Neues in der Kategorie Events

Während das Jahr langsam zur Neige geht, kommt auch der Termin für den dritten und letzten )talk( stetig näher. Mein technisches Segment für dieses Mal beschäftigt sich dediziert mit Exploiting.

Eine Schwachstelle macht noch keinen Sommer, so oder ähnlich sagt man im Volksmund. Tatsächlich bringt eine Schwachstelle einem Angreifer nur einen Vorteil, wenn sie in irgend einer Form ausnutzbar ist.

Wie aus einer SQL Injection Schwachstelle plötzlich eine Shell werden kann, wie verschiedene Payloads funktionieren und welche Sicherheitsmassnahmen gegen welche Arten von Angriffen nutzlos sind, soll im Rahmen der Präsentation erläutert werden.

Ausserdem auf der Agenda: scip AG Ankündigungen für die )talk( Events in 2010.

scip )talk( 03/09
11. November 2009, Zurich
Invite Only (www.scip.ch)

Nächste Woche findet der zweite )talk( des Jahres 2009 in Zürich statt. Im Zentrum steht dieses Mal das Thema Smartphones. Auch dieses Mal werde ich, diesmal in Zusammenarbeit mit Marc, ein technisches Segment präsentieren, dass sich konkret mit Angriffsvektoren auf aktuelle Smartphones, darunter Windows Mobile 6.1/6.5 und das Apple iPhone bezieht.

Konkret geht es darum, dass die genannten Geräte, neben diversen weiteren, immer stärker in modernen Unternehmensnetzwerken eingesetzt werden. Interessant ist das in erster Linie deshalb, weil die Funktionalität und die Leistungsfähigkeit dieser Handhelds längst an die Notebooks heranreichen, die wir vor einigen Jahren noch "performant" nannten. Während sich die üblichen Sicherheitsvorkehrungen für eben jene Notebooks sich seither doch um ein ganzes Stück verändert haben, werden Smartphones oftmals immer noch gleich behandelt, wie das altehrwürdige Nokia 3210: Als Mobiltelefon.

Wie Smartphones im Rahmen dedizierter Penetrationstest als Angriffsmedium verwendet werden können und wo die Grenzen des mobilen Exploitings liegen, soll im Rahmen des Vortrags "Smartphones: Angels and Demons" besprochen werden.

scip )talk( 02/09
02. September 2009, Zurich
Invite Only (www.scip.ch)

Nächste Woche findet die erste Ausgabe des scip )talk( im Jahr 2009 statt. Wie auch schon in 2008, werde ich ein technisches Segment präsentieren - und wie gehabt gibt es daher im Vorfeld schon ein paar Informationen zum besprochenen Thema.

Taming a Beast with a Thousand Heads: Configuration Management

Wir propagieren grundsätzlich sehr oft eine transparente Herangehensweise für Sicherheitsüberprüfungen. Gerade in komplexen Umgebungen macht es oftmals schlicht und ergreifend keinen Sinn, in einem sehr limitierten Zeitrahmen die oft zitierte Nadel im Heuhaufen - in diesem Fall eine kritische Schwachstelle - zu suchen.

Wenn Umgebungen periodisch geprüft werden, so wird ab einem gewissen Punkt gerne auf Konfigurationsanalysen zurückgegriffen. Die populärsten Form ist dabei die Analyse von Firewall Regelwerken, aber auch die Einstellungen artverwandter Gerätschaften, wie zum Beispiel Reverse Proxies, werden gerne auf diese Art und Weise untersucht.

Das Ziel einer Konfigurationsanalyse ist relativ simpel: Es werden Einstellungen gesucht, die eine negative Implikation auf die Sicherheit des Systems besitzen. Diese werden anschliessend bewertet (Kritikalität, Wahrscheinlichkeit, etc.) und mit Gegenmassnahmen versehen dokumentiert. Ein Beispiel wäre im Fall eines Apache Servers die Zeile:

SSLProtocol ALL

Diese Direktive würde bemängelt werden, weil sie SSLv2 unterstützt, was aus verschiedenen Gründen unerwünscht ist. Es würde daher empfohlen werden, die Zeile dahingehend zu modifizieren, dass SSLv2 nicht mehr erlaubt wird:

SSLProtocol ALL -SSLv2

Es würde als weitere Massnahme vorgeschlagen werden, dass eine themenverwandte Direktive eingesetzt werden sollte, um einen bestimmten Effekt, zu erreichen. In diesem Fall würde empfohlen werden, nur als kryptografisch sicher geltende Algorithmen zuzulassen. Dies entspricht der Konfiguration, die benötigt wird um PCI Compliance zu erreichen:

SSLCipherSuite HIGH:!SSLv2:!ADH:!aNULL:!eNULL:!NULL

In einem kompakten, klar abgesteckten Kontext, ist eine solche Analyse relativ simpel: Meistens ist höchstens eine handvoll Dateien mit ein paar Dutzend sicherheitsrelevanten Direktiven zu betrachten.

Interessant wird es aber, wenn plötzlich mehrere hundert Systemkonfigurationen mit tausenden (!) Konfigurationsdirektiven eines Dienstes normalisiert, analysiert und untereinander nach verschiedenen Kriterien verglichen werden sollen. Wie eine solche Analyse realisiert werden kann und was dabei beachtet werden muss, ist eines der weitergehenden Themen, auf das ich im )talk( eingehen werde.

scip )talk( 01/09
18. März 2009, Zurich
Invite Only (www.scip.ch)