IT-Security-Management – SWITCH Security-Blog

IT-Security-Links #46

HITB2013: Hack in the box published their quarterly magazine with hot security topics from the last HITB security conference. Free download, 102 pages.
Windows XP: According to Kaspersky 18% of Windows users worldwide still use the XP platform. And Microsofts support for it ends by April 8, 2014…
Threat Landscape: ENISA released their 2013’s Threat Landscape Report, a collection of top cyber-threats that have been assessed in 2013.
Resilience: ENISA released a report on “Power Supply Dependencies in the Electronic Communications Sector”. Power cuts are a dominant cause of severe network and service outages. Read about past incidents and consequent recommendations.
Phishing / Awareness: Great awareness posters are available on the SANS ‘Securing The Human Program’ homepage. For example the new anti phishing poster “Don’t Get Hooked” (ZIP).
IT risk management: Since risk management practices can always be improved, Ericka Chickowski compiled the “Top 5 IT Risk Management Resolutions” for this year.

IT-Security-Links #42

VB2013 / hack.lu 2013: Slides from the Virus Bulletin 2013 Security Conference in Berlin are available now…
…as well as the slides from hack.lu 2013.
Security 101: Watering holes remove the challenge of finding and chasing an elusive target. Stefanie Hoffman wrote about Watering Hole Attacks in the Fortinet Blog.
Global DDoS Attack Map: Google and Arbor Networks visualize DDoS attacks around the globe. The tool allows you to see where attacks are taking place and where they are coming from. And you can also investigate historic attacks.
How open source projects should handle security vulnerabilities – a blog article by Alex Gaynor.
Q3 findings from ATLAS: the quarterly data pull from ATLAS to glean new insight into DDoS attack trends

German:

Cloud-Richtlinien für Schweizer Schulen: Die Vereinigung der Schweizerischen Datenschutzbeauftragten hat Richtlinien für den Einsatz von Cloud-Services veröffentlicht.

IPv6 Adress-Autokonfiguration aus Security-Sicht

Wer in seiner Organisation IPv6 einführt, muss sich darüber Gedanken machen, wie die Adressvergabe für Server und Clients geregelt werden soll. Dabei spielen auch Sicherheits- und Privatsphären-Aspekte eine Rolle. In diesem Beitrag wollen wir dazu die Themen Adress-Autokonfiguration und Privacy Extensions etwas näher betrachten.

SLAAC – Autokonfiguration

Neben den von IPv4 bekannten Möglichkeiten – statische Adresskonfiguration oder DHCP – gibt es für IPv6 zusätzlich den Mechanismus der Adress-Autokonfiguration (RFC 4862: IPv6 Stateless Address Autoconfiguration, SLAAC). Dieser bedarf weder einer manuellen Konfiguration auf dem Client noch einer zentralen Instanz, welche die Adressen zuteilt. Der lokale Teil der IPv6-Adresse (Interface Identifier, IID, 64 Bit) wird dabei lokal auf dem Host gebildet, und zwar gemäss Standard abgeleitet von der MAC-Adresse des Interfaces nach dem Modified EUI-64 Verfahren.

ipv6adresse — IPv6-Adresse bestehend aus Präfix (Global Routing Präfix + Subnet ID) und Interface ID. Die Interface ID ist hier aus der MAC-Adresse 3c:07:54:5d:45:67 abgeleitet nach dem Modified EUI-64-Verfahren.

Da die MAC-Adresse in aller Regel gleich bleibt, hat nun der Host – beispielsweise der Laptop eines Geschäftsreisenden – weltweit eine IPv6-Adresse, deren letzten 64 Bit immer konstant bleiben. Dadurch hat man neben den existierenden Tracking-Mechanismen (Cookies, Browser-Fingerprint, etc.) noch ein statisches Datum, mit dem der Client auf Ressourcen zugreift – und damit dauerhaft und weltweit trackbar ist. Ein Problem für die Privatsphäre des Nutzers. Continue reading “IPv6 Adress-Autokonfiguration aus Security-Sicht”

IT-Security-Links #41

HITB2013KUL: The Security Conference ‘Hack in the Box‘ took place this week. Slides of the talks are available here.
Malware “Dexter”: Infected point-of-sale terminals in South African restaurants costs banks millions.
Bring your own Shadow IT: How people avoid the “clunky” network their organisation offers.
Insecurities of /dev/random: A security analysis (PDF) of Linux’ pseudo-random number generator.
Can we trust ‘NSA-proof’ TrueCrypt? Security researchers are raising funds to conduct an independent audit of TrueCrypt, the popular disk encryption utility.
NSA collects millions of address books: According to a newly disclosed presentation, the NSA collects contact lists from personal e-mail and instant messaging accounts around the world.
Windows XP support ends April 2014! After this date customers will no longer receive new security updates.

German:

Wie sicher sind Computersysteme von Schweizer Firmen? Die First Security Technology AG scannte Schweizer IP-Adressen und hat daraus einen Swiss Vulnerability Report erstellt. Kritik dazu gibt’s auch.

IT-Security-Links #38

How should you react after NSA Bullrun program revelations? Focus on your companys security practices! Recommendations from information security and cryptography experts.
Banking-Malware: Hesperbot (or Hesperus) is a newly discovered and sophisticated malware that steals user information, mainly online banking credentials. Vikas Taneja analyzed a recent binary.
Vodafone-Hack in Germany: Phishing attacks are likely after an insider stole personal information on as many as two million (mobile-) customers.
CISO/CRO: Should the Chief Information Security Officer also be Chief Risk Officer? A discussion about the different roles in an enterprise.
‘Connected Mobility’: George Reese on authentication flaws in the Tesla Model S.

German:

Das Bundeskriminalamt in Österreich stellte am Donnerstag seinen Cybercrime-Report 2012 vor. Mit mehr als 10.000 hat sich die Zahl der angezeigten Fälle im Vergleich zum Vorjahr mehr als verdoppelt.

IPv6 für (Security-)Manager – Teil 4: Loslegen, aber sicher!

Warum IPv6 ein IT-Management-Thema ist, wie das Big Picture der IPv6-Integration aussehen kann und welche möglichen Treiber es gibt, das haben wir uns in den vergangenen 3 Teilen dieser Serie angeschaut. In diesem Teil möchte ich nun anhand von 5 Punkten aufzeigen, wie Sie das Thema IPv6-Integration in Ihrer Organisation sicher auf den Weg bringen können:

1. Operativen Betrieb absichern – IPv6 ist bereits da!

Als aller erstes sollten Sie das latente Risiko durch existierende Dual-Stack-Rechner in Ihrer IT-Umgebung einschätzen: Alle modernen Betriebssysteme sind IPv6-enabled und können mittels Autokonfiguration “von aussen” konfiguriert werden. Damit stehen einem potenziellen Angreifer einige IPv6-spezifische Attacken zur Verfügung, ohne dass Sie jemals IPv6 bewusst konfiguriert und ausgerollt haben. Auf den Systemen wird durch die Autokonfiguration ausserdem “eine zweite Tür geöffnet”, für die bestehende Sicherungsmechanismen (beispielsweise IP-basierende ACLs) unter Umständen nicht greifen. Continue reading “IPv6 für (Security-)Manager – Teil 4: Loslegen, aber sicher!”

IT-Security-Links #21

The Cybercrime Coordination Unit Switzerland (CYCO/KOBIK) published their Annual Report 2012 (PDF). It’s also available in German.
Phishing: How the phishers perpetrated their attacks, and what defensive measures are and are not working: The Anti-Phishing Working Group (APWG) released the Global Phishing Survey for 2H2012.
DDoS Attacks: I’m under attack. What should I do? Whom should I call? Dave Piscitello wrote an interesting blog post about How to Report a DDoS Attack on behalf of the ICANN Security Team.
When it comes to enterprise security, is it better to focus on compliance or risk? A viewpoint from Christian Anschuetz and Dan Abdul at networkworld.com.
A new Android malware is targeting Polish e-banking users. The application is called “E-Security”. (CERT Polska)
Strong Twitter passwords are important! Here you can (let your colleagues) check, if your/their Twitter passwords are still secure. 😉

IPv6 Security und Hacking – Vortrag beim Swiss IPv6 Council

Im Rahmen einer neuen Tech-Event-Reihe, die das Swiss IPv6 Council in Kooperation mit Digicomp durchführt, hatte ich am vergangenen Montag die Gelegenheit, das Thema “IPv6 Security und Hacking” vorzustellen. Mit rund 70 Teilnehmern stiess auch diese zweite Veranstaltung der Reihe auf reges Interesse.

Continue reading “IPv6 Security und Hacking – Vortrag beim Swiss IPv6 Council”

IT-Security-Links #12

Facebook reported that their systems had been targeted in a sophisticated attack. A 0-day exploit bypassed Java protections to install malware through a compromised website. Now Facebook is working with the FBI to investigate the attack.
The Economist writes about How America and Europe are trying to bolster their cyber-defences.
MIT Technology Review reports on the trade in zero-day exploits and the role of governments.
Can freezing an Android device crack its encryption keys? An interesting and funny report on FROST, the Forensic Recovery Of Scrambled Telephones.
How to structure your Risk Assessment and identify the areas that need the most attention (by the Infosec Institute).
A short & helpful blogpost from TrendMicro on “How to use PDF files more safely.”

IPv6 für (Security-)Manager – Teil 2: Das Big Picture der IPv6-Integration

Im ersten Teil dieser Reihe zum Thema IPv6 ging es darum, warum IPv6 ein Management-Thema ist: Die Auswirkungen von IPv6 auf Ihre IT-Organisation sind vielfältig. Für eine sowohl kosteneffiziente als auch sichere Integration von IPv6 in die eigene Organisation ist es erforderlich, dass Sie sich einen Überblick in Form einer Bestandsaufnahme verschaffen. Auf dieser Basis kann eine individuelle IPv6-Integrationsstrategie entwickelt werden, inklusive einer Roadmap, die interne und externe Abhängigkeiten mit berücksichtigt. Beispiele für solche Abhängigkeiten sind bestehende Investitions- und Entwicklungs-Zyklen, aber auch die IPv6-Readiness der IT-Security.

Das folgende “IPv6 – Big Picture” soll eine Orientierung über betroffene Bereiche und notwendige Aktivitäten geben:

In den horizontalen Feldern sind die verschiedenen Bereiche der IT aufgeführt, die irgendwann im Laufe der IPv6-Integration betroffen sind. Die senkrechten Felder enthalten Aktivitäten, die innerhalb der IPv6-Integration anstehen. Im einzelnen:

Continue reading “IPv6 für (Security-)Manager – Teil 2: Das Big Picture der IPv6-Integration”

IPv6 für (Security-)Manager – Teil 1

Über IPv6 – dem Nachfolger des Internet-Protokoll-Standards IPv4 – wird nun seit 15 Jahren gesprochen. In dieser Zeit ist das Thema jedoch ohne grössere Auswirkungen auf die produktive IT der meisten Organisationen geblieben. Daher wundert es nicht, wenn sich viele IT-Manager daran gewöhnt haben, IPv6 entweder zu ignorieren, oder als eine niedrigpriorisierte und vielleicht auch eher technische Angelegenheit einzuordnen.

Auch wenn dieser Umgang mit dem Thema in der Vergangenheit oft ohne grössere Risiken möglich war, kann man heute davon ausgehen, dass dies für die Zukunft nicht mehr in gleichem Masse gilt. Es lohnt sich also, einen frischen Blick auf den “Fall IPv6” zu werfen:

Continue reading “IPv6 für (Security-)Manager – Teil 1”