s c i p a g Contents 1. Editorial scip monthly Security Summary

Transkript

1 Contents 1. Editorial. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken 5. Bilderrätsel 6. Impressum 1. Editorial Prinzip der Datenklassifizierung Wer an Computersicherheit denkt, der denkt in der Regel als erstes an Firewalls und Computerviren. Vielleicht kommen einem als zweites Begriffe wie Security Audit und Source Code Analyse in den Sinn. Sicherheit beginnt jedoch viel früher, lange bevor sich der erste Benutzer mit einem Passwort auf einem System einloggt oder das erste Bit über das Netzwerkkabel geschickt wird. Eines der absoluten Grundelemente der angewandten Computersicherheit ist die Klassifizierung von Daten. Durch die Datenklassifizierung wird festgehalten, welche unterschiedlichen Einstufungen es gibt und wie die jeweils eingestuften Daten behandelt werden sollen. Daraus definiert sich mitunter, was für die Informationssicherheit besonders wichtig ist, die Geheimhaltungsstufe. In der Regel wird eine drei- bis fünfstufige Unterscheidung vorgenommen. Ein pragmatischer und von den meisten Unternehmungen verfolgter Ansatz sieht die folgende Klassifizierung vor: Öffentliche Daten, interne Daten, vertrauliche Daten und geheime Daten. (Nachrichtendienste pflegen drei bis vier Einstufungen vorzunehmen, wobei in der Regel der Einfachheit halber das Applizieren keiner Klassifizierung ein Dokument automatisch für die Öffentlichkeit vorsehen lässt.) 1) Öffentliche Daten sind für jedermann, auch ausserhalb der Firma, zugänglich. Dabei handelt es sich zum Beispiel um Informationen, die auf der öffentlichen Webseite im Internet dargeboten werden. Die Anschrift, das Credo oder die Werbebrochuren fallen in diese Kategorie. ) Im Gegenzug werden interne Daten lediglich den eigenen Mitarbeitern zugänglich gemacht. Also nur die eigenen Angestellten eines Unternehmens (und vielleicht ausgewählte Partnerfirmen) sollten Zugriff auf diese haben. Dies können zum Beispiel Telefonverzeichnisse, Weisungen oder allgemeine Strategiedokumente sein. Vor einer Veröffentlichung dieser ist abzusehen, da damit ein Nachteil für das Unternehmen und die Mitarbeiter einhergehen würde. 3) Die als vertraulich definierten Daten sind lediglich einer begrenzten Anzahl an Mitarbeitern zugänglich. Hierbei handelt es sich in der Regel um Informationen, die massgeblich für die Vitalität eines Unternehmens von Wichtigkeit sind. Zum Beispiel sind Gehaltslisten und Mitarbeiterdossiers ausschliesslich der Personalabteilung (Human Resources) zugänglich. Die Herausgabe dieser ist bisweilen gar gesetzlich geregelt und ein Verstoss der Vorschriften würde juristische Folgen nach sich ziehen. 4) Die höchste Sicherheitsstufe weisen geheime Daten auf. Diese sind punktuell und ausschliesslich bestimmten definierten Personen zugänglich. Derlei Informationen sind unmittelbar für die Vitalität des Unternehmens verantwortlich. Zum Beispiel sind dies die Kundeninformationen eines Nummernkontos einer Bank. Nur der zuständige Kundenbetreuer weiss, wer dem Nummernkonto zugewiesen werden kann. Die Weitergabe diese Information kann das Geschäftsverhältnis unmittelbar und nachhaltig schädigen. Ein Unternehmen sollte eine Datenklassifizierung auf der Basis der soeben vorgetragenen Stufen vornehmen und dokumentieren. In einem weiteren Dokument gilt es festzuhalten, welche 1/13

2 Massnahmen getroffen werden müssen, um den jeweiligen Anforderungen gerecht werden zu können. Im Mittelpunkt der Charakterisierung der einzelnen Klassifizierungsstufen sind die Personengruppen, jenen das Dokument dieser Stufe zugänglich gemacht werden darf (z.b. Öffentlichkeit, interne Mitarbeiter, spezifische Abteilung, ausgewählte Personen). Desweiteren ist es Teil der Attributisierung, den erlaubten und erwünschten Kommunikationsweg für den Datenaustausch einzubringen (z.b. jegliche Übertragung, nur im betriebsinternen Netzwerk, immer mit mindestens AES/3DES Verschlüsselung).. scip AG Informationen.1 spread project Das spread project von Marc Ruef hat zum Ziel, auf der Basis des Client/Server-Prinzips, eine valable technische Möglichkeit aufzuzeigen, wie gängige Sicherheitsmassnahmen umgangen werden können um eigenen Programmcode in ein sicheres Netz einzuschleusen und auszuführen. Die Mitarbeiter müssen sodann über die Existenz und den Umgang dieser Klassifizierung unterrichtet werden. Dies geschieht in der Regel bei der Anstellung und der Übergabe anderweitiger Weisungen. Sodann wird es damit wichtig die Mitarbeiter vertraglich daran zu binden, diesen Vorgaben Folge zu leisten. Fahrlässige oder mutmassliche Vergehen müssen grösseren Ausmasses müssen personell oder gar juristisch geahndet werden, damit die Vitalität des Unternehmens im Rahmen der Datenverarbeitung und -weitergabe nicht gefährdet wird. Marc Ruef <maru-at-scip.ch> Security Consultant Zürich, 13. April 9 In gut gesicherten Umgebungen gibt es eine Vielzahl an Mechanismen, die verhindern sollen, dass etwelcher Programmcode eingebracht und ausgeführt werden kann. Dennoch ist es gerade im Rahmen von internen Sicherheitsüberprüfungen im Allgemeinen und bei Citrix Penetration Tests im Speziellen besonders wichtig, dass man eigene Programme ausführen kann (z.b. Portscanner oder lokale Exploits). Mehr Infos und Hintergundinformationen zur advanced covert file distribution findet sich auf der Projektwebseite: Zögern Sie nicht und kontaktieren Sie unseren Herrn Chris Widmer unter der Telefonnummer oder senden Sie im eine Mail an chris.widmer@scip.ch. /13

3 3. Neue Sicherheitslücken Die Dienstleistungspakete)scip( pallas liefern Ihnen jene Informationen, die genau für Ihre Systeme relevant sind Mrz 9 Apr 9 sehr kritisch 6 kritisch 1 4 problematisch 11 6 Contents: 3961 phpmyadmin Setup Script PHP Code Injection Schwachstelle 396 Microsoft DirectShow MJPEG Dekomprimierungsschwachstelle 3959 Mac OS X mehrere 395 VMware Products Display Funktion Sicherheitsumgehungs Schwachstelle 3956 Oracle BEA WebLogic Portal mehrere 3954 Microsoft Whale IAG / Client Komponenten Active X Control Pufferüberlauf 3953 Oracle Produkte mehrere 395 Microsoft ISA Server / Forefront Threat Management Gateway zwei 3951 Microsoft Internet Explorer mehrere 395 Microsoft Windows HTTP Services mehrere 394 Sun Solaris / SEAM Kerberos mehrere 3947 IrfanView Format Plug-in XPM Integerüberlauf Verletzbarkeit 3946 Microsoft PowerPoint unspezifische Verletzbarkeit 3945 Mozilla Firefox mehrere 3.1 phpmyadmin Setup Script PHP Code Injection Schwachstelle phpmyadmin ist eine beliebte Web-Oberfläche für die SQL-Administration. In der veröffentlichten Schwachstelle wurde bekannt, dass es unter bestimmten Umständen möglich ist, die Sicherheitseinstellungen eines Systems zu umgehen. Dazu müssen die Best-Practices ignoriert und die Setup Scripts noch auf dem System vorhanden sein. Die Gefahr durch diese Schwachstelle ist relativ gering, da verschiedene Faktoren zu einer erfolgreichen Ausnützung beitragen müssen. Wir empfehlen trotzdem, auf die neueste Version zu aktualisieren falls sie phpmyadmin weiter verwenden oder sonst das Program zu deaktivieren. 3. Microsoft DirectShow MJPEG Dekomprimierungsschwachstelle Die erweiterte Auflistung hier besprochener Schwachstellen sowie weitere Sicherheitslücken sind unentgeltlich in unserer Datenbank unter einsehbar. Einstufung: problematisch Datum: scip DB: Einstufung: sehr kritisch Datum: scip DB: Microsoft ist einer der grössten und bekanntesten Betriebssystemanbietern. Microsoft Windows ist als Server und Desktop Packet verfügbar und in verschiedenen Versionen verbreitet. Mit Hilfe der bekannt gewordenen Schwachstelle ist es möglich, Veränderungen an einem System vorzunehmen, ohne dass dies der Benutzer bemerkt. Dafür benötigt ein Angreifer nur ein manipuliertes MJPEG File, welches auf dem gefährdeten System geöffnet werden muss. Durch die weite Verbreitung im Businessumfeld und die riesige Anzahl an Produkten und Lücken empfehlen wir, die Systeme zu überprüfen und gegebenenfalls auf die neueste Version zu aktualisieren. Ausserdem ist äusserte Vorsicht geboten beim öffnen von Bildern von unbekannter Herkunft. 3.3 Mac OS X mehrere Einstufung: kritisch 3/13

4 Mac OS X ist das von Apple entwickelte Betriebssystem, welches auf FreeBSD basiert und heute auf allen Apple Computer vertrieben wird. Es ist der Nachfolger von Mac OS 9. Mit Hilfe der veröffentlichten Schwachstellen ist es möglich, das Betriebssystem so zu überlasten, dass es nicht mehr reagieren kann (DoS). Es ist aber auch möglich, Rechte zu umgehen und Zugriff auf ein fremdes System aus dem lokalen Netzwerk zu erhalten. Da Mac OS X seit ein paar Jahren weit verbreitet ist und die Schwachstellen noch nicht geschlossen wurden, ist die Gefahr hoch einzuschätzen. Wir empfehlen ihnen die Zugriffsrechte in ihrem Netzwerk zu überprüfen und je nach dem bis auf weiteres einzuschränken. Zusätzlich sollte vermieden werden, HFS Bilder anzuschauen und Appletalk mit unbekannten Personen zu verwenden. 3.4 VMware Products Display Funktion Sicherheitsumgehungs Schwachstelle Datum: scip DB: Einstufung: problematisch Remote: Nein Datum: scip DB: VMware, Inc., ist ein US-amerikanisches Unternehmen, das Software im Bereich der Virtualisierung herstellt. Die Firma wurde 199 mit dem Ziel gegründet, eine Technik zu entwickeln, virtuelle Maschinen auf Standard- Computern zur Anwendung zu bringen. Mit Hilfe einer neu veröffentlichten Schwachstelle ist es möglich, lokal Zugriff auf sensitive Informationen zu erlangen. Da die Schwachstelle nur lokal ausnutzbar ist, droht keine Gefahr von unbekannten Personen. Es empfiehlt sich allerdings, die veröffentlichten Patches und Updates einzuspielen. 3.5 Oracle BEA WebLogic Portal mehrere Oracle ist ein grosser Softwarehersteller, welcher bekannt ist für sein Produkt Oracle Database. BEA Systems wurde im Januar von Oracle übernommen und entwickelte verschiedene Infrastruktur-Software Lösungen. Der WebLogic Server ist ein Applikationsserver aus ihrem Sortiment. Es wurden mehrere Schwachstellen veröffentlicht bei welchen es unter anderem möglich ist, das System zu verändern und erhöhte Rechte auf dem System zu erlangen. Durch die grosse Anzahl an veröffentlichten Schwachstellen und den daraus resultierenden Möglichkeiten für Angreifer empfehlen wir, die Lücken sobald wie möglich zu schliessen. Da Oracle Produkte Erfahrungsgemäss weit verbreitet sind ist die Gefahr nicht zu unterschätzen. 3.6 Microsoft Whale IAG / Client Komponenten Active X Control Pufferüberlauf Einstufung: sehr kritisch Datum: scip DB: Einstufung: kritisch Datum: scip DB: Microsoft (auch MS genannt) ist einer der grössten und bekanntesten Betriebssystemanbietern. Microsoft Windows ist als Server und Desktop Packet verfügbar und in verschiedenen Versionen verbreitet. Der IAG (Intelligent Application Gateway) Server ist eine Microsoft Lösung für VPN. Mit das anschauen von präparierten HTML Webseiten ist es möglich, Schadcode mit den Rechten des Benutzers auszuführen und damit Zugriff auf das System zu erlangen. Da der IAG Server eine wichtige Sicherheitskomponente eines Netzwerkes ist, ist die Gefahr höher einzustufen als bei anderen Server. Allerdings sind die Möglichkeiten des Bufferüberlaufs beschränkt da damit nicht höhere Rechte erlangt werden können, als der Benutzer welcher daran arbeitet hat. Wir empfehlen trotzdem den veröffentlichten Patch einzuspielen und die Gefahr zu unterbinden. Ausserdem sollte ein IAG Server nicht dazu genutzt werden, Webseiten anzuschauen. 4/13

5 3.7 Oracle Produkte mehrere Oracle Database (auch Oracle Database Server, Oracle RDBMS o. ä.) ist eine Datenbankmanagementsystem-Software. Ein Oracle Datenbanksystem kann sowohl relationale Daten, als auch objektrelationale Daten speichern. Weiterhin besitzt es die Fähigkeit zur Verarbeitung und relationalen Transformation von XML-Datenstrukturen (XMLDB, XDK). Es implementiert die ACID-Eigenschaften, bietet gute Skalierbarkeit und einen sehr großen Funktionsumfang. Oracle veröffentlichte Patches für mehrere Produkte, welche den Zugriff auf Daten und das System verhindern. Es handelt sich dabei um folgende Produkte: - Oracle Database 11g, Version , Oracle Database 1g Release, Versionen 1...3, Oracle Database 1g, Version Oracle Database 9i Release, Versionen 9..., 9...DV - Oracle Application Server 1g Release (1.1.), Version Oracle Outside In SDK HTML Export..,.3. - Oracle XML Publisher 5.6., , Oracle BI Publisher , , , Oracle E-Business Suite Release, Version..6 - Oracle E-Business Suite Release 11i, Version PeopleSoft Enterprise PeopleTools Versionen:.49 - PeopleSoft Enterprise HRMS Versionen:.9 und 9. Durch die weite Verbreitung im Businessumfeld und die riesige Anzahl an Produkten und Lücken empfehlen wir, ihre Oracle Systeme zu überprüfen und gegebenenfalls auf die neueste Version zu aktualisieren. 3. Microsoft ISA Server / Forefront Threat Management Gateway zwei Einstufung: problematisch Microsoft (auch MS genannt) ist einer der grössten und bekanntesten Betriebssystemanbietern. Microsoft Windows ist als Server und Desktop Packet verfügbar und in verschiedenen Versionen verbreitet. Der ISA Server ist die Firewalllösung von Microsoft, welche Stateful Inspection und Application Layer Inspection, sowie VPN und Proxy Funktionen anbietet. Da diese Schwachstelle nur unter bestimmten Bedingungen ausgenützt werden kann, ist die Gefahr nicht überragend gross, allerdings empfehlen wir trotzdem, den veröffentlichten Patch einzuspielen. 3.9 Microsoft Internet Explorer mehrere Windows Internet Explorer (früher Microsoft Internet Explorer, Abkürzung: IE oder auch MSIE) bezeichnet einen Webbrowser von Microsoft für das Betriebssystem Microsoft Windows. Seit Windows 95b, SR ist der Internet Explorer fester Bestandteil von Windows-Betriebssystemen. Bei älteren Windows-Versionen kann er nachinstalliert werden. Bei den veröffentlichten Schwachstellen ist es möglich, das System durch unspezifizierte Fehlerprovozierungen zu beeinträchtigen. Da der Internet Explorer sehr weit verbreitet ist, ist die Gefahr zur Ausnutzung sehr gross. Wir empfehlen ihr System zu aktualisieren, falls dies noch nicht automatisch geschehen ist. 3.1 Microsoft Windows HTTP Services mehrere Einstufung: sehr kritisch Datum: scip DB: Datum: scip DB: Einstufung: sehr kritisch Datum: scip DB: Einstufung: sehr kritisch Datum: scip DB: Microsoft ist einer der grössten und bekanntesten Betriebssystemanbietern. Microsoft Windows ist 5/13

6 als Server und Desktop Packet verfügbar und in verschiedenen Versionen verbreitet. Die Schlimmste der veröffentlichten Schwachstellen ermöglicht es einem Angreifer, das komplette System von Remote zu kontrollieren. Durch die weite Verbreitung von Windows und das hohe Risiko, welches dieses Leck ausübt, empfehlen wir so schnell wie möglich die Geräte auf die neueste Version zu aktualisieren. Da aber bei vielen Systemen das automatische Update aktiviert ist, sollte die Gefahr einigermassen regulierbar sein Sun Solaris / SEAM Kerberos mehrere Solaris ist ein von Sun entwickeltes Betriebssystem, welches auf Unix basiert und ursprünglich für Server und Workstations entwickelt wurde. SEAM (Sun Enterprise Authentication Mechanism) ist der Ursprüngliche Name, unter welcher Sun ihre Authentifizierung entwickelte, sie wurde allerdings inzwischen in Kerberos umbenannt. Kerberos wird dazu benutzt, sich sicher und einheitlich an einem Computer in einem TCP/IP Netzwerk anzumelden. Durch die neu bekannten Schwachstellen ist es möglich, Kerberos auszuhorchen und an sensitive Daten zu gelangen, oder Kerberos ausser Betrieb zu setzen (durch Überlastung). Diese Schwachstelle wurde bis jetzt noch nicht geschlossen. Da Kerberos ausserdem sehr verbreitet ist, ist die Gefahr sehr gross einzuschätzen. Wir empfehlen, wenn möglich, Kerberos zu deaktivieren und falls dies nicht möglich ist, erhöhte Aufmerksamkeit auf Überwachung des Dienstes zu legen. 3. IrfanView Format Plug-in XPM Integerüberlauf Verletzbarkeit IrfanView wurde von einem bosnischen Programmierer mit Namen Irfan Skiljan, entwickelt. Es ist ein frei verfügbares Program welches für alle Privatnutzer kostenlos ist. IrfanView eignet sich um Bilder in verschiedenen Formaten anzuschauen und kleine Änderungen vorzunehmen. Es ist damit auch möglich, mehrere Bilder in einer sogenannten 'Stapelverarbeitung' zu verändern und zu organisieren. Mit der gefundenen Schwachstellen kann mit manipulierten XPM Files einen Integerüberlauf provoziert und so Zugriff auf das System gewonnen werden. Da IrfanView sehr verbreitet ist, ist die Gefahr gross. Wir empfehlen generell keine Dateien von unbekannten zu öffnen und auch solche von bekannten Personen nur zu öffnen, wenn sie angekündigt und vertrauenswürdig sind. In diesem Fall sollte auch die Software so schnell wie möglichh auf die neueste Version aktualisiert werden Microsoft PowerPoint unspezifische Verletzbarkeit Einstufung: kritisch Datum:.4.9 scip DB: Einstufung: kritisch Datum: scip DB: Einstufung: sehr kritisch Datum: scip DB: Microsoft ist einer der grössten und bekanntesten Betriebssystemanbietern. Microsoft Windows ist als Server und Desktop Packet verfügbar und in verschiedenen Versionen verbreitet. Microsoft Office ist ein weit verbreitetes Software Packet, mit welchem es möglich ist Dokumente zu erstellen, Tabellen und Kalkulationen anzufertigen und Präsentationen zu entwerfen. PowerPoint wird zum erstellen von Präsentationen verwendet und ist weit verbreitet, da es häuffig im Betriebs- und Privatumfeld verwendet wird und inzwischen auch auf anderen Distributionen installiert werden kann. Zu der neuen Schwachstelle wurden keine weiteren Details veröffentlich, allerdings ist es Möglich schädlichen Code auszuführen und ein Exploit dazu ist im Umlauf. Da MS PowerPoint sehr weit verbreitet ist und alle zur Zeit bekannten Versionen davon betroffen sind, ist die Gefahr sehr hoch einzustufen. Durch öffnen eines manipulierten PowerPoint Dokuments (.pps oder ppt am Schluss des Namens) kann schädlicher Code ausgeführt und so veränderungen am System des Benutzers vorgenommen werden. Wir empfehlen nur Dokumente zu öffnen, welche sie 6/13

7 erwarten oder von einer vertrauenswürdigen Person stammen. Da für die Schwachstelle zur Zeit noch keinen Patch verfügbar ist, ist höchste Vorsicht geboten Mozilla Firefox mehrere Einstufung: problematisch Datum: scip DB: Mozilla Firefox ist ein freier Webbrowser des Mozilla-Projekts. Der seit Mitte entwickelte Open-Source-Webbrowser zeichnet sich besonders durch seine vielfältigen Erweiterungsmöglichkeiten aus. Firefox ist nach dem Windows Internet Explorer der zweithäufigst genutzte Webbrowser. Durch mehrere bekannt gewordene Schwachstellen kann manipulierter Code ausgeführt werden. Da der Firefox Webbrowser sehr weit verbreitet ist, ist die Gefahr für diese Schwachstelle sehr gross. Da aber bereits ein Patch herausgegeben wurde empfehlen wir, auf die neueste Version (3..) zu aktualisieren. Generell empfehlen wir, Firefox so einzustellen, dass er automatisch die neuesten Updates einspielt. Falls dies bei ihrem Browser nicht der Fall ist, kann dies unter Einstellungen>Erweitert>Update entsprechend konfiguriert werden. Ihre aktuelle Version wird über Hilfe>Über Mozilla Firefox angezeigt. 7/13

8 4. Statistiken Die im Anschluss aufgeführten Statistiken basieren auf den Daten der deutschsprachige Verletzbarkeitsdatenbank der scip AG. Zögern Sie nicht uns zu kontaktieren. Falls Sie spezifische Statistiken aus unserer Verletzbarkeitsdatenbank wünschen so senden Sie uns eine an Gerne nehmen wir Ihre Vorschläge entgegen Auswertungsdatum: 19. April Feb 9 - Mrz 9 - Apr sehr kritisch 1 6 kritisch problematisch Verlauf der Anzahl Schwachstellen pro Jahr sehr kritisch kritisch problematisch Verlauf der letzten drei Monate Schwachstelle/Schweregrad 9 - Feb 9 - Mrz 9 - Apr Cross Site Scripting (XSS) Denial of Service (DoS) Designfehler 4 Directory Traversal Eingabeungültigkeit Fehlende Authentifizierung Fehlende Verschlüsselung Fehlerhafte Leserechte Fehlerhafte Schreibrechte Format String Konfigurationsfehler Pufferüberlauf 5 4 Race-Condition Schw ache 1 Authentifizierung Schw ache Verschlüsselung SQL-Injection Symlink-Schw achstelle Umgehungs-Angriff Verlauf der letzten drei Monate Schwachstelle/Kategorie /13

9 9 - Jan 9 - Feb 9 - Mrz 9 - Apr 9 - Mai 9 - Jun 9 - Jul 9 - Aug 9 - Sep 9 - Okt 9 - Nov 9 - Dez Registrierte Schwachstellen by scip AG Verlauf der Anzahl Schwachstellen pro Monat - Zeitperiode Jan 9 - Feb 9 - Mrz 9 - Apr 9 - Mai 9 - Jun 9 - Jul 9 - Aug 9 - Sep 9 - Okt 9 - Nov 9 - Dez sehr kritisch 1 6 kritisch problematisch Verlauf der Anzahl Schwachstellen/Schweregrad pro Monat - Zeitperiode 9 9/13

10 Jan 9 - Feb 9 - Mrz 9 - Apr 9 - Mai 9 - Jun 9 - Jul 9 - Aug 9 - Sep 9 - Okt 9 - Nov 9 - Dez Cross Site Scripting (XSS) Denial of Service (DoS) Designfehler 4 Directory Traversal Eingabeungültigkeit 1 Fehlende Authentifizierung Fehlende Verschlüsselung Fehlerhafte Leserechte Fehlerhafte Schreibrechte Format String Konfigurationsfehler Pufferüberlauf Race-Condition Schw ache Authentifizierung 1 Schw ache Verschlüsselung SQL-Injection Symlink-Schw achstelle Umgehungs-Angriff Unbekannt Verlauf der Anzahl Schwachstellen/Kategorie pro Monat - Zeitperiode 9 1/13

11 5 - Jan 5 - Mrz 5 - Mai 5 - Jul 5 - Sep 5 - Nov 6 - Jan 6 - Mrz 6 - Mai 6 - Jul 6 - Sep 6 - Nov 7 - Jan 7 - Mrz 7 - Mai 7 - Jul 7 - Sep 7 - Nov - Jan - Mrz - Mai - Jul - Sep - Nov 9 - Jan 9 - Mrz Registrierte Schwachstellen by scip AG Verlauf der Anzahl Schwachstellen pro Monat seit Januar Jan Fe Mr Ap Mai Jun Jul Au Se Okt No De Jan Fe Mr Ap Mai Jun Jul Au Se Okt No De Jan Fe Mr Ap Mai Jun Jul Au Se Okt No De Jan Fe Mr Ap Mai Jun Jul Au Se Okt No De Jan Fe Mr Ap sehr kritisch kritisch problematisch Verlauf der Anzahl Schwachstellen/Schweregrad pro Monat seit Januar 5 11/13

12 Cross Site Scripting (XSS) Denial of Service (DoS) Designfehler Directory Traversal Eingabeungültigkeit Fehlende Authentifizierung Fehlende Verschlüsselung Fehlerhafte Leserechte Fehlerhafte Schreibrechte Format String Konfigurationsfehler Pufferüberlauf Race-Condition Schw ache Authentifizierung Schw ache Verschlüsselung SQL-Injection Symlink-Schw achstelle Umgehungs-Angriff Unbekannt Verlauf der Anzahl Schwachstellen/Kategorie pro Monat seit Januar 5 /13

13 Impressum Herausgeber: scip AG Badenerstrasse 551 CH-4 Zürich T mailto:info@scip.ch Zuständige Person: Marc Ruef Security Consultant T mailto:maru@scip.ch scip AG ist eine unabhängige Aktiengesellschaft mit Sitz in Zürich. Seit der Gründung im September fokussiert sich die scip AG auf Dienstleistungen im Bereich IT-Security. Unsere Kernkompetenz liegt dabei in der Überprüfung der implementierten Sicherheitsmassnahmen mittels Penetration Tests und Security Audits und der Sicherstellung zur Nachvollziehbarkeit möglicher Eingriffsversuche und Attacken (Log- Management und Forensische Analysen). Vor dem Zusammenschluss unseres spezialisierten Teams waren die meisten Mitarbeiter mit der Implementierung von Sicherheitsinfrastrukturen beschäftigen. So verfügen wir über eine Reihe von Zertifizierungen (Solaris, Linux, Checkpoint, ISS, Cisco, Okena, Finjan, TrendMicro, Symantec etc.), welche den Grundstein für unsere Projekte bilden. Das Grundwissen vervollständigen unsere Mitarbeiter durch ihre ausgeprägten Programmierkenntnisse. Dieses Wissen äussert sich in selbst geschriebenen Routinen zur Ausnutzung gefundener Schwachstellen, dem Coding einer offenen Exploiting- und Scanning Software als auch der Programmierung eines eigenen Log- Management Frameworks. Den kleinsten Teil des Wissens über Penetration Test und Log- Management lernt man jedoch an Schulen nur jahrelange Erfahrung kann ein lückenloses Aufdecken von Schwachstellen und die Nachvollziehbarkeit von Angriffsversuchen garantieren. Einem konstruktiv-kritischen Feedback gegenüber sind wir nicht abgeneigt. Denn nur durch angeregten Ideenaustausch sind Verbesserungen möglich. Senden Sie Ihr Schreiben an smssfeedback@scip.ch. Das Errata (Verbesserungen, Berichtigungen, Änderungen) der scip monthly Security Summarys finden Sie online. Der Bezug des scip monthly Security Summary ist kostenlos. Anmelden! Abmelden! 13/13