Springe zum Hauptinhalt

CISSP-Geflüster

CISSP-Logo

Die Ko­lum­ne be­rich­tet aus dem All­tag ei­nes CISSP (Cer­ti­fied In­for­ma­ti­on Sys­tems Se­cu­ri­ty Pro­fes­si­o­na­l), ei­nes Si­cher­heits­ex­per­ten al­so, des­sen täg­lich Brot es ist, sich mit al­len The­men quer durch die IT­-­Si­cher­heit zu be­schäf­ti­gen. Sie fin­den hier Ein­schät­zun­gen, Tipps und Mei­nun­gen vom Ex­per­ten.

Die Ko­lum­ne er­scheint mo­nat­lich un­ter htt­p://ww­w.­ciss­p-­ge­flues­ter.­de.

Ihr
signature.png
Hartmut Goebel

CVSS - Common Vulnerability Scoring System

/images/cvss/cvss.png

A Tool for cal­cu­la­ting CVSS­-S­co­res.

/images/cvss/cvss-gui.png

Features

  • plat­­form in­­­de­­pen­­dent (u­­sing Py­thon and GT­K)

  • co­­py & pas­te for CVSS vec­tors

  • co­lor­­ful sco­­re in­­­di­­ca­tor for ea­­sy vi­­su­al fee­d­­back

  • sup­­ports CVSS Ver­­­si­on 2

  • both GUI and com­­mand li­­ne usa­­ge

/images/cvss/cvss-calc-cli.png

License

Li­cen­se gran­ted

  • free for per­­so­nal use

  • free for non­­-­­­com­­mer­­ci­al use

  • free for com­­mer­­ci­al use for com­pa­­nies up to 49 em­ploy­ees

For de­tai­led in­for­ma­ti­on ple­a­se read the file 'LI­CEN­SE.tx­t' en­clo­sed in the ar­chi­ves and dis­played when run­ning the Win­dows in­stal­ler.

Download

Ver­si­on 0.1:

For sug­ge­s­ti­ons, bug re­ports, et­c, ple­a­se send us an e-­mail

2009-08: Die falsche Programmiersprache gefährdet das Internet

Die Ent­schei­dung, um was sich die ak­tu­el­le Ko­lum­ne dre­hen soll­te, war dies­mal schwie­rig: Die Zu­grif­fe der USA auf al­le eu­ro­pä­i­schen Banktrans­ak­ti­o­nen bei SWIFT schien span­nen­d, eben­so der neue „In­ter­net­-­Brie­f“ der Deut­schen Post. Aber jetzt wur­de es doch ein ganz an­de­res The­ma, näm­lich Pro­gram­mier­spra­chen und Se­cu­ri­ty.

Was hat das ei­ne mit dem an­de­ren zu tun?

Buf­fer Over­flows sind be­kannt­lich die Ur­sa­che vie­ler Schwach­stel­len. Die Ur­sa­che vie­ler Buf­fer Over­flows ist aber aus­ge­rech­net ei­ne Pro­gram­mier­spra­che, näm­lich C . Erst En­de Ju­ni hat Ad­o­be ei­ne Si­cher­heits­lü­cke in Flash ge­mel­det. Be­trof­fen sind auch Flas­h­-­Fil­me, die in PDFs ein­ge­bun­den sin­d. Die Ur­sa­che der Schwach­stel­le ist ein Buf­fer Over­flow.

Ein wei­te­res, gro­ßes Pro­blem bei C ist: es kennt nur pri­mi­ti­ve Da­ten­ty­pen, noch nicht ein­mal einen String (o­der ähn­li­ches) kennt es, son­dern im­mer nur 'char *' (Zei­ger auf einen Cha­rak­ter). Will man den String durch­lau­fen, wird der Zei­ger er­höht. C kann in ei­nem der­ar­ti­gen Kon­strukt nicht fest­stel­len wie groß der Speicher­be­reich für den String ist und da­mit be­steht kei­ne Chan­ce zu be­mer­ken, wenn der Zei­ger schon nicht mehr auf den Puf­fer zeig­t. Ge­nau das ist die Ur­sa­che für die stän­dig auf­tre­ten­den Buf­fer­-­O­ver­flows!

Es gibt zwar­Ge­gen­maß­nah­men, bei­spiels­wei­se strn­c­py() statt strc­py(), aber da­zu muss man die Län­ge der Puf­fer durch das ge­sam­te Pro­gramm schlei­fen. Das ist läs­tig und feh­ler­an­fäl­lig.

Noch ein Bei­spiel: Ei­ne Schwach­stel­le in der Ac­ti­veX Tem­pla­te Li­bra­ry (AT­L), die Mi­cro­soft am Wo­chen­en­de (sic!) ge­mel­det hat, wird eben­falls durch ei­ne um­ständ­li­che Syn­tax von C ver­ur­sacht: Ein Ty­pe­cast und ein klei­nes, un­schein­ba­res &-­Zei­chen, das leicht zu über­se­hen ist, be­dingt den Feh­ler: '(vo­id *)&var­na­me­'. Der Ty­pe­cast ver­hin­der­t, dass der Com­pi­ler den Feh­ler ent­deck­t.

Auf Hei­se Se­cu­ri­ty gibt es üb­ri­gens ei­ne recht les­ba­re Be­schrei­bung zur Feh­ler­ur­sa­che.

Einfach die falsche Programmiersprache

Ei­ne Pro­gram­mier­spra­che soll den Pro­gram­mie­rer bei sei­ner Ar­beit un­ter­stüt­zen. Da­zu ge­hört es, mög­lichs­te we­ni­ge Fall­stri­cke und da­für das ei­ne oder an­de­re Si­che­rungs­seil ein­zu­bau­en. Aber nur we­ni­ge Pro­gram­mier­spra­chen wer­den hier ih­rer Auf­ga­be ge­recht.

C ist mehr oder we­ni­ger ein of­fe­ner Ge­län­de­wa­gen, bei dem sich der Pro­gram­mie­rer um al­les küm­mern darf – und muss. Es ist ver­ständ­lich, dass der Spra­che ein Mo­dul­kon­zept fehl­t. Das wur­de erst ein Jahr nach C er­dacht. Es stellt sich aber die Fra­ge, wes­halb noch so vie­le Pro­gram­mie­rer das Ri­si­ko in Kauf neh­men und mit ei­ner Spra­che ar­bei­ten, die mit so vie­len kon­zep­ti­o­nel­len Män­geln be­haf­tet ist.

Was dann?

Es muss ja nicht gleich ein Pro­gram­mier­spra­che wie Mo­du­la oder Obe­ron sein und Sie brau­chen auch nicht auf Ja­va um­zu­stei­gen. Schon der sim­ple Wech­sel zu C++ oder Ob­jec­ti­ve­-C bringt mehr Si­cher­heit. Denn in die­sem Pro­gram­mier­spra­chen gibt es in­tel­li­gen­te Da­ten­ty­pen, bei­spiels­wei­se einen String­-­Ty­p, der die Län­ge des Puf­fers kennt und über­wacht. Die Pro­gram­mie­rer wer­den da­durch ent­las­tet, der Com­pi­ler nimmt ih­nen Ar­beit ab.

Üb­ri­gens: Mei­ne Phi­lo­so­phie fin­det sich in The Zen of Py­thon ge­nau wie­der.

Ei­gent­lich woll­te ich nie mehr einen Spra­chen­streit los­t­re­ten, die Dis­kus­si­on an­no 1993 mit 470 Bei­trä­gen war brot­los ge­nug. Wenn Sie aber dis­ku­tie­ren wol­len: Mai­len Sie ein­fach an ko­lum­ne@­go­ebel­-­con­sul­t.­de. Oder pos­ten Sie bes­ser gleich in al­t.re­li­gi­o­n.­pro­gram­ming­-­lan­gua­ges :-)

2009-07: Wie vertraulich sind MPLS-VPN?

Vie­le as­so­zie­ren mit VPN „ver­trau­lich“. Die Ein­stel­lung stammt oft noch aus den Zei­ten als das ein­zi­ge „V­P­N“ ein Fra­me­-­Re­lay- oder Stand­lei­tungs­-­Netz wa­r, das über das öf­fent­li­che Te­le­fon­netz lie­f. Heu­te ver­kau­fen Car­ri­er MPLS­-­Net­ze  (Mul­ti Pro­to­col La­bel Swit­ching) als als eben­so pri­vat. Das sind sie je­doch nur in Gren­zen!

Zum ei­nem wer­den die Da­ten in ei­nem MPLS­-­Netz un­ver­schlüs­selt über­tra­gen, zum an­de­ren läßt sich ein MPLS­-­Netz leich­ter ma­ni­pu­lie­ren als ge­dacht. Aus der Kom­bi­na­ti­on er­gibt sich: Wer al­so auf die Ver­trau­lich­keit sei­nes MPLS­-V­PN ver­traut, muss um­den­ken.

Be­reits 2006 ha­ben die Se­cu­ri­ty­-­Ex­per­ten En­no Rey und Pe­ter Fiers ge­zeig­t, dass man MPLS­-­Netz ma­ni­pu­lie­ren kann. Auf der letz­ten Black­Hat Eu­ro­pe leg­ten Da­ni­el Men­de und En­no Rey nach und ver­öf­fent­lich­ten ein paar Tool­s, die die­se An­grif­fe sehr ein­fach ma­chen. Hat ein An­grei­fer Zu­gang zum MPLS­-­Co­re, kann er per BGP (Bor­der Gate­way Pro­to­col) die in­ter­es­san­ten Da­ten zu sich selbst um­lei­ten - wenn er will mit ei­nem sim­plen Tool in ein an­ders MPLS­-V­PN ver­schie­ben. Ein Tool zum Knacken der BGP-M­D5­-­Hashes wird auch gleich mit­ge­lie­fer­t.

Trau­en Sie ei­gent­lich Ih­rem MPLS­-­Pro­vi­der? Dann hof­fe ich, Sie ha­ben gu­te Ver­trä­ge mit ihm. Er  soll­ten bei­spiels­wei­se mit ei­ner sehr ho­hen Sum­me haf­ten, wenn Da­ten aus sei­nem MPLS­-­Netz ab­han­den kom­men oder ma­ni­pu­liert wer­den. Das heiss­t, wenn Sie ei­ne Ma­ni­pu­la­ti­on oder einen Da­ten­ver­lust über­haupt be­mer­ken. Denn, was schät­zen Sie, wie gut Ih­re Chan­cen da­zu ste­hen? 10 Pro­zent? 1 Pro­zent? Ich tip­pe auf na­he­zu Null Pro­zent.

MPLS international – nur verschlüsselt

Wenn Ihr Un­ter­neh­men in­ter­na­ti­o­nal tä­tig ist, dann ist dop­pel­te Vor­sicht ge­bo­ten. Die Aus­sa­ge Ih­res Pro­vi­der­s, dass ei­ne Ver­schlüs­se­lung im MPLS­-­Netz nun wirk­lich nicht nö­tig sei, schen­ken Sie bit­te vor­sichts­hal­ber kei­nen Glau­ben. Aus­län­di­sche Ge­heim­diens­te ha­ben oft den Auf­trag, die Wirt­schaft des ei­ge­nen Lan­des zu för­dern. Das heißt im Klar­tex­t: Die Mit­be­wer­ber zu be­hin­dern und Da­ten ab­zu­grei­fen. Aber das ist für Sie si­cher nichts Neu­es.

Auf al­le Fäl­le tun Sie gut dar­an, Ih­re Lei­tun­gen ins (fer­ne) Aus­land zu ver­schlüs­seln. Auch bei ei­ner MPLS­-­Ver­bin­dung und auch wenn Ihr Vor­stand oder Ge­schäfts­füh­rer hier un­be­dingt spa­ren will. Sei­en Sie hart­nä­ckig, ver­su­chen Sie Ih­re Chefs zu über­zeu­gen.

Noch et­was: Fra­gen Sie mal pri­vat bei Ih­rer Bank nach, ob dort MPLS ein­ge­setzt wird. Vie­le Geld­in­sti­tu­te ver­wen­den zwar MPLS, doch nur we­ni­ge ver­schlüs­seln. Oft wird ein Netz kur­zer­hand als „ver­trau­ens­wür­dig“ ein­ge­zu­stuft, wenn ei­ne ver­trag­li­che Bin­dung mit dem Netz­be­trei­ber exis­tier­t. Na ja...

Dis­kus­si­ons­be­da­r­f? Mai­len Sie ein­fach an ko­lum­ne@­go­ebel­-­con­sul­t.­de.

Fachartikel zu "Jericho" im iX Magazin

In der Ju­li­aus­ga­be der Zeit­schrift iX er­scheint ein Ar­ti­kel von Hart­mut Go­ebel über "Je­ri­cho"

Der Ar­ti­kel "Ein­ge­ris­sen - Kon­zept Je­ri­chio - kann man Fi­re­walls ab­schaf­fen­?"

Die Fach­zeit­schrift iX, die Schwes­ter­zeit­schrift der c'­t, ist ei­nes der re­nom­mier­tes­ten deutsch­spra­chi­gen Ma­ga­zi­ne. Hart­mut Go­ebel: "Ich bin schon ein biss­chen stolz, auf mei­ne zwei­te Ver­öf­fent­li­chung dor­t. Und die wird auch noch auf dem Ti­tel an­ge­kün­dig­t." Und das kann er auch sein.

Das Heft kann beim Abo­-­Ser­vice noch be­stellt wer­den. Über den Hei­se Ki­osk kann der Ar­ti­kel aber auch ein­zeln er­wor­ben wer­den. De­tails hier­zu: Heft 2009/07, Sei­te 112, Ti­tel: "Ein­ge­ris­sen".

2009-06: Filtern Sie PDFs an der Firewall? Nein? Sollten Sie aber!

En­de Fe­bru­ar wur­de ein Ze­ro­-­Day Ex­ploit für Ad­o­be Rea­der ver­öf­fent­licht, we­ni­ge Ta­ge spä­ter ei­ne kri­ti­sche Schwach­stel­le in Ex­cel. Bei dem Ad­o­be­-­Ex­ploit war der emp­foh­le­ne Work­-­a­roun­d, Ja­va­S­cript zu de­ak­ti­vie­ren, dann kön­ne nichts mehr pas­sie­ren.

Kurz da­nach zeigt sich, dass die Ad­o­be­-­Rea­der­-­Lü­cke auch aus­nutz­bar ist, wenn Ja­va­S­cript de­ak­ti­viert ist. Der Patch – bes­ser ge­sagt das Up­da­te­-­Un­ge­tüm – für Ver­si­on 10 er­schien dann am 11. März, für äl­te­re Ver­si­o­nen gar erst am 18. März – sprich fast vier Wo­chen nach der Mel­dung des Ex­ploits. Ei­ne Men­ge Zeit ...

Der Si­cher­heits­an­bie­ter F-­Se­cu­re geht so weit, vom Ein­satz des Acro­bat Rea­ders der­zeit gänz­lich ab­zu­ra­ten. Er be­rich­te­te Mit­te April, dass sich An­grif­fe ge­zielt ge­gen lei­ten­de An­ge­stell­te, Po­li­ti­ker und an­de­re hoch­ran­gi­ge Per­so­nen rich­ten.

An­fang April ge­sell­te sich noch ei­ne kri­ti­sche Si­cher­heits­lü­cke in Po­w­er­point da­zu. Auch hier dau­er­te es sechs bis acht Wo­chen bis die Pat­ches für die bei­den An­wen­dun­gen ver­füg­bar wa­ren. Für die­se Lü­cken exis­tie­ren be­reits Ex­ploits „in the wild“.

Ei­gent­lich hät­te je­der ver­ant­wor­tungs­vol­le Ad­min al­le die­se Do­ku­men­ten­-­Ty­pen an der Fire­wall und am Mail­-­Gat­ways aus­fil­tern müs­sen. Doch je­der, der das vor­sch­lü­ge, wür­de wohl schlicht­weg für ver­rückt er­klärt wer­den. Denn via Acro­bat­-, Ex­cel- und Po­w­er­point­-­For­ma­ten wird schließ­lich ein Groß­teil al­ler ge­schäfts­re­le­van­ten In­for­ma­ti­o­nen wei­ter­ge­ge­ben. Sie zu blo­ckie­ren, hie­ße so­viel wie der „Ge­schäfts­füh­rung mit nack­tem Arsch ins Ge­sicht sprin­gen“.

Den­noch mein Rat: Sprin­gen Sie! Sei­en Sie mu­tig und ris­kie­ren Sie, dass Sie schwach an­ge­re­det wer­den. Letzt­end­lich wer­den näm­lich Sie da­für ver­ant­wort­lich ge­macht, wenn et­was pas­sier­t.

Allzeit bereit – für das nächste Mal

Auch beim „nächs­ten Ma­l“ wer­den Sie wie­der in der glei­chen Si­tua­ti­on sein. Be­rei­ten Sie sich vor:

  • Nut­­zen Sie die Ge­le­­gen­heit, dem Vor­­­stand und den lei­ten­­den An­­ge­­stell­ten zu ver­­­mit­teln, dass ge­ra­­de sein Un­­ter­­neh­­men das Ziel von An­­grei­­fern sein könn­ten.

  • Be­rei­ten Sie ei­­ne Mit­­a­r­­bei­ter­­-­­In­­for­­ma­ti­on vor, die Sie schnell in Um­­lauf brin­­gen kön­­nen. Wei­­sen Sie auch dar­auf hin, dass es ei­­ne Ent­wa­r­­nung ge­­ben wird, wenn die aku­te Ge­fahr vor­­­bei ist.

  • Nut­­zen Sie die Ge­le­­gen­heit, Mit­­a­r­­bei­ter/­­-­­in­­nen dar­auf hin­­­zu­wei­­sen, nur Do­­ku­­men­te aus ver­­trau­ens­wür­­di­­gen Quel­len zu öff­­nen, die sie auch er­wa­r­ten.

  • Wenn Sie dür­­fen, set­­zen Sie Soft­­wa­re ein, die Sie raus aus dem Main­stream bringt und da­­mit raus aus der Schuß­­li­­nie! Nut­­zen Sie an­­de­­re PDF View­­er (ht­t­p://w­w­w.p­d­frea­­der­s.or­g. ) und es gibt auch Al­ter­na­ti­­ven zu MS Of­­fi­­ce: Tex­t­­Ma­ker, Ope­n­Of­­fi­ce bzw. Sta­r­Of­­fi­­ce.


Dis­kus­si­ons­be­da­r­f? Mai­len Sie ein­fach an ko­lum­ne@­go­ebel­-­con­sul­t.­de.

Zertifiziert als CSSLP

Hart­mut Go­ebel ab­sol­viert er­folg­reich CSSL­P­-­Zer­ti­fi­zie­rung

/images/logos/logo-CSSLP-Tag.png

Nach dem CISSP, nun der CSSL­P. Das Zer­ti­fi­kat „Cer­ti­fied Se­cu­re Soft­ware Li­fe­cy­cle Pro­fes­si­o­na­l“ (CSSLP) be­schei­nigt Hart­mut Go­ebel das Know­-­how, die Si­cher­heits­a­spek­te wäh­rend des ge­sam­ten Le­bens­zy­klus´ ei­ner Soft­ware über­wa­chen zu kön­nen. Denn nur so las­sen sich die Schwach­stel­len in An­wen­dun­gen und Pro­gram­men wirt­schaft­lich und ef­fek­tiv in den Griff be­kom­men. Nach­weis­lich sind je­doch 70 Pro­zent al­ler Si­cher­heits­pro­ble­me soft­wa­re­be­zo­gen und Si­cher­heit­maß­nah­men wer­den erst als Re­ak­ti­on auf ei­ne Be­dro­hung oder nach ei­nem An­griff am En­de des Soft­wa­re­le­bens­zy­klus hin­zu­ge­füg­t.

Das CSSL­P­-­Zer­ti­fi­kat wird ver­ge­ben vom In­ter­na­ti­o­nal In­for­ma­ti­on Sys­tems Se­cu­ri­ty Cer­ti­fi­ca­ti­on Con­sor­ti­um - (ISC²), das auch die re­nom­mier­te Zer­ti­fi­zie­rung zum Cer­ti­fied In­for­ma­ti­on Sys­tems Se­cu­ri­ty Pro­fes­si­o­nal (CISSP) durch­führ­t.

Wiederwahl in den Aufsichtsrat von 7-it e.G.

Si­cher­heits­s­pe­zi­a­list Go­ebel ein­stim­mig in 7-­it­-­Auf­sichts­rat ge­wählt

Go­ebel Con­sult ist seit vier Jah­ren Mit­glied bei der Ge­nos­sen­schaft 7-­it. Die Mit­glie­der bie­ten IT­-­Dienst­leis­tun­gen für klei­ne und mit­tel­stän­di­sche Un­ter­neh­men an. Seit drei Jah­ren ist Hart­mut Go­ebel be­reits im Auf­sichts­rat der Ge­nos­sen­schaft tä­tig. Und auch auf der dies­jäh­ri­gen Ge­ne­ra­l­ver­samm­lung stell­te er sich für das Amt zur Ver­fü­gung: Er wur­de ein­stim­mig wie­der in den Auf­sichts­rat ge­wähl­t.

Hart­mut Go­ebel bringt in sei­ne Funk­ti­on als Auf­sichts­rat ganz be­wusst sein Know­-­how als Se­cu­ri­ty Con­sul­tant mit ein. Er hat als kon­kre­tes Ziel de­fi­nier­t, ein ho­hes Ni­veau für die in­ter­nen Pro­zes­se der Ge­nos­sen­schaft zu ge­währ­leis­ten. So kom­mu­ni­zie­ren in­zwi­schen Vor­stand und Auf­sichts­rat aus­schließ­lich ver­schlüs­sel­t.

„Als Dienst­leis­ter für si­cher­heits­re­le­van­te Kun­den ist es un­se­re ers­te Pflicht, im ei­ge­nen Un­ter­neh­men ho­he Stan­dards zu pfle­gen. Wir freu­en un­s, dass Hart­mut Go­ebel als Auf­sichts­rat die­se Auf­ga­be auch wei­ter­hin kri­tisch und ak­tiv zu sei­nem An­lie­gen macht“, be­tont Auf­sichts­rats­vor­sit­zen­der Die­ter Pohl.

2009-05: Common Vulnerability Scoring System

Täg­lich steht je­der IT­-­Ad­mi­ni­sta­tor vor dem­sel­ben, gro­ßen Pro­blem: Ei­ne Flut an Si­cher­heits­lü­cken und da­zu­ge­hö­ri­ger Pat­ches war­tet dar­auf, be­ur­teilt zu wer­den. Der Ad­min steht je­des­mal vor der schwie­ri­gen Fra­ge: Wel­chem Patch soll ich mich als ers­tes zu­wen­den? Wie ge­fähr­lich ist ei­ne Si­cher­heits­lü­cke, wie drin­gend ist es al­so, den Pat­ch, ein­zu­spie­len? Glü­ck­li­cher­wei­se gibt es Me­tho­den wie et­wa das „Com­mon Vul­ne­ra­bi­li­ty Sco­ring Sys­tem“ (CVSS), das Ad­mins da­bei wir­kungs­voll un­ter­stütz­t, all die­se Ri­si­ken schnel­ler und bes­ser ein­schät­zen und da­mit Pri­o­ri­tä­ten set­zen zu kön­nen. Es lohnt sich auf je­den Fall, sich da­mit et­was nä­her aus­ein­an­der­zu­set­zen.

Eine CVSS-Bewertung besteht aus drei Teilen:

Die Ba­sis­be­wer­tung (ba­se me­trics) be­schreibt die Ge­fähr­lich­keit der Schwach­stel­le. Da­zu ge­hö­ren, ob die Schwach­stel­le über das Netz­werk aus­ge­nutzt wer­den kann, der An­grei­fer die Hür­de ei­ner Au­then­ti­fi­zie­rung neh­men muss und wie kom­plex der An­griff ist. Auch die Be­ein­träch­ti­gung der drei klas­si­schen Si­cher­heits­zie­le Ver­trau­lich­keit, Ver­füg­bar­keit und In­te­gri­tät wer­den hier be­wer­tet. Die "ba­se me­tric" wird für die je­wei­li­ge Schwach­stel­le ein­mal fest­ge­legt und än­dert sich nicht mehr.

Der ak­tu­el­le Be­wer­tungs­fak­tor (tem­po­ral me­trics) gibt die ak­tu­el­le Be­dro­hung an: Gibt es einen Ex­ploit, dann steigt der Wer­t, exis­tiert ein Patch des Her­stel­ler­s, so sinkt der Wer­t. Da­mit wird qua­si der „Vul­ne­ra­bi­li­ty Li­fe­cy­cle“ ab­ge­bil­det.

Der Fak­tor für das ei­ge­ne Un­ter­neh­men (en­vi­ron­men­tal me­tric) ver­sucht, die Um­ge­bung des Un­ter­neh­mens in der Be­wer­tung zu be­rück­sich­ti­gen: die An­for­de­run­gen an Ver­trau­lich­keit, Ver­füg­bar­keit, und In­te­gri­tät, die Ver­brei­tung von be­trof­fe­nen Sys­te­men und den „Kol­la­te­ral­scha­den“. Let­ze­res be­in­hal­tet Pro­duk­ti­vi­täts- oder Um­satz­ver­lust, die Ge­fahr für Leib und Le­ben oder an­de­rer ma­te­ri­el­ler Na­tur (z.B. Dieb­stahl)

Wie bewerte ich eine Schwachstelle mit CVSS?

Hier­zu gibt es meh­re­re Tools zum Be­rech­nen des CVS­-S­co­re. Aus­gangs­punkt ist im­mer der „Ba­se Sco­re“, den man in der Na­ti­o­nal Vul­ne­rat­bi­li­ty Da­ta­ba­se (NVD) des NIST nach­schla­gen kann. Falls der Ein­trag dort noch nicht exis­tier­t, lässt sich der Ba­se Sco­re mit et­was Er­fah­rung auch selbst be­stim­men. Vom NVD­-­Ein­trag kommt man di­rekt zu ei­nem CVSS­-­Rech­ner, in dem man die An­ga­ben für die „tem­po­ral me­tric“ und die „en­vi­ron­men­tal me­tric“ ein­ge­ben kann.

Tipps aus der Praxis:

  • Für die Pri­o­ri­­sie­rung wird der „Re­­me­­dia­ti­on Le­­vel“ auf „Not De­­fi­­ne­d“ ge­­stell­t. Er gibt an, wel­che Ge­­gen­­maß­­nah­­me exis­tier­t. Ein of­­fi­­zi­el­­ler Patch wür­­de den Wert sen­ken.

  • Für gro­­ße Un­­ter­­neh­­men bie­tet das NIST einen XM­L­­-­­­Fee­d. Da­­mit kann man die Ba­­se­­-­S­­co­res au­to­­ma­tisch mit der ITIL Con­­fig­­-DB ver­­knüp­­fen und den Ad­­mins die pri­o­ri­­sier­te Lis­te vor­­le­­gen.

  • Ar­­bei­ten Sie im­­mer mit dem Er­­ge­b­­nis des „tem­­po­ral sco­res“. Das ist die Stel­le die die Un­­ter­­schei­­dung zwi­­schen „un­­be­­stä­tig­te Schwach­s­tel­le“ und „Wurm nutzt Ex­ploit ak­tiv aus“ ge­trof­­fen wird.

Wer mehr dar­über wis­sen möch­te: Mai­len Sie ein­fach an ko­lum­ne@­go­ebel­-­con­sul­t.­de.

Kolumne CISSP-Geflüster startet

Ko­lum­ne von Hart­mut Go­ebel auf „All about Se­cu­ri­ty“

An­fang Mai star­te­te Hart­mut Go­ebel auf dem We­b­-­Por­tal All About Se­cu­ri­ty ei­ne ei­ge­ne Ko­lum­ne "CISS­P-­Ge­flüs­ter". Die Ko­lum­ne be­rich­tet mo­nat­lich aus dem All­tag ei­nes CISSP (Cer­ti­fied In­for­ma­ti­on Sys­tems Se­cu­ri­ty Pro­fes­si­o­na­l), ei­nes Si­cher­heits­ex­per­ten al­so, des­sen täg­lich Brot es ist, sich mit al­len The­men quer durch die IT­-­Si­cher­heit zu be­schäf­ti­gen. Sie fin­den hier Ein­schät­zun­gen, Tipps und Mei­nun­gen vom Ex­per­ten.

Hart­mut Go­ebel be­schäf­tigt sich seit über zehn Jah­ren mit IT­-­Si­cher­heit und ist seit Mit­te 2008 als CISSP zer­ti­fi­ziert.

Portrait von Hartmut Goebel

Hartmut Goebel

Diplom-Informatiker, CISSP, CSSLP, ISO 27001 Lead Implementer

Haben Sie noch Fragen?
Anruf oder Mail genügt:
  +49 871 6606-318
  +49 175 29 78 072
  h.goebel@goebel-consult.de