Studien und Whitepapers
STUDIEN & LEITFÄDEN
In diesem Whitepaper werden Smart Home Systeme betrachtet, einer der aktuell wahrscheinlich verbreitetsten Anwendungsbereiche des „Internet of Things“. Es wird beschrieben, was ein Smart Home Sytem ist, wie es aufgebaut ist und welche Protokolle zur Kommunikation zwischen den einzelnen Komponenten und den Benutzern verwendet werden. Darüber hinaus werden häufig auftretende Sicherheitsbedrohungen unterschiedlicher Bereiche der Smart Home Systeme besprochen und die meistverbreiteten Kommunikationsprotokolle sowie ihr derzeitger Stand der Sicherheit dargestellt.
PDF (Englisch)
Applikationen werden heute meist in Form von Webanwendungen entwickelt. Sicherheitsspezifische Vorgaben bzgl. Konzeption, Umsetzung und Betrieb werden dabei teilweise mit der Ausschreibung veröffentlicht, teilweise aber auch erst im Rahmen des Projekts erarbeitet. Dies führt dazu, dass Webanwendungen immer wieder mit Schwachstellen behaftet sind, die für unterschiedliche Angriffe ausgenutzt werden können.
Mit dem Leitfaden zur Entwicklung sicherer Webanwendungen bietet das BSI in Zusammenarbeit mit SEC Consult eine Lösung für diese Problematik. Durch einheitliche, fundierte Vorgaben für die sichere Entwicklung in Kombination mit einer strukturierten Vorgehensweise für das Testen und die Abnahme der Software ist es möglich, das Niveau der IT-Sicherheit in der Bundesverwaltung und darüber hinaus deutlich zu optimieren. IT-Verantwortlichen und Projektleitern aus öffentlichen Einrichtungen sowie aus der Industrie wird hierdurch ein Leitfaden zur Seite gestellt, der als Hilfsmittel für die Erstellung von Verdingungsunterlagen oder die Festschreibung von Leistungs- sowie Abnahmekriterien dienen kann und somit den gesamten Vergabeprozess unterstützt.
Die Studie gliedert sich in zwei Teile. Im ersten werden Anforderungen an den Auftragnehmer definiert. Im zweiten Teil bekommt der Auftraggeber einen Leitfaden, wie die Einhaltung dieser Anforderungen geprüft werden kann.
SEC Consult und Capgemini veröffentlichten die erste internationale Studie zur Applikationssicherheit von Kernbankensystemen. Die Publikation fasst dabei die Versprechen und Commitments internationaler Hersteller sowie deren Aktivitäten in Bezug auf die Applikationssicherheit ihrer Produkte zusammen. Im Praxistest wurden drei Kernbankenprodukte geprüft. Hier wurden bei allen Produkten kritische Sicherheitslücken festgestellt, die von den jeweiligen Anbietern nicht entdeckt wurden. In der Studie wird betont, dass state-of-the-art Sicherheitsstandards von den Anwendern aktiv eingefordert werden müssen, denn es liegt in der Verantwortung der Hersteller, die Produkte vor deren Einsatz professioneller Sicherheitstests zu unterziehen. Andernfalls kann der Einsatz unsicherer Software Angriffe auf geschäftskritische Infrastrukturen zur Folge haben und Unternehmen finanziell schädigen.
PDF (Englisch)
WHITEPAPERS
In einer unabhängigen Analyse der serverseitigen Implementierung der proprietären Remote Function Call (RFC)-Schnittstelle in SAP NetWeaver Application Server ABAP und ABAP Platform (beide im Folgenden als AS ABAP bezeichnet) wurden von Fabian Hagg, Sicherheitsforscher im SEC Consult Vulnerability Lab und SAP Security Experte, eine Reihe von schwerwiegenden Implementierungs- und Designfehlern identifiziert. Technische Details zu den Forschungsergebnissen werden auf der jährlichen Troopers Security Conference 2023 in Heidelberg vorgestellt.
Die Ergebnisse sind in einem detaillierten technischen Whitepaper enthalten, das im Rahmen des Konferenzvortrags veröffentlicht wurde. Sie steht zum Download in englischer Sprache zur Verfügung.
PDF (Englisch)
PDF (Englisch)
Dieses Whitepaper beschreibt die Resultate der vom SEC Consult Vulnerability Lab durchgeführten Sicherheitsanalyse der McAfee Application Control-Anwendung. Dieses Produkt ist ein Beispiel einer Application-Whitelisting Lösung, welche zur Härtung kritischer Systeme wie beispielsweise Server-Systemen in SCADA Umgebungen oder Client-Systemen mit hohen Sicherheitsanforderungen (administrative Workstations) eingesetzt werden kann. Das Konzept Application-Whitelisting funktioniert, indem sämtliche installierten Programme auf einem System in eine sogenannte Whitelist aufgenommen werden. Anschließend wird die Ausführung von Programmen verhindert, welche nicht in dieser Whitelist enthalten sind. Dies verhindert theoretisch die Ausführung von Malware und soll somit vor APT (Advanced-Persistence-Attacks) schützen. McAfee Application Control ist ein Beispiel einer solchen Application-Whitelisting Software. Es kann auf nahezu jedem System installiert werden, allerdings liegt der Haupteinsatzzweck in der Absicherung von hoch-kritischer Infrastruktur. Neben der Hauptfunktion des Application Whitelisting bietet die Software weitere Schutzmechanismen wie beispielsweise Lese- oder Schreibbeschränkungen oder Memory-Corruption Schutzmechanismen.
Im Whitepaper wird gezeigt:
- wie Application Whitelisting auf mehrere Arten umgangen werden kann
- wie User-Account-Control auf solch geschützten Systemen umgangen werden kann
- wie die zusätzlichen Lese- und Schreibbeschränkungen umgangen werden können
- wie die zusätzlichen Memory-Corruption Mechanismen umgangen werden können
- dass die Software die Gesamtsicherheit des Betriebssystems erheblich senken kann
PDF (Englisch)
Blackberry präsentierte 2013 ein brandneues Betriebssystem, welches signifikante Unterschiede im Gegensatz zur Konkurrenz im Smartphone Markt aufweist. Die Erwartungen an das Betriebssystem sind hoch, da ein sehr hohes Sicherheitslevel angekündigt wurde. Analysten erwägen dies als letzte Chance für Blackberry, um wieder im Smartphone Markt gegen Giganten wie iOS oder Android Fuß zu fassen. Dieses Whitepaper soll eine erste Analyse des neuen Betriebssystems darstellen und aufzeigen, in welchen Bereichen weiterführende Tests notwendig sind. Dazu wurden auch interne Methoden und Tools entwickelt.
Das Whitepaper behandelt unter anderem folgende Themen:
- Überblick über Besonderheiten des Betriebssystems
- Überprüfung auf Schwachstellen “by design”
- Fuzzing-Möglichkeiten
- Test der vorinstallierten System-Utilities
- Dump des „Boot Sectors“
- Aufzeigen anderer interessanter Angriffspunkte
- Weitere Schritte für zukünftigen Research
PDF (Englisch)
Schon immer waren Backdoors eine Sorge der Sicherheitsgemeinschaft. In den letzten Jahren fand auch die Idee, dass man einem Entwickler nicht blind vertrauen sollte, immer mehr Anklang und manifestierte sich vor allem durch die Einführung von Source Code Reviews. Als eine der populärsten Programmiersprachen kann Java dabei auf ein reichhaltiges Repertoire an Tools und Artikel, die sich mit diesem Thema beschäftigen, zurückgreifen. Während diese Werkzeuge und Techniken weiterentwickelt werden, wird der Fokus dabei hauptsächlich auf die traditionellen Programmierparadigmen gelegt. Modernere Konzepte wie das aspektorientierte Programmieren oder die Java Reflection API werden dabei meist außen vor gelassen. Im Speziellen die Verwendung der Java Reflection API in Verbindung mit dem weniger bekannten „String Pool“ kann zu einer neuen Art von Backdoors führen. Dieses Backdoor versteckt sich vor dem unbedachten Reviewer, indem es seinen Zugriff auf kritische Ressourcen wie Passwörter mittels Umwege verschleiert. Um das Bewusstsein für solche speziellen Backdoors zu steigern, wird dieser Artikel:
- Eine kurze Einführung über den String Pool geben.
- Zeigen wie man mittels Reflection diesen manipuliert.
- Demonstrieren wie ein Backdoor dies ausnutzen kann.
- Darüber diskutieren wie man ein solches Backdoor entdecken kann.
Was bleibt, ist ein Angriffsvektor mehr, den ein Reviewer beachten muss. Die Zeit wird zeigen, ob automatische Analysewerkzeuge in der Lage sein werden, diese Art von Bedrohungen zu finden. Bis dahin ist aber die einzige Verteidigung das Wissen, die Erfahrung, und die menschliche Intuition.
PDF (Englisch)
In the course of a security analysis of the Symbian mobile operating system, SEC Consult discovered a series of vulnerabilities in popular Nokia smartphones. These weaknesses are particularly critical since they can be exploited by sending manipulated videos over MMS, creating the potential for the spread of an MMS worm.
Nokia has been confidentially notified of the problems. The analysis techniques and tools used in this project are described in a recently released whitepaper, available on the SEC Consult web site.
“Typical Symbian smartphones have a number of potentially exploitable features, but a great deal of effort and knowledge is required to analyze the platform. Once we had the right tools, however, we found vulnerabilities very quickly, comparable to well-known vulnerabilities in other operating systems,” says Bernhard Müller, leader of the SEC Consult Vulnerability Lab.
The whitepaper strongly recommends that smartphone manufacturers implement suitable countermeasures in the form of software quality management and update services for smartphones. SEC Consult recommends that users of smartphones regularly update their devices firmware and avoid opening SMS, MMS, or E-Mail messages from unknown senders.
PDF (Englisch)
Durch den kürzlich ausgelösten Presserummel um das Thema DNS Cache Posioning fühlten sich einige Security-Researcher dazu angehalten, über die DNS-Schwachstelle zu spekulieren, bzw. sich durch „irrtümlichles“ Leaken von Informationen und möglichst rasches Veröffentlichen von Exploits ein Stück vom Presse-Kuchen abzuschneiden. Viele andere Forscher, die die Schwachstelle zum Teil innerhalb weniger Stunden nachvollziehen konnten, entschieden sich in Absprache mit Dan Kaminsky (der zuvor einen massiven Multi-Vendor-Patch für die Schwachstelle organisiert hatte) dafür, Details zur Schwachstelle für die geforderten 30 Tage zurückzuhalten.
Bernhard Müller von SEC Consult war einer der ersten Researcher, die die Schwachstelle identifizierten, wodurch SEC Consult bereits Mitte Juli über einen funktionierenden Exploit verfügte. Details zu dieser Attacke werden nun in diesem Whitepaper veröffentlicht.
PDF (Englisch)
Das SEC Consult Vulnerability Lab demonstriert, dass auch Rechner mit Windows Vista nicht sicher vor dem Firewire-Hack sind. Dieses Whitepaper beschreibt, wie die Passwort-Authentisierung durch überschreiben bestimmter Speicherbereiche über den Firewire-Port deaktiviert werden kann.
PDF (Englisch)