IndianZ Logo

Security

Sicherheit

Im Englischen existieren zwei Begriffe, Security (Schutz) und Safety (Gefahrlosigkeit), im Deutschen nur das Wort Sicherheit. Sicherheit ist so alt wie die Menschheit selbst, da es einem Grundbedürfnis der Menschen entspricht. Ursprünglich kommt Sicherheit von physischen Aspekten, man denke an Schilde oder Burggräben im Mittelalter. Das Informationszeitalter hat dazu geführt, dass die physischen Massnahmen in die logische Welt adaptiert wurden. Durch die Globalisierung (Daten sind überall und jederzeit verfügbar) und die Zentralisierung (Outsourcing, Cloud Computing, Social Networks) funktionieren die ursprünglich physischen Massnahmen nicht mehr, ein Umdenken ist gefordert. Ein Beispiel: Früher gehörte das Netzwerk der Firma, der Schutz bestand aus der physischen Separierung der Daten. Heute sind viele Daten im Internet, die Netzwerkgrenze lässt sich oft nicht mehr festlegen - daher muss die Sicherheit (wie Verschlüsselung) in den Dienst oder die Anwendung eingebaut werden, da man sich nicht mehr auf den Separierungsschutz des eigenen Netzwerkes verlassen kann.

Definition

Sicherheit bedeutet Schutz vor Risiken, Gefahren und Bedrohungen. Eine Bedrohung, eine Gefahr oder ein Risiko wird mittels Eintretenswahrscheinlichkeit (wie oft passiert es) und Schadenausmass (wieviel Schaden kann entstehen) bewertet. Um Vermögenswerte zu schützen sind effektive Massnahmen notwendig, welche die Bedrohungen und Risiken reduzieren oder eliminieren. Einfachere Massnahmen tendieren dazu, besser verstanden und umgesetzt werden zu können. Aber um etwas zu vereinfachen, muss es umfassend begriffen werden. Die Wirksamkeit der Massnahmen muss zudem laufend überprüft sowie an neue Bedrohungen oder Risiken angepasst werden. Alle Massnahmen zur Sicherheit müssen zusammenspielen, um eine optimale Abdeckung der Bedrohungen und Risiken zu erzielen. Ausserdem müssen Prozesse und Massnahmen immer wieder kritisch hinterfragt werden, damit Effizienz und Wirksamkeit bestehen bleiben. Am besten funktioniert es, wenn Security von Anfang an Bord ist und als Mehrwert respektive Lösungs-orientiert helfend wahrgenommen wird.

Zitate

Zu argumentieren, dass Privatsphäre egal ist, weil man nichts zu verbergen hat, ist nicht anders, als zu sagen, dass freie Meinungsäusserung egal ist, weil man nichts zu sagen hat. (Edward Snowden)
Freiheit gegen Sicherheit einzutauschen funktioniert nicht, man verliert dabei alle Freiheit und Sicherheit. (Benjamin Franklin)
Wenn etwas gratis 'verkauft' wird, ist der Käufer (respektive dessen Daten/Privatsphäre) das 'verkaufte' Produkt. (Unbekannt)
Wir kaufen Schrott, den wir nicht brauchen, mit Geld, das wir nicht haben, um Leute zu beeindrucken, die wir nicht mögen. (Unbekannt)

IndianZ

Sicherheit ganz allgemein aber auch speziell im Zusammenhang mit Computern fasziniert mich schon seit langem. Neben meiner beruflichen Tätigkeit als Sicherheitsspezialist der Informationstechnologie beschäftige ich mich auch in meiner Freizeit damit. Ich sehe mich als sehr neugierigen Menschen, der verstehen möchte, wie Dinge funktionieren oder auch wie man Dinge zweckentfremden kann. Da Menschen wie auch Computer zu den komplexen Systemen gehören, befasse ich mich ebenfalls mit Aspekten wie Psychologie und soziales Auskundschaften (Social Engineering). Seit über 25 Jahren habe ich mit Computern zu tun, davon über 15 Jahre auch beruflich (Supporter, System-Administrator, Informatik-Sicherheitsbeauftragter, Engineer, Consultant und Penetration Tester bei verschiedensten Firmen). Ich bin zertifizierter OPST/OPSA (ISECOM), habe das 'Master of Advanced Studies in Information Security' (Hochschule Luzern) absolviert sowie auch 3 Jahre dort unterrichtet und besitze tiefe Kenntnisse über Betriebssysteme, Netzwerke, Hardware, Software, Technologien und Programmierung.

Gesetz

Das Schweizer Gesetz erlaubt Filesharing im privaten Rahmen (nur Download, kein Upload), Scannen nach offenen Ports und die Nutzung des Webs (ohne rassistische, unerlaubten pornografische, diskriminierende, verleumndende, gewalttätige oder kriminelle Inhalte). Das aktive Eindringen in oder ein Missbrauch von Datenverarbeitungsanlagen wird geahndet, genauso wie Betrug, Urheberrechtsverletzungen, nachrichtendienstliche Tätigkeiten und andere kriminelle Handlungen. Es wird zudem unterschieden, ob der Computer als Ziel, als unterstützendes Mittel zum Gesetzesbruch oder als unwissentlich beteiligte Komponente dient.

Sicherheits-Massnahmen

Verpflichtende Produktehaftung von Hard- und Software-Herstellern.
Sicherheit in die Produkte und Dienste einbauen und einfach benutzbar machen.
Durchgängige Verschlüsselung von Daten bei Speicherung und Transport, privater Schlüssel im alleinigen Besitz des Datenowners.
Software so sicher wie möglich schreiben.
Betriebssystem und Applikationen regelmässig automatisch aktualisieren.
So wenig Administrationsrechte für Benutzer und Programme wie möglich.
Whitelisting für erlaubte Applikationen.
Prüfung Vertrauen in Hardware und Software mittels Trusted Plattform Modules (TPM).
Aktuelles Offline-/Offsite-Backup (Restore regelmässig testen).

Schutzziele

Vertraulichkeit (confidentiality) = Information ist nur authorisierten Subjekten zugänglich
Integrität (integrity) = Information wurde nicht verändert
Verfügbarkeit (availability) = Information ist verfügbar wenn man sie braucht
Authentizität (authenticity) = Information is echt, überprüfbar und vertrauenswürdig
Nachvollziehbarkeit/Verbindlichkeit (non-repudiation) = Handlung an Informationen von Subjekten kann nachvollzogen werden
Zurechenbarkeit (accountability) = Handlung an Information kann einem Subjekt zu geordnet werden
Anonymität (anonymity) = Handlung an Information kann einem Subjekt nicht zugeordnet werden

Spionage

Auch nach dem Bekanntwerden der globalen Spionageaktivitäten sind leider immer noch viele Leute überzeugt, dass sie schon nicht zum Ziel werden würden respektive ja nichts zu verbergen hätten. Doch diese Überwachung fördert ungesunde Machtkonzentrationen und entspricht nicht unseren demokratischen Grundrechten (wie beispielsweise dem Recht auf Meinungsfreiheit und freie Meinungsäusserung). Zudem kann, wenn genügend Informationen über eine Person verfügbar sind, diese Person auch impersoniert werden. Die Sammelwut von sozialen Netzwerken oder Geheimdiensten ist kaum zu bremsen und aus den Daten, die mit hohen Kosten gesammelt und ausgewertet werden, muss ja auch wieder Profit (wie Geschäftsgeheimnisse, Statistiken, Prognosen) gewonnen werden. Es fehlt eindeutig an Sensibilisierung in diesem Bereich, insbesondere auch bei kleinen Firmen und Managern.

Präsentationen

IndianZ_Lockpicking.pdf
IndianZ_SatelliteHacking.pdf
IndianZ_Portscanning.pdf
IndianZ_CloudAttacks.pdf
IndianZ_Coding.pdf
IndianZ_Espionage.pdf
IndianZ_Exploiting.pdf
IndianZ_Information.pdf
IndianZ_Pentesting.pdf
IndianZ_Psychology.pdf
IndianZ_Riskmanagement.pdf
IndianZ_Webapphack.pdf
IndianZ_InfoOps.pdf

Anderes

IndianZ_Feedlist.opml (RSS News/Security)
IndianZ_OSSTMM3.dia (OSSTMM3 Summary)
IndianZ_OSSTMM3.jpg (OSSTMM3 Summary)
IndianZ_Pentest.mm (OSCP Summary)
IndianZ_Pentest.jpg (OSCP Summary)
IndianZ_OSSTMM.pdf (OSSTMM Hakin9)

Links

Hier eine Liste zu interessanten Security-Online-Ressourcen:

Corelan
Darknet
IKAT
Reddit NetSec
Exploit-DB
Packetstorm
Heise
Slashdot
SecDocs
Toolswatch
Golem
OpenRCE
Browserspy
ISECOM
Blackarch
PentestMonkey
Hacking Exposed
THC
Phrack Zine
Default Passwords
DefCon
BlackHat
SecTools
Pentest Standard
SocialEngineer
Attrition
CVE Details
OSVDB
Zone-H
HackFAQ
Insecure
Phenoelit
Ophcrack
Offensive Computing
Hacker Howto
Exploit Search
Gray-World
Hackerspaces
EvilFingers
SecurityTubeCon
MSF Unleashed
Hackers DB
IronGeek
Kali Linux
PenTestMap
Computer Forensik
Abuse.ch
SecViz
Rosetta Unix
Cmdline Reference
OWASP
Astalavista
Hacking Lab
CCC
TheHackerNews
TheIntercept
EFF
Cryptome
OpenSource
FreeSoftwareFoundation
Darknet
ISC Diary
Shodan HQ
Paterva
OSINT-Toolkit
PwnWiki
Portswigger
HiddenWiki
Default Passwords
Security Tube
Scusi Blog
Host Blocking

Schweiz

OWASP Switzerland
Defcon-Switzerland
CCC-CH
Hackerspaces
Guild42
Swiss Crows
LUGS
Hackerfunk
Swisslinux
Digitale Gesellschaft

Shops

Thinkgeek
HakShop
Pwnieexpress
FutureTrends
MakerShed
Sparkfun
Adafruit
DShop
Distrelec
Brack
Steg
ARP
Studentenrabatt
Thiecom
Conrad
Soekris
PCEngines
SilentMaxx
Soomz

News

WhatReallyHappened
Jeff Rense Program
Info Kopp
Info Sperber