Archives newsletter (en langue allemande)

This Newsletter is a follow-up on the talk ERNW's experts Michael Schaefer and Matthias Luft gave on this year's TROOPERS11 conference in Heidelberg. They focused on developing a guideline for secure operation and reducing risk of Multifunction Devices (MFD) in a corporate environment. This newsletter describes how Michael and Matthias approached the topic of MFD security, which results they ended up with and what they recommend in order to increase the security level of MFDs within a corporate environment.

Mobile device like iPhones and iPads are used more and more often in corporate environments. Companies not supporting such devices find their users unhappy and doing all kinds of silly stuff like forwarding confidential data to free email accounts to be able to access them on their private iOS devices. The pressure on the IT departments to support these devices in an official way grows from day to day.
To integrate those devices into the corporate environment a lot of use cases require access to internal resources. Those devices basically have two ways to connect to a corporate network: WLAN and VPN connections. WLAN is a wireless technology and a VPN typically can be accessed over the InternetInternetInternet – also a very insecure network.
In order to protect the internal corporate network, strong authentication mechanisms are required. Thus all devices must support these authentication methods.
Using cryptographic authentication methods, such as client certificates, can fulfill the need for a strong authentication mechanism.
This newsletter shows how certificates can be used for device authentication on iOS devices.

This newsletter gives a short introduction to Web Application Firewalls and explains ways and methods to fingerprint and bypass WAFs. In addition, a new tool called tsakwaf will be released and covered in this newsletter which main purpose is to help testing the detection capabilities of a WAF.

This newsletter gives an overview of the relevant threats the iPad introduces into the corporate IT environment. It includes a risk assessment based on ERNW’s Rapid Risk Assessment approach and makes recommendations for secure operation of Apple’s recent gimmick. Also there are some security relevant improvements described, that are introduced in iOS 4 for iPad (should be during the last quarter of 2010)

Because iPad and iPhone use the same operating system family, most of the things shown here apply to both of them.

To contribute to the discussion whether application virtualization can help to mitigate browser based security risks we’ve performed some tests with an application virtualization solution (VMware ThinApp). The goal of the tests was to determine whether exploits can be stopped from causing harm if they happened within a virtualized deployment, which modes of deployment to use, which additional tweaks to apply etc.
This newsletter describes the test cases and results and might thereby help to have a basis for well-informed decisions when it comes to the deployment of an application virtualization technology.

This newsletter evaluates configuration options, reflecting security and possible usability impact, incorporating typical large scale enterprise usage of browser based content. The evaluation was done for a globally operating enterprise.

This newsletter displays results of on-going research regarding Cisco Enterprise Wireless LAN solutions.

This newsletter illustrates the new technology Data Leakage Prevention (DLP). After some basic definitions and theoretical explanations, the evaluation of two exemplary DLP suites is described in detail. This examination is based on several requirements and derived test cases, which cover most aspects of DLP and can also serve as a framework for further examinations.

This document analyzes security-relevant implications of using the privilege "Trusted for delegation" in Active Directory. This newsletter will also give you recommendations towards a safe implementation of this privilege.

This newsletter analyzes and evaluates the safe generation of master encryption keys for the initial setup of BlackBerry devices and the automatic update of these keys between BlackBerry devices and the BlackBerry Enterprise Server. The technical analysis comes along with recommendations of measures towards a safe operation.

This newsletter tells the story of a company that built a VoIP trunk to a remote site over the internet and doing so, it opened a security hole. The vulnerability was presumably exploited, which led to the loss of money for the victim. It is a true story, but it will be presented in a generic way, mainly giving a technical description of the incident and pointing out what could have been done to avoid it.

This newsletter will introduce different approaches how malware can be analyzed and discuss their respective pros and cons. It will cover online sandboxes, individually built sandbox systems with a dedicated tool set and also a reverse engineering approach. Obfuscation techniques that are used by attackers to prevent malware analysis are discussed and possible solutions to defeat them are presented. Finally we will give some recommendations which approach works best in different corporations from our point of view.

Introduction à TrueCrypt

TrueCrypt est un logiciel libre de cryptage et de décryptage. La version 6.0a a été récemment lancée sur le marché et offre de nombreuses fonctionnalités.
Cette newsletter vous donnera une vue d'ensemble et une initiation simple d'accès au décryptage.

Le 27 mars dernier, les derniers résultats de la scène hacker ont été présentés pendant deux jours, lors de la conférence Blackhat Europe à Amsterdam. ERNW a également participé cette année, présentant le sujet „Hacking SecondLife“.
C'était l'occasion de s'informer sur les résultats des autres experts et de discuter des tendances actuelles. Dans cette newsletter nous vous communiquons ces informations et avons donc résumé pour vous les sujets de conférence les plus importants et intéressants.

Cette newsletter décrit les questions que devraient se poser les responsables de la sécurité lors de l'utilisation de lecteurs USB. L'évaluation du risque et les mesures techniques et organisatoires traitant les problèmes de Windows Vista seront également traités.

Cette newsletter traite de l'un des éléments clé de la sécurité : l'analyse de risque. Après une courte introduction, une intervention type est présentée.

La version 3 du "Simple Network Management Protocol" est souvent négligée par les administrateurs de réseau malgré ses avantages par rapport à ses prédécesseurs. Cet article tente d'expliquer les raisons et les avantages de cette négligence, et démontre au moyen d'un article pratique que SNMPv3 peut être intéressant pour l'entreprise.

de Dror-John Röcher

Introduction :
Cette newsletter décrit une méthodique d'analyse des vulnérabilités basées sur les métriques du VSS (Common Vulnerability Scoring Systems) et comment intégrer celle-ci dans la gestion du patch.

de Friedwart Kuhn, Dror-John Röcher et Michael Thumann

La newsletter suivante décrit la conformité du point de vue du responsable de la sécurité des systèmes d'information (RSSI) et analyse comment Sophos NAC 3.0 peut être un instrument utile dans ce contexte.

Microsoft a implémenté pour la première fois, avec Mandatory Integrity Control (MIC), un modèle de contrôle d'accès qui est censé sécuriser l'intégrité du système d'exploitation. Cet article décrit le fonctionnement de MIC et si MIC tient ses promesses.

Le logging et l'analyse de fichiers log sont des sujets peu abordés dans la plupart des environnements; bien que la saisie, la sauvegarde et le traitement des fichiers log représentent de nos jours un facteur critique au sein de chaque architecture de sécurité informatique et malgré l'existence d'un cadre légal (à l'exemple de KonTraG, Basel II et Sarbanes-Oxley Act) qui exige directement ou indirectement la présence de fichiers de protocole. En outre, ces fichiers de protocole sont indispensables à l'analyse forensique en cas de doute ou de dommage. De plus, le logging dans l'environnement Windows n'est pas toujours un sujet clair en raison du design Microsoft et de l'implémentation au point de vue de la configuration et de l'analyse, et compromet la réalisation de demandes concrêtes. L'article suivant donne un aperçu détaillé sur le logging et l'anayse de fichiers log dans un environnement WIndows.

Le Cisco NAC (Network Admission Framework) a pour objectif d'interdire l'accès au réseau aux appareils qui ne correspondent pas aux directives de sécurité. Dans ce but, on procède à l'analyse des clients, selon laquelle on déterminera les échelons de l'accès. Cisco NAC est une technologie assez récente qui prend de plus en plus d'importance sur le marché. Il existe en plus de Cisco, d'autres solutions de différents fabricants, qui ne seront pas examinées en détail dans cette newsletter. La première partie donne une vue d'ensemble sur le mode de fonctionnement et les éléments importants du Cisco NAC. La deuxième partie comporte une analyse de la sécurité du Cisco Nac. En conclusion, on discutera des mesures d'augmentation de la sécurité dans le Cisco NAC.

Le standard de sécurité informatique des données de l'industrie des cartes de paiement (PCI DSS - Payment Card Industry Data Security Standards) prévoit des mesures et des outils pour le traitement sécurisé des données des cartes de paiement. Les commerçants en ligne et les développeurs de programmes du secteur bancaire doivent, selon le nombre de transactions annuelles, se conformer aux normes PCI DSS, et le non respect de ces normes peut même donner lieu à des amendes.

L'article suivant tente de faire le bilan actuel dans le domaine de la sécurité WLAN.

Microsoft introduit avec Vista, une toute nouvelle architecture de sécurité. Les éléments principaux y sont les lechnologies "User Access Control" (UAC) et "Mandatory Integrity Control" (MIC). Tandis que UAC est bien documenté, MIC reste, à l'exception d'un blog de Steve Riley [1] de Microsoft, peu documenté. Notre collaborateur Enno Rey a effectué pour cette raison une série de tests obtenant des résultats bien surprenants. Ils sont résumés sous forme de commentaire dans le blog de Steve Riley.

Cette newsletter résume les discussions actuelles sur les appareils BlackBerry et les services courriel RIM. En plus des aspects techniques on y évoque également les aspects organisationnels et ceux de l'utilisateur.

Faille identifiée :
“Débordement de tampon dans Algorithmic Research (ARX) PrivateWire“

Cette faille a été découverte par notre équipe sous la direction de Michael Thumann. L’équipe de recherche de ERNW s‘est fixée pour objectif d’identifier des vulnérabilités jusqu’à présent inconnues. Ces failles de sécurité peuvent relever du domaine conceptionnel ou technique. Elles sont alors communiquées au constructeur ou au client, et en général, corrigées en coopération. Dès qu’une solution est disponible (par exemple sous la forme de patches), le sujet est publié sous la forme livre blanc /newsletter ou dans la rubrique ERNW Avis de sécurité. L’équipe de recherche utilise différentes techniques pour détecter les failles de sécurité : par reverse-engineering, audits de code, enregistrement de la communication réseau ou technique d’injection de fautes.

Le travail de l’équipe de recherche de ERNW profite à la formation interne et à nos clients qui peuvent améliorer leur sécurité grâce aux résultats de ces recherches.

Dans ce document, il est décrit comment une authentification par carte à puce peut être réalisée dans différents environnements Microsoft Active Directory, avec des certificats publics (PKI) et en utilisant Citrix.