Schlagwort-Archive: Sicherheit

25. OpenSource Treffen in München

Am 27. Januar 2012 fand das 25. OpenSource Treffen im Münchner Café Netzwerk statt.

Die Themen waren:

Programm und Präsentationen

Hier erfahrt ihr, wie die Open-Source-Treffen ablaufen. Außerdem stehen hier auch die Präsentationen der vergangenen Veranstaltungen zum Anschauen bereit.

Organisiert werden die Treffen von Florian Effenberger und Carsten Book.

Referenten gesucht!

Für das Jahr 2012 suchen die Veranstalter der Open-Source-Treffen noch Referenten. Wer Zeit und Lust hat, ein Thema aus der Welt der freien Software in ca. 20-25 Minuten vorzustellen, ist herzlich dazu eingeladen — meldet euch einfach bei Florian oder Carsten!

Freundliche Grüße
Das OSS-Haus Team

Massive WLAN-Sicherheitslücke

Ein Student hat eine Lücke in heute gängigen WLAN-Routern entdeckt und bekannt gemacht. Inzwischen hat das US-Cert in seiner Vulnerability Note VU#723755 die Lücke bestätigt. Stefan Viehböck dokumentiert in seinem Blog detailliert (PDF), was er bei der Analyse des „Wi-Fi Protected Setup“ (WPS) herausgefunden hat.

Das Verfahren dient eigentlich zur vereinfachten sicheren Konfiguration von Funknetzen. Über einen Knopfdruck am Router oder eine vorgegebene PIN lässt sich das als sicher erachtete Verschlüsselungsverfahren WPA/WPA2 einrichten. Das Hantieren mit den Schlüsseln und Detaileinstellungen ist dazu nicht notwendig.

Die einfachste Form der Konfiguration, eine dem Gerät beigefügte (oft aufgeklebte) PIN, die im Client einzugeben ist, lässt sich als Einfallstor nutzen. Aufgrund einer Verfahrensschwäche genügen maximal 11000 Versuche, um eine vorgegebene PIN zu ermitteln.

Mit der PIN findet man dann die WPA-Schlüssel heraus. Laut Entdecker ergreift keines der marktgängigen Geräte Gegenmaßnahmen gegen einen solchen Brute-Force-Angriff. Einige Geräte stürzen indes ab, wenn man sie auf diese Weise malträtiert.

Schützen kann man ein Funknetz vor solchen Angriffen vorerst, indem man in der Konfigurationsoberfläche WPS abschaltet. Bei den meisten Geräten klappt das, aber – so Viehböck – nicht bei allen. Nötig ist das nur, wenn sich WLAN-Clients ausschließlich über die dem WLAN-Router beiliegende PIN einrichten lassen.

Bekannt ist die Schwäche des Verfahrens wohl schon länger: Nachdem Viehböck seine Entdeckung publik gemacht hatte, meldete sich auch die US-Firma Tactical Network Solutions zu Wort. Dort hatte man bereits Software entwickelt und perfektioniert, die binnen zehn Stunden WPA/WPA2-Schlüssel liefert. Eine Version von Reaver ist als Open Source zugänglich.

Den originalen Artikel mit allen Links sowie eine englische Version des Artikels von Peter Siering, findet ihr unter Massive WLAN-Sicherheitslücke von heise.de.

Freundliche Grüße
das OSS-Haus Team

Datenschutz – das Spiel kann beginnen

Sie haben gedacht, in den letzten Monaten und Jahren wäre viel über Datenschutz geredet worden? So kann man sich täuschen. Wir stehen gerade erst am Anfang, meint silicon.de-Blogger Carsten Casper.

Zum europäischen – und insbesondere zum deutschen – Datenschutz gibt es viele Kritikpunkte, diverse Unmutsäußerungen, und vor allem Fragezeichen. „Zu unternehmensfreundlich“ sagen die einen, „betriebsbehindernd“ sagen die anderen, und viele gut gemeinte Ratschläge kommen, wie man denn alles besser machen könnte. Seit letzter Woche liegt der Vorschlag der EU-Kommission auf dem Tisch, und er enthält genügend Zündstoff, um die Diskussion auf Jahre zu befeuern.

Um mal eine persönliche Note voranzustellen: meiner Meinung nach ist der Vorschlag genial. Okay, er wird so nicht durchkommen, aber er hat alles was der Datenschutz verdient: Weitblick, Unabhängigkeit, Konsistenz, Führungscharakter, Flexibilität. Aber der Reihe nach…

  • Es ist eine Verordnung, keine Richtlinie wie bisher. Eine Verordnung gilt unmittelbar, muss nicht erst in nationales Recht umgesetzt werden. Vielen Mitgliedsländern wird das nicht schmecken.
  • Die Verordnung baut in weiten Teilen auf der alten Richtlinie 1995/46/EC auf. Auch bei internationalen Datentransfers greift die neue Verordnung auf Bewährtes zurück, macht aus bisherigen Leitlinien nun Gesetzestext. Kritiker werden das als Ballast bezeichnen.
  • Sie führt mit Leichtigkeit (d.h. mit wenigen Worten) innovative Datenschutzkonzepte ein, zum Beispiel Minimierung der Datenhaltung, Rechenschaftspflicht, gemeinsame Halterverantwortung, und vieles mehr. Man wird dem Entwurf vorwerfen, bei einigen dieser neuen Themen nicht präzise genug zu sein.
  • Die Pflicht zur Bestellung eines Datenschutzverantwortlichen wird europaweit vereinheitlicht. Die Deutschen werden bemängeln, dass die Pflicht meist erst ab 250 Mitarbeitern gilt, die bisherige Regelung also aufgeweicht wird.
  • Datenschutzverletzungen müssen mitgeteilt werden, sowohl an Aufsichtsbehörden, als auch an Betroffene, unter Umständen bereits innerhalb von 24 Stunden. Dass Unternehmen dagegen Sturm laufen werden, ist absehbar.
  • Binding Corporate Rules (BCRs) werden gestärkt. Viviane Reding, die verantwortliche EU Kommissarin, hat das auf dem IAPP Datenschutz-Kongress im November sehr ausführlich dargelegt. Hier steckt der Teufel im Detail, da die bisherigen Erfahrungen mit BCRs mäßig sind, andererseits die Erwartungen an eine Neufassung zu hoch gesteckt werden könnten, zum Beispiel was die Ausdehnung auf Auftragsdatenverarbeiter anbelangt.
  • Die neue Verordnung legt sich ziemlich deutlich mit den USA an, indem sie Datentransfers an ausländische Behörden explizit verbietet (Stichwort: Patriot Act). Damit provoziert der Entwurf nicht nur Widerstand der EU Mitgliedstaaten und der Industrie, sondern auch den Unmut des transatlantischen Partners.
  • Die Verordnung führt das European Data Protection Board ein, vereinfacht gesagt eigentlich nur eine Umbenennung der Artikel 29 Arbeitsgruppe der europäischen Datenschützer. Es ließe sich aber auch darstellen, dass die Kommission weitere Kompetenzen auf EU-Ebene zusammenzieht.
  • Natürlich führt das neue Gesetz auch drakonische Strafen ein. Die Liste möglicher Verstöße ist lang, und bietet guten Nährboden für Spekulationen. Wer möchte schon dafür, dass er personenbezogene Daten ohne Rechtsgrundlage verarbeitet hat, 100.000 Euro Strafe zahlen? Wir reden hier über die Minimalstrafe, nicht die Maximalstrafe. Am oberen Ende der Skala befindet sich die erschreckende Strafe von „5 Prozent des weltweiten jährlichen Umsatzes“. Da werden auch Internet-Größen hellhörig, die sämtliche bisherigen Strafen aus der Portokasse bezahlt haben.
  • Dazu kommen dann noch eine Reihe politischer und administrativer Neuerungen, deren detaillierte Diskussion hier zu weit führen würde: bessere internationale Zusammenarbeit der europäischen Datenschutzbehörden; Möglichkeit für die Mitgliedsländer, in einigen Bereichen zusätzliche Gesetze zu erlassen (zum Beispiel bei Gesundheitsdaten und im Arbeitnehmerdatenschutz); Verankerung des Datenschutzes im Vertrag von Lissabon.

Das Ganze ist kein Flickenteppich, es liest sich flüssig, und ist nicht nur in sich selbst konsistent, sondern auch verzahnt mit anderen gesetzlichen Regelungen und Standards. Trotzdem wird es in der gegenwärtigen Form den Gesetzgebungsprozess nicht überstehen, und das ist schade, vor allem für Unternehmen. Sie wünschen sich eine verlässliche, international akzeptierte Gesetzesgrundlage, die auch neue Technologien berücksichtigt, ohne dabei technische Details vorzuschreiben. Abgesehen von den exorbitanten Strafen hält die geplante Verordnung eine Menge Gutes für den privaten Sektor bereit. Natürlich, je nach Land, Industriesektor und Größe findet jedes Unternehmen einen Grund, auf die Barrikaden zu gehen. Sie sollten es besser nicht tun, sondern stattdessen dem Entwurf nach Möglichkeit den Rücken stärken. Die politische Diskussion wird dem Vorschlag ohnehin stark zusetzen. Sollte es nicht gelingen, diese EU-Verordnung ohne massive Einschränkungen bald umzusetzen, so bleibt uns die gegenwärtige, unbefriedigende Regelung noch viel zu lange erhalten. Im schlimmsten Fall aber werden wir eine neue, Regelung erhalten, die einfach nur anders unbefriedigend ist.

Unternehmen, die an gutem Datenschutz ernsthaft interessiert sind, weil sie loyale Mitarbeiter und Kunden zu schätzen wissen, sollten sich mit der neuen Verordnung umgehend auseinandersetzen und dabei eine positive Grundhaltung einnehmen. Für alle anderen heißt es: nehmen Sie Platz, am besten nicht in der ersten Reihe, holen Sie sich eine Tüte Popcorn, lehnen Sie sich gemütlich zurück und lassen Sie das Spektakel beginnen.

Den originalen Artikel mit Links von Carsten Casper, Christian Hestermann, Frank Ridder, Bettina Tratz-Ryan, findet ihr unter Datenschutz – das Spiel kann beginnen von silicon.de.

Das Team der deutschen Gartner Analysten bloggt für Sie über alles was die IT-Welt bewegt. Dabei berichten u.a. Christian Hestermann, Frank Ridder, Carsten Casper und Bettina Tratz-Ryan über Themen wie Business Applications & ERP, Outsourcing & IT Services, Security & Privacy oder Networking & Communications.

Freundliche Grüße
das OSS-Haus Team

Sie haben null Privatsphäre – finden Sie sich damit ab!

Oder doch nicht? – Die Digitalisierung ändert unser Leben von Grund auf. Gefährlich dabei ist die trügerische „Sicherheit“ schlecht organisierter Informationen. Ist der Schutz der Privatsphäre noch möglich? Experton-Analyst Dr. Hellmuth Broda hat da noch Hoffnung.

„Sie haben null Privatsphäre – finden Sie sich damit ab!“ Dieser berühmt-berüchtigte Satz von Scott McNealy aus dem Jahr 1999 ist unzählige Male zitiert worden. Durch die Digitalisierung ändert sich unser Leben von Grund auf. GPS-Koordinaten anzapfen, Telefonanrufe abhören, Tweets und Mails abfangen, den auf Überwachungskameras gespeicherten Spuren nachgehen – ist das für Behörden und die Mächte der dunklen Seite vielleicht eine gar zu große Verlockung? Steht unser Grundrecht auf Privatsphäre auf dem Spiel? Ist alles erlaubt, was technisch machbar ist? Wo ist die Grenze? Wer kontrolliert die Kontrolleure?

Die trügerische „Sicherheit“ schlecht organisierter Informationen

Warum meinen wir, wir müssten beim Aufbau von Informationssystemen alle Attribute an einem einzigen zentralen Schlüssel festmachen? Im Gesundheitswesen wird genau das jedoch momentan in vielen Ländern geplant. Der etablierte „chauvinistische“ Designansatz für Informationssysteme folgt einer Pyramide: Ein Hauptschlüssel (Key Identifier) oben drauf, und alles andere ist direkt damit verbunden.

Kann man ein solches System überhaupt sicher machen, wenn es erst einmal im Einsatz ist? Können wir es uns leisten, weiterhin einfach ein bisschen „Sicherheits-Zauberpulver“ oder ein anderes Wundermittelchen über das System zu streuen und zu hoffen, dass dadurch alles abgesichert ist?

Die Verlockung eines zentralen Schlüssels (Global Identifier – GID)

Warum meinen wir, wir müssten alles an einem einzigen Schlüssel festmachen? Im wirklichen Leben tun wir dies ja auch nicht. Mein Pass und meine Krankenversicherung haben unterschiedliche Nummern, die wiederum nicht dieselben sind wie die Nummer von der Rentenanstalt, welche von der Führerscheinnummer abweicht, welche anders lautet als meine Telefonnummer etc.

Elektronische Identitäten

Doch inzwischen geht es um elektronische Identitäten, und da bekommen die IT-Entwickler glasige Augen vor lauter Freude, denn das bietet die phantastische Möglichkeit, alles unter einen Hut zu bringen und miteinander zu vernetzen.

Schluss mit individuellen Identifikatoren oder Schlüsseln – endlich kann man alles ordentlich zusammenbringen. Auch ohne einen Twitter- oder Facebook-Account werden wir dadurch völlig transparent.

Wenn wir das zulassen, ist es um die Privatsphäre ein für alle Mal geschehen. Eben diese Informationssystem-Architekten vergessen nämlich leider, dass es nun einmal Attribute gibt, die privat bleiben müssen. Man denke nur an die DNS-Sequenz, anhand derer Versicherungsgesellschaften bestimmen könnten, wie hoch die Wahrscheinlichkeit einer bestimmten Person ist, in einem bestimmten Alter an einer bestimmten Erbkrankheit zu erkranken – um dieser Person dann die Versicherungsleistungen zu verweigern oder den Vertrag zu kündigen.
Genau aus diesem Grund laufen in manchen Ländern die Bürger Sturm gegen elektronische Patientenunterlagen. Aber gibt es wirklich so todsichere Systeme, dass man absolut sicher sein kann, dass sie nicht geknackt werden können? Oder steht hier eher ein Umdenken an?

„Schon wieder: US-Patientendaten in großem Umfang geknackt: 4,9 Millionen Patienten betroffen – IEEE Spectrum.“ Dieser kürzlich veröffentlichte Artikel spricht für sich.

Können wir überhaupt etwas tun?

……

Den kompletten Artikel von Dr. Hellmuth Broda, findet ihr unter Sie haben null Privatsphäre – finden Sie sich damit ab! von silicon.de.

Dr. Hellmuth Broda ist als Executive Advisor bei der Experton Group tätig.

Freundliche Grüße
das OSS-Haus Team

Starke Tools für die Private Cloud

Die Open-Source-Community bietet eine Fülle an mächtigen Werkzeugen zum Aufbau und zum Verwalten von Private Clouds in der Unternehmens-IT.

Bei Private Clouds geht es um weit mehr als die Virtualisierung von Hardware-Ressourcen wie Rechner, Storage oder Netzwerke. Werden die virtualisierten Ressourcen den Anwendern flexibel als Infrastructure-as-a-Service (IaaS) gemäß ihren eigenen Wünschen angeboten, setzt dies eigene Software-Lösungen voraus, die über reines Virtualisierungs-Management weit hinausgehen.

Haben in jüngster Vergangenheit Open-Source-Lösungen bereits die Server-Virtualisierung und die Public Cloud Technologien maßgeblich beeinflusst und populär gemacht, punkten quelloffene Softwarepakete mit Offenheit, Flexibilität und null Kosten nun auch im Cloud-Umfeld und gewährleisten die gerade im Infrastruktur-Geschäft so wichtige Hersteller-Unabhängigkeit. Da es sich um ein junges Thema handelt, finden sich sowohl noch in Entwicklung befindliche – gleichwohl sehr interessante – Lösungen als auch solche, die schon tausendfach im Einsatz sind und für die kommerzieller Support verfügbar ist.

Den kompletten Artikel von Andrej Radonic findet ihr unter Starke Tools für die Private Cloud von computerwoche.de.

Andrej Radonic ist freier Autor in Köln und Verfasser des Buchs Xen 3.2

Freundliche Grüße
das OSS-Haus Team