comment 0

Es dauerte vier Jahre, den Begriff “Penetration Testing” zu definieren.

Am 26. März 2015 erschien das Penetration Testing Guidance des PCI Security Standards Council in dem der Penetration Testing Execution Standard als offizielle Referenz zur Definition und Durchführung von Penetration Tests genannt wird. Ein kurzer Rückblick.

Es war ein Freitag im Januar 2011. Washington DC lag unter dickem Schnee begraben – vermutlich derselbe Schnee der zu zahlreichen Verzögerungen meiner Anreise und einem go-around beim Anflug auf Dulles führte. Winter ist nicht die beste Zeit um DC zu besuchen, wie ich feststellen musste. Die National Mall menschenleer, die Pfade vereist. Abraham Lincoln, respektive die Statue zu seinen Ehren, schien hier einige ruhige Tage zu geniessen.

Aber der Grund meiner Reise war nicht touristischer Natur, so oder so. Ich hatte den Weg nach Washington auf mich genommen, um gemeinsam mit einer handvoll Gleichgesinnter eine Initiative zu starten, mit dem Ziel die Infosec-Industrie zu verbessern.

Viele grundlegende Probleme der Informationssicherheit liegen der hohen Komplexität, technisch wie auch strukturell der Thematik zugrunde. Das Konzept des Penetration Testings ist ein gutes Beispiel dafür: Mangels einer formellen Definition bleibt die Interpretation dem Einzelnen überlassen, was meistens in einer losen Form der Fragestellung “Ist ein Eindringen in das Unternehmen möglich?” endet. Der Detailgrad mit dem diese Frage beantwortet wird, variiert entsprechend. Während in einem Fall eine seriöse Überprüfung, eine solide Analyse der möglichen Bedrohungen und eine Korrelation zu den Business Cases des Zielunternehmens angestellt werden könnte, könnte man sich auf der anderen Seite des Spektrums auf eine oberflächliche technische Analyse, oft auf Basis von automatisierte, signaturbasierten Softwareprodukten beschränken.

Während beide dieser Ansätze sicherlich ihre Daseinsberechtigung haben, so ist es problematisch sie beide mit der identischen Bezeichnung “Penetration Test” zu identifizieren. Für ein Unternehmen, dessen Kerngeschäft ausserhalb der IT liegt, grenzt es am Unmöglichen, ein Angebot im Hinblick auf seinen Preis und Umfang korrekt einzuschätzen. Nur allzuoft werden daher Tests durchgeführt, die individuellen der Bedrohungssituation eines Unternehmens nicht die gebührende Achtung entgegenbringen. Dementsprechend wird ein falsches Gefühl der Sicherheit geschaffen – passiert wegen fehlender Achtsamkeit ein wirklicher Einbruch, so steht sowohl das Unternehmen wie auch die Branche der Penetration Testing-Anbieter schlecht da.

Zurück nach Washington DC: In einem Meetingraum des Hiltons hatten sich insgesamt fast zwanzig Personen eingefunden. Jeder von uns mit ausgewiesener Erfahrung im Bereich Pentesting, jeder mit der selben Frustration über die obengenannte Problematik, wenn auch mit variierendem Ausprägungsgrad. Wenige Stunden später war der Penetration Testing Execution Standard in seiner Urform geboren: Auf einer Grösse, die ungefähr einem A4-entsprach, war in Form eines Mindmaps abgebildet, was ein Pentest in seinen Grundzügen umfassen sollte: Vom Pre-Engagement bis hin zum Post-Exploiting.

In den folgenden Wochen und Monaten – mittlerweile Jahren – wuchs aus diesem Mindmap eine deutliche grössere, detailreichere Version mit Dutzenden von Referenzen, Hintergrundartikeln und Howtos. Die Anzahl von Personen, die das Projekt unterstützten wuchs täglich. Einladungen von Konferenzen und Pocasts, die dem Projekt eine Plattform geben wollten, folgten. Nach der initialen Begeisterung wurde es ruhiger – aber im Hintergrund ging die Arbeit weiter. Langsam, aber stetig etablierte sich der PTES als Referenzmodell und tauchte immer öfters an unerwarteter Stelle auf, so zum Beispiel auch auf der Webseite eines neugegründeten Schweizer Mitbewerbers.

Am 26. März 2015 passierte dann, für mich unerwartet, war ich als einen wahren Meilenstein für dieses Projekt betrachte: Das PCI Security Standards Council veröffentlichte ein Dokument, als Teil des PCI-DSS an den auf Compliance-Ebene viele Unternehmen weltweit gebunden sind, das den Penetration Testing Execution Standard als Referenz für die Durchführung von Tests nennt.

Was auf einem einzelnen Blatt Papier begann ist nun eine akzeptierte Definition. Das ist eine Tatsache, auf die jeder Stolz sein sollte, der in irgendeiner Form am PTES mitgearbeitet hat, von meinen Mitgründern bis hin zu den zahlreichen Technical Writers, die die Texte überarbeitet haben.

Vier Jahre. Steter Tropfen höhlt eben doch den Stein.

comment 0

Ein Plädoyer für die Netzneutralität

The Internet is the most powerful and pervasive platform on the planet. It is simply too important to be left without rules and without a referee on the field. Think about it. The Internet has replaced the functions of the telephone and the post office. The Internet has redefined commerce, and as the outpouring from four million Americans has demonstrated, the Internet is the ultimate vehicle for free expression. The Internet is simply too important to allow broadband providers to be the ones making the rules. This proposal has been described by one opponent as, quote, a secret plan to regulate the Internet. Nonsense. This is no more a plan to regulate the Internet than the First Amendment is a plan to regulate free speech. They both stand for the same concepts: openness, expression, and an absence of gate keepers telling people what they can do, where they can go, and what they can think.

Tom Wheeler, FCC Vorsitzender

Der 26. Februar war ein wichtiger Tag für das amerikanische Internet: In einer bemerkenswerten Abstimmung entschied die FCC, dass der Zugang zum Internet äquivalent zu Telefonanschlüssen behandelt werden soll.

Konkret heisst das, dass Anbieter wie Verizon und Comcast, um prominente Beispiele zu nennen, keine sogenannten Fast Lanesaufbauen dürfen. Die Idee dahinter wäre folgende: Dienstleister A könnte bei den Netzbetreibern eine sogenannte Fast Lane einkaufen, während ein anderer Dienstleister B darauf verzichtet, entweder willentlich oder aufgrund mangelnder finanzieller Mittel. Versucht ein Benutzer nun auf beide Seiten der genannten Dienstleister zuzugreifen, so hätte er für seinen Zugriff auf Dienstleister A eine signifikant schnellere Verbindung als bei Dienstleister B – und das komplett unabhängig von seiner eigenen Internetverbindung.

Dass solche Deals lukrativ wären, steht ausser Frage. Es überrascht so auch nicht, dass Verizon es sich am Folgetag der Entscheidung nicht nehmen liess, in seinem Corporate Blog auf humorvolle, aber unprofessionelle Art in Morse-Code zum Thema zu äussern.

Unabhängig davon ist der Entscheid der FCC ein wichtiger Erfolg für das Konzept der Netzneutralität. Das zugrundeliegende Konzept sieht vor, dass Daten bei der Übertragung über das Internet als gleich betrachtet werden sollen, unabhängig ihres Ursprungs und ihres Ziels.

Viele Netzbetreiber stehen aufgrund der stetig wachsenden Datenmengen vor Herausforderungen, diese Daten mit hohem Durchsatz und angemessener Verbindungsqualität zu übertragen. So forderten britische Provider schon vor einiger Zeit eine Breitbandabgabe von der BBC, die mit ihrem Videoplayer iPlayer grosse Datenmengen verursacht. Auch sollen derartige Modelle es ermöglichen, zusätzliche Einnahmen für Investitionen in die bestehenden Netze zu erschliessen.

Auch wenn diese Gründe sicher nicht komplett falsch sind, muss man sich vor Augen führen dass diese Art von Regulation innovationshemmend wirken dürfte: Wie soll ein junges Video-on-Demand Streaming Startup gegen etablierte Branchenriesen wie Netflix oder Amazon bestehen ohne massive Ausgaben für eine Fast Lane aufzubringen?

Oder weiter gedacht: Was wenn ein Provider eine exklusive Vereinbarung mit einem Anbieter wie Apple eingeht und Dienste wie Netflix, Spotify und YouTube zu Gunsten von iTunes nicht mehr oder nur in unbrauchbarer, gedrosselter Form anbietet?

Man mag diese Argumentation zu diesem Zeitpunkt als argumentum ad baculum bezeichnen, aber derartige Vorgehensweisen sind keinesfalls ohne Präzedenz: Noch vor wenigen Jahren war es in Deutschland gang und gäbe bei mobilen Datenabonnementen mittels Vertragsbedingungen die Nutzung von Voice-over-IP und Instant Messaging Diensten zu verbieten, da diese die klassischen Ertragsquellen Telefonie und SMS direkt konkurrenzierten.

Auch aus Sicht der Sicherheit und des Datenschutzes wäre eine Wahrung der Netzneutralität zu bevorzugen: Wer Traffic priorisieren will, der muss ihn bis zu einem gewissen Masse auch analysieren. Gerade in der Post-Snowden Ära müsste man den Aufbau entsprechender Infrastrukturen eigentlich zumindest kritisch diskutieren.

Darum ist der Entscheid der FCC erfreulich, hatte man doch lang erwartet dass der Entscheid fundamental anders ausfallen würde.

Hierzulande ist die Diskussion zur Netzneutralität noch jung und muss noch geführt werden. Es bleibt dabei zu hoffen, dass der Entscheid, wie ihn die amerikanische Regulierungsbehörde nun gefällt hat, hier als Wegweiser dienen kann.

comment 0

So Long, and Thanks for All the Superfish

scip_logo
Dieser Beitrag ist im Original auf der Webseite der scip AG zu finden.

Lenovo Thinkpads werden mit einer Software namens Superfish ausgeliefert, die es Angreifern erlaubt, alle Kommunikation mit einfachsten Man-in-the-Middle-Attacken abzuhören. Eine kurze Geschichte.

Eines der robustesten Geräte, die ich jemals besessen habe, war das IBM Thinkpad T42. Über das Neptun-Projekteinigermassen erschwinglich, aber immer noch zu einem stolzen Preis bezogen, leistete das Notebook über Jahre hinweg gute Dienste. Bis es dann vor einigen Jahren – vermutlich als Nebeneffekt der Dauernutzung – in den wohlverdienten Ruhestand ging.

Wer heute ein neues Thinkpad kauft, der landet beim chinesischen Hersteller Lenovo. Der hat mit der Übernahme von IBMs Laptop-Sparte zwar grundsätzlich einen Erfolg verbucht. Die Reputation des chinesischen Konzerns bei IBM Veteranen litt aber weitgehend durch die fortwährende Abnahme der Materialqualität, die man so zu schätzen gelernt hatte. Trotzdem konnten sich die Geräte, vor allem im akademischen und professionellen Bereich, gut etablieren.

Unerwünschte Standardsoftware

Zeitsprung: Wer zwischen September 2014 und Januar 2015 einen Lenovo Rechner gekauft hat, sieht sich aber mit ganz anderen Problemen als der Absenz eines Magnesium-gefertigten Deckels konfrontiert. Neben dem mitgelieferten Betriebssystem und verschiedenen Utilities, über deren Nutzwert sich streiten lässt, lieferte Lenovo in diesem Zeitraum nahezu alle seine Geräte mit einer Adware-Applikation namens Superfish aus.

Sucht basierend auf Bildern und ist Malware

Superfish-CEO Adi Pinhas beschreibt den Zweck der Applikation auf seinem LinkedIn-Profil wie folgt:

Superfish is a pioneering visual search company. Through cutting-edge, patented technology we have developed a visual search engine that analyzes images algorithmically and transforms the way images are searched, seen, utilized and shared over the web. Quite Simply, we are opening up a new way to search.

Kurz zusammengefasst: Superfish analysiert die Bilder auf einer Webseite mittels verschiedenen Algorithmen und bindet dann relevante Suchergebnisse, in die Seite ein. Es dürfte niemanden überraschen, dass es sich bei den besagten Suchergebnissen ausschliesslich um Werbung handelt. Und das Konzept scheint aufzugehen, immerhin hat Pinhas seit dem Launch seiner Firma in 2006 über 20 Millionen US-Dollar von Investoren erringen können.

Markante Eingriffe in die Systemintegrität

Während die Technologie, die Superfish einsetzt, durchaus interessant ist, dürfte schon der Einsatz in der oben beschriebenen Form für die meisten Benutzer bestenfalls ein unerwünschtes Feature darstellen. Man mag auch diskutieren, ob die Installation von Adware auf, zum Vollpreis erworben, Endgeräten durch den Hersteller ethisch tragbar ist. Aber die Geschichte um Superfish ist noch nicht zu Ende und weitaus problematischer.

Die fortschreitende Adoptierung von SSL-verschlüsselten Verbindungen für alltägliche Anwendungen stellt für Superfish ein Problem dar. So hat Google vor einigen Jahren bereits den Wechsel auf SSL-by-default vollzogen. End-zu-End-verschlüsselte Verbindungen verhindern aber zumindest teilweise das Injizieren von Werbung in die ausgelieferte Webseite.

Ein Hindernis stellte das für Pinhas aber nicht dar. Seine Firma implementierte kurzerhand eine pragmatische Lösung für das Problem: Zusätzlich zur Adware installiert Superfish eine neue Root-CA auf dem Zielsystem und erlaubt somit grundsätzlich das Abfangen und Manipulieren sämtlichen Traffics zu sämtlichen Endpunkten.

In einem Interview wurde Pinhas zu den Unterschieden seiner Heimat Tel Aviv zum Silicon Valley, wo Superfish nun ansässig ist gefragt. Seine Antwort:

The way we work, for example, is very different. We work a lot faster. We have fewer meetings, less formality. We are not saying “Sorry;” we are saying straight to your face, “This is a stupid idea.”

Im Anbetracht dessen, dass Superfish eine Userzahl in den zweistelligen Millionen aufweist – ein substantieller Teil davon aus dem Lenovo-Deal – ist es bedauerlich dass niemand den Satz “This is a stupid idea.” in die Diskussion zur heimlichen Installation einer Root-CA ausgesprochen hat. Denn eine dumme Idee ist es in der Tat, wenn eine Institution die weder über die Reputation, die Vertrauenswürdigkeit, noch die Infrastruktur besitzt, verfügt eine solche zu betreiben, es trotzdem versucht. Der Eingriff in die Integrität des Systems ist signifikant und grenzt gefährlich nahe an die Kategorisierung von Superfish als Malware.

Nachdem Benutzer in den Foren von Lenovo über die potenzielle Problematik diskutierten, meldete sich Lenovo bald darauf zu Wort und versuchte abzuwiegeln: Es handle sich bei Superfish um ein Feature, die dem Nutzer helfen soll und abgesehen davon könne man die Terms of User (sic) ablehnen und auf die Nutzung von Superfish verzichten.

Unschön ist nur, dass die genannte Ablehnung der Bedingungen zwar dazu führt, dass Superfish nicht ausgeführt wird – auf die Installation der Root CA hat dies aber keinen Einfluss. Benutzer sind dem Risiko also so oder so ausgesetzt, auch wenn sie im richtigen Moment, konfrontiert mit einer massiven Textwand, den richtigen Knopf drücken.

PR-Desaster und greifbare Risiken

Nachdem Lenovo initial mit mehr oder minder deeskalierender Sprache darauf pochte, es gäbe keine Implikationen für die Sicherheit des Systems, meldete sich Peter Hortensius, seines Zeichens CTO von Lenovo, in einem Interview mit dem Wall Street Journals zu Wort. Man arbeite daran, Superfish zu entfernen aber es handle sich bei den Sicherheitsbedenken um eine rein theoretische Sache.

Wie frappant falsch diese Aussage ist benötigt eigentlich keiner Erklärung, aber “Robert Graham von Errata Security lieferte sie nichtsdestotrotz: In einem Blogpost zeigte er auf, wie sich das Zertifikat inklusive Passwort problemlos und mit kleinem Aufwand extrahieren lässt. Mit dem Zertifikat und dem dazugehörigen Passwort, das übrigenskomodia lautet, kann ein Angreifer ganz untheoretisch Man-in-the-Middle Attacken gegen sämtliche betroffenen Geräte realisieren.

Pikantes Detail: komodia ist nicht nur ganz generell ein schlechtes Passwort sondern weist auch auf die gleichnamige Firma Komodia hin, die entsprechende SSL Redirector Software anbietet, vermarktet mit dem Nutzen die eigenen Kinder zu überwachen. Die Seite des Herstellers ist zur Zeit der Verfassung dieses Artikels wegen hoher Medienaufmerksamkeit nicht verfügbar.

Man würde hoffen, dass die Tragödie nach diesem Proof-of-Concept ein Ende nehmen würde, doch die Realität sieht leider aus. Lenovo veröffentlichte zwar eine Anleitung zur Deinstallation der Software, beschränkte sich dabei aber auf unvollständige Anweisungen bei denen das Zertifikat in Firefox nach wie vor installiert blieb.

Nicht nur darum ist Superfish eine kleine Katastrophe: Während die schiere Inkompetenz im Hinblick auf die Kommunikation und die Behebung des Problems auf Seiten des Herstellers Anlass zu Bedenken geben sollte, handelt es sich bei den betroffenen Geräten um Millionen von Consumer Geräten, die klassischerweise nur selten gewissenhaft gewartet werden. Sogar wenn Lenovo einen automatisierten und funktionierenden Fix veröffentlicht, werden viele Benutzer lange verwundbar bleiben.

Was zu hoffen bleibt ist einmal mehr, dass Superfish ein Argument dafür wird, Neugeräte ohne Bloatware und Added Functionality-Software anzubieten und dass diese Option sich zunehmend als Kaufgrund für Endkunden etabliert. Wer einen Computer kauft, der soll erwarten dürfen, dass dieser nicht bereits von Tag 0 mit Malware verseucht ist – weder mit Superfish, noch sonstiger.

comment 0

In Migration!

Lieber Besucher,

Diese Webseite wird momentan überarbeitet und ist dementsprechend kurzfristig nicht verfügbar. Bitte versuchen Sie es in ein paar Tagen noch einmal oder kontaktieren Sie mich via E-Mail: stefan@stefanfriedli.ch.