Liebe Zuhörer,
die aktuelle Ausgabe des TechNet Newsflash als Podcast steht wieder zum Anhören bereit :)
TechNet Newsflash als mp3.
Link zum RSS Feed:
http://www.microsoft.com/feeds/technet/de-de/newsflash/tn_flash_podcast_archiv.XML
Link zur schriftlichen Ausgabe:
http://www.microsoft.com/germany/technet/newsflash/16-2013.htm
Wir wünschen viel Freude beim Anhören und mit den aktuellen Angeboten und Veranstaltungen!
☁ Heike, Bernhard & Denis
Es gibt Sicherheitsnachrichten, die Sorgen zuerst für ein Lächeln und anschließend für Albträume. In diese Kategorie fällt beispielsweise das neue Security Advisory des Experten Daniel Crowley von Trustwave Spiderlabs. Dieser hat, und das ist kein Scherz, eine Schwachstelle in der smarten Toilette „Satis“ der japanischen Lixis Corporation gefunden. Also genauer gesagt, in der dazugehörigen Android-Applikation, die sich per Bluetooth mit dem Lokus verbindet. Über diese Applikation lassen sich zahlreiche Funktionen der Toilette steuern, sie kann etwa den Deckel öffnen, den Fön-ähnlichen Trockern anschalten oder die Wasserreinigung des Nutzers (die sogenannte Bidet-Funktion) aktivieren – und dabei sogar die Wassertemperatur verändern.
Die Schwachstelle, so das Advisory, entsteht durch einen fest eingebetteten Code für die Bluetooth-Verbindung zwischen Smartphone und Toilette. Dadurch kann jeder Besitzer eines Android-Smartphones mit der installierten App eine Toilette übernehmen, die sich im Pairing-Modus befinden. Wahlweise genügt es auch, durch mitschneiden des Bluetooth-Traffics die Hardware-Adresse des Klos herauszufinden. Dann ist der Pairing-Modus nicht notwendig.
Was kann der Angreifer machen, wenn er die Kontrolle hat? Er könnte beispielsweise die Toilette wiederholt spülen und so Wasserverbrauch und die Kosten erhöhen. Oder er kann die Nutzer der Toilette quälen, indem er die Bidet- oder Trocken-Funktionen zu unpassenden Zeitpunkten aktiviert.
Diese möglichen Auswirkungen regen natürlich eher zum Schmunzeln als zum Fürchten an. Dennoch zeigen sie gut, wie Techniken wie Bluetooth oder Netzwerkverbindungen selbst in Bereiche Einzug halten, in denen wir sie eigentlich nicht vermuten. Und dass Unternehmen genau in diesen Bereichen die Sicherheit offensichtlich nicht wirklich ernst nehmen.
Die Lixis Corporation beispielsweise stellt nicht nur Toiletten, sondern zahlreiche andere Produkte her, darunter Fenster, Türen, Rollläden oder Küchen. Was passiert, wenn die laxen Sicherheitsfunktionen und das feste Bluetooth-Passwort von der Toilette Einzug in eine App hält, mit der sich die Eingangstür öffnen lässt? Oder, wie es Paul Ducklin vom Sophos-Blog zusammenfasst: Hart in den Programmcode eingebettet Passwörter sind nichts Weiteres als eine Hintertür. Selbst wenn es sich nur um eine Toiletten-App handelt.
Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.
2001, 2002 und 2003 waren für Microsoft und unsere Kunden eine Herausforderung: Bekannte Malware wie Code Red, Nimda, der Blaster oder der SQL-Slammer hatten es auf die Windows-Systeme abgesehen und sorgten dafür, dass Malware erstmals in den Abendnachrichten landete. Die Zwischenfälle waren Auslöser für die Microsoft Trustworthy Computing Group und den Security Development Livecycle (SDL). In den letzten zehn Jahren haben TWC und der SDL einiges bewirken können. Obwohl die Attacken jedes Jahr zunahmen, wurden unsere Anwendungen und Betriebssysteme deutlich sicherer.
Der SDL kommt nicht nur Microsoft intern zum Einsatz. Vielmehr teilen wir die darin enthaltenen Informationen mit Geschäftspartnern und unseren Kunden. Tatsächlich konnte eine ganze Reihe von Partnern vom SDL profitieren und die Konzepte innerhalb der eigenen Organisation anwenden. Unser neuer Bericht, „Die SDL Chronicles“ (PDF Download) stellt drei verschiedene Partner vor, die mit Hilfe des SDL ihre Unternehmensressourcen gegen Angriffe geschützt haben.
MidAmerican Energy: Das Versorgungsunternehmen in Iowa versorgt mehr als 730.000 Kunden mit Strom und mehr als 700.000 mit Erdgas. Im Jahre 2010 stand das Unternehmen vor einigen Sicherheitsherausforderungen. Veraltete Webseiten und veralteter Code sorgten für zahlreiche Probleme, die IT-Systeme wurden zudem regelmäßig mittels SQL-Injections attackiert. Das Unternehmen setzte auf SDL als Grundlage, um das Sicherheitskonzept komplett zu überarbeiten. Mit Erfolg: Es wurden dank SDL neue Sicherheitsprozesse entwickelt sowie reichlich Code von Fehlern befreut.
Itron: Das Unternehmen stellt intelligente Zählersysteme, Datenerfassungslösung und Software für Versorgungsunternehmen her. Die Kunden sind über den kompletten Globus verstreut. Zu den Herausforderungen gehörte die lange Produktlebensdauer. Sie lässt sich nur nur schwer mit der aktuellen, sich schnell ändernden Bedrohungslage vereinbaren. Zumal eine Aktualisierung der Systeme nur schwer möglich war. Mit Hilfe des SDL konnten die IT-Verantwortlichen ihre Prozesse und Entwicklungsumgebungen so anpassen, dass die Systeme künftig besser geschützt sind. Ein praktischer Nebeneffekt: Die Itron-Mitarbeiter betrachteten Sicherheit nun als zentralen Bestandteil aller Facetten ihrer Arbeit und nicht einfach nur als einzelnen Schritt im Gesamtprozess.
Das indische CERT: Indien ist eine der größten Volkswirtschaften der Welt und boomt unter anderem im IT-Bereich. Entsprechend musste sich die indische Regierung immer häufiger mit Cyberkriminalität auseinandersetzen. Attacken auf Webseiten, Spambots, Diebstahl von Finanzdaten und von persönlichen Informationen – die typischen digitalen Attacken trafen Indien mit voller Wucht. Dazu kam das Bestreben, den Bereich eGovernance auszubauen. Zur Lösung der Probleme gehörte der Aufbau eines eigenen CERT (Computer Emergency Response Team), bei dem Microsoft mit dem SDL wertvolle Inhalte liefern konnte. „Der SDL ist der De-Facto-Sicherheitsstandard für die IT-Sicherheit in Indien“, so Satish Das, Chief Security Officer bei Cognizant Technology Solutions.
In diesem Blogeintrag können wir die Beispiele nur anreißen, die kompletten Daten haben wir in unserer Studie „Die SDL Chronicles“ zusammengestellt. Das 57-Seiten-lange Dokument steht hier kostenlos als PDF zum Download bereit.
Bernhard Frank ist wieder zurück und wir hatten eine Menge Spaß die aktuelle Ausgabe des TechNet Newsflash (Ausgabe 15) als Podcast wieder gemeinsam aufnehmen zu können :)
http://www.microsoft.com/feeds/technet/de-de/newsflash/tn_flash_podcast_archiv.xml