Labs: Archiv April 2011
Inhaltsverzeichnis
- 29.04.2011 – Blog Digest April 2011
- 28.04.2011 – PlayStation Network Breach: Fakten und Gerüchte
- 21.04.2011 – Firefox-Addons für Penetration Tests
- 14.04.2011 – Kritik an Proxies als Massnahme
- 07.04.2011 – Windows 7 Hardening: Eine Übersicht
► 29.04.2011 – Blog Digest April 2011
- Anatomy of an Attack (02.04.2011), blogs.rsa.com, attack vector disclosed
- Anatomy of a Twitter worm (Profile Spy) (04.04.2011), Robert Graham, erratasec.blogspot.com
- Are Megabreaches Out? E-Thefts Downsized in 2010 (19.04.2011), dataloss measuring is not easy
- Cloud Computing: 5 Topics for the Boss (20.04.2011), high-level summary of requirements
- Covert hard drive fragmentation embeds a spy’s secrets (25.04.2011), newscientist.com, clever steganography
- CSRF and Beyond (26.04.2011), deadliestwebattacks.com, very nice summary
- Detecting Cheaters (07.04.2011), schneier, schneier.com
- Filejacking: How to make a file server from your browser (with HTML5 of course) (15.04.2011), interesting approach
- Finding Security Vulnerabilities in PHP Using Grep (29.03.2011), rdewhurst, resources.infosecinstitute.com
- Introducing the Cisco IOS Software Checker (26.04.2011), blogs.cisco.com, quick identification possible
- iPhone Security: 10 Tips and Settings (28.03.2011), resources.infosecinstitute.com, nice check list
- IPv6 Security Testing (22.04.2011), Earl Carter, blogs.cisco.com
- Is APT really about the person and not the malware? (19.04.2011), fasthorizon.blogspot.com, professional attacks require professional countermeasures
- Keystroke loggers now available for iOS? (08.04.2011), Chester Wisniewski
- Making sense of RSA ACE server audit logs (29.03.2011), isc.sans.org
- Microsoft Builds Legal Weapon to Take Apart Botnets (12.04.2011), threatpost.com, times have changed
- Microsoft’s ‘Coordinated Vulnerability Disclosure’ (21.04.2011), Robert Graham, erratasec.blogspot.com
- Mobile Apps Invading Your Privacy (06.04.2011), Tyler Shields, veracode.com
- ModSecurity Advanced Topic of the Week: Integrating IDS Signatures (21.04.2011), Ryan Barnett
- Pros and Cons of ‘Secure’ Wi-Fi Access (10.04.2011), isc.sans.org
- ‘Schneier’s Law’ (15.04.2011), schneier.com, true for all security systems
- Securing IPv6 (07.04.2011), Earl Carter, blogs.cisco.com
- Software Bugs and Scientific Progress (29.03.2011), possible categorization
- SSL and the Future of Authenticity (12.04.2011), threatpost.com
- TDSS part 1: The x64 Dollar Question (19.04.2011), resources.infosecinstitute.com, very detailed analysis
- Value Loss Coverage (20.04.2011), an underrated risk
- VirusTotal plugin for IDA Pro (22.04.2011), hexblog.com, great feature
- Whitehats pierce giant hole in Microsoft security shield (19.04.2011), go.theregister.com, bypassing heap protection
► 28.04.2011 – PlayStation Network Breach: Fakten und Gerüchte
Der Elektronikkonzern Sony informierte gestern Benutzer seiner Onlinedienste Playstation Network (PSN) und Qriocity per E-Mail über einen elektronischen Einbruch, der gemäss Aussagen der Firma zwischen dem 17. und dem 19. April stattfand. Auf dem Spiel stehen gemäss offiziellen Informationen des Herstellers die Benutzer- und Kreditkartendaten von rund 70 Millionen Kunden.
Sonys Pressesprecher Patrick Seybold sagte gestern in einem Blogpost, man habe eine externe Sicherheitsfirma mit der Investigation und Mitigation des Angriffs beauftragt und arbeite derzeit am Neuaufbau der Umgebung, die mittlerweile seit über einer Woche ausser Betrieb steht. Er äussert sich weiter zu den kompromittierten Daten:
Although we are still investigating the details of this incident, we believe that an unauthorized person has obtained the following information that you provided: name, address (city, state, zip), country, email address, birthdate, PlayStation Network/Qriocity password and login, and handle/PSN online ID. It is also possible that your profile data, including purchase history and billing address (city, state, zip), and your PlayStation Network/Qriocity password security answers may have been obtained. (Quelle: PlayStation Blog)
Seybold äusserte sich ausserdem zur möglichen Kompromittierung von Kreditkartendaten, die von Benutzern hinterlegt wurden, um Inhalte online zu erwerben:
While there is no evidence at this time that credit card data was taken, we cannot rule out the possibility. If you have provided your credit card data through PlayStation Network or Qriocity, out of an abundance of caution we are advising you that your credit card number (excluding security code) and expiration date may have been obtained. (Quelle: PlayStation Blog)
Die bewusst vorsichtige Formulierung hier deutet klar darauf hin, dass eine vollständige Kompromittierung der Daten stattgefunden hat, die man aber aus PR-Gründen möglichst nicht bestätigen möchte. Kurz gesagt wurden sämtliche Daten, die der Benutzer bei der Anmeldung oder danach eingegeben hat – Name, Adresse, Geburtsdatum, Benutzername und Passwort sowie Kreditkartendaten – entwendet.
Allgemein lässt Sonys Krisenkommunikation in dieser Sache stark an der Integrität des Konzerns zweifeln: Während das Ausmass des Zwischenfalls erst gestern bekannt wurde, ist das PlayStation Network bereits seit einer guten Woche offline. Bereits am 22. April bestätigte Sony einen Zwischenfall ohne jedoch auf jegliche Details einzugehen. Während Sony seitdem konstant darauf pochte die Sache zu untersuchen, fühlten sich Kunden im Dunkeln gelassen und verschafften ihrem Unmut Luft über die Kommentarfunktion des Blogs.
Obwohl Sony zumindest bestätigt hat, dass eine Kompromittierung von Daten stattgefunden hat, bleiben die genauen Hintergründe bis dato unbekannt. Verschiedene Gerüchte ranken sich derzeit um die Gründe und die Folgen des Angriffs:
Custom Firmware (CFW) erlaubt Zugriff auf Developer Network
Der Reddit User Chesh, angeblich ein Mitglieder von psx-scene.com – eine Seite, die sich mit dem Hacking von PlayStations beschäftigt – erklärte, dass der Zwischenfall aufgrund einer Schwachstelle der PS3 Firmware namens REBUG zustande kam, die es einem Benutzer erlaubte auf Developer Netzwerke zuzugreifen:
Rebug was released on 3/31/11. First guides of how to use the dev network to get back on COD games on 4/3/11. Word of NGU users finding a way to pirate PSN content via the dev networks on 4/7/11 (basing this on posts I had to delete on the website. Update: Users have pointed out to me that these posts existed on NGU as of 4/2/11). PSN goes down on 4/20/11 (Quelle: Reddit)
Die Erklärung impliziert ebenfalls, dass Sony innerhalb der Dev Netzwerkbereiche gewisse Daten nicht validierte. “Gewisse Daten” umfasst in diesem Fall Kreditkarteninformationen beim Kauf von Inhalten, was innert kürzester Zeit zu einem Anstieg von Raubkopien geführt hätte. Die Erklärung erscheint insofern schlüssig, als dass der potenzielle finanzielle Verlust durch die Verwandlung des PSN in einen kostenfreien Selbstbedienungsladen für Sony hier gross genug wäre, um eine Abschaltung über einen derart langen Zeitraum zu rechtfertigen.
Ausnutzung von Schwachstellen im Perimeter des PSN Network
Nicht geklärt wird hier allerdings, wie es zum Einbruch kam, der einem Angreifer Zugriff auf die obengenannten Benutzerdaten gab. Eine Reihe von Chatlogs des Channels #ps3dev auf EFNET gibt Ansatzpunkte auf mögliche Schwachstellen in den eingesetzten Systemen (ungepatchte Apache-Webserver, etc.). Konkrete Informationen sind aber bislang nicht verfügbar, auch wenn entsprechende Recherchen mit grossem Elan vorangetrieben werden.
Flächendeckende Passwort Re-Use Attacken
Wir empfehlen sämtlichen PSN Benutzern, gewisse Vorsichtsmassnahmen sobald wie möglich zu treffen. Die wichtigste Massnahme dürfte es sein, einen Passwortwechsel bei Diensten durchzuführen, bei denen das selbe Passwort wie im PlayStation Network genutzt wurde. HD Moore implizierte heute morgen in einem Tweet, dass grossangelegte Password-Reuse Attacken im Gange sind:
@hdmoore (HD Moore): Rumor is the Sony PSN account database is being used to crack the associated email accounts via password reuse (and they were cleartext).
@stfn42 (Stefan Friedli): Which part is the rumor? The password reuse attack attempts, the fact they used cleartext password storage or both?
@hdmoore (HD Moore): Both (sony hasn’t officially said clear-text, even if its implied), various firms dealing with wide-scale password reuse attempts.
Ebenfalls empfehlen wir, Kreditkartenabrechnungen sehr genau zu betrachten und bei verdächtigen Belastungen sofort mit dem ausstellenden Institut (Viseca/Swisscard/...) Kontakt aufzunehmen.
Das Incident Response Team der scip AG betrachtet die Entwicklung in dieser Sache aktiv und wird gegebenenfalls über neue Entwicklung berichten.
Stefan Friedli | G+ (943 Wörter)
► 21.04.2011 – Firefox-Addons für Penetration Tests
Eine Vielzahl der Client/Server-basierten Anwendungen werden heutzutage als Webapplikationen umgesetzt. Der Grund dafür ist vielfältig. In erster Linie kann der Nutzen der etablierten Techniken nicht bestritten werden. Auf der Basis webfähiger Programmiersprachen lassen sich innert kürzester Zeit Anwendungen entwickeln, die sich komfortabel über bestehende Browser in einem Netzwerk oder über das Internet nutzen lassen.
Sodann wird es für Penetration Tester immer wichtiger, sich mit Webapplikationen auseinanderzusetzen. Die manuelle Prüfung individueller Lösungen kann jenachdem sehr aufwendig sein. Durch die Modularität des beliebten Webbrowsers Firefox ist es möglich, zusätzliche Addons zu installieren und damit den Browser für derlei Tätigkeit zugeschnittene Funktionen zu erweitern.
Nachfolgend sollen einige der nützlichsten Firefox Addons für Web Application Penetration Tests vorgestellt werden. Die gezeigte Tabelle unterscheidet je nach Anwendungszweck. In der letzten Spalte wird die Bewertung des Addons in einer Skala von 1-5 ausgewiesen.
| Allgemein / Debugging | ||
|---|---|---|
| Web Developer | Diverse Funktionalitäten für Entwickler | ★★★★★ |
| Firebug | Debugging und Anpassung von Webseiten | ★★★★★ |
| Greasemonkey | Dynamische Anpassung von Webseiten | ★★★★★ |
| Modifikation von Anfragen | ||
| Groundspeed | Modifikation von Formularen/Event-Handler | ★★★★☆ |
| Tamper Data | Modifikation von Anfragen | ★★★☆☆ |
| Modify Headers | Modifikation von Header | ★★★☆☆ |
| User Agent Switcher | Modifikation des User-Agent | ★★★☆☆ |
| RefControl | Manipulieren des Referer | ★★☆☆☆ |
| No-Referer | Deaktivieren des Referer | ★★☆☆☆ |
| X-Forwarded-For Spoofer | Manipulieren des X-Forwarded-For | ★★☆☆☆ |
| Sniffing | ||
| Live HTTP Headers | Mitlesen der HTTP-Kommunikation | ★★★★★ |
| Caching und Blocking | ||
| Adblock Plus | Entfernen von Seitenelementen | ★★★★★ |
| NoScript | Deaktivieren aktiver Inhalte | ★★★★☆ |
| BetterCache | Konfigurieren des Browser-Cache | ★★★☆☆ |
| CookieSafe | Einschränken des Cookie-Handling | ★★☆☆☆ |
| Footprinting und Auswertung | ||
| TinEye Reverse Image Search | Identifikation von Bildquellen | ★★★★☆ |
| PassiveRecon | Footprinting einer Webseite | ★★★☆☆ |
| Server Spy | Anzeigen der Server-Zeile (Banner) | ★★★☆☆ |
| Automatisiertes Testing | ||
| iMacros for Firefox | Automatisierung mittels Makros | ★★★★★ |
| HackBar | Einfache Web-Angriffe automatisieren | ★★☆☆☆ |
| SQL Inject Me | Einfache SQL-Injection automatisieren | ★★☆☆☆ |
| XSS Me | Einfache Cross Site Scripting automatisieren | ★★☆☆☆ |
| RESTTest | Manuelle Generierung von Anfragen | ★☆☆☆☆ |
Hinweis
Nicht erst seit dem Zwischenfall zu Beginn des Jahres 2010, bei dem korrupter Programmcode in Firefox-Addons vermutet wurde, ist es angeraten, a) Addons nur aus vertrauenswürdiger Quelle zu installieren, b) sie mit einer Antiviren-Lösung auf korrupten Programmcode hin zu testen sowie c) den Quelltext auf etwaige Backdoor-Mechanismen zu überprüfen.
Marc Ruef | G+ und Stefan Friedli | G+ (537 Wörter)
► 14.04.2011 – Kritik an Proxies als Massnahme
Im klassischen Firewalling werden die beiden Technologien Packet Filter und Application Gateway vorgesehen. Letztere ist durch das Anbieten dedizierter Application Level Proxies für einzelne Anwendungsprotokolle darum bemüht, eine Entkoppelung eines Dienstes vorzunehmen. Als Common Point of Trust wird das Sicherheitselement zwischen Client und Server geschaltet:
Client ↔ Proxy ↔ Server
Ein Proxy ist darum bemüht, die Unstimmigkeiten einer Kommunikation zu erkennen, einzuschränken und zu protokollieren. Wird also eine deformierte HTTP-Anfrage über einen Webproxy geschickt, sollte er entsprechend darauf reagieren können. Die Angriffsmöglichkeit gegenüber dem Zielsystem – dem eigentlichen Server -, soll durch das vorgeschaltete Element abgefangen und neutralisiert werden. Im besten Fall erreicht der Angriffsversuch also nie das angegriffene System, unabhängig von einer etwaigen Verwundbarkeit dessen:
Client → Proxy ↛ Server
Gehen wir nun davon aus, dass auf dem Server eine Schwachstelle existiert. Diese kann durch eine böswillige HTTP-Anfrage ausgenutzt werden. Ein Direktzugriff führt also zum Erfolg der entsprechenden Attacke. Der Proxy erkennt jedoch die Deformierung und kann den Angriff frühzeitig abblocken. Damit übernimmt er eine zentrale Aufgabe, die eigentlich dem Server hätte zuteil werden sollen. Denn eigentlich ist letzterer selbst dafür zuständig, sich selbst sicher anzubieten. Durch einen Proxy kann damit eine mehrschichtige Sicherheit (Multilevel Security) erreicht werden.
Mit diesem Prinzip gehen jedoch Einschränkungen einher. Weist zum Beispiel das vorgeschaltete Sicherheitslement eine Schwachstelle auf – sei dies nun eine programmtechnische Verwundbarkeit oder ein versehentlich eingeführter Fehler in den Konfigurationseinstellungen -, kann dieses seine Aufgabe nicht mehr wahrnehmen. Wird auf das Erreichen des gewünschten Sicherheitsstands auf der Applikation verzichtet, ist diese trotz Sicherheitselement – aufgrund seiner Transparenz – angreifbar. Es ist also wichtig, eine echte mehrschichtige Sicherheit zu erreichen, indem auf allen Ebenen Massnahmen angestrebt werden.
Client ↔ Proxy mit Schwachstelle ↔ Server
Das zweite Problem besteht in einem grundlegenden Missverständnis, welches Proxy-Lösungen entgegengebracht wird. Es wird oftmals fälschlicherweise per se angenommen, dass diese Angriffe pauschal erkennen und verhindern können. Tatsächlich ist es jedoch in erster Linie nur die Aufgabe des Proxies, Verletzungen der Standardisierung des eingesetzten Protokolls anhand eines wohldefinierten Prototyping zu erkennen. Dies können zum Beispiel fehlerhafte Werte in einer Header-Zeile sein.
Wird jedoch ein Angriff angestrebt, der keine Verletzungen dieser Art erfordert, kann der Proxy nicht ohne weiteres reagieren. Ein durch ihn erlaubter Zugriff wird voraussichtlich auch durch den Server als solchen wahrgenommen (das gleiche Problem haftet seit jeher Antiviren- und IDS-Lösungen an):
Client ↔ Proxy erlaubt Zugriff ↔ Server erlaubt Zugriff
Es ist wichtig zu verstehen, dass Proxies a) in erster Linie als ergänzende Massnahme im Rahmen einer mehrschichtigen Sicherheitslösung eingesetzt werden sollten und b) netzwerk- und applikationsindividuelle Anpassungen an der Installation vorgenommen werden müssen. Hierzu muss sowohl die Funktionsweise der Proxylösung als auch jene der zu schützenden Dienste umfassend verstanden und eingeschränkt werden. Oftmals ginge mit einem solch durchdringenden Verständnis ebenfalls die Möglichkeit einer umfassenden Absicherung des Endpunkts einher. Und dadurch generiert sich das klassische Dilemma:
Ein Proxy ist erst dann von echtem Nutzen, wenn er nicht mehr erforderlich wäre. q.e.d.
Ein Proxy-Element kann dann von unweigerlichem Nutzen sein, wenn keine direkte oder mittelfristige Möglichkeit besteht, den Server bzw. die darauf angebotene Applikation sicher zu machen. Zum Beispiel, weil eine geschlossene Lösung eingesetzt wird, die man nicht nach Belieben anpassen kann. Oder weil die Betreuung der betroffenen Komponenten durch eine externe Firma vorgenommen wird, und man deren Massnahmen nicht beeinflussen kann. In solchen Momenten vermag ein Proxy-Element ein gewisses Mass an Flexibilität und Unabhängigkeit zu erlangen.
Mit dem Einführen eines Proxies wird aber – abgesehen von der Gefahr einer falschen Sicherheit bei einer fehlerhaften Nutzung – ebenfalls eine zusätzliche Komplexität eingeführt. Diese kann zu Problemen im Betrieb führen, die sich ebenfalls direkt oder indirekt auf die Sicherheit der Umgebung auswirken können. Ein typisches und nicht zu unterschätzendes Beispiel ist die versehentliche Abschaltung der Proxy-Komponente, wodurch ungwollt eine unmittelbare Exponierung der (potentiell) verwundbaren Dienste stattfindet. Schon so manches Unternehmen musste in schmerzvoller Weise erfahren, dass damit die errichtete Sicherheit nur von temporärem Nutzen war.
► 07.04.2011 – Windows 7 Hardening: Eine Übersicht
Im letztjährigen scip IT Security Forecast haben wir darauf hingewiesen, dass Windows 7 in naher Zukunft eine zentrale Rolle spielen wird. Immer mehr unserer Kunden beginnen mit einer Migration, die vorzugsweise von Windows XP ausgeht (die allermeisten haben Windows Vista ausgelassen).
Im Rahmen der Einführung und Nutzung von Windows 7 stellt sich für viele Kunden die Frage, welcher Sicherheitsgewinn durch die neueste Windows-Generation gegeben sein wird. Bei der Umsetzung umfassender Hardening-Projekte für verschiedene Kunden haben wir Windows 7 intensiv analysiert und die neuen Sicherheitsfunktionen auf ihre Auswirkungen hin untersucht. Unsere Erkenntnisse wollen wir hier zusammenfassen:
- Überarbeitung der User Account Control (UAC): Die Benutzerkontensteuerung wurde mit Windows Vista eingeführt und für Windows 7 optimiert. Sie verhindert, dass normale Benutzer systemkritische Anpassungen durchführen können. Zuerst muss eine explizite Authentisierung mit administrativen Rechten geschehen, um den Zugriff umzusetzen. Gerade in Umgebungen, in denen normale Benutzer ebenfalls administrative Handlungen vollziehen können müssen, erhöht diese Hürde die Sicherheit des Systems sowohl auf technischer als auch auf psychologischer Ebene (zusätzliche Hürde).
- Einführung von AppLocker: AppLocker ist eine neue Komponente von Windows 7 Enterprise, die es Administratoren erlaubt festzulegen, welche Anwendungen im Unternehmensnetz gestartet werden können. Durch granulare Einstellungen der Group Policies (GPO) kann so verhindert werden, dass unliebsamer Code eingebracht und ausgeführt wird. Damit wird sowohl ein Exploiting durch interne Mitarbeiter als auch eine Infektion durch Malware eingeschränkt. Dieses HIPS-ähnliche Feature gilt bisher wohl mitunter als das am meisten unterschätzte.
- Einführung von BitLocker (TPM): Bei BitLocker handelt es sich um die seit Vista von Microsoft bei den Ausführungen Ultimate und Enterprise mitgelieferte Festplattenverschlüsselung. Auf einer separaten Partition nutzt BitLocker das Trusted Platform Module (TPM), um den Zugriff auf die mit AES geschützten Daten durchzuführen. Vor allem mobile Geräte können so in Bezug auf Diebstahl zusätzlich abgesichert werden. In der Registry finden sich rund 70 neue Einstellungen, die in Bezug auf BitLocker/TPM wichtig sind.
- Einführung von Windows Defender: Bei Windows Defender handelt es sich um eine freie Anti-Spyware Lösung von Microsoft. Bei Windows Vista und Windows 7 ist sie (im Gegensatz zu Windows XP und Server 2003) schon vorinstalliert und damit fest im System verankert. Durch die automatische Prüfung auf etwaige Malware können breitflächige Infektionen ohne zusätzliche Aufwände frühzeitig erkannt und verhindert werden. Gerade populäre Malware-Outbreaks sollen so eingedämmt werden können. Ein echter Ersatz für eine eigenständige Antiviren-Lösung ist dies jedoch nicht.
- Erweiterung der Security Policy Settings: Es wurden einige neue Security Policy Settings eingeführt, die sich vor allem zur Härtung bei lokalen Zugriffen eignen (z.B. Change Time Zone, Crate Symbolic Links). Aber auch erweiterte Netzwerkeinstellungen bezüglich der Unterstützung von NTLM wurden eingeführt. Dadurch können die Installation noch genauer den individuellen Bedürfnissen, vor allem in Hochsicherheitsumgebungen, angepasst werden.
- Überarbeitung der Windows Firewall: Die mit Windows XP eingeführte Windows Firewall wurde in Windows 7 komplett überarbeitet. Diese bietet nun zusätzliche Möglichkeiten an, um Netzwerkkommunikationen einzuschränken. Dabei besteht die Möglichkeit, sehr granulare Einstellungen für Applikationen (ausführbare Dateien) und Hosts/Ports vorzunehmen. Damit wird vielerorts die zusätzliche Nutzung von 3rd Party Lösungen überflüssig.
- Einführung von DirectAccess: Mit DirectAccess wird in Windows 7 Enterprise und Ultimate eine erweiterte VPN-Funktionalität dargeboten. Diese erlaubt die für den Nutzer gänzlich transparente Nutzung des VPN (Virtual Private Network), wobei noch vor dem Zugriff auf die Windows-Domäne die entsprechenden Gruppenrichtlinien angewendet werden. Ein Arbeiten ausserhalb des eigentlichen Netzwerks ist dadurch einfach und dennoch sicher möglich.
- Einführung neuer Services: Es werden einige neue Dienste eingeführt. Bei Windows 7 sind 165 Dienste im Gegensatz zu 90 Diensten bei Windows XP gegeben. Dies erhöht entsprechend die Komplexität des Hardenings. Eine interessante Funktionalität ist der neue Start-Typ
Automatic (Delayed), der eine zeitverzögerte Initiierung eines Dienstes erlaubt, um den Start des Betriebssystems zu beschleunigen.
- Erweiterung der Sicherheit von Freigaben: Die Sicherheit von Shares wurde schon bei Windows XP – im Gegensatz zu 9x/ME – massgeblich erhöht. Mit Windows Vista und Windows 7 wurden nun zusätzliche Einstellungsmöglichkeiten eingeführt, die einen dediziert restriktiven Zugriff auf entsprechende Freigaben umsetzen lassen. Die Standardeinstellungen stellen dabei einen zur Zeit vertretbaren Kompromiss aus Rückwärtskompatibilität und Sicherheit dar. Punktuelle Anpassungen können die jeweiligen Bedürfnisse priorisieren lassen.
- Umfassende Unterstützung von IPv6: Windows 7 kommt ab Installation mit einer vollumfänglichen Unterstützung von IPv6 daher. Diese ist standardmässig ebenfalls aktiviert und bietet damit ebenso ein erhöhtes Mass der Angriffsfläche bzw. Möglichkeiten zur Nutzung der IPv6-Sicherheitsfunktionen. Entsprechende Anpassungen sind im Zug eines Hardenings angeraten.
- Abschaffung einiger alter DOS-Komponenten: Einige alte Komponenten, die bei MS DOS eingeführt und aus Kompatibilitätsgründen bis heute mitgeführt wurden, wurden nun endgültig eliminiert. Dazu gehören beispielsweise einige kommandozeilenbasierte Programme, die im
SYSTEM32-Verzeichnis gelagert werden. Das manuelle Löschen oder das Durchsetzen von restriktiven Zugriffsrechten auf NTFS-Ebene fällt damit teilweise weg.
Unser gegenwärtig bei verschiedenen Kunden im Einsatz befindliches Hardening-Framework sieht 531 sicherheitsrelevante Einstellungen für Windows XP vor. Bei Windows 7 sind es zur Zeit 684 mögliche Hardening-Punkte. Diese Statistik zeigt in eindrücklicher Weise auf, dass Microsoft vielerorts um die Erweiterung der Sicherheitsfunktionalität der neuesten Windows-Generation bemüht war. Mitunter aus diesem Grund können wir unseren Kunden anraten, mittelfristig (1-3 Jahre) ein Upgrade auf Windows 7 vorzunehmen.
- Letzte Beiträge
- Computer Forensik – Ein Überblick
- Vortrag zu Security Testing an SGRP Veranstaltung
- Staatstrojaner – Kritik am neuen Bundesgesetz
- Overview of Microsoft’s security toolkit EMET
- Blog Digest April 2013
- Wie statisch sollten Sicherheitsrichtlinien sein?
- Timing für effiziente unentdeckte Portscans
- Interpreting a Logfile with Grok
- Spamhaus DDoS mit DNS Amplification
- Blog Digest März 2013
- Archiv