Vorträge beim code+design Security-Camp in Hannover

Speaker beim code+design-Camp in Hannover

Gemeinsam mit der Kalweit ITS GmbH und der michael wessel werde ich auf dem anstehenden code+design-Camp ein paar Vorträge halten und Jugendliche in Workshops anleiten. Zudem werden einige weitere Redner und Coaches ihre Eindrücke und Erfahrungen sowie technisches Know How vermitteln. Neben Referenten aus dem Consulting werden auch die Mitbegründer des Projektes internetwache.org, sowie einige Tech-Enthusiasten und ein Referent vom Landeskriminalamt Niedersachsen (Zentralstelle Cybercrime) auftreten.

Ich werde folgende Vorträge und Workshops halten bzw. anleiten:

Samstag, 4. August 2018

Sonntag, 5. August 2018

Coaching und Unterstützung Jugendlicher

Desweiteren werde ich als Coach für Fragen und Unterstützung bei der Veranstaltung zur Verfügung stehen. Im Sinne der Jugendförderung ist diese Initiative in jedem Fall unterstützenswert. Wer möchte, kann sich noch kostenfrei oder gegen Abgabe eines Unkostenbeitrages, wenn man als Teilnehmer auch den Lötkurs mitmachen möchte anmelden. Hier geht´s zur Eventsite und zur Anmeldung (Direktlink): https://code.design/camps/hannover/1808. Veranstaltungsort wird die Dr. Buhmann-Schule in Hannover sein (Dr. Buhmann Schule, Prinzenstraße 13, 30159 Hannover).

Die vollständige Agenda inklusive der Zeiten findet ihr hier: https://kalwe.it/congress/

Wenn ihr mehr über die Initiative code+design erfahren wollt, schaut hier rein: https://code.design/

Security/Wireless: WPA2-KRACK-Leak

Wofür steht KRACK?

Die Abkürzung KRACK steht für Key Reinstallation Attack, was das Verfahren des Angriffs beschreibt.

Wie funktioniert der Angriff?

Wie einige von Euch vermutlich schon mitbekommen haben, ist jüngst eine schwerwiegende Sicherheitslücke in der Implementierung des WPA2-Standards bekannt geworden, der es Angreifern ermöglicht, den Encryption-Key für den Traffic innerhalb des 4-Way-Handshakes abzufangen, auszunullen und dadurch lesbar zu machen.

Der Angreifer positioniert sich dann als Man-in-the-Middle und kann (unverschlüsselten) Traffic mitlesen. Website-Traffic, der über HSTS und PFS abgesichert ist, kann vom Client dann aus Sicherheitsgründen nicht mehr aufgerufen werden.

CryptoTec – PKI + Blockchain für den Unternehmenseinsatz

PKI und Blockchain für sichere Unternehmen

Der Anbieter CryptoTec AG mit Sitz in Deutschland bietet Security-Lösungen für den Unternehmenseinsatz an, die teils oder vollständig auf der Nutzung der Blockchain-Technologie und/oder der Verwendung einer eigenen PKI basieren. Dass in Unternehmen eine eigene PKI mittlerweile eher Standard als die Ausnahme sein sollte, sollte jedem klar sein. Wenn nein, darf er mich gerne via Kontaktformular darauf ansprechen.

Exkurs Blockchain

Eine Blockchain ist eine Datenbank, die die Integrität der Datensätze durch Speichern des Hashwertes des vorherigen Eintrages in der neuen Eintragung hinterlegt und somit eine integere Datenbasis z.B. für Kryptowährungen wie Bitcoin oder Ethereum bietet. Ein Verfälschen der Datensätze ist somit nicht nachhaltig möglich bzw. wird sofort erkannt. Die Art der Datensatzvalidierung nennt man auch kryptografische Verkettung.

Secure Collaboration via Blockchain

Neben der Verschlüsselung von Dateitransfers und der sicheren Speicherung von Daten in der CryptoTec Zone (500MB hochsicher for free) bietet CryptoTec auch einen eigenen Messenger und Filetransferservice mit Ende-zu-Ende-Verschlüsselung, sowie einem sicheren Online-Workroom und einer eigenen PKI zur Identitätssicherung. Auch einen sicheren Zugang zur Blockchain hat CryptoTec im Portfolio.

So kann man problemlos im TrustCenter seine Enterprise-Identitäten verwalten und verwahren, im Messenger auf gesichertem Wege kommunizieren und über den CryptoTec Filetransfer Daten in beliebiger Größe sicher transferieren.

Bei der Kommunikation untereinander werden verwendet:

RSA-4096
AES-256
SHA-512

Unter Anderem mit diesen hohen Verschlüsselungsparametern wirbt CryptoTec – auch mit dem Slogan “Military grade Security”. Ich nehme an, dass das bedeutet, dass die Systeme auf höherem Level als CC EAL 4+ geprüft worden sind. Einen Nachweis dafür habe ich allerdings zum Zeitpunkt des Verfassers dieses Artikels noch nicht gefunden.

Der Kern dieses Systems ist die Nachvollziehbarkeit über Jahre hinweg, da immer wieder der Hashwert mitgesichert und validiert wird. Die Schlussfolgerung daraus ist die hohe Integrität der Datensätze und die gleichzeitig geringen Chancen zur unbemerkten Ansammlung von Kapital.

Apple: AppStore nun mit PayPal

Apple AppStore nun auch mit Paypal-Zahlung

Es ist soweit, endlich ist das Zahlen mit Paypal im Apple AppStore möglich! Nachdem clickandby den Dienst quittiert hatte, war ich erst etwas aufgeschmissen, da ich keine Kreditkartendaten hinterlegen wollte. Unter iOS ist die Option ab iOS 10.3.3 zu finden und ploppt auch einmalig in den Benachrichtigungen auf. Die Konfiguration ist super einfach und man kann sich sich nun die physischen iTunes- und AppStore-Karten sparen, wenn man direkt den Connect zu PayPal hat.

Es ist wirklich einfach, die Einstellung anzupassen. Nachdem die Zahlungsart auf Paypal geändert worden ist, wird man aufgefordert, seine Paypal-Credentials anzugeben. Danach erfolgt eine kurze informative Abfrage seitens Paypal, ob dies wirklich geschehen soll – und mit der Bestätigung dieser Meldung ist Paypal als Standard-Zahlungsmittel für den AppStore eingerichtet. Klar, man kann auch gleich eine Kreditkarte nehmen, dennoch finde ich Paypal da etwas besser, denn wenn ich Apple eines Tages nicht mehr oder weniger vertrauen sollte, kann ich einfach mein Paypal-Kennwort ändern und es sind keine Zahlungen mehr über die AppStore-Berechtigung möglich. Bei Banken sieht der Sperrprozess meist deutlich langwieriger und auch umständlicher aus und eine Sperrmaßnahme ist teils (je nach Bank) sogar kostenpflichtig.

Sicherer Zugriff durch EV3-SSL-Zertifikat und TLS 1.2

Der Zugriff findet via TLS 1.2 statt, was dem aktuellsten Standard entspricht. Paypal bietet für den Austausch ein EV3-SSL-Zertifikat, welches von Symantec ausgestellt worden ist. Das “EV” in der Zertifikatsbezeichnung steht für Extended Validation und besagt aus, dass deutlich mehr als nur eine E-Mail-Adresse oder ein Name, sondern z.B. auch die Handelsregisternummer etc. in der Zertifikats-Order auftauchen. Die Zahl dahinter gibt das Level der Validierung durch die ausstellende Zertifikatsauthorität an, wobei drei die aktuell höchste Validierungsstufe bedeutet.

Für den Schlüsselaustausch wird die Elliptic Curve Cryptography “ECDHE_RSA with P-256” verwendet. Ein sicherer Cipher vom Typ “AES_128_GCM” wird ebenfalls genutzt.

Dateilose Malware DoublePulsar: Angriff via smb

Dateilose Malware DoublePulsar infiziert via SMB

Aktuell kursiert eine dateilose Malware mit Namen DoublePulsar, die – nicht zuletzt aufgrund von der NSA zurückgehaltenen Exploits – einfach Systeme via SMB-Protokoll auf TCP-Port 445 mit weiterem Schadcode versorgt. Es handelt sich dabei um einen sehr versteckt agierenden Malware-Downloader, der auf bereits infizierten Systemen einfach Malware nachladen kann. Die Schwachstelle und Scripte sind auf GitHub verfügbar, sodass mittlerweile auch Script-Kiddies einfachen Zugang dazu erhalten.

Prüfung auf Infektion via Webtool

Es gibt ein Web-Tool, das über die (öffentliche) IP prüft, ob Schadcode auf dem System ausgeführt wird. Nicht geprüft wird hingegen auf weiteren nachgeladenen Schadcode, da dieser sehr variabel sein kann und unterschiedlichste Angriffsvektoren bedienen kann.

Das Webtool ist erreichbar über https://www.binaryedge.io/doublepulsar.html.

Aktuelle Microsoft-Systeme sind voraussichtlich sicher

Nach Angaben von Microsoft sollte ein aktueller Patchstand vor einer Infektion schützen. Infizierte Systeme können, um das Nachladen und eine weitere Ausführung zu verhindern neugestartet werden. Allerdings bleiben Systeme mit bereits nachgeladenem Dateischadcode natürlich befallen. Vorwiegend sind Server von der Schwachstelle betroffen, da diese meist deutlich seltener als Clients neugestartet werden.
Eine detaillierte Analyse der SMB-Backdoor findet sich hier:
https://zerosum0x0.blogspot.de/2017/04/doublepulsar-initial-smb-backdoor-ring.html

Dieser Artikel erschien auch auf consulting-lounge.de: https://consulting-lounge.de/2017/05/dateilose-malwar…-angriff-via-smb/

Amazon FireTV: Alexa ist eingezogen

Einzug ohne Mietvertrag

Ohne zu fragen, wurde mit dem letzten Update des FireTVs Alexa ins Wohnzimmer gebracht. Ob man nun mit ihr befreundet ist oder nicht – man muss sie jetzt ertragen. Ja, Siri hört zu und Google zeichnet neben Bewegungsprofilen auch Sprache unaufgefordert mit – aber das ist doch kein Universalerlaubnisgrund, einem Belauschung unterzujubeln und es als tolles Feature zu verkaufen!

Alexas Einzug in mein FireTV

Es ist ja löblich, dass auch Amazon seine Sprenkelprodukte nach und nach zusammenführt und auch sicherlich von Vorteil, dass Alexa und ihre Echos im Haus lauschen und den Wunsch zum Befehl machen, aber vielleicht möchte man das einfach nicht. Ja, die Sprachfernbedienung hat was, ja Sprachsteuerung kann toll sein – aber sie kann auch nerven. Außerdem geht es gegen die Privatsphäre, so etwas “still und heimlich” mit einem automatisiertem Update den Nutzern unterzuschieben.

Prinzipiell bin ich ein Freund von Automatisierung. Ich bin aber auch ein Freund von Privatsphäre und Datenschutz. Warum wird dem Kunden nicht einfach die Wahl gelassen, sich zwischen Alexa oder nicht Alexa zu entscheiden – zumindest mit einer Karenzzeit?

Wirtschaftlichkeit siegt

Leider scheint die Antwort in dieser Frage recht simpel: Es ist schlichtweg für Amazon nicht wirtschaftlich, beide Entwicklungsstränge parallel am Leben zu halten. Einfacher ist der “Big Bang”, ein Umstieg von einer auf die andere Platform – denn so kann das Know-How gebündelt in ein neues Produkt oder eine neue Produktgruppe wie Alexa und ihr Widerhall gesteckt werden.

Die Entscheidung, dem Kunden eben keine Entscheidung zu lassen kann ich zwar nachvollziehen, will sie aber irgendwie nicht verstehen. Ich möchte die Wahl haben, ich möchte gerne gefragt werden. Ich möchte auch verdammt nochmal nicht unwissentlich Lauscher in die Wohnung bekommen.

Meine (momentane) Lösung

Damit ich sowohl von der Lösung profitiere, als auch meine Privatsphäre aufrecht erhalten kann, habe ich mich dazu entschieden, das FireTV bei Nichtgebrauch – auch dem Portemonnaie und der Umwelt zuliebe – vom Stromnetz abzuklemmen, Alexa bekommt also nur die Gelegenheit zum Mäuschenspielen, wenn ich es will. Nicht schön aber ein Kompromiss zwischen alter Sicherheit und neuer Technik.

Wie gehst Du mit dem Thema um? Sind Tech-Gadgets mit Spionagepotential bei Dir erwünscht oder eher lästiges Beiwerk der Unterhaltungsindustrie? Schreibs in die Kommentare!

Kategorie Security