up2date in IT-Sicherheit

[RFC2795]

Hallo zusammen,

ich habe gerade ein Projekt mit dem Ziel, die Reaktionszeit auf sicherheitskritische Ereignisse zu senken.

Aus diesem Grund brauche ich soviel Input wie möglich, woher entsprechende Alerts, Security Announcements, Incidents, Threads (... ihr wisst was ich meine ...) kostenlos und schnell zu beziehen sind.

Bisher bin ich bei meinen Recherchen nur auf Mailinglisten wie "Bugtraq" und "Full Disclosure" gestoßen. Habt ihr sonst noch Tipps (Security Alerts von Herstellern, Social Engin.. äh, Networking Gruppen, Twitter Tweeds o.Ä.), welche Quellen ich mit einbeziehen kann? Wie haltet ihr euch über laufende Bedrohungen auf dem Laufenden?

Gruß,

RFC2795

[robotto7831a]

Hallo,

z. B. über den Newsletter von Bürger-CERT - Ins Internet - mit Sicherheit!.

Frank

[lordy]

Also wir kriegen hier die Mails von unseren Herstellern (Microsoft, RedHat und Co.) rein.

Dazu kann es sinnvoll sein, noch die Secunia-Alerts zu abonieren.

Mit Bugtraq und Full-Disclosure bist du sicherlich auch nicht schlecht beraten.

Das Problem sehe ich aber an ganz anderer Stelle. Denn zum einen muss man bewerten können, ob die Lücke für einen relevant ist und selbst wenn sie das ist kann man ja normalerweise nicht einfach die Patches installieren und neu starten. Da hängen ja meistens die lästigen Prozesse dran

Wenn ich sowas aufbauen müsste, würde ich ein Ticketsystem nehmen, das eMails empfangen kann und dort die ganzen Advisories hinschicken lassen. Dann kann man die sich Stück für Stück angucken, seinen Senf dazu geben und schließen bzw. offen lassen, wenn etwas zu tun ist. Würde der Revision bestimmt gefallen

[RFC2795]

Danke Frank, lieb gemeint

Ich hatte mir den Bürger-CERT bereits mal angeschaut. Das Problem ist: der is' für User!

Es bringt mir leider nichts wenn ich weiss dass Microsoft ne Lücke geschlossen hat (was ja schonmal 2 Jahre dauern kann). Ich muss wissen wenn diese Lücken auftauchen. Ich glaube, ich komme nicht drum herum, die Dunkle Seite der Macht aka des Netzes zu involvieren.

[lordy]

Da muss ich mal die Frage stellen: Wozu ?

[robotto7831a]

Nicht ganz. Wenn MS oder Adobe Lücken bekannt geben, dann dauert es in der Regel ein paar Stunden bis so eine Alertmail kommt wo dran drin steht, man soll dieses und jenes im IE abschalten oder so.

Frank

[RFC2795]

Erstmal danke für die Antworten.

Das "wozu" ist ganz einfach. Im Moment sieht es so aus, dass der unter Anderem für die Sicherheit zuständige Kollege täglich anderthalb Stunden damit verbringt, die Alerts die per Mail gekommen sind zu lesen und das Web zu durchforsten. Er möchte nun gerne weniger Zeit damit verschwenden die für unser Unternehmen weniger wichtigen Fakten auszusortieren und möglichst auch dann zeitnah informiert werden, wenn er grade im Aussendienst unterwegs ist.

Bekanntgabe von Patches schön und gut, aber aus Sicht des Unternehmens müssen wir wissen wann eine Schwachstelle auftaucht, insbesondere wenn bereits Exploits dafür kursieren. Nur dann können wir auch entsprechend reagieren und dem Kunden zum Beispiel sagen "Pass mal auf, öffnet erstmal keine PDF-Dateien mehr von ausserhalb eures Unternehmens bis ein entsprechender Patch verfügbar ist" oder den IIS-Server vom Netz nehmen oder entsprechend angreifbare Funktionen im Router ausschalten oder oder..

Bearbeitet 16. September 2009 von RFC2795

[lordy]

Also ich kann dir nicht folgen.

Auf der einen Seite schreibst du, das es für Euch wichtig wäre, das zu wissen und auf der anderen Seite willst du irgendwelche Kunden informieren ? Also entweder bietet Ihr das als Dienstleistung an (dann braucht man halt dedizierte Leute dafür) oder ihr macht das für Euch selbst, dann ist es aber sicherlich nicht so kritisch.

Mal ganz abgesehen davon. Was tust du, wenn mal wieder eine Lücke in Cisco's IOS auftaucht. Du spielst doch hoffentlich die gepatchte Version sofort auf all' deine Hardware und startest sie durch, oder ?? Was ich damit sagen möchte: Man kann einfach nicht sofort auf einen Exploit reagieren. Entweder es ist ein Patch/Advisory da, oder eben nicht.

[RFC2795]

Eben darum ist es ja für uns wichtig - um die Kunden informieren zu können .

Wir haben mehrere große Kunden deren IT wir umfassend betreuen, und damit sind wir natürlich auch für die Sicherheit zuständig.

Wenn wieder mal eine Lücke in CISCOs IOS auftaucht, dann müssen wir entsprechend nicht nur bei uns, sondern auch bei allen Kunden die wir dauerhaft betreuen dafür Sorge tragen, dass das keine unangenehmen Konsequenzen nach sich zieht. Und wenn es großflächig exploitet wird aber noch kein Patch oder Workaround verfügbar ist, dann muss man eben überlegen was man macht - und wenn das Resultat ein gezogener Stecker ist. Wir können dann nicht hinterher ankommen und CISCO die Schuld geben, weil die mit dem Patchen so lange gebraucht haben - schließlich hätte man Schaden ja schon im Vorfeld abwenden können, wenn man von der Schwachstelle gewusst hätte.

[geloescht_Symbolio]

Gegen Zero-Day-Lücken könnt ihr überhaupt nichts machen, ausser den Stecker ziehen.

Ein paar Webseiten, die dir vielleicht weiterhelfen,

IT SecCity.de - IT-Security, Safety & High Availability-Magazin

heise Security - Alerts

SANS: Computer Security Newsletters and Digests

IT Security Virus Alerts & Computer Virus News | ComputerWeekly.com

Cyber Security Alerts

Zero Day Alerts

Zero Day Alerts mit RSS Feeds

Bearbeitet 17. September 2009 von Symbolio

[RFC2795]

Got the point. Thx symbolio, thx @ll!

[RipperFox]

Die meisten Infos kriege ich auch über die Mailinglisten (Bugtraq und eben Full Disclosure.

Der Traffic auf den Listen ist teils massiv: Full Disclosure hatte dieses Jahr bisher an die 4k an Mails (auf FD ist aber auch ein guter Teil off-topic). Bei Bugtraq warens ca. 2,3k.

Meiner Meinung geht kaum ein Weg an den Mailinglisten vorbei, denn da läuft die Masse an Meldungen auf.

Die Websites, RSS-Feeds und Ticker beziehen ihre Meldungen auch nur von dort.

Wenn man auf milw0rm dann den explot ziehen kann isses eh zuspät

Grüße

Ripper

[ewert59]

Gegen Zero-Day-Lücken könnt ihr überhaupt nichts machen, ausser den Stecker ziehen.

Yep.

Ein paar Webseiten, die dir vielleicht weiterhelfen,

Ergänzung:

Zero Day Initiative /upcoming/

Seeehr interessant, man mag über die Inhalte rätseln, nur die Zeiten mag einen erschrecken.

[RFC2795]

Liste der Schwachstellen, die von Forschern der TippingPoint Zero Day Initiative entdeckt wurden und die noch nicht veröffentlicht sind.

ZDI-CAN-105

Hewlett-Packard

High

2006-10-10

1077 days ago

3 JAHRE?

o.O

Krasses Pferd!

Und Ripper:

Die Exploits auf milw0rm interessieren mich so gut wie garnicht .

Im Idealfall ist die Lücke bei uns und unseren Kunden längst gefixxt bevor das I-can-boot-Backtrack-Kiddy "Me-so-leet-me-hack-you-loong-time" Wind davon bekommt und auf gut Glück das Script mit der IP-Range 0.0.0.0-255.255.255.255 startet... Nein, ich hab nix gegen Scriptkiddies. Die tun ja nix .

Bearbeitet 21. September 2009 von RFC2795

[ewert59]

ZDI-CAN-105

Hewlett-Packard High 2006-10-10 1077 days ago

3 JAHRE?

o.O

Krasses Pferd!

Yep. Man darf rätseln, ob die Schwachstelle im "mächtigen" HPUX oder "bloß" in einer HP-Drucker-Web- oder -SNMP-Schnittstelle ist :-/

[@@@]

Für mich sind RSS Feeds am bequemsten, hab bei Mailinglisten z.B. die Erfahrung gemacht, dass man nicht alles liest wenn man mit den ganzen Diskussionen zugemüllt wird. Wenn man sich angewöhnt die zumindest jeden Tag zu lesen ist man eigentlich immer gut informiert. Das geht ja sogar ohne weiteres vom Handy aus. Kleiner Auszug:

Bugtraq (bugtraq) Mailing List

SecuriTeam

Microsoft Security Bulletins

Full Disclosure (fulldisclosure) Mailing List

Ubuntu Security Notices