-muss <![CDATA[HTTPS auf dem Vormarsch - Warum 2017 jeder seine Seite auf HTTPS umstellen muss]]> Wenn man aktuell mit Betreibern von größeren Web­seiten redet, kommt man um das Thema HTTPS nicht herum. HTTPS ist die ver­schlüs­selte Variante (das S steht für „secure“) des Hyper­text Trans­fer Proto­kolls (HTTP). Dies ist das Proto­koll, mit dem im World Wide Web (WWW) kom­muni­ziert wird und Web­seiten zu Brow­sern über­tragen werden.

Warum ist HTTPS nicht längst Standard?

Als Tim Berners-Lee und andere HTTP am euro­päischen Kern­forschungs­zentrum CERN im Jahr 1989 entwickelten, konnten sie sich die heutigen Aus­maße des Inter­nets kaum vorstellen. Dem­nach war es auch noch nicht not­wendig die Kom­muni­kation zwischen Servern und Clients (Browsern) zu ver­schlüs­seln. Die ver­schlüs­selte Vari­ante des Proto­kolls kam erst später hinzu. Browser gehen aber auch heute noch standar­dmäßig von un­ver­schlüs­selten Ver­bindungen aus und ergän­zen, wenn man eine URL ohne die Angabe des Proto­kolls eingibt, im Normall­fall ein „http://“ vor der Adresse. Dass dies in Zeiten wachs­ender Internet­kriminalität und staat­licher Über­achung nicht mehr zeit­gemäß ist, liegt auf der Hand. Jeder der einmal bei einer Live Hacking-Demon­stration von aramido gesehen hat, wie einfach ein Hacker sich als Man in the Middle unbe­merkt in die Browser­kom­muni­kation ein­klinken kann, um Inhalte mit­zu­lesen und zu mani­pulieren, wird ver­stehen, warum HTTPS eine sinn­volle Sache ist. Google, mit Chrome der Markt­führer auf dem Browser­markt, hat nun einen wichtigen Schritt für 2017 ange­kündigt. Jeder Web­seiten­betreiber wird von diesem Schritt betroffen sein.

Browser werden bei HTTP-Seiten War­nungen ein­blenden

In einem Blogbeitrag vom 8. September dieses Jahres hat Google ange­kündigt in Zu­kunft Nutzern des Browsers Chrome beim Besu­chen von Seiten, die unver­schlüsselt per HTTP aus­geliefert werden, Warn­meldungen anzu­zeigen.

Chrome HTTP-Warnmeldung ab 1. Januar 2017
Chrome HTTP-Warnmeldung ab 1. Januar 2017

So sollen ab 1. Januar 2017 Seiten, die Pass­wörter oder Kredit­karten­daten per HTTP ab­fragen, mit einer Warn­meldung gekenn­zeichnet werden. Lang­fristig will Google seine Nutzer vor allen HTTP-Seiten eindeutig warnen.

Chrome HTTP-Warnmeldung ab 1. Januar 2017
Langfristige Chrome HTTP-Warnmeldung

Aber auch schon vor der An­kün­digung von Google gab es sehr gute Gründe, warum Web­server Seiten­aufrufe ver­chlüs­selt über­tragen sollten.

Google bevorzugt ver­schlüs­selte Seiten in den Such­ergeb­nissen

Google hatte bereits im August 2014 ange­kündigt HTTPS als Rankingfaktor in die Such­algorith­men ein­fließen zu lassen. Seit der Ankündigung bis Juli 2016 ist der Anteil der HTTPS-Web­seiten in den Such­ergeb­nissen nach einer Studie von Moz von durch­schnittlich 7 % auf 30 % gestiegen. Ein Großteil davon ist zwar nicht algo­rithmisch be­dingt, son­dern liegt daran, dass große An­bieter dem Auf­ruf Googles gefolgt sind. Es zeigt aber den­noch, dass der Trend deutlich in Rich­tung HTTPS by Default geht.

HTTPS ist schneller - wirklich!

Häufig wird die lang­samere Geschwin­dig­keit als Grund gegen den Ein­satz von HTTPS ange­führt. Dies mag zwar grund­sätzlich stimmen, da HTTP in der Version 1.1 unverschlüsselt schneller funktioniert, als in der ab­hör­sicheren Version. Aller­dings sprechen aktuelle Browser das neue, schnellere HTTP-Proto­koll in der Version 2 nur für die ver­schlüs­selte Variante von HTTP. Auf­grund der Tat­sache, dass HTTP/2 über SSL/TLS (HTTPS) um ein mehrfaches schneller ist, als HTTP/1.1 ohne TLS (HTTP), schneiden Web­seiten über eine ver­schlüs­selte Kom­munikation in Performance­tests tat­sächlich besser ab, als wenn sie un­verschlüs­selt über­tragen werden!

HTTPS-Zertifikate kosten nichts

Gerade für kleinere Seiten waren die Kosten für ein TLS-Zertifikat häufig ein Grund auf HTTPS zu ver­zichten. Dies ist spätes­tens seit­dem es von Let’s Encrypt kosten­lose Zerti­fikate für jeder­mann gibt, kein Argument mehr.

Auf die richtige Umsetzung kommt es an

HTTPS sollte bei Neu­entwick­lungen heute eine Selbst­verständ­lichkeit sein. Aber auch beste­hende Web­angebote müssen sich spätestens jetzt mit dem Thema HTTP über SSL/TLS (HTTPS) beschäftigen, um sich nicht bald vor den eigenen Nutzern für das Aus­liefern von un­sicheren Web­seiten recht­fertigen zu müssen. Auch wenn die grund­sätzliche Um­stellung eines Web­servers auf HTTPS nicht besonders schwierig ist, gibt es den­noch Fall­stricke zu beachten. Dies betrifft zum einen die kor­rekte Ein­richtung von Weiter­leitungen von HTTP auf HTTPS. Hier haben in der Vergangen­heit auch große Anbieter wie Avira durch Fehl­konfi­guratio­nen im Google Ranking eingebüßt. Eine weitere Schwierig­keit bei HTTPS Relaunches sind Partner­angebote wie Werbe­netzwerke, die teil­weise noch nicht per HTTPS aus­geliefert werden. Schließlich ist eine Web­seite, die per HTTPS ohne ent­sprechende HTTP Security Header aus­gelie­fert wird, auch keine wirk­liche Hürde für einen Hacker. Im Zweifel sollte man sich daher für so ein Projekt immer pro­fessio­nell beraten lassen.

]]>
2016-10-19T11:41:40+02:00
https://aramido.de/blog/datensicherheit/verschlusselungstrojaner-losegeld-zahlen-oder-nicht-zahlen <![CDATA[Verschlüsselungstrojaner: Lösegeld zahlen oder nicht zahlen?]]> Dieser Artikel ist Teil einer Artikelserie zum Thema Ransomware. Alle Artikel der Serie finden Sie auf unserer Ransomware-Themenseite.

Verschlüsselungs­troja­ner wie Tesla­Crypt, Locky oder Crypto­wall haben seit 2015 Hoch­kon­junk­tur. In 2015 hatten laut einer Stu­die von iSense 3,1 Millionen Deutsche mit den Com­puter­schäd­lingen zu käm­pfen, die nach einem Be­fall Dateien auf Compu­tern verschlüs­seln. Wer wie­der an die Daten heran­kommen will, muss gemäß dem Er­presser­schrei­ben, das einem auf dem Bild­schirm ange­zeigt wird, eine Löse­geld­forde­rung zah­len. Diese liegt häufig bei etwa einem Bitcoin (aktuell 540 Euro), kann jedoch auch deut­lich höher aus­fallen: Im Febru­ar dieses Jahres hat ein Kran­ken­haus in Holly­wood 40 Bitcoins (zu dem Zeitpunkt etwa 15.000 Euro) gezahlt, um die Löse­geld­forde­rung zu erfüllen. Laut der iSense-Studie gehen 50 % aller Ameri­kaner, die von einem Krypto­troja­ner befal­len wurden, auf die Erpresser­forderun­gen ein; in Deutsch­land sind dies 33 %.

Die Frage, ob man bei einem Befall zahlen soll oder nicht, kann nicht ein­fach beant­wor­tet werden und hängt jeweils vom Einzel­fall ab. Auf eine Löse­geld­forde­rung nach einer Infek­tion durch einen Tro­janer einzu­gehen hat Für und Wider. Betrof­fene soll­ten sich deshalb fach­kundig bera­ten las­sen, um sich in einer kriti­schen Situa­tion nicht falsch zu verhal­ten.

Sichere Verschlüsselung

Ransomware verschlüs­selt Datei­en normaler­weise mit einem siche­ren Ver­fahren. Locky gibt an die Dateien mit RSA-2048 und AES-128 Ziffern zu verschlüs­seln. Krypto­gra­phisch betrach­tet gilt dieses Ver­fahren als sicher und kann mit heu­tiger Rechen­leis­tung nicht ge­brochen wer­den. Wessen Daten durch einen Krypto­tro­janer gefan­gen genom­men wur­den, kann also ohne den korrek­ten Schlüs­sel nicht darauf hoffen, in abseh­barer Zeit diese wieder unter seine Kon­trolle zu bringen.

Abwägung von monetären Werten

Je nach dem, wie kritisch die ver­schlüs­selten Daten sind und welche Aus­wirkun­gen die Infek­tion hat, können teure Aus­fälle ent­ste­hen. Betriebs­wirt­schaft­lich betrach­tet scheint die Ent­scheidung ein­fach: wem ein aus­gefal­lenes Sys­tem 10.000 Euro pro Tag kostet, welches durch Zah­lung der Löse­geld­forde­rung in Höhe von 540 Euro wieder in Gang gebracht werden könnte, der ist ver­leitet auf die Forde­rung einzu­gehen. Ebenso wird man das Löse­geld zahlen, wenn Gefahr für Leib und Leben be­steht - beispiels­weise bei Kranken­häusern, die in der heu­tigen Zeit ohne eine funk­tio­nie­rende IT nicht mehr ver­nünf­tig arbei­ten können.

Diese einfache, mone­täre Be­trach­tungs­weise darf jedoch nicht darüber hin­weg­täu­schen, dass die Ent­schei­dung von anderen wich­tigen Gründen beein­flusst wird. Diese rela­tivieren den rein mone­tären Ver­gleich und zeigen, dass die Ent­schei­dung kom­plexer ist.

Keine Garantie auf Herausgabe des Schlüssels

Geht man auf die Löse­geld­forde­rung ein, hat man Anspruch auf Heraus­gabe der Ent­schlüs­selungs­software! Nur was, wenn das nicht passiert? Eine Hot­line wird noch nicht von allen Krimi­nellen ange­boten (CryptXXX bietet das tatsächlich an) und die Heraus­gabe gerichtlich einzu­klagen steht offen­sichtlich nicht zur Debatte. Tatsäch­lich sind einige Fälle bekannt, in denen nach der Zah­lung entweder der Schlüssel nicht heraus­gegeben wurde oder dieser nicht zur Ent­schlüsselung ein­gesetzt werden konnte.

Nach­forde­rung oder Wieder­holung

Neben der Möglich­keit, dass der Schlüssel über­haupt nicht heraus­gegeben wird, können Krimi­nelle auch Nach­forde­rungen stellen, um die maxi­male Zahlungs­bereit­schaft abzu­schöpfen, oder den Angriff einfach wieder­holen. Häufig reagie­ren Opfer nicht oder nicht schnell genug, um die IT-Sicher­heit zu verbessern und das Bewusst­sein der Mitar­beiter zu schärfen. Des­halb sollte nach einem Vor­fall ein Exper­te zu Rate gezogen werden, um das IT-Sicherheits­niveau zu ver­bessern.

Zahlung vergrößert das eigene Risiko

Kriminelle sind unter­einander gut ver­netzt. Wer nach einer Infek­tion zahlt, ver­größert sein eigenes Risiko, da der­jenige offen­sichtlich ein interessan­tes Ziel darstellt. Andere Ver­sender von Krypto­trojanern könn­ten ebenso ihr Glück versuchen und das zahlungs­willige Opfer angreifen.

Förderung von Krimi­nalität

Neben der betriebs­wirtschaft­lichen Betrach­tung muss das Problem auch volks­wirtschaft­lich und lang­fristig betrach­tet werden. Zahlt man das Löse­geld, kann man in den meisten Fällen zwar seine Daten wieder­her­stellen. Allerdings fördert man damit Krimi­nelle, die mit dem Geld Tro­janer weiter verbessern und Infektions­wege perfek­tionieren. Auf die Löse­geld­forderung einzu­gehen vergrößert damit lang­fristig das Problem.

Zahlen, oder nicht?

Wer durch einen Krypto­trojaner infiziert wurde, hat drei Möglich­keiten:

  1. Backups wieder­herstellen
  2. Formatieren und damit alle Daten verlie­ren
  3. Auf die Lösegeld­forderun­gen ein­gehen.

Für alle diejenigen, für die Option eins aus­scheidet, empfeh­len wir das Löse­geld nicht zu zahlen, wenn irgendwie möglich. Von allen Daten­trägern sollte eine 1:1-Kopie erstellt werden, falls zu einem späteren Zeit­punkt eine Schwach­stelle in der Ver­schlüsselung entdeckt wird oder Krimi­nelle den Schlüssel frei­willig heraus­geben. Anschlie­ßend wird der Original­daten­träger forma­tiert und ein neues, sicheres Sys­tem aufgebaut.

Wer jedoch unbe­dingt an die Daten wieder heran­kommen muss, dem bleibt nichts anderes übrig als das Geld zu zahlen und darauf zu hoffen, dass er den Schlüs­sel erhält, mit dem die Daten wieder­her­gestellt werden können. In jedem Fall sollten Vor­keh­rungen getroffen werden, damit sich solch eine Erfah­rung nicht wieder­holt.

Eine Übersicht aller bereits ver­öffentlich­ter Artikel finden Sie auf unserer Themen­seite Ransomware. Bisher sind außer diesem Artikel die fol­genden Artikel erschienen:
]]>
2016-10-13T18:59:02+02:00
https://aramido.de/blog/aramido/treffen-sie-aramido-auf-dem-infomarkt-das-neue-sog-prinzip <![CDATA[Treffen Sie aramido auf dem Infomarkt „Das neue Sog-Prinzip“]]> Eine unwiderstehliche Marke

Als Marke unwiderstehlich zu werden — welches Unter­nehmen will das nicht sein? Der Mehr­fach­gründer Giso Weyand verrät in seinem Vortrag beim Info­markt des Cyber­forums in Karls­ruhe am 11. Oktober wie man dies mit dem Sog-Prinzip erreicht.

Ein Hack vernichtet Markenwert

Doch was passiert, wenn die Investi­tionen in die eigene Marke mit einem einzigen IT-Sicher­heits­vorfall weg­ge­spült werden? Yahoo war einer der Vor­reiter und leuch­tenden Marken der Anfangs­zeit des World Wide Webs. Da die Geschäfts­zahlen zuletzt aber stetig bergab gingen, sollte das Unter­nehmen an Verizon verkauft werden. Durch den jetzt bekannt gewor­denen Dieb­stahl von über 500 Millio­nen Kunden­daten steht dieser Verkauf oder zumin­dest der Ver­kaufs­preis wieder auf der Kippe. Ein einziger Hack hat Millio­nen an Marken­wert zerstört.

Schützen Sie die Investitionen in die eigene Marke

Um genau solche Situationen zu vermei­den, unter­stützt aramido Sie dabei Ihre Web­an­wen­dungen und IT-Syste­me sicher aufzustellen. Auf dem Info­markt können Sie uns persönlich treffen und fragen, wie ein Pene­trations­test abläuft oder worauf man bei der Archi­tektur einer neuen Web­an­wen­dung achten sollte. Wir freuen uns mit Ihnen ins Gespräch zu kommen.

Anmeldung

Die Veran­stal­tung ist kostenlos. Da sie schon fast aus­gebucht ist, sollten Sie sich schnell anmelden.

Treffen Sie aramido beim Cyberforum Infomarkt

11. Oktober 2016, ab 18 Uhr
Infomarkt: Das neue Sog Prinzip
Schalander, Haid-und-Neu-Straße 18, 76131 Karlsruhe
Der Eintritt ist frei | Eine Veranstaltung des Cyberforum e.V.
]]>
2016-09-30T13:07:01+02:00
https://aramido.de/blog/datensicherheit/workshop-it-sicherheit-mittelstand-bei-der-ihk-giessen-friedberg <![CDATA[Workshop: IT-Sicherheit@Mittelstand bei der IHK Gießen-Friedberg]]> Digitale Angriffe auf kleine und mittlere Unter­nehmen sind auf­grund der fort­schreiten­den Digi­tali­sierung mittler­weile Alltag geworden. Vertrau­liche Unter­lagen und per­sön­liche Daten können von Angrei­fern häufig fast unge­hindert einge­sehen, kopiert und mani­puliert wer­den, und somit zu unan­geneh­men Fol­gen für die Betrof­fenen führen.

Die mit der Digi­talisie­rung geän­derten und ver­stärk­ten Sicher­heits­anforderun­gen sind meist noch nicht aus­reichend in die beste­henden Pro­zesse inte­griert. Die Analyse der bestehen­den Risi­ken, eine darauf auf­bauende, über­grei­fende Kon­zeption der Gewähr­leis­tung der Informations­sicherheit und Maß­nahmen zur Sensi­bili­sierung der Mitar­beiter sind wich­tige Bau­steine, um diese digi­talen Bedro­hungen zu erkennen und abzu­wehren. Die Geschäfts­führung eines jeden Unter­nehmens sollte sich die­sen Heraus­for­derungen stel­len, da das Bewusst­sein in die Firmen ge­tragen werden muss und damit die Vor­bild­wir­kung eine wich­tige Rolle spielt.

Die Veran­stal­tung ist für Ge­schäfts­führer und Ent­schei­der im Unter­nehmen gedacht.

Schwer­punkte des Work­shops

  • Welche Gefahren drohen?
  • Wo begegne ich IT-Sicherheit im Alltag?
  • Wie erreiche ich effektive IT-Sicherheit in mei­nem Unter­nehmen – mit wenig Auf­wand?
  • Womit fange ich an? Erste Schritte und weitere Infor­mationen.

Vorbereitung auf die Veranstaltung

Bitte melden Sie sich zur Veran­staltung an. Außer­dem können Sie den DsiN-Sicher­heits­check durch­füh­ren und sich er­ge­ben­de Fra­gen im Work­shop ein­brin­gen.

Referent

Der Referent ist Exper­te für Daten­schutz und IT-Sicher­heit. In seiner Ar­beit betreut er mittel­ständi­sche Unter­nehmen, die den digitalen Heraus­forderun­gen der heutigen Zeit ökonomisch-effizient gerecht werden müssen.

Andreas Sperber

Andreas Sperber

Andreas Sperber ist Mitgründer und Geschäfts­führer der aramido GmbH. Das Unter­nehmen berät Firmen zum Thema IT-Sicher­heit und prüft durch Pene­trations­tests, ob diese einem Hacker­angriff stand­halten wür­den. Zuvor war er beim Privat­unter­kunfts­vermittler gloveler als CTO tätig und er kennt die Web-Branche: zum Thema IT-Sicher­heit gibt es noch viel zu tun.

Workshop: IT-Sicherheit@Mittelstand - Seien Sie mit dabei!

]]>
2016-09-27T16:15:38+02:00
https://aramido.de/blog/aramido/roundtable-gebt-mir-eure-daten <![CDATA[RoundTable: Gebt mir eure Daten!]]> Sie haben eine revolutio­näre Software-as-a-Service-Lösung für Ge­schäfts­kun­den ent­wickelt. Der Fach­bereich ist von Ihrem Pro­dukt über­zeugt. In den Ver­handlun­gen mit den Ein­käufern Ihres zukünf­tigen Kun­den kommen aller­dings Fra­gen nach einer Ver­ein­barung zur Auftrags­daten­verar­beitung (ADV), tech­nischen und orga­nisa­torischen Maß­nahmen (TOM) und Pene­trations­tests auf. Nur wenn Sie die erfor­derli­chen Nach­weise erbrin­gen, kann der Kun­de Sie beauf­tragen. Was ist nun zu tun?

Beim Auslagern von Geschäftsprozessen an externe Cloud-Anbieter steigt die Sensibilisierung von Geschäftskunden für die Themen Datenschutz und Datensicherheit. Denn nach dem Bundesdatenschutzgesetzt sind Sie als verantwortliche Stelle weiterhin für die Sicherheit der Kundendaten verantwortlich.

Im Vortrag zeigen Ihnen Exper­ten, wie Sie durch gekonnte Anwen­dung von Daten­schutz und IT-Sicher­heit Aufträ­ge für Ihre SaaS-Lösung gewinnen und lang­fristige Kun­den­bezie­hungen auf­bauen kön­nen. Durch ein Live-Hacking-Beis­piel sehen Sie wie Hacker vor­gehen, um an die Da­ten in Ihrer Web­anwen­dung zu kommen. In der anschlie­ßenden Diskus­sion haben die RoundTable-Teil­nehmer die Möglich­keit sich zu eigenen Erfah­rungen bezüg­lich Anfor­derungen an Daten­schutz und IT-Sicher­heit beim Ver­kauf Ihrer B2B-Lö­sung aus­zutau­schen.

Zielgruppe

Der RoundTable richtet sich vorran­gig an Unter­nehmer, IT-Verant­wortliche, Vertrieb­ler und Produkt­manager, die Software-as-a-Service-Lösungen anbie­ten oder ein­kaufen.

Referenten

Die Referenten sind Exper­ten für Daten­schutz und IT-Sicher­heit. In ihrer Ar­beit betreuen sie Unter­nehmen, die Software-as-a-Service-Lösungen herstel­len und ein­kaufen.

Julian Häcker

Julian Häcker

Julian Häcker ist Mitgründer und Geschäfts­führer der eknowvation GmbH einem Beratungs­unter­nehmen für Daten­schutz. Das Unter­nehmen berät schwer­punkt­mäßig SaaS-Unter­nehmen als Daten­schutz­beauftragte und hilft diesen dabei, die erforder­lichen Daten­schutz­nach­weise zu erbringen und die Beauf­tra­gung zu be­schleu­nigen.
Andreas Sperber

Andreas Sperber

Andreas Sperber ist Mitgründer und Geschäfts­führer der aramido GmbH. Das Unter­nehmen berät Firmen zum Thema IT-Sicher­heit und prüft durch Pene­trations­tests, ob diese einem Hacker­angriff stand­halten wür­den. Zuvor war er beim Privat­unter­kunfts­vermittler gloveler als CTO tätig und er kennt die Web-Branche: zum Thema IT-Sicher­heit gibt es noch viel zu tun.


Neben dem fach­lichen Input der Referen­ten gibt es genü­gend Raum für Fragen und den sowohl fachlichen als auch persön­lichen Erfahrungs­aus­tausch unter den Teil­nehmern und mit den Refe­renten. Sie sind dabei in einer kleinen Gruppe unter Kolle­gen und ler­nen mit- und von­einander. Die Veranstaltung ist kosten­frei und wird ca. 2 Stunden dauern. Die Teil­nehmer­zahl ist be­schränkt. Des­halb unbe­dingt anmel­den!

RoundTable: Gebt mir eure Daten! - Seien Sie mit dabei!

22. Nov. 2016 ab 16 Uhr
RoundTable: Gebt mir eure Daten!
CyberForum (3. OG), Haid-und-Neu-Straße 18, Karlsruhe
Der Eintritt ist frei | CyberForum-Veranstaltung
]]>
2016-09-19T22:53:15+02:00
https://aramido.de/blog/penetrationstest/acht-grunde-fur-einen-penetrationstest <![CDATA[Acht Gründe für einen Penetrationstest]]> Es vergeht selten eine Woche, in der nicht von Angrif­fen auf sensible Sys­teme berichtet wird. Dabei ent­stehen finanzielle Schäden und das Ansehen und Vertrauen bei Kunden und Partnern bröckelt. Teil­weise machen sich Verant­wortliche wie GmbH-Geschäfts­führer auch haftbar, da sie ihre Systeme nicht ausreichend absichern. Im Schadens­fall drohen empfind­liche Buß­gelder.

Um sich also vor Angriffen aus­reichend zu schützen, müs­sen auf un­ter­­schied­­li­chen Ebe­nen ausreichende Ge­gen­­maß­­nah­men er­grif­fen wer­den. Gut ausge­bildete Mitar­beiter und Pro­zesse, die auch IT-Sicherheit mit berück­sichtigen, sind für einen wirkungs­vollen Schutz unab­dingbar. Vor allem ist aber die Sicherheits­prüfung durch einen Penetrations­test von einem unab­hängigen Dritten ein probates Mittel. Dabei wird mit den Werk­zeugen und Metho­den von bös­willigen Hackern die Ver­wundbar­keit von Sys­temen fest­gestellt, wonach entsprechende Schutz­maß­nahmen ergriffen werden können.

Warum braucht man einen Penetrationstest?

Der ehemalige FBI-Direktor Robert Mueller ist der Auffassung, dass "es zwei Arten von Unter­nehmen [gibt]: solche, die schon gehackt wurden, und solche, die es noch werden". Um sich vor Hacker-Angriffen wirksam zu schützen, können Pene­trations­tests ein klares Bild der Sicherheits­lage eines Sys­tems geben. Wir geben acht weitere Gründe, warum Orga­nisationen regel­mäßige Pen­tests brauchen.

1. Schutz von Daten und geistigem Eigentum

Ein Penetrationstest deckt Schwach­stellen auf und prüft, wie ver­wund­bar ein Sys­tem ist. Gemein­sam mit dem Kunden werden anschlie­ßend Absicherungs­maß­nahmen getrof­fen, die bei einem tat­sächli­chen Angriff von bös­willigen Hackern Daten schützen.

2. Schutz vor Ansehensverlust

Die Folge von erfolgreichen Angriffen auf Unter­nehmen sind häufig pein­liche Auf­tritte in der Presse, bei denen sich das Unter­nehmen für den Daten­klau recht­fertigen muss. Eine aus­reichende Ab­sicherung, die durch einen Pene­trations­test von einem unab­hängigen Dritten geprüft wurde, reduziert das Risiko für einen Angriff und schützt damit vor einem möglichen Reputations­verlust.

3. Gesetzliche Pflichten erfüllen

Sensible Daten erfordern besonderen Schutz. Im Rahmen der IT-Gover­nance gibt es zahl­reiche recht­liche Anfor­derungen aus BDSG, HGB, TMG und TKG, die die Ein­führung und das Betrei­ben eines Informations­sicherheits­management­systems erfor­dern. Wer einen soge­nannten 42a-Fall erleidet, ist nach dem BDSG dazu verpflichtet den Vorfall "unver­züglich der zuständi­gen Aufsichts­be­hörde sowie den Be­trof­fenen mit­zu­teilen". Wer gegen diese Infor­mations­pflichten ver­stößt, begeht eine Ordnungs­widrigkeit oder unter Um­ständen sogar eine Straf­tat. In der Reali­tät ist es jedoch nicht trivial fest­zu­stellen, ob ein erfolg­reicher An­griff statt­ge­funden hat. Nicht zuletzt ist es des­halb not­wendig aus­reichende Schutz­maß­nahmen zu ergrei­fen und Sys­teme durch Pentests prüfen zu lassen.

Wie sicher sind Ihre IT-Sys­teme?
Ver­ein­ba­ren Sie mit uns ein Ge­spräch und in­for­mie­ren Sie sich über ei­nen Pe­ne­tra­tions­test für Ihre Sys­teme.

4. Aktuelle Bedrohungslage

Durch immer komplexer werdende IT-Systeme ist es eine Heraus­forderung ge­worden diese voll­um­fäng­lich zu kontrol­lieren und die Sicher­heit zu gewähr­leisten. Dies haben auch Krimi­nelle ent­deckt, die regel­mäßig nach Schwach­stellen in Syste­men suchen. Neben geziel­ten Angrif­fen auf ein konkre­tes Sys­tem sind auto­matisierte Tests durch sogenannte Bots an der Tages­ordnung. Diese durch­forsten das welt­weite Netz auf Schwach­stellen und nutzen Opfer für weitere krimi­nelle Handlungen aus. Lassen Sie deshalb durch einen Pentest Schwach­stellen finden und schließen, bevor Sie von Krimi­nellen gefunden werden.

5. Empfehlungen für Absicherungsmaßnahmen

Wer einen Penetrationstest durch­führen lässt, erhält einen detail­lierten Bericht, der sowohl dem Manage­ment eine Ein­schätzung der aktu­ellen Lage ermöglicht als auch IT-Fach­kräften Empfeh­lungen für kon­krete Absicherungs­maß­nahmen gibt.

6. Zertifizierungen und Compliance

Für gewisse Branchen und Prozesse ist es notwen­dig Standards zu erfül­len. Beispiels­weise müssen Unter­nehmen, die Kredit­karten­trans­aktionen durch­führen, den PCI-Daten­sicherheits­standard erfüllen. Zum Errei­chen der Com­pliance ist es erfor­derlich Sys­teme aus­reichend durch einen unab­hängi­gen Drit­ten prüfen zu lassen. Doch nicht nur offi­zielle Stellen ver­langen Pen­tests. Vor Vertrags­schluss lassen sich Unter­nehmen im B2B-Geschäft gerne versichern, dass der Partner über gut aufge­stellte IT-Systeme verfügt. Ein durch Pene­trations­test nach­gew­iesenes Sicher­heits­niveau ist hier ein klarer Wettbewerbs­vorteil.

7. Qualitätsmanagement

Viele Unternehmen bauen interne QM-Systeme auf, wodurch die Qualität der Dienst­leistungen und Pro­dukte gewähr­leistet werden soll. Neben Code Reviews bei Software­pro­dukten kann durch Penetration Testing die Zuver­lässig­keit der Informations­techno­logie über­prüft und ge­messen werden.

8. Günstigere Prämien für Cyber-Risk-Versicherungen

Wer für seine Systeme ausreichende Kontroll- und Schutz­maß­nahmen imple­men­tiert hat, redu­ziert das Risiko für einen erfolg­reichen Angriff durch Hacker. Das sehen auch Anbieter von Cyber-Risk-Ver­sicher­ungen so und berech­nen ent­sprechend ihre Ver­sicherungs­prämien. Manche Ver­sicherer bieten ihre Pro­dukte sogar nur an, wenn ein Mindest­maß an IT-Sicher­heit vor­handen ist.

]]>
2016-08-18T15:07:31+02:00
https://aramido.de/blog/kommunikationssicherheit/http-security-header-schutzen-ihre-besucher <![CDATA[HTTP Security Header schützen Ihre Besucher]]> Webseiten-Betreiber stecken häu­fig einen gro­ßen Auf­wand in den Schutz des ei­ge­nen Inter­net­an­ge­bots vor An­grif­fen. Mit einer durch­dach­ten Ar­chi­tek­tur und re­gel­mä­ßi­gen Pen­tests kann ein ho­hes Sicher­heits­ni­veau er­reicht wer­den. Da­bei kon­zen­trie­ren sich die Maß­nah­men in der Re­gel je­doch nur auf die Ser­ver-Sei­te und Kom­mu­ni­ka­tion. Der Be­nutzer auf der Client-Sei­te muss in der Re­gel selbst für seine Sicher­heit sor­gen.

Client-Server-Kommunikation
Anfra­ge und Ant­wort im Client-Ser­ver-Mo­dell

HTTP Security Header

Um seine Be­nutzer den­noch vor An­grif­fen bei der Ver­wen­dung des ei­ge­nen In­ter­net­an­ge­bots zu schützen, kön­nen Web­sei­ten-Be­trei­ber so­ge­nannte Se­cu­ri­ty Hea­der ein­setzen. Da­bei han­delt es sich um HTTP Ant­wort-Hea­der, wel­che dem Brow­ser Si­cher­heits­an­wei­sun­gen ge­ben.

Eine Kom­mu­ni­ka­tion von Brow­ser (Client) und Ser­ver läuft ver­ein­facht fol­gen­der­ma­ßen ab, wo­bei die Se­cu­ri­ty Hea­der grün her­vor­ge­ho­ben sind:

Anfrage des Clients
GET / HTTP/1.1
Host: aramido.de
Antwort des Ser­vers
HTTP/1.1 200 OK
Date: Tue, 09 Aug 2016 09:04:07 GMT
ETag: [...]
X-Content-Type-Options: [...]
Strict-Transport-Security: [...]
X-Frame-Options: [...]
Content-Security-Policy: [...]
X-XSS-Protection: [...]
Set-Cookie: PHPSESSID=[...]; path=/; domain=aramido.de; secure; HttpOnly;
Transfer-Encoding: chunked
Content-Type: text/html; charset=UTF-8

<!DOCTYPE html>
<html lang="de">
[...]
</html>

Trotz Ab­siche­rung der Web­an­wen­dung sind An­grif­fe wie Click­jacking, SSL-Strip­ping und Cross-Site In­jec­tions mö­glich. Die­se lau­fen teils Brow­ser-sei­tig ab und der Be­nutzer müss­te die­se An­grif­fe selbst er­ken­nen. Aus die­sem Grund kann der Be­trei­ber einer Web­sei­te den Brow­ser über Se­cu­ri­ty Hea­der an­wei­sen, beis­piels­wei­se eine Sei­te nur über das https-Pro­to­koll auf­zu­ru­fen oder kein In­line-Java­Script inner­halb der Web­sei­te zu­zu­las­sen.
Im Nach­fol­gen­den wer­den alle HTTP Se­cu­ri­ty Hea­der vor­ge­stellt. Wir em­pfeh­len je nach Si­tua­tion von allen Hea­dern Ge­brauch zu ma­chen.

1. Strict-Transport-Security

HTTP Strict Trans­port Security (HSTS) weist den Brow­ser an die Web­sei­te nur noch über sichere https-Ver­bin­dun­gen auf­zu­ru­fen und schützt da­durch bei­spiels­wei­se vor SSL-Strip­ping-An­griffen. Um diese An­wei­sung zu ken­nen, muss der Client die Web­seite natür­lich min­des­tens ein Mal auf­ge­ru­fen ha­ben. Hier­zu gibt es je­doch Ab­hilfe: es ist mö­glich sei­ne Do­main in eine Pre-Load-Lists ein­tragen zu las­sen, wo­durch ein frisch insta­llier­ter Brow­ser be­reits weiß, wel­che Sei­ten nur per https auf­ge­ru­fen wer­den sol­len.

Beispiel
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

2. Public-Key-Pins

Public Key Pinning (HPKP) ist ein Me­cha­nis­mus, der den Miss­brauch von SSL-Zer­tifi­ka­ten ver­hin­dert und da­durch beis­piels­wei­se das Ri­si­ko von Man-in-the-Middle-Angrif­fen (MITM) stark re­du­ziert. Erst kürz­lich ist es wie­der ge­lun­gen Zer­ti­fi­ka­te für be­lie­bi­ge Do­mains aus­zu­stel­len. Durch Key Pin­ning kann der Admi­nis­trator dem Brow­ser mit­teilen, wel­che Zer­ti­fi­kate inner­halb eines be­stimm­ten Zeit­raums für eine ver­schlüs­selte Kom­munika­tion ver­wen­det wer­den dür­fen. Wird ein anderes Zerti­fikat ver­wen­det, des­sen Signa­tur für den Brow­ser unbe­kannt ist, wird die Ver­bin­dung ab­ge­lehnt. Der Schutz tritt ein, nach­dem zum ersten Mal eine Ver­bin­dung auf­ge­baut und der Hea­der über­tra­gen wur­de.

Beispiel
Public-Key-Pins: pin-sha256="Xij2j0o8bKDyEgvB5G4j1Qv0rIi8TSBHBC02B3clUVq="; pin-sha256="YgGWX7JFtb+h6Ctb51sPZiWo3gw9Fr+uJgwmI+TcKLb="; report-uri="http://example.com/pkp-report"; max-age=1209600; includeSubDomains

3. X-Frame-Options

Durch den X-Frame-Op­tions Hea­der können so­genann­te Click­jacking-An­griffe ver­mie­den wer­den, indem Brow­ser die Dar­stel­lung einer Web­seite inner­halb eines Frames verhin­dern. Ist es nicht vor­gese­hen, dass Ihre Web­seite durch einen Iframe auf einer anderen Web­seite ein­gebun­den wird, aktivie­ren Sie diesen Security Header.

Beispiel
X-Frame-Options: deny

4. X-XSS-Protec­tion

Durch den X-XSS-Protec­tion Security Header wird der Browser-Filter gegen Cross Site-Scripting ge­steu­ert. Damit können einige, jedoch nicht alle XSS-Angriffe ver­eitelt werden. Die Schutz­maß­nahme bie­tet dem­nach ein zusätz­liches Netz für einen Defense-In-Depth-An­satz (Zwiebel­schalen­prinzip).

Beispiel
X-XSS-Protection: 1; mode=block

5. X-Content-Type-Options

Bestimmte Browser können über diesen Header ange­wiesen wer­den nur den über einen weite­ren HTTP-Header gesetz­ten Con­tent Type zur Typen­inter­preta­tion einer Da­tei zu ver­wen­den.

Beispiel
X-Content-Type-Options: nosniff

6. Content-Security-Policy

Content-Security-Policy-Header (CSP) können Benu­tzer vor einer gro­ßen An­zahl von An­griffen schü­tzen und sind wohl die mäch­tigs­ten Security-Header. Durch sie kann der Browser beis­piels­weise an­ge­wiesen wer­den aus wel­chen Quel­len Bil­der stam­men oder an wel­che URLs For­mu­lare Da­ten senden dür­fen.

Beispiel
content-security-policy: default-src 'self'; object-src 'none'; img-src 'self' https://cdn.aramido.de; report-uri /csp/report

Security Header über­prü­fen

Um das eigene Internet­ange­bot zu über­prüfen, ste­hen im Inter­net diver­se Tools zur Ver­fü­gung. Das HTTP-Obser­vatory bietet die Mö­glich­keit mit einem Mal eine Web­seite durch meh­rere Scanner prü­fen zu las­sen. Bei auto­mati­schen Tests ist es natür­lich wich­tig Er­geb­nisse zu veri­fizie­ren und zu inter­pre­tieren.

Fazit

Wer von Security Hea­dern Ge­brauch macht, unter­nimmt nicht Maß­nah­men auf Ser­ver-Sei­te und der Kom­muni­kations­ebene, son­dern auch auf der Benutzer-Seite. Aktuelle Brow­ser kön­nen mit Securi­ty Hea­dern um­gehen und schützen den Be­nutzer vor An­griffen wie SSL-Strip­ping, Man-in-the-Middle und Click­jacking. Zwar wird es auch durch den Ein­satz von Security Headern keine ab­so­lute Sicher­heit ge­ben; dennoch ist es ein rich­tiger Schritt in Rich­tung Defense-In-Depth.

]]>
2016-08-10T18:26:45+02:00
https://aramido.de/blog/datensicherheit/mehr-it-sicherheit-fur-hotels-notwendig <![CDATA[Mehr IT-Sicherheit für Hotels notwendig]]> Wie schon in unserem Arti­kel zur Sicher­heit von Kredit­karten­daten in Hotels be­schrie­ben, ist das The­ma IT-Sicher­heit für Ho­tels von gro­ßer Wichtig­keit. Des­halb wurde die Ini­tia­tive IT-Sicher­heit für Ho­tels ins Le­ben ge­ru­fen, um das Sicher­heits­ni­veau von Ho­tels zu stei­gern.

Web­sei­ten von Ho­tels sind häu­fig an­fäl­lig

Aus un­serer mehr­jährigen Erfah­rung in der Hotel­lerie wis­sen wir, an wel­chen Stel­len die Infor­mations­technik von Ho­tels beson­ders anfäl­lig ist. Eine häu­fige Schwach­stel­le ist die Ho­tel-Web­sei­te. Wäh­rend diese frü­her meis­tens nur als er­wei­terte Visi­ten­kar­te ge­dient hat, bietet sie heute er­wei­ter­te Funktio­nali­tä­ten von Reser­vierungs­for­mu­la­ren bis hin zu kom­plet­ten On­line-Buchungs­ma­schi­nen. Da­bei wer­den sen­sib­le Da­ten wie E-Mail-Adres­sen und Bank­ver­bin­dun­gen über­tra­gen. In ei­ner aktu­ellen Stu­die haben wir eine Stich­pro­be von 87 Hotel­web­sei­ten unter­sucht und da­bei fest­stel­len müs­sen, dass nur sie­ben Pro­zent der Ho­tels eine ver­schlüs­selte Kom­muni­kation ein­setzen. Das ist nicht nur ein Prob­lem für die Daten­sicher­heit, son­dern auch ein Ver­stoß gegen Daten­schutz­gesetze. Durch das im letz­ten Jahr in Kraft ge­tre­tene IT-Sicher­heits­ge­setzt wurde das Tele­medien­gesetzt (§13 Ab­satz 7) dahin­gehend er­wei­tert, dass An­bie­ter von Web­sei­ten per­so­nen­be­zo­gene Daten nur ver­schlüs­selt (also per https-Proto­koll) über­tra­gen dür­fen. Das bay­erische Landesa­mt für Daten­schutz hat be­reits Ende letz­ten Jahr­es da­mit begon­nen Web­seiten zu über­prü­fen, die Kontakt­formu­lare un­ver­schlüs­selt an­bie­ten.

Er­füllt Ihre Hotel­web­sei­te die aktu­el­len Daten­schutz­bestim­mun­gen? Wir hel­fen Ihnen bei der Um­set­zung eines si­cheren Web­auf­tritts.

Verschlüsselungstrojaner und WLAN-Netze weitere kriti­sche Punkte

Zwei wei­tere kriti­sche Berei­che für Ho­tels sind zum einen die An­fällig­keit für Verschlüs­selungs­troja­ner und zum anderen unzu­reichend ge­si­cher­te WLAN-Netze. Gäs­te er­war­ten heut­zu­tage ein gut funktio­nieren­des, sicher­es WLAN-Netz genauso wie fließend Warm­was­ser und eine Hei­zung im Win­ter. Wir haben dazu be­reits be­rich­tet, wie man sichere WLAN-Netze an­bietet und wel­che Ab­sicherungs­metho­den nur eine Schein-Sicher­heit brin­gen.

Das Sicherheitsniveau von Hotels steigern

Die Initiative IT-Sicherheit für Ho­tels, bie­tet ver­schie­dene Lö­sun­gen, um das Sicher­heits­ni­veau von Ho­tels jeder Größe zu er­hö­hen. An­ge­fan­gen beim IT-Sicher­heits­check als Be­stands­auf­nah­me der ver­wen­de­ten Sys­teme und Sicher­heits­maß­nah­men über Schu­lun­gen zur Stei­gerung des Sicher­heits­be­wusst­seins von Mit­ar­bei­tern bis hin zur Ab­si­cherung von Infra­struk­tur, Web­seiten und Net­zen bie­ten wir maß­ge­schnei­der­te Lö­sun­gen für Ho­tel­iers an.

Sichern Sie sich jetzt kostenlos den IT-Krisen­plan für Ihr Ho­tel, um für den Not­fall vor­be­rei­tet zu sein. Ver­ein­ba­ren Sie außer­dem ein un­ver­bind­liches Erst­ge­spräch mit den Sicher­heits­be­ra­tern von ara­mido zur Be­sprechung Ihrer indi­vi­duel­len Si­tu­ation.

Kontaktieren Sie uns auch, wenn Sie Par­tner der In­itia­tive wer­den und ei­gene Lö­sun­gen für Ho­tels ein­brin­gen wol­len.

]]>
2016-08-03T18:14:46+02:00
https://aramido.de/blog/penetrationstest/was-ist-ein-penetrationstest <![CDATA[Was ist ein Penetrationstest?]]> Heutzutage sind IT-Sys­teme ein fes­ter Be­stand­teil un­se­res Le­bens. Häuf­ig ver­netzt, sind sie stän­di­gen Be­dro­hun­gen von Kri­mi­nel­len aus­ge­setzt. Bös­wil­lige Hacker ver­su­chen Schwach­stel­len von Pro­gram­men und Ser­vern aus­zu­nutzen, um da­raus Pro­fit zu schla­gen.

Gegen sol­che An­grif­fe müs­sen auf un­ter­schied­li­chen Ebe­nen Ge­gen­maß­nah­men er­grif­fen wer­den. So kön­nen durch gut aus­ge­bil­de­te Ent­wickler oder eine frü­he Be­rück­sich­ti­gung von IT-Si­cher­heit im Pla­nungs­pro­zess von Pro­jek­ten Feh­ler ver­mie­den wer­den. Durch die ho­he Kom­ple­xi­tät von IT- und Soft­ware­sys­te­men ist vor allem ein Pe­ne­tra­tions­test ein wir­kungs­vol­les Mittel, um prä­ven­tiv Schutz­maß­nah­men vor Hacker­an­grif­fen zu er­grei­fen. Ein Pe­ne­tra­tions­test ist eine um­fas­sen­de Prü­fung durch IT-Si­cher­heits­ex­per­ten, um mit den Mit­teln und Me­tho­den von bös­wil­ligen Hackern (so­ge­nann­te Black Hat Hacker) die Em­pfind­lich­keit von Sys­te­men ge­gen­über An­grif­fen fest­zu­stel­len.

IT-Sicher­heit durch Pen­tests

Ziel eines Pen­tests ist die Sicher­heits­prü­fung eines Sys­tems, da­bei Schwach­stel­len auf­zu­de­cken und eine Ein­schä­tzung der Ge­fah­ren­si­tua­tion zu ge­ben. Beim Ethical Hacking wird der Pro­band des­halb durch Sicher­heits­ex­per­ten ma­nu­ell un­ter­sucht und an­ge­grif­fen, wie wenn ein Cracker am Werk wäre. Alle durch­ge­führ­ten Tests wer­den pro­to­kol­liert, Lö­sungs­an­sätze für Schwach­punk­te er­ar­bei­tet und das Er­ge­bnis in einem Be­richt dem Auf­trag­ge­ber vor­ge­stellt. Die­ser ar­bei­tet eng mit den Pe­ne­tra­tion Tes­tern zu­samm­en, um ge­mäß Dring­lich­keit und Wich­tig­keit das an­ge­streb­te IT-Si­cher­heits­ni­veau zu er­rei­chen.

Wie sicher sind Ihre IT-Sys­teme?
Ver­ein­ba­ren Sie mit uns ein Ge­spräch und in­for­mie­ren Sie sich über ei­nen Pe­ne­tra­tions­test für Ihre Sys­teme.

Was ist kein Pentest?

Im Un­ter­schied zu Pe­ne­tra­tion­tests sind Vul­ne­ra­bi­li­ty oder Se­cu­rity Scans auto­ma­tische Prü­fun­gen, meist für Stan­dard­soft­ware und be­kannte Schwach­stel­len. Durch die­se Scans wer­den be­kannte Sys­te­me auf be­kannte Pro­ble­me ge­tes­tet. Beim Ein­satz für In­di­vi­dual­sys­te­me ver­sa­gen sie meist bzw. lie­fern kein re­le­van­tes Er­geb­nis. Hier liegt die Stär­ke von Pe­ne­tra­tions­tests: nach gründ­li­cher Vor­be­rei­tung führt der Pen­tes­ter in­di­vi­du­ell auf das Ziel­sys­tem ab­ge­stimm­te An­grif­fe un­ter Zu­hil­fe­nah­me von Werk­zeu­gen durch, um die zahl­rei­chen An­griffs­me­tho­den von Hackern nach­zu­bil­den.

]]>
2016-08-01T19:56:19+02:00
https://aramido.de/blog/serversicherheit/penetrationstest-angebot-von-aramido-opfer-einer-ddos-attacke <![CDATA[Penetrationstest-Angebot von aramido Opfer einer DDoS-Attacke?]]> Unerklärbare Traffic-Ausschläge

Eine Webseite wie aramido.de, die sich mit einem Spezial­thema vor allem an Unter­nehmens­kunden wendet, zieht normaler­weise weniger Be­sucher an, als große Nach­richten­portale oder E-Commerce-Shops. Am 1. Juli 2016 um 18:35 war dies anders. Auf einen Schlag ver­viel­fach­ten sich die Zu­griffe auf unserer Web­seite. Beson­ders für unser Pene­trations­test-Ange­bot schienen sich die Be­sucher zu interes­sieren.

Läuft ein DDoS-Angriff auf aramido?

Dieses Muster ist typisch für einen Über­lastungs­angriff auf Web­dienste, wodurch ein sogenannter Denial of Service (DoS) verursacht wird. Dabei werden inner­halb kurzer Zeit eine Viel­zahl von An­fragen an den Web­server gestellt, der durch die Über­lastung über­fordert ist und weitere Anfragen legi­timer Besucher ab­blockt. Häufig ver­wenden An­greifer dabei auch speziell gestal­tete An­fragen, die den Web­server beson­ders viel Rechen­kapazität kos­ten. Gerade vor Weih­nachten, wenn viele Web­shops ihren größten Um­satz machen, häufen sich diese An­griffe. Die An­grei­fer ver­langen dabei in einer Art Schutz­geld­er­pres­sung von den Shop­betrei­bern Zahlung­en, damit die An­griffe nach­lassen.

Ist die Verfügbarkeit Ihrer Webanwendung durch (D)DoS-Attacken bedroht? Wir unterstützen Sie dabei Angriffe zu erkennen und abzuwehren.

Doch zu­rück zu un­serem Fall. Die Auf­rufe kamen alle von ver­schie­denen Rech­nern, was das klas­sische Mus­ter eines so­ge­nannten dis­tributed (ver­teilten) DoS-Angriff wäre. Die Re­cher­che nach dem Grund des ra­piden An­stiegs an Seiten­aufru­fen führte uns zu Google als Traffic-Quelle. Google Trends zeigt, dass am 1. Juli so viele Men­schen nach dem Such­begriff Penetrationstest ge­sucht hatten, wie noch nie zuvor in den letz­ten zehn Jahren.

Google Trends Penetrationstest
Google Trends für den Suchbegriff Pe­ne­trations­test

Warum interessieren sich so viele Menschen für Pene­trations­tests?

Der Be­sucher­anstieg auf un­serer Web­seite scheint also kein ge­zielter An­griff zu sein, sondern wurde durch le­gi­time An­fragen vieler an Pene­trations­tests interes­sierter Me­nschen aus­gelöst. Beim Heraus­finden, woher dieses Inter­esse kommt, hilft uns die Rubrik Verwandte Such­anfragen von Google Trends. Dort wird auf den Begriff Lüster und Orient ver­wiesen. Sucht man bei Google nach diesem Thema erscheint als erstes Er­gebnis die Web­seite der ARD-Quiz­show Wer weiß denn sowas?. Und tat­säch­lich, am 1. Juli um 18:35 wurde in der Show gefragt: „Wo kommt ein Pene­trations­test zum Ein­satz?“. Da­nach haben nach unseren Schätz­ungen mehr als 10.000 Men­schen inner­halb weniger Minu­ten bei Google den Begriff Pene­trations­test gesucht, die auch auf den Penetrationstest-Seiten von aramido gelandet sind.

Fazit

Der Fall zeigt, wie schwer es ist, DDoS-An­griffe von legi­timen Seiten­besuchen zu unter­scheiden und ab­zu­wehren. Während man bei DoS-An­griffen noch tech­nische Maß­nahmen zur Ab­wehr treffen kann, hilft es bei DDoS-An­griffen häufig nur, die IT-Infra­struktur im rich­tigen Mo­ment entsprechend zu skalieren. Vertrauen Sie auf unsere Ex­pertise bei der rich­tigen Konfi­guration Ihrer Web­anwen­dungen und Server, dem Ein­richten eines Intrusion Pre­vention Systems (IPS) und der Wahl der effek­tivsten Ska­lierungs­strategie. Wir freuen uns auf Ihre Kontaktaufnahme.

]]>
2016-07-19T10:46:59+02:00
https://aramido.de/blog/datensicherheit/was-hotels-beim-umgang-mit-kreditkartendaten-beachten-mussen <![CDATA[Was Hotels beim Umgang mit Kreditkartendaten beachten müssen]]> „Ihre Kreditkarte wurde aufgrund unge­wöhn­licher Trans­aktio­nen gesperrt“.

Diese Information teilte mir meine Bank mit, als ich letzten Sommer auf dem Weg in den Urlaub war. Durch weitere Infor­matio­nen zum Ein­satz der Kredit­karte konnte ich den Dieb­stahl auf eine Buchung eines Hotels über die Buchungs­webseite booking.com zurückführen. Die Reak­tionen von booking.com und dem Hotel auf meinen Hinweis zu einer mög­lichen Sicherheits­lücke waren leider sehr ernüch­ternd und zeug­ten von großem Unverständnis. Booking.com teilte mir sogar mit, dass von ihrer Seite aus alles sicher sein muss, da meine Kreditkartendaten ja verschlüs­selt wären. Dies stimmt zwar für den Transport der Kredit­karten­daten von meinem Rechner zum booking.com-Server. Von dort werden Kredit­karten­daten aber meis­tens unver­schlüsselt, per Fax an das Hotel zusammen mit den restlichen Buchungs­infor­mationen weiter­geleitet. Es ist wahr­scheinlich, dass dieses Fax im Hotel in die falschen Finger geraten ist. So sind mir das Hotel und booking.com statt mit einem schönen Strand­urlaub mit Nerv raubenden Telefon­anrufen zum Auf­klären eines Kredit­karten­daten­dieb­stahls im Gedächt­nis geblieben.

Hotels im Visier von Kriminellen

Diese Geschichte zeigt, dass Hotels im Visier von Krimi­nellen sind. Diese haben es auf die Viel­zahl an Per­sonen- und Fi­nanz­da­ten abge­sehen, die in der Hotel­lerie anfallen. Die Meldungen über IT-Sicher­heits­vorfälle in Hotels häufen sich. Erst vor Kurzem, am 27.Juni 2016, musste das Hard Rock Hotel in Las Vegas seine Gäste über einen massen­haften Dieb­stahl von Kredit­karten­daten unter­richten. Daran sieht man, dass selbst große Hotel­ketten neu­artigen IT-Risiken nicht dieselbe hohe Priorität einräumen, die zum Bei­spiel der Brand­schutz schon seit langem in der Hotel­lerie genießt.

Hotels müssen PCI-DSS-konform sein

Dabei unterliegen eigentlich seit Ende 2013 alle Hotels, die Kredit­karten akzep­tieren, den Regel­ungen des Payment Card Industry Data Security Standard (PCI DSS). Dieser Standard regelt die Sicherheits­vorkehr­ungen, die Kredit­karten­akzeptanz­stellen der wichtig­sten Kredit­karten­gesell­schaften wie Visa und Master Card erfüllen müssen. Im Falle der Nicht­einhal­tung der Stand­ards können Straf­gebühren verhängt und die Akzeptanz von Kredit­karten untersagt werden.

PCI-DSS-Konformität externer Dienstleister muss überprüft werden.

Viele Hotels verwenden an der Rezeption Kredit­karten­termi­nals eines Zahlungs­anbieters und haben die Buchungs­ma­schine eines exter­nen An­bieters eingebunden. Auch in diesen Fällen unter­liegen sie grund­sätzlich den PCI-DSS-Regu­larien. Der Um­fang der Sicher­heits­maß­nahmen, die ein­ge­halten und durch einen Frage­bogen (dem Self Asses­ment Questio­nare SAQ) nach­ge­wiesen werden müssen, unter­scheidet sich aller­dings nach der Art der Kredit­karten­daten­ver­arbeitung. Je nachdem, ob Kredit­karten­daten nur auf Papier vorliegen oder auch digital abge­speichert werden, gelten unter­schiedlich strenge Vor­gaben. Typischer­weise müssen Hotels den SAQ-B mit 38 Fragen oder den SAQ-B-IP mit 62 Fragen beant­worten. Details zu den hotel­typischen An­forder­ungen an diese Frage­bögen enthält der PCI-Leit­faden des Hotel­verbandes IHA. Sobald aller­dings Kredit­karten­daten elek­tronisch gespei­chert werden (zum Beispiel in E-Mails oder als Scans) müssen Hotels die Vor­schriften des umfang­reichsten Fragebogen SAQ-D mit 241 Fragen erfüllen. Zusätz­lich ist der Hotelier in der Pflicht, sich die PCI-DSS-Kon­formität seiner Kredit­karten-Dienst­leister nach­weisen zu lassen. Dies betrifft zum Beispiel Channel Manager, Gutschein-Shops und Online Booking Engines.

Sie sind unsicher, welche PCI-Klassi­fizier­ung auf Sie zu­trifft? Wir klären mit Ihnen in einem kosten­losen Erst­gespräch Ihre Einstu­fung.

Typische Gefahren beim Umgang mit Kreditkartendaten

Zuletzt wollen wir noch vor einigen häufig anzu­treffenden Fehler beim Umgang mit Kredit­karten­daten in Hotels warnen. Diese bringen einer­seits die Gefahr des Dieb­stahls der Kredit­kartendaten mit sich und verstoßen anderer­seits gegen die PCI-Vor­schriften.

Digitale Speicherung von Kreditkartendaten

Nur weil man als Hotel von Gästen keine Kredit­karten­daten per E-Mail verlangt, heißt das nicht, dass Gäste diese nicht trotzdem un­aufge­fordert senden. Werden diese E-Mails nicht sofort und um­fassend gelöscht, würde das Hotel in den PCI-DSS-An­forder­ungen in die höchste Gefahren­klasse SAQ-D fallen. Aber auch die Be­hand­lung von Fax-Nach­richten darf nicht ver­gessen werden. Diese kommen heut­zutage auch als E-Fax auf elek­tronischem Weg. Wenn diese, wie in der ein­gangs ge­schil­derten Ge­schichte der booking.com Buchungs­bestätigung, Kredit­karten­daten ent­halten, kommt zum Schaden durch den eigent­lichen Kredit­karten­diebstahl schnell eine Unter­suchung wegen eines mög­lichen Verstoßes gegen PCI-Regeln hinzu.

Unsichere Buchungsstrecken

Eine zweite Schwach­stelle, die wir häufig beo­bachten, tritt bei der Reali­sierung von Buchungs­strecken auf Hotel-Web­seiten über die Internet Booking Engine (IBE) eines externen Anbieters auf. Die Buchungs­maschine wird dabei meistens mittels eines soge­nannten https-iframe eingebunden. Dadurch wird die Kredit­karten-Trans­aktion prinzip­iell per TLS ver­schlüs­selt auf dem Server des IBE-An­bie­ters durch­geführt. Eine Sicher­heits­lücke ent­steht aber dann, wenn die Hotel-Web­seite, in der die IBE eingebunden ist, unver­schlüs­selt per http ausgeliefert wird. Hier­durch können Krimi­nelle mit einem soge­nannten Man-in-the-Middle-Angriff den Inhalt der Webseite manipulieren und damit auch das eigentlich sichere Iframe durch eine Kopie aus­tauschen, die die Kredit­karten­daten der Hotel­gäste mit­liest. Beson­ders delikat wird das Ganze im Fall des Hotels, bei dem der Man-in-the-Middle-An­griff auf die Hotel-Web­seite durch ein un­sicher­es Hotel-WLAN aus dem eigenen Haus heraus er­möglicht wird. Das ist aber eine Ge­schichte für einen anderen Blog-Beitrag.

Wenden Sie sich an uns, falls Sie Zweifel haben, in welche SAQ-Kate­gorie zum Nachweis der PCI-DSS-Compliance Ihr Hotel fällt oder wie Sie die ge­for­derten Sicher­heits­maß­nahmen um­setzen können. Die Berater von aramido haben neben dem not­wendigen IT-Sicher­heits-Know-How operative Er­fahrung in der Hotellerie und können Sie so optimal bei allen Frage­stellungen beraten. Ver­einbaren Sie jetzt Ihr kosten­loses Erst­gespräch!

]]>
2016-07-01T15:35:10+02:00
https://aramido.de/blog/aramido/mit-aramido-sind-sie-gut-beraten <![CDATA[Mit aramido sind Sie gut beraten]]> Heute berichten wir über Neuig­keiten in eigener Sache. Es gibt zwei erfreu­liche Nach­richten zu verkünden, von denen auch Sie als Kunde der aramido GmbH profi­tieren können.

Mitgliedschaft im Beraternetz Karlsruhe

Anfang Juni ist aramido Mit­glied im Berater­netz Karls­ruhe geworden. Das Berater­netz ist eine Initiative der Wirtschafts­stiftung Süd­west, die eine gemein­nützige Stif­tung der Wirt­schafts­förderung Karls­ruhe, der Spar­kasse Karls­ruhe und Volks­bank Karls­ruhe ist. Die Berater des Netz­werks haben sich den Beratungs­grundsätzen des Berater­netzes ver­pflichtet, die unter anderem die Erbring­ung einer kosten­losen Erst­beratung, die Vertrau­lichkeit der Kunden­informationen und die Unab­hängigkeit der Beratung bein­halten. Durch die Mitglied­schaft von aramido im Berater­netz profi­tieren Sie außer der gewohnt hohen Qualität unserer Beratung von einem breiten Netz­werk an Fach­leuten aus verschie­denen Berei­chen wie Wirtschafts­prüfung, Personal­manage­ment und Recht, auf die wir bei Bedarf zurück­greifen können.

Qualifizierung als förderfähige Beratung

Von der zweiten Neuer­ung profitieren Sie auch finan­ziell. Durch die Aufnahme von aramido als Berater im Pro­gramm För­derung Unter­nehmerischen Know-hows des Bunds­amts für Wirtschaft und Ausfuhr­kontrolle (BAFA) erhalten Sie für Beratungs­projekte mit uns einen Zuschuss von bis zu 2.000 Euro. Die Zuschüsse betragen normaler­weise 50 % der Projekt­summe. Die Ober­grenze der geförderten Projekt­summe beträgt bei Unter­nehmen, die jünger als zwei Jahre sind 4.000 Euro und bei älteren Unter­nehmen 3.000 Euro.

Sprechen Sie uns an, wenn Sie an einem durch die BAFA geför­derten Projekt interes­siert sind. Das Vor­gehen, um eine Förder­ung zu erhalten ist wie folgt:

  1. Wir definieren gemeinsam den Projekt­rahmen auf Basis Ihres Beratungs­bedarfs. Bei Unter­nehmen, die jünger als zwei Jahre sind, findet zusätzlich ein Gespräch mit einem Regional­partner der BAFA statt. Im Regel­fall ist das die lokale IHK.
  2. Im Anschluss stellen Sie den Antrag auf Förder­ung online über die Antrags­plattform der BAFA.
  3. Nach dem Erhalt des Informations­schreiben zum Antrag, kann der Beratungs­vertrag unter­schrieben und die Bera­tung begon­nen werden.
  4. Spätestens sechs Monate nach Er­halt des Infor­mations­schrei­bens muss das Projekt abge­schlossen, der Eigen­anteil bezahlt und ein Ver­wen­dungs­nach­weis einge­reicht worden sein. Die Erstel­lung des Ver­wen­dungs­nach­weises kann zum Großteil durch uns erledigt werden. Nach Ein­reichung erhalten Sie von der BAFA die bean­tragte Förder­summe erstattet.
Logo BAFA Logo Beraternetz
]]>
2016-06-23T18:14:02+02:00
https://aramido.de/blog/datensicherheit/infektion-durch-einen-kryptovirus <![CDATA[Infektion durch einen Kryptovirus]]> Dieser Artikel ist Teil einer Artikelserie zum Thema Ransomware. Alle Artikel der Serie finden Sie auf unserer Ransomware-Themenseite.

Seit Ende 2015 verbreiten sich Krypto-Locker mit großer Geschwindigkeit. Sie infizieren Rechner und alle mit ihnen verbundenen Datenspeicher, auch die in der Cloud. Dabei werden persönliche Dokumente, Bilder und auch Filme verschlüsselt. Im aramido-Labor haben wir das gemacht, was man nie tun sollte: wir haben eine E-Mail mit einem Verschlüsselungstrojaner geöffnet und uns dabei mit Locky infiziert. Wir zeigen Ihnen, wie eine Infektion abläuft und welche Möglichkeiten es gibt an die verschlüsselten Daten wieder heranzukommen.

Verdächtige E-Mail mit Anhang

In unserem Labor haben wir einen Rechner mit Windows 8 und dem E-Mail-Programm Microsoft Outlook vorbereitet, wie er bei Firmen oder auch zu Hause im Einsatz ist. Zusätzlich haben wir die Windows-eigene Firewall und einen Virenscanner installiert. Outlook hat die E-Mail mit dem Kryptovirus nicht als Spam eingestuft; jedoch erkennt das geschulte Auge schnell, dass etwas nicht stimmen kann:

  • die Anrede ist mit „Hallo ,“ etwas kurz ausgefallen und es fehlt offensichtlich der Name,
  • zwei Rechtschreibfehler in einem Einzeiler sind seltsam,
  • zwei Rechnungen in einem Word-Makro-Dokument (.docm) sind ungewöhnlich und
  • besprochen, wie in der E-Mail behauptet, haben wir mit Avdyl Hima nie etwas.

Nach dem Öffnen des Dokuments müssen wir Makros aktivieren und es dauert einen Moment, wonach wir eine Warnung von unserem Virenscanner erhalten. Dieser hat prompt den Trojaner erkannt und verhindert die weitere Ausführung. Da es jedoch sein kann, dass der Virenscanner einen neuen Trojaner noch nicht kennt, deaktivieren wir den Virenscanner. Danach geht alles ganz schnell: nach dem erneuten Öffnen der Rechnung und dem Aktivieren der Makros werden alle Dateien auf dem Rechner verschlüsselt und wir erhalten den Erpresserbrief. Wir haben uns mit dem Krypto-Trojaner Locky infiziert.

Alle Dateien wurden mit RSA-2048 und AES-128 Ziffern verschlüsselt.

Selbständig öffnet sich die Windows Fotoanzeige und der Browser mit der Meldung, dass alle Dateien mit RSA-2048 und AES-128 Ziffern verschlüsselt wurden. Auch wurde das Desktop-Hintergrundbild mit der gleichen Nachricht ausgetauscht. Ein Blick in die eigenen Dateien verrät, dass die Erpresser ihre Drohung wahr gemacht haben. Jede Datei hat nun einen kryptischen Dateinamen und die Endung .locky.

Lösegeld mit Bitcoins bezahlen

Damit die Erpresser anonym und unsichtbar bleiben, verwenden sie das Tor-Netzwerk. Die Webseite, die wir aufrufen sollen, um Informationen zur Lösegeldzahlung zu erhalten, kann deshalb nicht aufgespürt werden. Auf dieser Webseite wird uns angeboten den Locky Decryptor zu kaufen, mit dem wir anschließend angeblich unsere Dateien wieder entschlüsseln können. Es wird außerdem erklärt, wie wir die Lösegeldforderung in Höhe von 4,1 BTC (Bitcoins) – umgerechnet knapp 2000 € - zahlen können.

An dieser Stelle gehen wir nicht weiter: auf die Lösegeldforderung einzugehen ist für uns keine Option, da wir für den Notfall mit Backups und anderen Maßnahmen vorbereitet sind. Wir werden jedoch in einem weiteren Beitrag berichten, wie die Daten durch eine Entschlüsselungssoftware oder durch andere Maßnahmen wieder hergestellt werden können.

Fazit

Eine Infektion durch Ransomware hat schwere Folgen: Persönliche Dateien werden schnell verschlüsselt und es gibt keine Möglichkeit an die Daten wieder heranzukommen, es sei denn man hat sich ausreichend auf solch einen Notfall vorbereitet oder man ist bereit das Lösegeld zu zahlen. Wer verdächtige E-Mails identifiziert und seine Software mitsamt Virenscanner aktuell hält hat ein geringes Risiko sich mit einem Kryptotrojaner zu infizieren. Wird der Computer dennoch befallen, müssen die richtigen Handlungen in dieser Notfallsituation in die Wege geleitet werden.

Die Sicherheitsexperten von aramido helfen Ihnen im Notfall schnell und unkompliziert.

Technische Hintergrundinformationen

Die Infektion fand durch das Ausführen von Makros aus dem Word-Dokument statt. In dem Dokument selbst findet man eine große Menge an stark verschachteltem, teilweise überflüssigem Makro-Code, um das eigentliche Vorgehen zu verschleiern.

Sub autoopen() 'Dieser Sub wird beim Öffnen des Dokuments ausgeführt
If deletemonsters(0) > 0 Then 'In seltenen Fall (deletemonsters == 0) wird das Opfer nicht infiziert
  makeplatform 0, 0, 0, 0 'Führt erneut mehrere Subs verschachtelt und sequentiell aus
End If
End Sub

Function deletemonsters(a As Integer) As Double
    Dim b As Integer
    If a > 0 Then 'Diese Bedingung ist hier immer FALSCH
        For b = 0 To 16
            plan.ets(a).mon_template(b) = m
            plan.ets(a).mon_noamin(b) = 0
            plan.ets(a).Mon_noamax(b) = 0
        Next
    End If
Randomize
deletemonsters = Rnd 'Es wird eine Zahl kleiner 1 und größer gleich 0 zurück gegeben
End Function

Weiterer Makrocode lädt aus den Eigenschaften eines Bilds, das in einem Formular des Dokuments integriert ist, verschleierte Anweisungen, durch die weitere Schadsoftware geladen und ausgeführt wird. Die URL hierzu wird durch komplizierte Anweisungen aus ASCII-Zeichen zusammengebaut, sodass eine Textsuche nach Domains oder Zeichenketten wie "http" erfolglos bleiben.

In unserem Fall wurde der Schadcode von einem infizierten Server einer polnischen Schule nachgeladen und ausgeführt. Dieses Verhalten ist häufig zu beobachten und es gibt zahlreiche Hosts im Internet, die durch Sicherheitslücken oder schwache Absicherungen gekapert wurden. Sichern Sie Ihre Dienste ausreichend gegen Angriffe und lassen Sie diese durch einen Penetrationstest überprüfen.

Eine Übersicht aller bereits veröffentlichter Artikel finden Sie auf unserer Themenseite Ransomware. Bisher sind außer diesem Artikel die folgenden Artikel erschienen:
]]>
2016-06-14T18:12:53+02:00
https://aramido.de/blog/datensicherheit/hilfe-mein-computer-erpresst-mich-der-ransomware-krisenplan <![CDATA[Hilfe, mein Computer erpresst mich! Der Ransomware-Krisenplan.]]> Dieser Artikel ist Teil einer Artikelserie zum Thema Ransomware. Alle Artikel der Serie finden Sie auf unserer Ransomware-Themenseite.

Man war immer vorsichtig mit E-Mail-Anhängen, die Anti-Virus-Software ist immer auf dem neusten Stand und trotzdem hat er zugeschlagen: der Kryp­to­trojaner! Meistens erfährt man es erst, wenn es eigentlich schon zu spät ist und alle Dateien verschlüsselt sind. Denn erst, wenn sie ihre Arbeit erledigt haben, weisen die meisten Trojaner auf ihre Existenz durch veränderte Desktop-Hinter­gründe oder geöffnete Text­dateien hin. Wir klären auf, wie man in dieser Situation am besten reagiert.

PDF-Download der Anleitung zum Ransomware Incident Response

1. Die Sofortreaktion

Wenn Sie erste Anzeichen von Ver­schlüs­selungs­aktivitäten auf Ihrem Rechner feststellen, z.B. durch langsame Reaktion des Rechners oder sich ver­ändernde Datei­namen, sollten Sie schnell reagieren und Sofort­maßnahmen ergreifen. Wenn der Trojaner mit der Ver­schlüs­selung der Daten beschäftigt ist und noch keine Lösegeld­forderung erschienen ist, sollten Sie den Rechner schnellst­möglich ausschalten, gege­benen­falls vom Strom trennen, und nicht mehr neu starten. Trennen Sie außerdem verbundene Speicher­medien wie USB-Sticks oder externe Festplatten. Falls Sie erst durch die Lösegeld­forderung auf den Trojaner aufmerksam gemacht wurden, ist die Verschlüs­selung der Dateien normalerweise bereits abgeschlossen. Nichtsdesto­trotz sollten Sie den Rechner vom Internet und Intranet trennen, können ihn aber noch laufen lassen, um die Art des Trojaners festzu­stellen und gegebenen­falls noch Dateien zu sichern. Das Trennen des Internets funktioniert am leichtesten über das Ziehen des Netzwerk­steckers oder das Deaktivieren des WLAN-Adapters.

Falls der Rechner Teil eines Firmen­netzwerks ist und zum Beispiel Zugriff auf gemeinsame Netzlauf­werke hat, sollten Sie überprüfen wie weit diese Lauf­werke und weitere Rechner betroffen sind. In diesem Fall ist die sofortige Kontakt­ierung eines Sicher­heits­experten von aramido unter der Notfall­nummer +49 721 45199 112 angeraten.

2. Entscheidungen zum weiteren Vorgehen

Bevor Sie nun weitere Schritte einleiten, sollten Sie einige Fragen klären:

  1. Soll der Vorfall juristisch und technisch aufbereitet werden?
  2. Sind Backups vorhanden und wie alt ist das jüngste Backup?
  3. Welchen Wert haben die verschlüsselten Dateien für Sie?

Die erste Frage entscheidet darüber wie vorsichtig bei der System­wiederher­stellung vorgegangen werden muss. Wenn eine fachmännische digitale Forensik durchgeführt werden soll, um gerichts­verwertbare Beweise zu sichern, um Dateien aus dem Arbeits­speicher zu retten oder um den Weg, über den der Trojaner auf den Rechner gelangt ist, festzustellen, sollten Sie diese Arbeiten durch einen Spezialisten durchführen lassen. Die IT-Sicherheits­experten von aramido führen für Sie eine fach­gerechte digitale Forensik durch.

Auch wenn Sie keine Beweis­sicherung vorge­nommen haben, sollten Sie die Erpressung bei der zuständigen Polizei­dienststelle zur Anzeige bringen. Auf diese Weise tragen Sie dazu bei den Ermittlungs­druck gegen die Hinter­männer der Ransom­ware-Welle zu vergrößern.

Als nächstes sollten Sie über­prüfen, ob ein funktions­fähiges Backup vorhanden ist und wie viele Dateien sich seit dem letzten Backup geändert haben.

Wenn Sie abschätzen können, wie viele Dateien im Zweifels­fall verloren gegangen sind und welchen Wert die darin gespeicherten Daten für Sie haben, können Sie entscheiden, ob es sich lohnt einen Sicherheits­experten hinzu­zu­ziehen. Dieser kann untersuchen, ob einzelne Dateien wiederher­gestellt werden können und Sie bei der Frage beraten, ob Sie auf die Lösegeld­forderung der Erpresser eingehen sollten. Zu dieser Thematik werden wir auch noch im weiteren Verlauf der Artikelserie Ransomware berichten

Als Privatperson lohnt es sich in den meisten Fällen nur bei drohen­dem Verlust von sehr wert­vollen Dateien professio­nelle Hilfe einzu­schalten. Bei Unternehmen geht es aber nicht nur darum wertvolle Geschäfts­daten zu retten, sondern auch ähnliche Fälle in Zukunft zu vermeiden. Außerdem sind Unter­nehmen dazu ver­pflichtet Ge­schäfts­daten für eine be­stimmte Zeit zu speichern und hierfür ent­sprechende Maß­nahmen zu treffen.

Die Sicherheitsexperten von aramido helfen Ihnen durch Krisen-Einsatz­pläne auf Not­fälle vorbereitet zu sein.

3. Die Systemwiederherstellung

Nachdem Sie nun im vorherigen Schritt gegebenenfalls eine Sicherung des aktuellen Festplatten­zustands durchgeführt haben, ist es als nächstes ratsam das komplette System neu auf­zu­setzen. Nur durch das Löschen der vermut­lichen Malware können Sie noch nicht sicher sein, dass sich der Trojaner nicht innerhalb des Systems weiter verbreitet hat. Die Neu­installation lassen Sie entweder durch Ihren System­adminis­trator durchführen oder Sie folgen den Informa­tionen auf der Web­seite des Her­stellers Ihres Betriebs­systems. Identi­fizieren Sie für eine fundierte Diagnose die Art des Befalls, um den Umfang der Infektion ein­schätzen zu können und beispiels­weise eine Ver­änderung der Firmware aus­schließen zu können.

4. Die Verhinderung des Wiederholungsfalls

Nach der Incident Response und der Disaster Recovery folgt die Nach­berei­tung des Vorfalls, um eine Wieder­holung zu vermeiden. Dazu ist es von Interesse wie der Trojaner auf das System gekommen ist. Typischer­weise infizieren Verschlüsselungs­trojaner Systeme durch verseuchte E-Mail-Anhänge oder als Drive-By-Downloads beim Besuch von infi­zierten Webseiten. Wie man sich präventiv gegen eine Infektion mit einem Trojaner schützt, werden wir in einem weiteren Teil dieser Artikelserie diskutieren.

Eine Übersicht aller bereits veröffentlichter Artikel finden Sie auf unserer Themenseite Ransomware. Bisher sind außer diesem Artikel die folgenden Artikel erschienen:
]]>
2016-06-09T10:25:58+02:00
https://aramido.de/blog/datensicherheit/kidnapping-2-0-verschlusselungstrojaner-auf-dem-vormarsch <![CDATA[Kidnapping 2.0 - Verschlüsselungstrojaner auf dem Vormarsch]]> Dieser Artikel bildet den Start unserer Artikelserie zum Thema Ransomware. Alle Artikel der Serie Ransomeware finden Sie auf unserer Themenseite.

Im Wochenrhythmus liest man von neuen Verschlüsselungstrojanern wie Locky oder TeslaCrypt. Diese Art von Schadsoftware, die auch unter der Bezeichnung Kryptotrojaner oder Ransomware bekannt ist, folgt im Prinzip den Regeln eines klassischen Kidnappings. Im digitalen Zeitalter werden aber nicht Personen, sondern Daten entführt. Anstatt die Opfer in ein dunkles Kellerverlies zu sperren, werden die Daten an Ort und Stelle verschlüsselt und damit trotzdem dem Zugriff durch die Erpressungsopfer entzogen. Kommuniziert wird nicht mehr mit aus Zeitungsschnipseln zusammengesetzten Briefen, sondern über das anonyme TOR-Netzwerk. Das Lösegeld wird schließlich nicht in der Plastiktüte von der Brücke geworfen, sondern kann bequem mit der Digitalwährung Bitcoin bezahlt werden.

Seit wann gibt es Verschlüsselungstrojaner?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) berichtet über erste größere Vorkommnisse von Verschlüsselungstrojanern im Jahr 2010. Seit September 2015 konnte aber eine erste große Welle an Verschlüsselungstrojanern beobachtet werden, die seit Anfang des Jahres 2016 mit einer nochmaligen Verzehnfachung der entdeckten Trojaner gegenüber Oktober 2015 eine ganz neue Dynamik entwickelt hat. Bisher bewegen sich die Lösegeldforderungen meistens noch im dreistelligen Bereich, da die Schadsoftware noch ungezielt an eine möglichst breite Masse verteilt wird. Es sind aber bereits erste Kampagnen zu beobachten, die sich gezielt an bestimmte Branchen und Berufsgruppen wie Anwälte richten. Hierdurch werden auch die Lösegeldforderungen in Zukunft deutlich steigen, da sie zielgerichteter an die Zahlungsbereitschaft der „Kunden“ angepasst werden können.

Wie kann man sich infizieren?

Die meisten Infektionen mit Erpressungstrojanern finden aktuell noch durch Spam-E-Mail-Kampagnen statt. Dabei wird zum Beispiel eine echte Rechnungsmail einer real existierenden Firma inklusive Signatur und E-Mail-Absenderangaben gefälscht. Im Anhang dieser E-Mails befindet sich dann der Trojaner zum Beispiel versteckt in einem Office-Dokument. Weitere Wege der Verbreitung waren in der Vergangenheit sogenannte Drive-By-Infektionen. Dabei wird durch den Besuch einer kompromittierten Webseite die Schadsoftware geladen und installiert. Dies erfolgt durch Ausnutzen von Sicherheitslücken in Browsern und Browser-Plug-Ins. Webseiten werden aber nicht nur eingesetzt, um Verschlüsselungstrojaner zu verbreiten. Es wurden bereits Sicherheitslücken von Webseiten ausgenutzt, um die Inhalte des Webservers zu verschlüsseln. Zuletzt sind auch Fälle von ungeschützten Fernwartungszugängen bekannt, über die Verschlüsselungstrojaner verbreitet wurden.

Was kann ein Verschlüsselungstrojaner anrichten?

Besagte Kryptotrojaner verschlüsseln Dateien auf befallenen Systemen und machen Sie dadurch für den Nutzer unbrauchbar. Wurde ein PC von einem Trojaner infiziert, können nicht nur die Dateien auf der Festplatte, sondern auch Dateien auf angeschlossene Netzlaufwerken oder Cloud-Speichern verschlüsselt werden. Dadurch ist durch einen einzelnen befallenen Rechner schnell das gesamte Unternehmen zum Stillstand gebracht. Fatal ist ein Befall zudem, wenn zwar eine Backup-Lösung existiert, diese aber dauerhaft mit dem PC verbunden ist und so durch einen Ransomware-Befall ebenfalls unbrauchbar gemacht wird. Neben den eigenen Schäden durch die verlorenen Daten und dem Reputationsschaden bei Bekanntwerden des Vorfalls muss man auch mögliche Folgeschäden für Kunden und Partner bedenken, wenn gemachte Serviceversprechen nicht mehr eingehalten werden können oder wichtige Kundendokumente betroffen sind.

Ein bekanntes Beispiel für die dramatischen Auswirkungen eines Befalls einer Organisation durch einen Verschlüsselungstrojaner war das Lukaskrankenhaus in Neuss im Februar dieses Jahres. Dort konnten durch den Komplettausfall der IT-Systeme in Folge der Infektion wichtige Operationen nicht mehr durchgeführt werden.

Die Hersteller der Schadsoftware entwickeln aktuell ihre Trojaner laufend weiter, sodass ständig neue Verbreitungswege und Erpressungsstrategien entstehen. Die derzeit am meisten verbreiteten Verschlüsselungstrojaner sind: Locky, TeslaCrypt, Cryptolocker, Cryptowall, CryptXXX, Jigsaw, CryptoHitman, Petya, TorrentLocker, Cryptodef, PowerWare und KeRanger.

Wie kann man sich vor einer Ransomware-Infektion schützen?

In den weiteren Artikeln dieser Serie werden wir darauf eingehen

  • was man bei einem akuten Befall mit Ransomware tun sollte,
  • wie man sich präventiv gegen Verschlüsselungstrojanern schützen kann,
  • was ein Trojaner wie Locky genau macht, wenn er einen Rechner infiziert hat und
  • wie man mit der Forderung Bitcoins zu überweisen umgehen sollte.

Eine Übersicht aller bereits veröffentlichter Artikel finden Sie auf unserer Themenseite Ransomware.

Eine Infektion mit einem Verschlüsselungstrojaner ist meistens ein Anzeichen für generelle Defiziten im Datenschutz- und IT-Sicherheitsmanagement einer Organisation. Daher helfen wir Ihnen nicht nur bei einer schnellen Reaktion im Notfall, sondern auch dabei Ihre IT-Prozesse sicher zu gestalten und eine wirksame Krisenprävention zu betreiben.

Eine Übersicht aller bereits veröffentlichter Artikel finden Sie auf unserer Themenseite Ransomware. Bisher sind außer diesem Artikel die folgenden Artikel erschienen:
]]>
2016-05-21T17:07:00+02:00
https://aramido.de/blog/netzwerksicherheit/swr2-wie-man-wlan-sicher-nutzt <![CDATA[SWR2: Wie man WLAN sicher nutzt]]> Der SWR hat Andreas Sperber von aramido und andere Experten der Anti-Prism-Party 2016 interviewt und berichtet über "Freies WLAN: Wie man es sicher nutzt".

Im Beitrag fasst der Redakteur Thorsten Helber folgende Themen zusammen:

  • Kommunikation über unverschlüsselte Netzwerke
  • Unverschlüsselte Hotel-WLANs trotz Zugangsdaten?
  • KA-WLAN und KA-sWLAN
  • Verhalten bei ungültigen Zertifikaten

Freies WLAN: Wie man es sicher nutzt

]]>
2016-05-19T10:00:19+02:00
https://aramido.de/blog/netzwerksicherheit/funf-mythen-uber-sichere-wlan-netzwerke <![CDATA[Fünf Mythen über sichere WLAN-Netzwerke]]> Im Internet wurden über die Jahre viele Empfehlungen abgegeben wie Drahtlosnetzwerke (WLANs) sicher gestaltet werden können. Einige davon gilt es unbedingt zu befolgen, andere sind durch neue Standards obsolet geworden und manche haben sich als Mythen eisern gehalten:

Lesen Sie im Folgenden Details zu diesen Behauptungen und was an ihnen wahr ist oder nicht. Wir zeigen Ihnen anschließend wie Sie Ihr WLAN sicher konfigurieren können.

Das Verstecken der SSID macht das WLAN unsichtbar.

Jedes Drahtlosnetzwerk hat einen zugewiesenen Namen, die sogenannte SSID. Diese wird standardmäßig übertragen, sodass Benutzer das Wireless LAN mit ihrem Smartphone oder Computer empfangen und durch den Namen schnell zuordnen können. Wird in den WLAN-Router-Einstellungen die SSID versteckt scheint es so, als ob das Drahtlosnetzwerk getarnt wurde, weil es nicht mehr unter den empfangenen Drahtlosnetzwerken auftaucht.

Ein WLAN, das man nicht mehr empfangen kann, für angemeldete Nutzer aber trotzdem nutzbar ist? In Wirklichkeit ist das Drahtlosnetzwerk weiterhin vorhanden, lediglich die SSID wird nicht mehr mitgesendet. Wenn überhaupt, wäre dies aus Sicherheitsgründen nur sinnvoll, um das eigene WLAN vor wenig begabten Script Kiddies zu verstecken. Erfahrene Hacker können mit den richtigen Werkzeugen die SSID über einen einfachen Deauthentication-Angriff herausfinden.

Die Sicherheit eines Drahtlosnetzwerks wird also nicht effektiv verbessert, indem die SSID versteckt wird. Vielmehr werden WLAN-Clients in der Folge dazu gezwungen sogenannte Probe Requests zu senden, über die ermittelt wird, ob sich das versteckte Drahtlosnetzwerk in Reichweite befindet. Diese werden von Hackern in Angriffen wie KARMA oder Evil Twin dazu genutzt den WLAN-Client mit einem bösartigen Access Point zu verbinden.
Lassen Sie sich von uns beraten, wie Sie im privaten und betrieblichen Umfeld einen effektiven Schutz aufbauen können.

MAC-Adressen-Filter machen Netzwerke sicher.

Nahezu jeder WLAN-Router erlaubt MAC-Filterung. Damit ist es möglich den Zugriff zum Netzwerk auf bestimmte Geräte zu beschränken. Hierzu wird die entsprechende MAC-Adresse in eine Whitelist eingetragen, die allen Geräten mit einer MAC-Adresse aus dieser Liste Zugang gewährt.

Auf den ersten Blick mag dies wie eine wirksame Zugriffssteuerung aussehen. Tatsächlich können Geräte, die nicht in der Whitelist enthalten sind, das Netzwerk nicht verwenden. Jedoch kann eine MAC-Adresse auf einfache Art und Weise gefälscht werden. Das sogenannte MAC Spoofing ist mit fast jeder Netzwerkkarte möglich. Hierbei wird die MAC-Adresse eines Geräts, das mit dem anzugreifenden Netzwerk verbunden ist, erlauscht und im Anschluss daran vom Gerät des Angreifers verwendet.

Das eigene Drahtlosnetzwerk mit einem MAC-Filter auszustatten macht dieses nicht per se sicher. Erst durch die Wahl eines Verschlüsselungsverfahrens wie WPA2 und sicherer Passwörten wird das Netzwerk ausreichend geschützt. Eine MAC-Adressen-Filterung kann zum Preis eines höheren Administrationsaufwands das Bollwerk um das eigene Netzwerk dann zusätzlich verstärken.

Die Beschränkung der IP-Adressen verhindert unbefugte Verbindungen.

Um über ein Netzwerk zu kommunizieren, bekommen Geräte IP-Adressen zugewiesen. Dies geschieht entweder manuell oder automatisch über einen DHCP-Server.

Man könnte annehmen, dass der Zugriff durch unbefugte Geräte genau dann unterbunden werden könnte, wenn

  1. der IP-Adressbereich beschränkt ist und alle Adressen daraus vergeben sind oder
  2. der DHCP-Server ausgeschaltet ist und keine IP-Adressen automatisch verteilt werden.

Da IP-Adressen jedoch auch manuell willkürlich zugewiesen werden können, sind beide Vorgehen aus der Sicherheitsperspektive nicht wirkungsvoll. Im ersten Fall käme es zwar zu einem IP-Adressenkonflikt; dieser verhindert die unbefugte Verbindung jedoch nicht. Im zweiten Fall weist sich ein Angreifer manuell eine nicht verwendete IP-Adresse zu und kann damit problemlos im Netzwerk kommunizieren.

Kleine Drahtlosnetzwerke können nicht angegriffen werden.

Viele kennen das Problem von schlechtem WLAN-Empfang in Gebäuden, in denen viel Stahlbeton verbaut wurde, oder bei großen Distanzen zwischen WLAN-Access-Points und -Clients. Kann man das Drahtlosnetzwerk nicht empfangen, kann man es auch nicht verwenden. Müsste es dann nicht möglich sein die Sendeleistung möglichst stark zu reduzieren, sodass ein Angreifer es beispielsweise von der Straße aus nicht empfangen und damit nicht angreifen kann?

Die Annahme auf diese Art und Weise das eigene Drahtlosnetzwerk sicher zu machen ähnelt der Vermutung durch Verstecken der SSID das Drahtlosnetzwerk unsichtbar zu machen. In Wirklichkeit setzt ein Angreifer, der Signale selbst mit geringer Stärke empfangen möchte, eine Richtfunkantenne ein. Diese ist weder teuer noch ist der Erwerb bestimmten Personengruppen vorbehalten; eine solche Yagi-Antenne kann man sich sogar selbst aus einer Pringles-Dose basteln. Minimiert man die Sendeleistung seines Drahtlosnetzwerks, kann dieses also trotzdem noch angegriffen werden. Die Reduktion der Sendeleistung führt am ehesten zu einer Reduktion der Reichweite, wodurch berechtigte Nutzer häufiger Verbindungsprobleme erfahren werden.

WPA2 mit einem leicht zu merkenden Passwort ist ausreichend.

Wir empfehlen ein sicheres Verschlüsselungsverfahren zu verwenden, um ein Drahtlosnetzwerk zu schützen. Das eingesetzte Verfahren darf dabei keine bekannten Schwachstellen aufweisen und muss für den jeweiligen Zweck geeignet sein. Man könnte der Meinung sein, dass ein "sicheres" Verschlüsselungsverfahren wie WPA2 mit einem leicht zu merkenden Passwort ausreichend Schutz bieten würde. Doch kommt es vor allem auf die Stärke des Passworts an, das von einem sicheren Verschlüsselungsverfahren verwendet wird.

Wenn Sie zu den Personen gehören, die sich ?nR.,vg-5+7W-pwP_,cH leicht merken können, ist die Behauptung, ein leicht zu merkendes Passwort reiche für WPA2, korrekt. Für alle anderen empfehlen wir sichere Passwörter in einem entsprechenden Programm zur Passwortverwaltung zu speichern. WLAN-Datenverkehr kann für einen Offline-Angriff mitgeschnitten und gespeichert werden. Da das Verschlüsselungsverfahren in der Regel bekannt ist, können schlechte Passwörter innerhalb weniger Stunden oder sogar Minuten geknackt werden.

Fazit

Nicht alle Mythen über sichere WLAN-Netzwerke sind an den Haaren herbei gezogen: Wer bereit ist zum Preis von höherem Administrationsaufwand weitere Hürden in die Netzwerkkonfiguration einzubauen, kann Angreifern (und wohl auch sich selbst) das Leben etwas schwerer machen. Sicher werden Drahtlosnetzwerke dadurch jedoch nicht und wir raten eindringlich davon ab einfache Passwörter zur Verschlüsselung des WLANs zu verwenden. Befolgen Sie die sieben Empfehlungen für ein sicheres WLAN und kontaktieren Sie uns bei Fragen für ein unverbindliches Gespräch.

]]>
2016-04-20T12:49:14+02:00
https://aramido.de/blog/sicherheit-von-webanwendungen/piwik-security-webanwendungen-sicher-analysieren <![CDATA[Piwik Security – Webanwendungen sicher analysieren]]> Heutzutage betreibt kaum jemand professionell Webanwendungen ohne zu messen, wie Benutzer die eigene Anwendung eigentlich verwenden. Dafür wird häufig auf kommerzielle Webanalyse-Tools von Anbietern wie Google, Etracker oder Econda zurückgegriffen. Das kostenlose Angebot Google Analytics ist dabei mit Abstand der Marktführer. Da man bei diesem Tool gewissermaßen mit den Daten seiner Nutzer bezahlt und sich in Abhängigkeit zu Google begibt, suchen viele Webseitenbetreiber nach Alternativen zu Google Analytics. Als einer der stärksten Konkurrenten von Google Analytics erfreut sich das quelloffene Webanalyse-Tool Piwik in den letzten Jahren immer größerer Beliebtheit. Was spricht für den Einsatz von Piwik und wie verhindert man durch den Einsatz von Piwik Hackern Angriffspotentiale zu bieten? Dieser Artikel und die zugehörige Security-Checkliste (pdf) sollen Ihnen beim sicheren Einsatz von Piwik helfen.

Drei gute Gründe Piwik einzusetzen

Der erste Vorteil im Vergleich zu den anderen großen Konkurrenten von Google Analytics ist der Preis der Software: sie wird kostenlos angeboten. Das Entwicklerteam hinter Piwik verfolgt mit Piwik Pro das Modell vieler anderer Open-Source-Projekte. Das Grundpaket zum eigenen Betrieb wird kostenlos angeboten und weiterentwickelt. Geld verdienen die Entwickler mit einer kostenpflichtigen Pro-Version und einem Hosting-Angebot. Für die meisten Einsatzfälle ist dabei die kostenlose Grundversion vollkommen ausreichend. Die Pro-Version richtet sich z.B. an Unternehmen, die die Verwendung ihres SharePoint-Intranets analysieren wollen. Der zweite große Vorteil von Piwik gegenüber den meisten Mitbewerbern ist, dass bei eigenem Hosting keine Daten an Dritte übertragen werden. Man hat daher auch eine geringere Gefahr gegen Datenschutzrichtlinien zu verstoßen. Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) gibt deshalb eine positive Einschätzung zu Piwik ab. Der dritte Grund für den Einsatz von Piwik ist schließlich in der IT-Sicherheit unabhängig von Dritten zu sein. Wird eine Webanalyse-Software extern betrieben, wäre man automatisch von einem Angriff auf den externen Dienstleister, z.B. indem Schadcode in dessen Software eingeschleust wird, mit betroffen.

Risiken beim Einsatz von Piwik

Welche Gefahren gilt es beim Einsatz von Piwik aus Sicht der IT-Sicherheit zu beachten? Dazu muss man zunächst betrachten, welches die zu schützenden Ziele sind, die im „Gefährdungsbereich“ von Piwik liegen.

  • Die Server-Infrastruktur, auf der Piwik installiert ist.
  • Die Webseiten, in denen Piwik eingebunden ist.
  • Die Daten, die mit Piwik gesammelt wurden.

Diese Auflistung gilt selbstverständlich über den Einsatz von Piwik hinaus für jeden anderen selbst betriebenen Webanalyse-Dienst. Man kann sich nun leicht die Gefahren ausmalen, die ein erfolgreicher Angriff haben könnte: Die Risiken reichen vom Ausliefern von bösartigem Code über die Webseite bis hin zum Zugriff auf vertrauliche Daten, die auf dem Server, auf dem Piwik installiert ist, gespeichert sind, bzw. darüber erreichbar sind.

Konkret gab es in der Vergangenheit bereits einen erfolgreichen Angriff auf den Piwik-Download-Server. Dabei haben Webmaster, die während des betroffenen Zeitraums Piwik neu heruntergeladen oder ein Update installiert haben, eine mit einem Schadcode erweiterte Variante von Piwik auf ihrem Server ausgeführt. Der Angriff konnte damals schnell behoben werden und es wurden einige Gegenmaßnahmen von Seiten des Piwik-Teams getroffen. Trotzdem ist das Thema Sicherheit beim Installieren und Updaten von Piwik noch immer aktuell, da zum Beispiel noch nicht alle Download-Wege rein über https funktionieren.

Ein weiterer neuralgischer Punkt von Piwik ist das Admin-Backend. Darüber kann man nicht nur die gesammelten Analysedaten betrachten, sondern auch selbstgeschriebene Plug-Ins hochladen. Dies ist natürlich auch für einen Angreifer, der Schadcode auf den von Piwik analysierten Webseiten unterbringen will, ein willkommenes Feature. Da es für den Admin-Bereich aktuell noch keinen Schutz vor Brute-Force-Angriffen (systematisches Erraten eines Passworts) von Seiten Piwiks gibt, gilt es diesen gesondert abzusichern.

Viele der beschriebenen Risiken bestehen selbstverständlich nicht nur für Piwik, sondern generell für jeden externen Dienst, egal ob er auf eigenen Servern läuft oder von Cloud-Anbietern bereitgestellt wird. Das erfreuliche ist aber, dass man mit ein bisschen Aufwand die Piwik-Webanalyse zu einem zufriedenstellenden Maße absichern kann.

Piwik in 9 Schritten absichern und härten

1. Piwik Downloads verifizieren

Wie oben beschrieben, gab es bei Piwik in der Vergangenheit bereits einen Vorfall, bei dem mit Schadcode infizierte Installationsdateien von der offiziellen Webseite bereitgestellt wurden. Sie sollten also nicht nur sicherstellen Piwik bei der erstmaligen Installation und bei Updates über https zu beziehen, sondern die heruntergeladenen Dateien auch zu verifizieren. Dazu benötigen Sie eine Installation von GnuPG und müssen die folgenden Schritte in Ihrem Terminal ausführen:

1. Herunterladen des öffentlichen PGP-Schlüssels des Piwik-Chefentwicklers Matthieu Aubry.

gpg --keyserver keys.gnupg.net --recv-keys 814E346FA01A20DBB04B6807B5DBD5925590A237

2. Überprüfen der Echtheit des Schlüssels.

gpg --fingerprint 814E346FA01A20DBB04B6807B5DBD5925590A237
Hierzu sollten Sie die folgende Ausgabe erhalten.
pub   4096R/5590A237 2013-07-24
  Schl.-Fingerabdruck = 814E 346F A01A 20DB B04B  6807 B5DB D592 5590 A237
uid       [  unbek.] Matthieu Aubry 
uid       [  unbek.] Matthieu Aubry 
uid       [  unbek.] Matthieu Aubry 
sub   4096R/43F0D330 2013-07-24

3. Herunterladen der zum Download passenden Signatur-Datei über https in dasselbe Verzeichnis und Überprüfen der Signatur. In unserem Beispiel ist die Installationsdatei piwik.tar.gz und die Signatur dazu piwik.tar.gz.asc.

gpg --verify piwik.tar.gz{.asc*,}
Die Ausgabe hierzu sollte dann wie folgt aussehen.
gpg: Signatur vom Do  4 Feb 07:10:29 2016 CET mittels RSA-Schlüssel ID 5590A237
gpg: Korrekte Signatur von "Matthieu Aubry " [unbekannt]
gpg:                     alias "Matthieu Aubry " [unbekannt]
gpg:                     alias "Matthieu Aubry " [unbekannt]

Gegebenenfalls enthält die Ausgabe noch eine Warnung, dass der Schlüssel keine vertrauenswürdige Signatur enthält, falls Sie den Schlüssel noch nicht als vertrauenswürdig gekennzeichnet haben.

2. Piwik aktuell halten

Updates enthalten häufig Patches zu gefunden Sicherheitslücken. Daher ist es wichtig, Piwik immer aktuell zu halten. Piwik informiert im Admin-Bereich über eine Infobox, sobald ein Update verfügbar ist. Außerdem kann man auch das Changelog oder die Mailing-Liste abonnieren, um über Updates benachrichtigt zu werden. Das Update kann dann über zwei verschiedenen Wege installiert werden. Als sichereren Weg empfehlen wir hierbei nicht das One-Click-Update sondern das manuelle Update von https://builds.piwik.org/piwik.tar.gz beziehungsweise, wenn Piwik auf einem Debian-System läuft, ein Update über die Paketverwaltung apt-get.

3. Piwik von anderen Diensten trennen

Damit eine Sicherheitslücke in Piwik keinen Einfluss auf andere Systeme hat, sollte Piwik möglichst getrennt von anderen Diensten laufen. Ideal wäre natürlich eine eigene physische oder virtuelle Maschine. Sollte dies nicht möglich sein, treffen Sie zumindest die folgenden zwei Vorkehrungen:

  • Einrichten eines eigenen Virtual Hosts für Piwik mit eigenem Web-Verzeichnis (DocumentRoot).
  • Anlegen eines separaten Benutzers und separater Datenbank für Piwik in MySQL.
4. Admin-Bereich absichern

Zum Tracken von Webseitenbesuchern müssen nur die Dateien piwik.js, piwik.php und die Optout-Funktion der index.php öffentlich zugänglich gemacht werden. Alle anderen Dateien sollten in der Konfiguration des Webservers für Zugriffe aus dem Internet gesperrt werden (zum Beispiel durch IP-basierte Zugriffsregeln oder Basic Authentication). Einen zusätzlichen Schutz erreichen Sie, wenn Sie darüber hinaus den Zugriff von außen auf die Dateien, die weder von den Webseitenbesuchern noch vom Admin-Bereich direkt verwendet werden, komplett sperren. Eine Beispielkonfiguration für einen Apache2-Server finden Sie unten. Weitere Lösungen existieren für ngnix-Server und Apache .htaccess-Dateien (letztere ist nur zu empfehlen, falls Sie keinen Zugriff auf die Konfigurationsdatei des Apaches haben, zum Beispiel bei der Installation von Piwik im Webspace eines Webhosters).

5. Piwik-Benutzer mit Leserechten einrichten

Der Admin-Benutzer sollte nur zum Konfigurieren und Updaten von Piwik sowie zum Einrichten von Benutzerkonten verwendet werden. Der alltägliche Zugriff auf die Webstatistiken sollte über ein Benutzerkonto ohne administrative Rechte erfolgen. Um neue Benutzer anzulegen, muss man im Konto des Administrators zuerst in den Administrationsbereich gehen (über das Zahnrad in der oberen rechten Ecke der Seite). Im Unterbereich „Benutzer“ kann man nun neue Benutzer ohne Administrator-Rechte hinzufügen.

Piwik-Benutzer hinzufügen
Hinzufügen eines neuen Benutzers
Piwik Benutzerrechte
Zuweisen von Leserechten an den neuen Benutzer
6. Starke Passwörter verwenden

Wie bei anderen Diensten auch, empfehlen wir den Einsatz von sicheren, einzigartigen Passwörtern, die zum Beispiel mit Hilfe von Passwortmanagementprogrammen wie Keepass erstellt und verwaltet werden können.

7. Datenverkehr verschlüsseln

Zur Sicherheit der Webseitenbenutzer und des Admin-Backends sollte Piwik inklusive der übertragenen Cookies nur über https zur Verfügung gestellt werden. Außerdem ist sicherzustellen, dass Authentifizierungscookies nicht von JavaScripts ausgelesen werden dürfen (secure-Flag und httpOnly im Set-Cookie-Header). Um dies zu erreichen darf zuerst der Webserver nur über https erreichbar sein. Als nächstes muss der folgende Eintrag im Abschnitt [General]in der config/config.ini.php Datei des Piwik-Verzeichnisses hinzugefügt werden:

[General]
force_ssl = 1
8. Piwik zusammen mit Security-Headers verwenden

Um die Sicherheit von Webanwendungen zu erhöhen ist es gute Praxis HTTP-Security-Headers zu verwenden. Beim Einsatz des Content-Security-Policy-Headers (CSP-Header) sollte man nicht den Standard-Tracking-Code verwenden. Statt den Code, der im Piwik-Backend zur Verfügung gestellt wird, inline in die Seite einzubauen, muss man den Code in einer JavaScript-Datei auf dem Sever speichern. Würde der Code inline in die Seite eingebaut werden, müsste der CSP-Header generell inline eingebundenes JavaScript erlauben. Damit könnte aber auch ein an anderer Stelle in die Webseite eingeschleuster JavaScript-Schadcode ausgeführt werden. Stattdessen sollte man über den CSP-Header „unsafe-inline“ verbieten und damit Cross-Site-Scripting-Angriffe (XSS) verhindern. Der in einer JavaScript-Datei gespeicherte Tracking-Code (im Beispiel piwik_loader.js) muss dann zusammen mit dem Zählpixel (für den Fall, dass der Webseitenbesucher JavaScript deaktiviert hat) folgendermaßen in die Seite eingebunden werden:

<script src="/piwik_loader.js"></script>
<noscript><img src="https://piwik.example.com/piwik.php?idsite=1" alt="" /></noscript>

Im CSP-Header muss dann die Policy folgendermaßen gesetzt werden (wenn Piwik im Beispiel unter https://piwik.example.com läuft):

Content-Security-Policy: default-src 'self'; script-src 'self' https://piwik.example.com; object-src 'none'; img-src 'self' https://piwik.example.com; 

Falls auf dem Piwik-Server der X-Frame-Options-Header verwendet wird, sind die nachfolgenden Einstellungen zu beachten. In unserer Apache2-Beispiel-Konfiguration zeigen wir, wie Security-Header für Apache2-Webserver gesetzt werden können. Um zu überprüfen, welche Header beim Aufruf einer Webseite vom Server gesendet werden, können Sie zum Beispiel die Firefox-Entwicklerwerkzeuge benutzen. Im Reiter „Netzwerkanalyse“ sehen Sie die in der HTTP-Antwortkopfzeile mitgesendeten Header und deren Werte. Der X-Frame-Options-Header verhindert genauso wie die „frame-ancestors“-Regel der Content-Security-Policy das sogenannte Clickjacking durch das Einbinden der eigenen Seite in andere Webseiten als iframe. Standardmäßig wird das Piwik-Optout per iframe in die eigene Seite eingebunden. Wenn Piwik und die analysierte Webseite auf dem selben Host laufen, muss der Header daher auf X-Frame-Options: sameorigin gesetzt werden. Wenn Piwik z.B. auf piwik.example.com läuft und in die Webseite example.com eingebunden ist, muss der Header auf X-Frame-Options: allow-from https://example.com lauten. Die restriktivste Möglichkeit ist schließlich X-Frame-Options: deny. Sie kann eingesetzt werden, wenn man statt der Einbindung des Optout-iframes den Optout innerhalb der eigenen Webanwendung realisiert, z.B. indem man selbst einen Optout-Cookie setzt und auf dessen Basis die Einbindung von Piwik steuert. Solch ein Piwik-Optout ohne iframe finden Sie zum Beispiel in der aramido Datenschutzerklärung.

9. Piwik SecurityInfo-Plug-in verwenden

Um zu überprüfen, ob die PHP-Einstellungen des Webservers sicher sind, kann schließlich noch das Plug-in SecurityInfo hilfreich sein, das verschiedene Checks durchführt und die Ergebnisse und Verbesserungsempfehlungen übersichtlich im Admin-Bereich darstellt.

SecurityInfo-Plug-In im Piwik-Marketplace
Piwik-Marketplace mit SecurityInfo-Plug-In
Ist Ihre Webanalyse sicher umgesetzt? Die Experten von aramido prüfen Ihre Webanwendung auf Schwachstellen.

Beispiel-Serverkonfiguration für Apache2

Im Folgenden zeigen wir ein Muster für die Konfiguration eines Apache2-Webservers (Version ≥ 2.4) für eine optimale Absicherung von Piwik.


# Die nachfolgenden Anweisungen sollten am besten innerhalb eines VirtualHosts Blocks erfolgen

#Die untenstehenden Regeln ersetzen die mit der Piwik-Installation mitgelieferte Apache-Konfiguration, die daher auskommentiert ist.
#Include /etc/piwik/apache.conf

#Zugriff zu allen Dateien verbieten, um anschließend einzelne freizugeben 
<FilesMatch ".*">
  Require all denied
</FilesMatch>

<FilesMatch "^(index\.php|)$">
  AuthType Basic
  AuthName "Piwik Admin"
  AuthUserFile /etc/apache2/passwd
  <RequireAny>
  #Zugang zum Admin-Bereich über Basic-Authentication. Alternativ könnten auch über „Require ip“ bestimmte IPs freigegeben werden
  Require valid-user
  # Die Optout-Action wird für alle Webseitenbesucher freigegeben
  Require expr %{QUERY_STRING} == "module=CoreAdminHome&action=optOut"
  </RequireAny>
</FilesMatch>

#Sonstige Dateien, auf die Webseitenbesucher zugreifen können müssen
<FilesMatch "^piwik\.(js|php)|robots\.txt">
  Require all granted
</FilesMatch>

#Dateien für den Admin-Bereich freigeben
<LocationMatch "^/(plugins|misc/user|libs)/.*$">
  AuthType Basic
  AuthName "Piwik Admin"
  AuthUserFile /etc/apache2/passwd
  Require valid-user
</LocationMatch>

#Das Hochladen von Dateien (z.B. Custom-Piwik-Plug-Ins) verbieten
<IfModule mod_php5.c>
  php_admin_flag file_uploads 0
</IfModule>

#HTTP-Security-Header
<IfModule mod_headers.c>
  Header always set Strict-Transport-Security "max-age=15768000; includeSubDomains; preload"
  Header always set X-Content-Type-Options "nosniff"		
  Header always set X-Frame-Options "deny"
  Header always set X-XSS-Protection "1; mode=block"
  Header always set X-Permitted-Cross-Domain-Policies "master-only"
</IfModule>

Im Rahmen der Apache-Konfiguration von Piwik ist noch anzumerken, dass der Einsatz des Apache Moduls mod_security zusammen mit Piwik anscheinend Schwierigkeiten bereitet.

Selbstverständlich können wir an dieser Stelle nicht auf alle möglichen Serverkonfigurationen und Umgebungen eingehen. Wenden Sie sich deshalb gerne an uns, wenn Sie Unterstützung beim Einrichten und Absichern Ihrer Webanalyse benötigen. Wir freuen uns von Ihnen zu hören.

Piwik Security Checkliste
Diese Infografik zum Absichern von Piwik darf gerne mit Link zu diesem Artikel geteilt werden.

PDF-Download der Checkliste zum Absichern von Piwik

]]>
2016-04-15T16:13:33+02:00
https://aramido.de/blog/datenschutz/anti-prism-party-2016-schutz-vor-uberwachung <![CDATA[Anti-Prism-Party 2016 - Schutz vor Überwachung]]> 2013 wurden Doku­mente zu PRISM, einem streng gehei­men Pro­gramm zur verdachts­unabhän­gigen Über­wachung von Bür­gern, bekannt. Edward Snowden, der die Daten der inter­natio­nalen Presse zuspielte, löste damit eine globale Über­wachungs- und Spionage­affäre aus, die bis heute andauert. Nach Bekannt­werden haben sich Karlsruher Orga­nisatio­nen der IT-Sicherheits­branche zusam­men­geschlos­sen und die Anti-Prism-Party ins Leben gerufen, die nun zum vierten Mal stattfindet.

WLAN sicher verwenden

Auf der diesjährigen Anti-Prism-Party beteiligt sich aramido mit einem Experten­tisch zum Thema WLAN sicher verwen­den. Wir zeigen Ihnen live, was Sie tun können, um sich vor unberech­tigten Lauschern zu schützen, wie Sie Pro­gramme und Geräte ein­stellen kön­nen und geben Ant­worten auf diese Fragen:

  • Wie richte ich mein WLAN sicher ein? Worauf kommt es an?
  • Was ist ein Gast-WLAN und wofür ist es gut?
  • Was muss ich bei der Verwen­dung von öffen­tlichen WLANs beachten?
  • Können andere in öffen­tlichen WLANs sehen auf welchen Web­seiten ich surfe oder auf meinen Rech­ner zugreifen?

Sie erhalten von uns vor Ort Infomaterialien und ein Handout, wie Sie sich schützen können.

Haben Sie noch andere Fragen? Kommen Sie zur Anti-Prism-Party und besu­chen Sie uns am Experten­tisch zur WLAN-Sicherheit! Wenn Sie möchten, können Sie Ihr Smart­phone oder auch Ihren WLAN-Router mitbrin­gen – wir helfen Ihnen die Geräte sicher einzu­stellen und sich vor Lauschern zu schützen.

Anti-Prism-Party 2016 – seien Sie mit dabei!

Freitag, 29. April 2016 ab 16 Uhr
Anti-Prism-Party 2016
ZKM | Karlsruhe (Eintritt frei)
]]>
2016-04-08T01:20:49+02:00
https://aramido.de/blog/netzwerksicherheit/sieben-empfehlungen-fur-ein-sicheres-wlan <![CDATA[Sieben Empfehlungen für ein sicheres WLAN]]> Fast jeder Haushalt nutzt heutzutage ein drahtloses lokales Netzwerk (WLAN), um Geräte miteinander kommunizieren zu lassen und das Internet zu verwenden. Dabei werden unterschiedlichste Informationen über dieses Netzwerk geschickt, darunter Daten zum Online-Banking, persönliche E-Mails oder VoIP-Telefonate. Damit diese Daten nicht von sogenannten Wardrivern und anderen Angreifern mitgelesen oder missbraucht werden können, muss das eigene Netzwerk abgesichert werden. Neben dem Schutz der eigenen Privatsphäre muss der Inhaber des Internetanschlusses aber auch in marktüblicher Form sicherstellen, dass der Anschluss nicht von Bot-Netzen oder für illegale Downloads genutzt wird, wie der BGH 2010 entschied.

Im Folgenden geben wir Ihnen sieben Empfehlungen für ein sicheres WLAN und klären über Verschlüsselungsverfahren, sichere Passwörter und den Umgang mit Router-Firmware auf.

1. Sicheres Verschlüs­se­lungs­ver­fahren wählen

Wählen Sie für Ihr WLAN-Netz das Verschlüsselungsverfahren WPA2-PSK mit ausreichend starken Passwörtern, um sich gegen Mithören Ihrer Kommunikation zu schützen.

Router bieten in der Regel die Verfahren WEP, WPA und WPA2 an. Die ersten beiden Verfahren gelten heute jedoch nicht mehr als sicher: WEP weist zahlreiche Schwächen auf und kann innerhalb weniger Stunden gebrochen werden; WPA verwendet die Stromchiffre RC4, die ebenso bereits erfolgreich angegriffen wurde.

In bestimmten Situationen besitzt WPA2 zwar auch Angriffspunkte, jedoch gilt WPA2-PSK im Einsatz mit CCMP (AES) nach wie vor als sicherstes Ver­schlüs­se­lungs­ver­fahren. Eine wesentliche Rolle spielen hierbei sichere Passwörter, wie Sie im nächsten Abschnitt lesen können. Bei manchen Routern können Sie das Ver­schlüs­se­lungs­verfahren WPA2-PSK mit CCMP (AES) im Einstellungsbereich zur WLAN-Sicherheit Ihres Routers explizit vornehmen.

Einstellung des Verschlüsselungsverfahrens WPA2-PSK mit CCMP (AES)
Einstellung des Verschlüsselungsverfahrens über das Admin-Panel des Routers

Für Firmennetzwerke gelten andere Anforderungen, als für Privatnetzwerke. Hierfür wird beispielsweise RADIUS als Authentifizierungsdienst eingesetzt. Kontaktieren Sie uns und vereinbaren Sie eine unverbindliche Erstberatung. Wir konzipieren mit Ihnen gemeinsam ein sicheres, auf Ihre Bedürfnisse angepasstes Netzwerk.

2. Sicheres Passwort wählen

Ändern Sie unbedingt das Standardpasswort, welches bei der Auslieferung Ihres WLAN-Routers gesetzt wurde und wählen Sie ein sicheres Passwort. Als sicheres Passwort empfiehlt das BSI ein 20-stelliges Passwort, welches aus Klein- und Großbuchstaben, Zahlen und Sonderzeichen besteht.

Die maximale Sicherheit erreichen Sie durch Ausnutzung der maximal zulässigen Passwortlänge, die für WPA2-PSK bei 63 Zeichen liegt. Das Passwort sollte folgenden Anforderungen genügen:

  • Klein- und Großbuchstaben, Zahlen und Sonderzeichen wie ".,-_+!?"
  • Keine Wörter aus Wörterbüchern oder Namen
  • Simple Passwörter nicht durch Satzzeichen am Anfang oder Ende ergänzen
  • Keine gängigen Wiederholungsmuster wie "asdfjklö" oder "12345"

Benutzer schrecken häufig vor langen Passwörtern zurück, da es unbequem ist diese einzugeben. Die Einrichtung von WLAN-Verbindungen muss für ein Gerät jedoch nur ein Mal erfolgen und ist keine regelmäßige Aufgabe. Die Lesbarkeit des Passworts kann zudem vereinfacht werden, indem es mit einer Serifenschrift dargestellt wird, durch die Buchstaben eindeutig erkannt werden können. Ist dies nicht möglich, könnte man auf ähnlich aussehende Zeichen wie "O0Il|1" verzichten.

Die Sicherheit von Passwörtern steigt exponentiell mit ihrer Länge an. Kann man bei einem offline Brute-Force-Angriff 350 Milliarden Schlüssel pro Sekunde durchprobieren, wäre ein Passwort aus Buchstaben und Zahlen mit 8 Stellen rechnerisch nach weniger als 11 Minuten gebrochen – ein 10-stelliges Passwort hingegen erst nach knapp 28 Tagen. Wählen Sie deshalb ein ausreichend langes Passwort mit mindestens 20 Stellen.

Ein Passwort welches den beschriebenen Anforderungen genügt, sähe wie folgt aus: ?nR.,vg-5+7W-pwP_,cH (124 bit).

3. Deaktivieren von WPS

Deaktivieren Sie WPS, eine Funktionalität zur einfachen Verbindung zu einem drahtlosen Netzwerk. WPS existiert in unterschiedlichen Modellen, wobei gerade die gängige PIN-Methode als unsicher gilt. Da zum systematischen Erraten der PIN maximal 11.000 Versuche nötig sind, kann diese in wenigen Stunden erraten werden. Sorgen Sie außerdem bei den anderen WPS-Methoden wie PBC, bei welcher die passwortlose Verbindung zum Drahtlosnetzwerk für einen bestimmten Zeitraum möglich wird, für eine physische Zugangssicherheit des Routers, damit Unbefugte beispielsweise in öffentlichen Räumen WPS nicht aktivieren können.

4. Installieren aktueller Router-Firmware

Erst kürzlich wurde wieder von zahlreichen Sicherheitslücken in Router-Firmwares berichtet. Auch 2014 wurden anfällige Router gefunden; ebenso davor und davor. In Software von Router-Herstellern konnten immer wieder Schwachstellen gefunden werden, weshalb es wichtig ist die Firmware des eigenen Routers regelmäßig auf Aktualisierungen hin zu überprüfen.

Sie können sich in der Regel das Firmware-Update von der Hersteller-Seite herunterladen. Achten Sie darauf, dass es sich beim Download-Link um einen https-Link handelt und dieser vom Hersteller des Routers angeboten wird.
Für ältere Modelle bieten Hersteller oft keine Updates mehr an. Deshalb kann es sinnvoll sein über eine alternative Router-Firmware nachzudenken, wie es sie von Projekten wie OpenWRT oder Freetz gibt.

Zweifeln Sie, ob Ihr Router und damit Ihr gesamtes Netzwerk sicher ist? Kontaktieren Sie uns und vereinbaren Sie mit uns eine unverbindliche Erstberatung.

5. Deaktivieren der Fern­war­tung und nicht ge­nutz­ter Dienste

Deaktivieren Sie die Möglichkeit zur Fernwartung, wenn sie nicht benötigt wird. Dadurch reduzieren Sie das Risiko, dass böswillige Hacker von außerhalb den Admin-Zugang Ihres Routers angreifen. Aus ähnlichen Gründen empfehlen wir nicht genutzte Dienste wie FTP, SSH, SMB oder UPnP zu deaktivieren. Da Zusatzdienste Schwachstellen aufweisen oder nicht hinreichend abgesichert sein können, reduziert man durch Deaktivierung die Angriffsfläche effektiv.

6. Sichere Passwörter für den Admin-Bereich wählen

Was für die Verschlüsselung der Funkverbindung gilt, sollte ebenso für den Zugang zum Admin-Bereich beachtet werden. Wählen Sie für den Administratorzugang ein sicheres Passwort und speichern Sie es in einem Programm zur Passwortverwaltung wie KeePass. Dieses Programm hilft Ihnen außerdem bei der Erstellung von zufälligen, sicheren Passwörtern.

7. SSL-ver­schlüs­selte Ver­bindung zum Admin-Bereich einrichten

Viele Router bieten die Möglichkeit ein SSL-Zertifikat zu installieren und Verbindungen zum Admin-Portal SSL-verschlüsselt stattfinden zu lassen. Machen Sie von dieser Funktionalität Gebrauch, wenn Sie die Möglichkeit dazu haben. Dadurch kann die Kommunikation nicht abgehört werden und mögliche Angriffe werden erschwert.
Wenn Sie keine selbst signierten Zertifikate einrichten können, erstellt der Router in der Regel beim Einrichten ein eigenes Zertifikat. Hierbei kommt es beim ersten Aufruf im Browser zu einer Zertifikatswarnung, die Sie akzeptieren müssen. Stellen Sie dabei sicher, dass es sich um das Zertifikat des Routers handelt. Sie sollten diese Funktionalität einrichten, direkt nachdem Sie den Router auf Werkseinstellungen zurückgesetzt haben und sich niemand anderes im Netzwerk befindet.

]]>
2016-03-25T20:56:02+01:00
https://aramido.de/blog/aramido/aramido-blog-fur-it-sicherheit <![CDATA[aramido-Blog für IT-Sicherheit]]> Mit unserem neuen Blog werden wir regelmäßig zum Thema IT-Sicherheit berichten und Ihnen Neuigkeiten, Anleitungen und Studien zu den folgenden Themen vorstellen. Folgen Sie uns und abonnieren Sie unseren Blog-Feed.

Penetrationstest

Ein Penetrationstest dient der Überprüfung der Sicherheit von IT-Systembestandteilen. Hierfür werden Mittel und Wege eingesetzt, mit denen ein böswilliger Hacker unautorisiert in fremde Systeme eindringen würde. Ein Penetrationstest von aramido schafft Klarheit und Vertrauen, ob Ihre IT-Systeme sicher gegen Angriffe sind.

Kommunikationssicherheit

Der sichere Austausch von Informationen ist in vielen Fällen von grundlegender Bedeutung. Es muss gewährleistet sein, dass Informationen weder abgehört noch verändert werden. Hierzu gibt es zahlreiche Möglichkeiten der Verschlüsselung und Signierung von Nachrichten der Dienste wie E-Mail, VoIP oder auch Chat. Gestalten Sie Ihre Kommunikation durch unsere Anleitungen sicher und kontaktieren Sie uns bei Fragen.

Datenschutz und Datensicherheit

Gerade in Deutschland wird das Thema Datenschutz großgeschrieben. Es gibt rechtliche Erfordernisse, deren Grundlagen im Bundesdatenschutz- und Telemediengesetz gelegt sind und die immer wieder angepasst werden. Erfahren Sie in unseren Artikeln mehr zum Thema Datenschutz und gestalten Sie gemeinsam mit uns Ihre sichere IT, um Abmahnungen und empfindliche Bußgelder zu vermeiden.

Sicherheit von Webanwendungen

Die Sicherheit von Webanwendungen ist für das Unternehmensgeschäft von grundlegender Bedeutung. Sie beginnt beginnt bereits bei der Schulung von Mitarbeitern und der Entwicklung eigener Webanwendungen. Diese können beispielsweise nach dem Paradigma Security by Design von Grund auf sicher konstruiert werden. Mit automatisierten Modultests und auch zielgerichteten Penetrationstest können komplexe Anwendungen überprüft werden. Wir tun dies mit einem Penetrationstest und arbeiten anschließend mit Ihnen gemeinsam an der Lösung gefundener Schwachstellen.

Netzwerksicherheit

Die Vernetzung des Internets nimmt immer weiter zu. Informationen sollen jederzeit und von jedem beliebigen Ort verfügbar sein. Die Kommunikation findet über ein Netzwerk statt, dessen Sicherheit nicht nur durch technische Lösungen, sondern auch organisationelle, betriebliche und rechtliche Maßnahmen garantiert werden muss. Wir berichten für Sie über Neuigkeiten zu diesem Thema und überprüfen Ihre Netzwerke, die Angriffen wie beispielsweise Man-In-The-Middle oder Denial-Of-Service standhalten müssen, durch unsere Penetrationstests.

Serversicherheit

Unternehmen benötigen zum Betrieb ihres Geschäfts unterschiedliche Server wie Web-, Datenbank- oder E-Mail-Server. Die Gewährleistung von Sicherheit einer komplexen Infrastruktur muss durchdacht sein und den Anforderungen entsprechen. Wir stellen Ihnen Best Practices vor, wie Sie dieses Ziel erreichen und beraten Sie gerne in einem individuellen Gespräch.

Softwaresicherheit

Um Geschäftsprozesse zu unterstützen werden zahlreiche Softwareprodukte von anderen Herstellern eingesetzt. Soll man diesen Softwareprodukten blind vertrauen oder was kann unternommen werden, um Softwaresicherheit dennoch zu gewährleisten? In unseren Beiträgen informieren wir Sie zu Schwachstellen von Softwareprodukten und zeigen Ihnen, wie Sie trotzdem guten Gewissens ein großes Maß an Sicherheit erreichen.

Unternehmen

Mit aramido ist es unser Ziel wirksame Lö­sun­gen, die sich Ihren Bedürfnissen anpassen, für Ihr Unternehmen zu entwickeln. Wir werden deshalb hier über Neuigkeiten zu aramido und seine Produkten berichten. Folgen Sie uns und abonnieren Sie unseren Blog-Feed.

]]>
2016-03-18T00:32:41+01:00