Zentrum für sichere Informationstechnologie – Austria

Bedrohung durch manipulierte USB-Geräte

Kategorie: IT-Sicherheit

Die Flexibilität von USB ermöglicht es eine Vielzahl unterschiedlicher Geräte über eine gemeinsame Schnittstelle ohne Authentifizierung einzubinden. Weil ein Computer im Vorhinein nicht wissen kann, welches USB-Gerät angeschlossen ist, verwendet er die Informationen, die das Gerät bereitstellt um sich zu identifizieren. Ein Benutzer wiederum erwartet von USB-Geräten die Funktionalität, für die sie konzipiert wurden. In der jüngeren Vergangenheit traten vermehrt präparierte USB-Geräte in Erscheinung, die von gegenwärtigen Schutzmaßnahmen nicht als Bedrohung erkannt werden können.

Im Rahmen einer Kurzstudie wurde erörtert, anhand welcher Methoden USB-Geräte manipuliert werden können um damit unentdeckt Computer anzugreifen. Nach einer kurzen Einleitung zum USB-Standard wurden bekannte Angriffsmöglichkeiten zusammengefasst. Ein besonderes Augenmerk wurde auf die Manipulierbarkeit der Firmware bei USB-Sticks gelegt („BadUSB“-Angriff). Praktische Fallbeispiele dienten als Unterstützung beim Aufzeigen der Problematik und Veranschaulichung der mögliche Tragweite eines Angriffs. Abschließend wurde der Einsatz möglicher Schutzmechanismen diskutiert.
Weiter lesen…

Peer-to-Peer Sichere Kommunikation

Kategorie: IT-Sicherheit

Dieses Projekt beschreibt eine flexible und modulare Herangehensweise für bestehende peer-to-peer Frameworks um sichere Kommunikation, unter Verwendung von etablierten und erprobten Protokollen und Algorithmen. Es wird eine Kompatibilitätsschicht beschrieben an die sich bestehende peer-to-peer Frameworks sowie Verfahren für Transportsicherheut nahtlos angekoppeln werden können. Außerdem werden die Komponenten von Ende-zu-Ende Sicherheit im Kontext von peer-to-peer Netzwerken und TLS analysiert. Auf diesem Framework basierend wurde eine Proof-of-Concept Applikation entwickelt die im Downloadbereich angeboten wird. Weiter lesen…

HTTPS Analyse von GV.AT Domänen

Kategorie: eGovernment, IT-Sicherheit

In diesem Projekt wurden die Eigenschaften von österreichischen gv.at Domänen analysiert. Der Fokus wurde dabei auf die Unterstützung von TLS (Anbieten der Dienste über HTTPS) gelegt. Im Rahmen dieses Projekts wurde das Rahmenwerk für die automatische Analyse geschaffen und die ersten Ergebnisse im Rahmen einer Kurzsstudie präsentiert. Weiter lesen…

Alternative Zweifaktorauthentifizierung

Kategorie: IT-Sicherheit

Zweifaktorauthentifizierung ist ein essentieller Mechanismus, der den sicheren Zugriff auf entfernte Dienste ermöglicht. Die österreichische Bürgerkarte ist nur eines von vielen Beispielen, das auf dem Grundkonzept der Zweifaktorauthentifizierung beruht. Die meisten Methoden der Zweifaktorauthentifizierung wurden für klassische Endnutzergeräte wie Desktop-PCs oder Laptops entwickelt. Chipkartenbasierte Ansätze oder auch das SMS-TAN-Verfahren sind Beispiele dafür. In den letzten Jahren konnten jedoch mobile Endnutzergeräte entscheidend an Bedeutung gewinnen. Da sich diese Geräte in Handhabung, Sicherheitsmerkmalen und Funktionalität mitunter signifikant von klassischen Endnutzergeräten unterscheiden, können etablierte Methoden der Zweifaktorauthentifizierung auf diesen Geräten nicht oder nur bedingt eingesetzt werden.

Um sich dem Thema Zweifaktorauthentifizierung unter diesem Gesichtspunkt zu nähern und mögliche Varianten der sicheren Remote-Authentifizierung unter Verwendung mobiler Endnutzergeräte zu analysieren, wurde von A-SIT eine Studie erstellt. Dazu wurden im Wesentlichen folgende Tätigkeiten durchgeführt, die sich im Inhalt der Studie widerspiegeln.

  • Es wurde zunächst ein allgemeiner Überblick über die grundlegenden Konzepte hinter dem Konzept der Zweifaktorauthentifizierung erarbeitet.
  • Danach wurden anhand eines abstrakten Modells generische Anforderungen an Methoden der Zweifaktorauthentifizierung auf mobilen Geräten definiert.
  • Mit Hilfe der definierten Anforderungen wurden bestehende Ansätze systematisch evaluiert.
  • Aus den erhaltenen Ergebnissen der Evaluierung wurde eine geeignete Lösung erarbeitet.
  • Die prinzipielle Anwendbarkeit dieser Lösung wurde evaluiert, indem diese auf den konkreten Anwendungsfall serverbasierter Signaturlösungen angewendet wurde.
  • Die praktische Umsetzbarkeit der Lösung wurde schließlich anhand einer prototypischen Implementierung nachgewiesen.

Insgesamt zeigt diese Studie damit, dass moderne mobile Endnutzergeräte trotz zu berücksichtigender Limitierungen Möglichkeiten bieten, alternative Methoden der Zweifaktorauthentifizierung umzusetzen. Die Studie zeigt außerdem, dass diese Methoden auch in bestehende Applikationen integriert werden können und somit deren Sicherheit auch im Falle eines Zugriffs über mobile Endnutzergeräte gewährleistet werden kann.

Die von A-SIT erstellte Studie kann unter folgendem Link heruntergeladen werden:

Alternative Zweifaktorauthentifizierung (DE, PDF)

6

Mai

2014

Sicherheitsanalyse mobile Plattformen

Kategorie: IT-Sicherheit

Durch die Weiterentwicklungen bestehender und Einführung neuer Smartphone-Plattformen sind sowohl Betreiberinnen und Betreiber von IT-Systemen als auch Benutzerinnen und Benutzer gefordert, Überblick über die ständig wachsenden Funktionen zu behalten. Mittlerweile verfügen Smartphones über beinahe dieselben Möglichkeiten zur Datenverarbeitung wie herkömmliche Desktop-Computer und führen so zunehmend auch zur Verarbeitung kritischer Unternehmensdaten am mobilen Gerät.
Aus diesem Grund wurde gängige Smartphone-Plattformen in den letzten Jahren um viele Sicherheitsfunktionen ergänzt, die zu Beginn aufgrund der Ausrichtung für den privaten Benutzer fehlten. Die aktuellen Versionen von Android, iOS, Windows Phone und Blackberry unterstützen eine große Anzahl von Sicherheitsfunktionen, die für den Einsatz im Unternehmen und den Umgang mit sicherheitskritischen Daten geeignet sind. Beispiele für diese Funktionen sind die Integration von Verschlüsselungssystemen, Management-Schnittstellen, die es ermöglichen Policies für die Geräte zu definieren, oder sichere Speicher für das Ablegen von Schlüsselmaterial und Passwörtern. Ziel der von A-SIT erarbeiteten Studie ist es, eine Grundlage für die Bewertung der Eignung einer Smartphone-Plattform für den Einsatz im Unternehmen zu bieten. Weiter lesen…

Mail Test

Kategorie: IT-Sicherheit

Standard-Mailclients zeigen oft unterschiedliches Verhalten bei verschlüsselten oder signierten Mails.

Dieses Service erzeugt eine Vielzahl unterschiedlicher Testmails und sendet Sie an einen bestimmten Empfänger. Testen Sie Ihren Mailclient, ob dieser Abweichungen vom Sollverhalten zeigt. Um Missbrauch durch Versendung von Massen-Mails zu verhindern, ist eine Anmeldung erforderlich. Weiter lesen…

DKIM-Proxy

Kategorie: IT-Sicherheit

DKIM-Proxy ist eine Referenzimplementierung des RFC 4871 (DomainKeys Identified Mail – DKIM) Standards und kann als Proxy einem SMTP bzw. POP3/IMAP4 Server vorgeschaltet werden.

Durch die Miteinbeziehung dieses Standards in die Emailübertragung können angegebene Absenderdomänen basierend auf bewährten asymmetrischen Verschlüsselungsverfahren verlässlich authentifiziert werden. Der Einsatz von DKIM-Proxy erlaubt es über SMTP versendete Emails nach dem oben genannten Standard zu signieren, bzw. signierte Nachrichten, die über POP3 oder IMAP4 empfangen werden, zu verifizieren.

Im Falle der Verifikation von eingehenden Emails wird das Ergebnis der Verifikation der untersuchten Email durch eine zusätzliche Kopfzeile beigefügt. Dadurch ist es möglich durch Anwenden einer einfachen Filterfunktion im verwendeten Email-Client eingehende Emails zu klassifizieren und Nachrichten, die mit einer ungültigen Absenderdomäne versehen sind, verlässlich zu erkennen. Weiter lesen…

CA-Toolkit

Kategorie: IT-Sicherheit

Dieses Projekt umfasst eine Sammlung von kleinen Tools, welche die einfache Erzeugung von:

  • e-Mail-Verschlüsselungszertifikaten (CRYPT)
  • Encrypting File System (EFS) – Zertifikaten
  • Zertifikate zur Verschlüsselung von Fremd-bPKs

ermöglichen. Dabei ist allen erzeugten Zertifikaten das selbstsignierte Wurzelzertifikat gemeinsam. Egal, welches der einzelnen Tools zur Initialisierung gestartet worden ist, jedes der dem Toolkit beigefügten Programme greift auf das eventuell bereits vorhandene Wurzelzertifikat zurück. Somit ist es nicht notwendig, dass für jeden Zertifikatstypen ein eigenes Wurzelzertifikat erzeugt werden muss.

Weiter lesen…