Medical Device Security…

Hi…

hier http://spectrum.ieee.org/podcast/biomedical/devices/hacking-pacemakers ist ein Artikel, über dessen Thema wir uns wahrscheinlich zunächst einmal noch keine Gedanken gemacht hätten. In Zukunft werden wir aber in der Welt des Internet of Things leben und damit werden auch Herzschrittmacher-Hersteller sich Gedanken über Firewalls auf ihren Devices machen müssen.

CU

0xff

Posted in B2B2X, Developer Garden, Uncategorized | Tagged , , | 1 Comment

Sicherheit und die Cloud – Die Gefahren liegen ganz wo anders…

Hi…

Auf die Frage, wer den Cloud Computing macht, wurde vor einigen Jahren im Fachpublikum noch mit leichten Lachanfällen reagiert. Alles viel zu unsicher. Wenn man dann gesagt hat, dass jeder, der privat eine gehostete Email-Adresse hat oder gar Online-Banking macht, eigentlich schon voll in der Cloud angekommen ist, gab es verdutzte Gesichter.

Heute ist das Thema Cloud salonfähig geworden – ob die IT-Abteilung das wollte oder nicht. Das Totschlag-Argument Sicherheit hat nicht gezogen – irgendwie. Ich nenne Sicherheit hier ein Totschlag-Argument, weil zumeist nicht viel dahinter steckt. Man sagt, „Unsicher“ und hofft, dass keiner eine weitere Frage stellt. In Wahrheit hat man sich mit dem Thema sowas von Null beschäftigt. Wenn man dann sagt, dass Cloud Daten wahrscheinlich die besser geschützten sind, reagiert man am besten mit Auslachen. Leider sprechen die Tatsachen eine andere Sprache.

Nehmen wir diesen netten Artikel http://www.cloudtweaks.com/2013/05/top-5-hipaa-security-risks-as-providers-migrate-to-tthe-cloud/ . Überrascht uns eigentlich, dass Hacking und IT Probleme mit 6.3% es gerade noch so in die Top 5 Probleme geschafft haben?? Probleme wie das Stehlen von Laptops, Herumliegen von Ausdrucken und derartiges mehr, sind halt immer noch die Spitze. Und das sind Hinterlassenschaften der alten Zeit.

Nun sind die 6.3% immer noch zu viel, keine Frage. Und die Tatsache, dass alte Bekannte wie SQL Injection noch immer die Top 10 der OWASP Liste anführen, macht einen wundern. Wer heute keine Tools wie Code Analyzer einsetzt, ist selber schuld und sollte dafür auch haftbar gemacht werden.

Die Diskussion, die man zum Thema Cloud Security noch führen sollte, ist der Speicherort der Daten. Leider ist das Internet da nicht eine homogene Landschaft. Der Speicherort der Daten bestimmt den gesetzlichen Rahmen zum Thema Datenschutz. Wir Deutschen dürfen mit Recht sagen, dass wir es erfunden haben. Wir sollten dieses Erbe auch in eine Tradition verwandeln und uns bewusst sein, dass dies unser Beitrag für das globale Netz werden könnte. Aber nur, wenn wir Tradition nicht mit dem Bewachen der Asche sondern mit dem Erhalten des Feuers übersetzen. Datenschutz muss sich wandeln und die Zeichen der Zeit mitnehmen. Die Aussage einiger Datenschutzfundamentalisten, dass Social Networks sowieso des Teufels wären, wird da nicht helfen.

CU

0xff

Posted in B2B2X, Ecosystem, Uncategorized | Tagged , , | Leave a comment

DG Code Analyzer your software…

Hi…

wie komme ich zum Code Analyzer?? Klarer weise beginnt alles auf der Website des Developer Gardens. Dort findet man einen LogIn-Button:

Step1_LoginDort erstmal mit seinem Konto anmelden. Danach erscheint dort der neue Link My Account. Wenn ich dem folge, kann ich Dienste ein-/ausschalten.

Step2_AccountManagementDort auf API-Management. Als neues Element seit Gestern erscheint Code Analyzer:

Step3_Code AnalyzerDamit kann ich den Dienst ein-/ausschalten. Wie man sieht, ich habe ihn bereits eingeschaltet (you guessed). Über den Link Config kann ich meinen Plan wählen. Ich arbeite derzeit auf dem freien Angebot.

Step3_ConfigDort findet sich auch der Hyperlink zum Dashboard, über das man Code hochlädt nd die Scan-Ergebnisse ansehen kann. Der Link lautet https://codeanalyzer.developergarden.com/Dashboard.aspx

Viel Spaß damit…

CU

0xff

Posted in B2B2X, Developer Garden | Tagged , , , | Leave a comment

Honey Words und Two Factor Authentication

Hi…

Gerade bin ich über „Honey Words“ gestolpert (http://www.pcworld.com/article/2038092/use-of-honeywords-can-expose-password-crackers.html). Idee ist es, einige leicht zu knackende  Passwörter in die Tabelle aller ge-salteten und ge-hashten Passwörter einzustreuen. Wenn dann diese Passwörter zum Login verwendet werden, geht die Alarm-Sirene hoch.

Scheinbar wird man zunehmend unruhig zum Thema Benutzername-Passwort. Eine kleine Auswahl von einem einzigen Portal gefällig:

http://www.pcworld.com/article/2036252/how-to-set-up-two-factor-authentication-for-facebook-google-microsoft-and-more.html

http://www.pcworld.com/article/2030175/following-breaches-experts-call-for-twofactor-authentication-on-twitter.html

http://www.pcworld.com/article/260540/how_to_configure_googles_two_step_authentication.html

http://www.pcworld.com/article/2036360/securenvoy-falls-back-on-fixed-line-to-better-twofactor-authentication-reliability.html

http://www.pcworld.com/article/258467/does_twofactor_authentication_need_to_be_fixed.html

http://www.pcworld.com/article/261476/protect_your_dropbox_data_with_two_factor_authentication.html

http://www.pcworld.com/article/2035459/microsoft-adds-two-factor-authentication-to-keep-accounts-secure.html

Jetzt habe ich Angebote gesehen, die etwas mehr wie 700 € für eine Two Factor Authentication haben wollen. Wie das auch billiger geht, kann man in meinem Blog etwas weiter unten lesen.

Update:

Gerade auf Facebook gesehen…

Two way FB

CU

0xff

Posted in B2B2X, Developer Garden | Tagged , , , , | Leave a comment

Das Käsescheiben-Model in der IT Security

Hi…

Da ich es in letzter Zeit des Öfteren erzählt habe, hier mal ein Erwähnung des Käsescheiben-Models. Ich habe es kennengelernt, als ich meinen Master an der University of Liverpool gemacht habe. Im Kurs „Security Engineering“ haben wir Ross Andersons Buch zu dem Thema durchgearbeitet. Eine Buch, das ich für einen absoluten Meilenstein halte und das es mittlerweile hier http://www.cl.cam.ac.uk/~rja14/book.html zum Lesen gibt.

Das Käsescheiben-Model kommt eigentlich aus der Luftfahrt-Technik. Übrigens ein Bereich, der sich mit der Sicherheit von Systemen früh beschäftigen musste und daher einen gewissen Vorsprung hat. Das Model beschäftigt sich mit der Zusammenarbeit unterschiedlicher Sicherheitssysteme. Es lautet wie folgt:

Jedes Sicherheitssystem ist vergleichbar einer Käsescheibe. Sie hat geschlossene Flächen aber auch Löcher. Manche mehr und manche weniger. Und jeweils an hoffentlich unterschiedlichen Stellen. Ein Loch steht für ein Sicherheitsproblem. Die Aufgabe der Ingenieure ist es nun, ausreichend viele Käsescheiben so aufeinander zu legen, dass alle Löcher verdeckt werden.

Käsescheibenmodel

Anbei habe ich mal zwei Käsescheiben übereinander gelegt. Man erkennt, dass zwei Wege offengeblieben sind. Falls wir hier einen Angriff haben würden, würde dieser erfolgreich beide Sicherheitsschichten durchdringen.

Was lernen wir daraus?

  • Man sollte jedes Sicherheitssystem per se als „löcherig“ betrachten. Es gibt kein perfektes System!! Noch schlimmer: Sicherheit ist immer temporär. Jeden Tag werden neue Möglichkeiten entdeckt und billigere Rechenleistung zwingt zu längeren Schlüsseln.
  • Die Kombination der Sicherheitssysteme ist extrem wichtig. Sie müssen sich so ergänzen, dass sie gegenseitigen Schwächen (aka Löcher) aufheben (aka zudecken).
  • Wir alle wissen, dass man mit unendlich viel Käsescheiben dann auch eine absolute Abdeckung erreichen. Wir alle wissen auch, dass zu viel Käse fett macht. Ziel muss also sein, bei minimaler Menge Käse maximale Abdeckung zu erreichen. Hier kommt das Schlagwort Risiko-Management in’s Spiel.

CU

0xff

Posted in Uncategorized | Tagged , | Leave a comment

Meine lieben M2M Freunde, die Zeit des netten Lebens ist vorüber…

Hi…

vor kurzem habe ich dieses Bild gesehen:
SQL Injection mal anders...

Wie man unschwer erkennen kann, ist es eine SQL Injection. Nach wenigen Sekunden versteht man auch, dass der Fahrer nicht den coolsten Front-Bumper-Sticker seit Anbeginn der Menschheit hat, sondern er versucht mittels dem OCR-Algorithmus hinter einer Verkehrsbeobachtung eine Datenbank anzugreifen.

Kann das funktionieren? Warum nicht?!

Was heißt das jetzt für uns? Nun, M2M verliert gerade seine Unschuld. Solange ich im M2M Umfeld geschlossene Systeme hatte, konnte ich mich schön hinter der physikalischen Sicherheit verstecken. Nehmen wir Stuxnet. Sind doch selber schuld, wenn man USB Sticks in Rechner stopft. Damit klar gegen Regeln verstossen. Der Programmierer dieser Verkehrs-Datenbank-Schnittstelle muss gegen keine Regeln verstossen, dass seine Applikation angreifbar wird. Hoppala…

CU

0xff

 

Posted in Uncategorized | Leave a comment

Neue Tropo Demo – Nachrichten-Ansage

Hi…

hier mal vorab den Code zu meinem letzten Demo (auf der CeBIT nebenher gebastelt). Ich muss nochmal drüber gehen und die Variablen sauber benennen etc und tralala… Aber mal vorab…

CU

0xff

Posted in Uncategorized | Tagged | Leave a comment

Neue Evangelisten an Bord

Hi…

es ist mir eine Größe Freude Euch zwei neue Evangelisten im Team vorstellen zu dürfen:

Mireia Montanyola-Sales und Richard Süselbeck.

Kurze Videos zur Vorstellung findet Ihr hier:

CU

0xff

Posted in Developer Garden | Tagged , , | Leave a comment

Source code on two-way-authentication

Hi…

 

CU

0xff

Posted in B2B2X, Developer Garden | Tagged , , , , | Leave a comment

Was tun wir so den ganzen Tag…???

Hi…

na, zum Beispiel Videos machen….

 

CU

0xff

Posted in B2B2X, Developer Garden | Tagged , , , | Leave a comment