scip ag

Transcription

scip ag

scip ag
Contents
1.
Editorial
2.
scip AG Informationen
3.
Neue Sicherheitslücken
4.
Statistiken Verletzbarkeiten
5.
Interview
6.
Kreuzworträtsel
7.
Literaturverzeichnis
8.
Impressum
1.
Editorial
scip monthly Security Summary 19.03.2006
Multidimensionalität von Penetration Tests
Viele Probleme lassen sich auf mehreren Ebenen
angehen. Nehmen wir als Extrembeispiel den
Krieg zwischen Nationen. Die Ursachen können
von psychologischen, soziologischen, politischen,
wirtschaftlichen oder gar religiösen Standpunkten
aus eingekreist werden. Will man ein Problem in
seiner gesamten Komplexität erfassen, kommt
man nicht umhin, es derartig differenziert zu betrachten und die Rückschlüsse korreliert zu einer
soliden Ableitung einzusetzen.
Sicherheitsüberprüfungen im Umfeld der Informations Technologie täten auch gut daran, würde
man sie auf sämtlichen Schichten umsetzen. In
vernetzten Umgebungen werden gerne netzwerkbasierte Tests angestrebt, um anhand der
realitätsnahen Verhaltensweise der Zielobjekte
deren Sicherheit determinieren zu können. Der
Auditor arbeitet dabei vorwiegend nach dem
Reiz/Reaktions-Schema: (1) Er schickt eine Anfrage an das Zielsystem und (2) wertet die Reaktion aus. Je nachdem kann damit auf eine
Schwachstelle geschlossen werden. Lösungen
wie Nessus arbeiten mit diesem simplen Ansatz.
Dieses Vorgehen lässt sich zwar mittlerweile gut
automatisieren und deshalb wirtschaftlich effizient
inszenieren. Trotzdem lassen sich mit einer solchen Überprüfung statistisch nur eine Minderheit
der Schwachstellen identifizieren. Denn durch die
Interaktion mit der öffentlichen Schnittstelle wird
es sehr schwierig, Fehler bei einer internen und
für den Auditor unsichtbaren Informationsverarbeitung auszumachen.
Eine andere und weitaus mächtigere Ebene ist in
lokalem Reverse Engineering gegeben. Der
technische Auditor nimmt dabei die Lösung auf
der Software-Ebene auseinander und reiht die
jeweiligen Instruktionen fein säuberlich aneinander, um so auch die interne Funktionsweise des
Produkts verstehen zu können.
Dabei wird das Prinzip von Reiz/Reaktion nur
noch zur Verifikation statistisch eruierter Ergebnisse eingesetzt. Die Sicherheitsüberprüfung
findet also mehr oder weniger mit Papier und Stift
statt. Pufferüberlauf-Attacken und fehlende Eingabeüberprüfungen können eben schon anhand
der Datenverarbeitung des Programms entdeckt
werden, ohne dass man nun effektiv eine Zeichenkette, bestehend aus einer Vielzahl an Sonderzeichen, einsetzen muss.
Wobei netzwerkbasierte Vulnerability Scans oder
Penetration Tests eher ein Verständnis für Netzwerkkommunikationen erfordern, sind beim Software Reverse Engineering das Verständnis für
Prozessoren, Speichermanagement und Programmierung vorausgesetzt. Obschon beide
Testreihen die gleichen Fehler aufdecken wollen,
machen sie dies auf komplett anderen Ebenen
und mit total unterschiedlichen Methoden.
Reverse Engineering ist sehr mächtig. Manchmal
gar so „übermächtig“, dass eine erfolgreiche
Analyse an der Komplexität ihrer selbst scheitert.
In diesem Fall ist man nun halt doch wieder effizienter, mindestens in einem wirtschaftlichen
Sinn, sich mit Securityscanner und Packet Generators durch das Netzwerk zu schleichen: Lieber
ein Problem ansatzweise erfolgreich adressieren,
weder am Umfang dessen gänzlich zu scheitern.
Jede Methode hat ihre Vor- und Nachteile. Und
nur im Zusammenspiel können die Defizite der
jeweiligen anderen Ausgeglichen und zugleich
die eigenen Vorteile zu Gunsten eines erfolgreichen Projekts ausgespielt werden.
Marc Ruef <maru-at-scip.ch>
Security Consultant
1/14
s c i p
a g
© scip AG
Zürich, 14. März 2006
2.
scip AG Informationen
2.1 smSS Feedback Auswertung
Vielen Dank für Ihre Feedbacks! Wir
freuen uns sehr über Ihr Interesse am
scip monthly Security Summary. Die
168 ausgefüllten Feedbacks entsprechen in etwa 18% der Leserschaft. Eine ausgesprochen grosse Resonanz für einen kostenlosen
„Newsletter“. Danke!
Skala: 1 (sehr gut), 2 (gut), 3 (ok), 4 (schlecht). Je tiefer der
Wert, umso besser.
Wir haben uns ausserordentlich darüber gefreut,
dass keine einzige schlechte Wertung abgegeben wurde! Nach unserer Auswertung der Feedbacks wurden vorwiegend die Einschätzungen
sehr gut und gut übermittelt.
Die Freude über die sehr guten Bewertungen
aller allgemeinen Punkte wie Inhalt, Nutzen und
Gestaltung ist ungebrochen und spornt uns an
auch in Zukunft am smSS zu feilen. Eine positive
Bilanz im Vergleich zur ersten Leserumfrage am
19. Juni 2003.
Bei den einzelnen Abschnitten gewann, entgegen
unserer internen Prognose, der Abschnitt Editorial mit einer Wertung von 1.5. Dicht gefolgt vom
Favoriten Interview / Fachartikel / Erfahrungsaustausch mit 1.6 Punkten. Etwas überraschend hat
das Kreuzworträtsel mit 2.4 an Boden verloren.
Die weiteren Anregungen respektive die Erweiterungswünsche wie etwa Testberichte aktueller
Security Tools sind aufgenommen und werden
von uns intern besprochen.
Als Schlussfolgerung aus der Befragung werden
wir primär unsere Bestrebungen darin setzen die
Qualität des smSS beizubehalten. Als direkte
Konsequenz wird das Kreuzworträtsel genauer
analysiert und falls sinnvoll angepasst oder ausgetauscht.
2/14
s c i p
a g
© scip AG
3.
Neue Sicherheitslücken
Die erweiterte Auflistung hier besprochener Schwachstellen sowie weitere
Sicherheitslücken sind unentgeltlich in
unserer
Datenbank
unter
http://www.scip.ch/cgi-bin/smss/showadvf.pl einsehbar.
Die Dienstleistungspakete)scip( pallas
liefern Ihnen jene Informationen, die
genau für Ihre Systeme relevant sind.
35
30
25
20
15
10
5
0
Feb 06
Mrz 06
sehr kritisch
0
0
kritisch
31
3
problematisch
5
6
Contents:
3.1
GnuPG bis 1.4.2.2 nicht signierte Daten
Injection erweiterte Rechte
3.2 Novell Bordermanager bis 3.8 Proxy
HTTP/1.1 Content-Type Denial of Service
3.3 SAP Web Application Server bis 7.00 unbekannte Cross Site Scripting
3.4 Microsoft Internet Explorer bis 6.0 iframe
Netzwerk-Folder fehlerhafte Rechte
3.5 PHP bis 5.1.2 IMAP verschiedene Funktionen erweiterte Rechte
3.6 Snort bis 2.4.3 frag3 Preprocessor
ip_option_length Erkennung umgehen
3.7 MySQL bis 5.0.18 Logging Null-Zeichen
Designfehler
3.8 Perl Crypt::CBC bis 2.16 Rijandel CBC
schwache Verschlüsselung
3.9 FreeBSD bis 6.0 nfsd spezielle Anfrage
Denial of Service
3.10 WinACE bis 2.61 korruptes ARJ-Archiv
Heap-Overflow
3.11 GNU tar bis 1.15.90 (alpha) erweiterte
PAX-Header Pufferüberlauf
3.1 GnuPG bis 1.4.2.2 nicht signierte
Daten Injection erweiterte Rechte
Einstufung: kritisch
Remote:
Ja
Datum:
10.03.2006
scip DB:
http://www.scip.ch/cgibin/smss/showadvf.pl?id=2077
GnuPG gilt als freier Ersatz für PGP (Pretty Good
Privacy). Der Grund dafür liegt darin, weil auf das
Vorhandensein
des
kommerziellen
IDEA
verzichtet wird. GnuPG ist RFC2440 (OpenPGP)
kompatibel und vor allem bei Puristen und
Freunden von open-source hoch im Kurs. Tavis
Ormandy entdeckte, dass gewisse Versionen
einer Code Injection unterliegen, wenn es um das
Verarbeiten nicht signierter Daten geht. Ein
Angreifer
könnte
so
nach
Belieben
Programmcode ausführen lassen. Technische
Details oder ein Exploit zur Schwachstelle sind
nicht vorhanden. Das Problem wurde in der
Version 1.4.2.2 behoben.
Expertenmeinung:
Eine interessante Schwachstelle, die in manchen
Fällen noch nicht einmal die Interaktion eines
Benutzers erfordert. Gerade deswegen könnten
sich die Versender von Spam- und Malware für
die Möglichkeiten der automatischen CodeAusführung interessieren. Gegenmassnahmen
sind, sofern man auf GPG setzt, sehr wichtig
umzusetzen.
3.2 Novell Bordermanager bis 3.8
Proxy HTTP/1.1 Content-Type
Denial of Service
Einstufung: problematisch
Remote:
Ja
Datum:
08.03.2006
scip DB:
Novell Bordermanager ist eine kommerzielle
Sicherheitslösung, die neben der Funktionalität
eines Application Gateways ebenfalls die
Möglichkeit von VPN zur Verfügung stellt. Wie
der Hersteller meldet, ist die Version 3.8 gegen
eine Denial of Service-Attacke verwundbar. Und
zwar kann der Web-Proxy bei der Nutzung von
HTTP/1.1 mit einer fehlerhaften Content-Type
Angabe aus dem Tritt gebracht werden. Genaue
technische Details oder ein Exploit sind nicht
bekannt. Der Fehler wurde mit dem Patch 3.8
Post-SupportPack4
Interim
Release-2a
(BM38SP4.EXE) adressiert.
Expertenmeinung:
Besonders
Skript-Kiddies
werden
nach
3/14
s c i p
a g
© scip AG
Erscheinen eines Exploits wahre Freude daran
haben, Teile von Organisationen abzuschiessen.
Es
gilt
unbedingt
und
unverzüglich
entsprechende Gegenmassnahmen einzuleiten
und die herausgegebenen Updates einzuspielen.
3.3 SAP Web Application Server bis
7.00 unbekannte Cross Site
Scripting
Remote:
Ja
Datum:
03.03.2006
scip DB:
SAP wurde 1972 von fünf ehemaligen
Mitarbeitern der IBM gegründet. Mit NetWeaver
soll der zunehmenden Komplexität der SAPProdukte
Rechnung
getragen
werden.
Gegenwärtig bietet die SAP mit dem Produkt
SAP NetWeaver, eine Plattform an, mit deren
Hilfe unterschiedliche Business-Anwendungen
integriert
werden
können.
[http://de.wikipedia.org/wiki/SAP_AG]
Arnold
Grossmann veröffentlichte den Hinweis, dass im
SAP Web Application Server bis 7.00 einige nicht
näher spezifizierte Cross Site ScriptingVerwundbarkeiten vorhanden seien. Weitere
Details oder ein Exploit sind nicht bekannt. Die
Fehler wurden durch Patches adressiert. Sie die
SAP Notes 908147 und 915084.
Expertenmeinung:
Wahrhaftig könnte dies eine ernst zu nehmende
Sicherheitslücke sein. Werden Details zu dieser
Attacke bekannt, ist es nur eine Frage der Zeit,
bis entsprechende Angriffs-Tools und Exploits
erhältlich sein werden. Dies heisst jedoch nicht,
dass man das Einspielen der entsprechenden
Bugfixes aufschieben sollte. Die von SAP zur
Verfügung
gestellten
Patches
sollten
unverzüglich eingespielt werden, um das Risiko
eines erfolgreichen Angriffs zu minimieren.
3.4 Microsoft Internet Explorer bis 6.0
iframe Netzwerk-Folder fehlerhafte
Rechte
Remote:
Ja
Datum:
28.02.2006
scip DB:
Der Microsoft Internet Explorer (MS IEX) ist einer
der am meisten verbreitete Webbrowser und
fester
Bestandteil
moderner
WindowsBetriebssysteme. Ein Hacker namens cyber flash
hat publik gemacht, dass im zusammenhang mit
iframes erweiterte Rechte erlangt werden könne.
So liessen sich lokale Ordner mit einer NetzwerkReferenzierung im Sinne von \\127.0.0.1\c$
löschen. Der Benutzer wird jedoch gefragt, ob
dies wirklich getan werden soll. Genaue
technische Details oder ein Exploit sind nicht
bekannt. Als Workaround wird empfohlen, keine
Freigaben umzusetzen sowie bei der Dialogbox
auf den Button "Nein" zu klicken. Desweiteren
wird empfohlen, einen anderen Webbrowser zu
nutzen.
Expertenmeinung:
Da diese Schwachstelle eine Interaktion von
Seiten des Benutzers benötigt, ist das Risiko
nicht wirklich als hoch einzuschätzen. In erster
Linie Neulinge im Computerbereich sind
gefährdet. Aufmerksamkeit sollte aber genügen,
um gegen diese Verwundbarkeit vorzugehen.
3.5 PHP bis 5.1.2 IMAP verschiedene
Funktionen erweiterte Rechte
Remote:
Ja
Datum:
28.02.2006
scip DB:
PHP ist ein frei verfügbares open-source
Skripting-Paket, das für sämtliche populären
Betriebssysteme zur Verfügung steht. Es findet
vorwiegend im Web-Einsatz seine Verwendung.
Cdric Clerget berichtet, dass in den Versionen bis
5.1.2
die
IMAP-Funktionen
imap_open(),
imap_body() und
imap_list()
sowie
imap_createmailbox(),
imap_deletemailbox()
und
imap_renamemailbox() dazu genutzt werden, um
erweiterte Rechte auf dem Dateisystem zu
erlangen. Auch wenn die Optionen safe_mode
und open_basedir konfiguriert wurden, kann ein
Angreifer Dateilistings anzeigen lassen, Dateien
lesen, schreiben und löschen. Als Workaround
wird empfohlen, auf das Nutzen der besagten
Funktion zu verzichten bzw. das PHP-Paket am
besten ohne die Unterstützung von mbstring oder
imap zu kompilieren.
Expertenmeinung:
Diese Schwachstelle ist aufgrund dessen, dass
viele Gegebenheiten zusammenspielen müssen,
nicht besonders kritisch. So muss PHP mit der
besagten Option kompiliert werden, die
verwundbare Funktion zum Einsatz kommen und
durch
einen
Angreifer
mit
fehlerhaften
Argumenten versorgbar sein. Vor allem Hoster
dürften vom Problem betroffen sein.
3.6 Snort bis 2.4.3 frag3 Preprocessor
4/14
s c i p
a g
© scip AG
ip_option_length Erkennung
umgehen
Remote:
Ja
Datum:
27.02.2006
scip DB:
Snort ist eine beliebte, netzwerkbasierende opensource Intrusion Detection-Lösung. siouxsie hat
entdeckt, dass der Preprocessor frag3 in Bezug
auf das ip_option_length einen Fehler aufweist.
Dadurch kann es gegeben sein, dass ein
Angreifer mittels korruptem Datenverkehr der
Erkennung des Intrusion Detection-Systems
entgehen kann. Genaue technische Details oder
ein Exploit sind nicht bekannt. Der Fehler wurde
in Snort 2.4.3 behoben. Als Workaround wird
empfohlen,
unerwünschten
Datenverkehr
möglichst restriktiv mittels Firewalling vorgängig
zu limitieren.
Expertenmeinung:
Weiss ein Angreifer, dass das Zielnetzwerk durch
ein Snort-System geschützt wird, wird er alles
daran setzen, seine Zugriffe möglichst unauffällig
durchzuführen. Eine einfache Evasions-Technik,
wie die hier beschriebene nimmt er natürlich mit
offenen Armen entgegen. Um dem Angreifer
keine Chance zu lassen, das Intrusion DetectionSystem zu umgehen, sollte man auf die neueste
Version updaten.
3.7 MySQL bis 5.0.18 Logging NullZeichen Designfehler
Remote:
Ja
Datum:
27.02.2006
scip DB:
SQL ist eine Datenbank. MySQL ist eine SQLDatenbank
für
viele
verschiedene
Betriebssysteme, die der open-source Lizenz
unterliegt. Sie hat aufgrund ihrer Geschwindigkeit
und Zuverlässigkeit ein sehr hohes Mass an
Popularität erreicht. 1dt.w0lf hat herausgefunden,
dass es bei den Versionen bis 5.0.18 Probleme
mit dem Logging geben kann. Und zwar geniesst
das Null-Zeichen erweiterte Rechte. Wird dieses
mit chr(0) in einer Abfrage eingebracht, wird
diese nicht korrekt protokolliert. Dies kann ein
Angreifer nutzen, um erweiterte Rechte in Bezug
auf das Logging zu erhalten (z.B. um seine
Spuren zu verwischen). Technische Details sind
bekannt. Als Workaround wird empfohlen,
lediglich vertrauenswürdige Abfragen auf die
Datenbank zuzulassen.
Expertenmeinung:
Da dieser Fehler nur durch legitime Benutzer
ausnutzbar ist, ist das Risiko relativ begrenzt. Vor
allem auf Multiuser-Systemen sollte jedoch das
Einspielen des Patches nicht hinausgezögert
werden. Denn die Idee, Einfluss auf Log-Dateien
auszuüben ist für viele Angreifer sehr interessant.
3.8 Perl Crypt::CBC bis 2.16 Rijandel
CBC schwache Verschlüsselung
Remote:
Teilweise
Datum:
27.02.2006
scip DB:
Perl ist eine offene und sehr populäre Skript/Programmiersprache, die vor allem auf LinuxSystemen ihren Einsatz findet. Viele Funktionen
werden durch externe Module bereitgestellt.
Crypt::CBC ist der Name eines solchen, das sich
für die Verschlüsselung von Daten mittels dem
Cipher Block Chaining Mode zuständig ist.
Lincoln Stein hat nun aber herausgefunden, dass
die Versionen bi 2.16 des besagten Moduls einen
Fehler aufweisen. Und zwar wird beim Nutzen
von
Rijandel
und
einem
16-byte
Initialisierungsvektor (IV) stets die 8 bytes des
Codeblocks mit einem statischen IV von 0
chiffriert. Dies führt zu einer schwachen
Verschlüsselung.
Ein
technisch
versierter
Angreifer könnte so geschützte Daten auslesen.
Technische Details zu solchen Angriffen sind in
der entsprechenden Literatur bekannt. Der Fehler
wurde in Crypt::CBC 2.17 behoben.
Expertenmeinung:
Eine sehr interessante Sicherheitslücke, die auf
den ersten Blick sehr hypothetisch wirkt. Es ist
jedoch tatsächlich möglich, diesen Angriff
effizient umzusetzen. Umso wichtiger ist es, nun
seine Systeme schnellstmöglich gegen diesen
Angriff zu schützen.
3.9 FreeBSD bis 6.0 nfsd spezielle
Anfrage Denial of Service
Remote:
Ja
Datum:
27.02.2006
scip DB:
FreeBSD ist ein open-source Betriebssystem aus
der BSD-Familie und gehört damit zu den UnixDerivaten. Evgeny Legerov machte einen Fehler
in den Versionen bis 6.0 publik. Betroffen ist der
NFS-Daemon nfsd, der über eine spezielle
5/14
s c i p
a g
© scip AG
Anfrage zu einer Denial of Service bewegt
werden kann. Genaue technische Detail soder
ein Exploit sind nicht bekannt. Als Workaround,
bis ein Patch herausgegeben wird, wird der
Einsatz von Firewalling für die jeweiligen NFSPorts empfohlen.
Expertenmeinung:
NFS und Angriffe darauf sind relativ beliebt. So
ist es nur eine Frage der Zeit, bis entsprechende
Exploits verfügbar sein werden, um diese
Schwachstelle
ohne
grössere
Probleme
auszunutzen. Umso wichtiger ist es, dass
Gegenmassnahmen angestrebt werden, um die
Möglichkeit eines erfolgreichen Angriffs so gering
wie möglich zu halten. Vor allem Skript-Kiddies
werden über Kurz oder Lang ihren Spass haben
wollen.
3.10 WinACE bis 2.61 korruptes ARJArchiv Heap-Overflow
Remote:
Indirekt
Datum:
23.02.2006
scip DB:
scip DB:
GNU tar ist der Name eines im Unix-Umfeld sehr
geläufigen Archivierungsprogramms. Zudem wird
so auch das Dateiformat bezeichnet, welches von
diesem Programm verwendet wird. Der Name
wurde aus tape archiver (Bandarchivierer)
gebildet, da mit dem Programm ursprünglich
Daten auf Bandlaufwerken gesichert wurden. Wie
der Entwickler-Team meldet, ist die Version bis
1.15.90 (alpha) gegen einen Pufferüberlauf im
Umgang
mit
erweiterten
PAX-Headern
verwundbar. Durch ein korruptes Archiv könnte
ein Angreifer beliebigen Programmcode mit den
Rechten des laufenden Programms ausführen.
Genaue technische Details oder ein Exploit sind
nicht bekannt. Das Problem wurde in der
jüngsten Version behoben.
Expertenmeinung:
Es ist nur eine Frage der Zeit, bis Schädlinge, vor
allem Mail-Viren, die Schwachstelle für sich
ausnutzen wollen, um den regulären Betrieb zu
stören. Vor allem deswegen, weil das tar-Format
in der Unix-Welt sehr verbreitet ist. Das
Umsetzen von Gegenmassnahmen ist deshalb
zu empfehlen.
WinAce ist ein leistungsstarkes SharewarePackprogramm. Es unterstützt neben dem
Kompressionsformat ACE zahlreiche andere
Standards, beispielsweise ZIP, RAR, ARJ und
MS-Cabinet-Dateien.
Die
integrierte
Schnellansicht beherrscht Word-, RTF-, Grafik-,
HTML- und ASCII-Dateien. Wie Tan Chew Keong
von Secunia Research herausgefunden hat, ist
die Version bi2 2.61 gegen einen Heap-Overflow
verwundbar. Dieser lässt sich mittels korrupten
ARJ-Archiven ausführen und damit eigenen
Programmcode einspeisen. Genaue technische
Detail soder ein Exploit sind nicht bekannt. Der
Fehler wurde in der jünsten Software-Version
behoben.
Expertenmeinung:
Dieser Pufferüberlauf kann durchaus in einigen
Bereichen interessant sein, sofern sich dort
WinACE im Einsatz befindet. Anbieter von DialerSoftware oder Skript-Kiddies könnten so ihre
zwielichte
Software
auf
einem
System
automatisch installieren oder direkt erweiterte
Rechte erlangen.
3.11 GNU tar bis 1.15.90 (alpha)
erweiterte PAX-Header
Pufferüberlauf
Remote:
Indirekt
Datum:
22.02.2006
6/14
s c i p
a g
© scip AG
Statistiken Verletzbarkeiten
Registrierte Schwachstellen by scip AG
120
Die im Anschluss aufgeführten Statistiken basieren auf den Daten der
deutschsprachige
Verletzbarkeitsdatenbank der scip AG.
111
100
103
100
94
86
83
80
79
76
70
69
60
60
57
http://www.scip.ch/cgi-bin/smss/showadvf.pl
Auswertungsdatum:
55
42
40
39
38
34
51
49
46
42
41
39
35
32
28
27
24
20
18
12
9
2006 - Jan
2006 - Mrz
2005 - Nov
2005 - Jul
2005 - Sep
2005 - Jan
2005 - Mrz
2004 - Nov
2004 - Jul
2004 - Sep
2004 - Mai
2004 - Jan
2004 - Mrz
2003 - Nov
2003 - Jul
2003 - Sep
2003 - Jan
2003 - Mai
1
0
2003 - Mrz
Zögern Sie nicht uns zu kontaktieren. Falls Sie
spezifische Statistiken aus unserer Verletzbarkeitsdatenbank wünschen so senden Sie uns
eine E-Mail an mailto:[email protected]. Gerne nehmen wir Ihre Vorschläge entgegen.
62
59
55
52
47
40
70
2005 - Mai
4.
Verlauf der Anzahl Schwachstellen pro Monat
19. März 2006
90
30
80
25
70
60
20
50
15
40
10
30
20
5
10
0
0
2006 - Jan
2006 - Feb
2006 - Mrz
sehr kritisch
1
kritisch
30
38
3
problematisch
48
13
6
Verlauf der letzten drei Monate Schwachstelle/Schweregrad
2006 - Feb
2006 - Mrz
Cross Site Scripting (XSS)
3
4
1
Denial of Service (DoS)
2006 - Jan
25
10
4
Designfehler
15
12
2
1
Directory Traversal
Eingabeungültigkeit
1
Fehlende Authentifizierung
1
Fehlende Verschlüsselung
2
Fehlerhafte Leserechte
1
1
Fehlerhafte Schreibrechte
Format String
3
1
18
17
Konfigurationsfehler
Pufferüberlauf
1
1
Race-Condition
Schw ache Authentifizierung
1
Schw ache Verschlüsselung
1
1
SQL-Injection
Symlink-Schw achstelle
1
Umgehungs-Angriff
2
1
Unbekannt
5
2
1
Verlauf der letzten drei Monate Schwachstelle/Kategorie
7/14
s c i p
a g
© scip AG
120
100
80
60
40
20
0
2003 2003 2003 2003 2003 2003 2003
- Jan - Feb - Mrz - Apr - Mai - Jun - Jul
sehr kritisch
kritisch
problematisch
1
2003 2003
2003 2003
2004 2004
2004 2004
2005 2005
2005 2005
2003
2004 2004 2004 2004 2004 2004 2004
2004
2005 2005 2005 2005 2005 2005 2005
2005
2006 2006 2006
- Okt
- Okt
- Okt
- Jan - Feb - Mrz
Aug Sep
Nov Dez
Aug Sep
Nov Dez
Aug Sep
Nov Dez
4
6
4
7
3
14
4
6
2
5
1
4
1
3
2
1
1
1
2
2
3
1
2
1
1
1
3
6
13
14
24
40
16
27
23
26
22
17
23
19
23
27
28
19
33
15
60
26
24
25
33
38
58
47
20
46
20
26
42
37
10
30
38
3
5
6
7
7
12
32
15
14
27
26
18
17
15
18
34
15
25
12
13
23
39
33
43
2
51
49
1
32
51
2
56
18
46
26
28
26
24
16
48
13
6
Verlauf der Anzahl Schwachstellen/Schweregrad pro Monat
50
45
40
35
30
25
20
15
10
5
0
200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200
3- 3- 3- 3- 3- 3- 3- 3- 3- 3- 3- 3- 4- 4- 4- 4- 4- 4- 4- 4- 4- 4- 4- 4- 5- 5- 5- 5- 5- 5- 5- 5- 5- 5- 5- 5- 6- 6- 6Jan Feb Mrz Apr Mai Jun Jul Aug Sep Okt Nov Dez Jan Feb Mrz Apr Mai Jun Jul Aug Sep Okt Nov Dez Jan Feb Mrz Apr Mai Jun Jul Aug Sep Okt Nov Dez Jan Feb Mrz
5
8
1
2
4
3
2
3
2
5
4
1
2
1
1
1
4
1
3
1
20
3
2
10
4
5
6
5
1
3
4
1
7
5
24
7
8
12
10
8
4
5
10
12
5
17
4
13
12
16
10
9
15
6
12
19
30
6
25
4
12
15
24
4
25
10
4
6
4
10
6
6
6
9
1
2
7
3
9
10
8
8
10
5
19
20
20
29
44
16
30
36
14
15
18
12
13
12
7
15
12
2
1
3
1
1
1
2
2
1
1
2
1
2
Cross Site Scripting (XSS)
Denial of Service (DoS)
Designfehler
1
1
2
3
3
6
Directory Traversal
Eingabeungültigkeit
1
3
Fehlende Verschlüsselung
Fehlerhafte Leserechte
1
2
1
Fehlende Authentifizierung
1
1
1
1
1
2
2
1
4
1
3
1
2
3
4
1
2
2
Konfigurationsfehler
2
1
2
2
4
1
1
8
Pufferüberlauf
3
7
9
7
8
28
11
16
1
1
1
1
Race-Condition
Schw ache Verschlüsselung
SQL-Injection
1
1
Schw ache Authentifizierung
1
1
1
Unbekannt
1
3
5
1
2
2
1
6
2
3
1
2
4
1
2
2
4
4
2
2
3
2
2
1
5
5
1
1
1
14
8
13
6
15
7
1
1
2
4
2
2
1
1
2
3
2
3
1
2
4
2
7
3
1
7
3
3
1
2
2
1
1
1
1
2
8
11
14
22
19
14
20
26
2
2
2
3
3
7
8
2
3
3
1
2
13
29
1
4
1
2
4
1
1
1
1
5
1
3
4
3
6
2
1
1
2
11
3
1
8
3
1
1
2
1
1
6
1
3
1
1
1
1
2
2
1
2
22
1
1
2
2
2
1
1
1
2
2
1
8
1
1
2
7
14
15
16
19
1
2
3
1
6
2
2
1
2
12
8
18
17
1
2
2
1
5
1
6
1
5
1
2
3
1
1
1
1
2
1
1
1
1
2
2
1
1
1
1
1
2
1
1
1
2
4
20
3
3
2
2
1
1
1
1
Symlink-Schw achstelle
Umgehungs-Angriff
1
1
4
4
Fehlerhafte Schreibrechte
Format String
2
1
1
1
2
1
1
1
1
2
2
6
1
1
1
1
1
1
1
1
2
4
1
1
6
1
1
1
2
1
5
2
1
Verlauf der Anzahl Schwachstellen/Kategorie pro Monat
8/14
s c i p
a g
© scip AG
5.
Interview
5.1 Interview mit Bruce Schneier
Bruce Schneier, [email protected]
Marc Ruef, [email protected]
Bruce Schneier ist ein USamerikanischer Experte für
Kryptographie und Computersicherheit, Entwickler populärer
Krypto-Algorithmen,
Autor
verschiedener Bücher über
Computersicherheit und Mitgründer der Firma Counterpane
Internet Security.
scip AG: Hallo Bruce. Danke, dass Du Dir die
Zeit nimmst. Wie geht es Dir? Dein Assistent
hat mich darüber informiert, dass Du unterwegs gewesen seist. Arbeitest Du Deine Vortragsreihe
(Speaking
Schedule,
http://www.schneier.com/schedule.html) ab?
Bruce Schneier: Ja, die meisten Reisen, die ich
unternehme, beinhalten Vorträge und dergleichen. Soeben bin ich von einem Seminar der
Tufts Universität zurückgekommen, das den Titel
"The Politics of Fear" trug. Nächste Woche trage
ich dem Kongress meine Ansichten zum Thema
Data-Mining vor und halte eine Präsentation an
einer Konferenz. Danach werde ich nach Europa
reisen, um dort einige Vorlesungen und Vorträge
zu halten. So sieht der Grossteil meines gegenwärtigen Arbeitslebens aus.
Wann war denn das erste Mal, dass Du ernsthaft mit dem Thema Kryptographie in Kontakt
gekommen bist? War Mathematik schon immer eines Deiner Hobbies?
Kryptographie war in der Tat immer ein Hobby.
Ich kann mich noch sehr gut an die Bücher zum
Thema erinnern, die ich in meiner Kindheit besessen habe. Danach habe ich einige Arbeiten
für die US-Regierung gemacht, kam aber mit
Kryptographie erst in den frühen 90er Jahren
wirklich in Berührung, als ich das Buch "Applied
Cryptography" (John Wiley & Sons, 1995) geschrieben habe.
wendung findet. In der Hinsicht würde ich somit
Twofish (1998) und Blowfish (1993) nennen.
Doch in der Kryptographie gibt es eine interessante Zwiespältigkeit: Die wahren Erfolge eines
Kryptologen sind seine erfolgreichen Angriffe.
Blicke ich auf meine Arbeit zurück, dann erfreue
ich mich am meisten an jenen zum Thema Kryptoanalyse, bei der ich die Algorithmen anderer
Leute auseinander genommen habe.
Arbeitest Du denn zurzeit an etwas besonders
interessantem?
Heutzutage konzentriere ich mich darauf, wie
Sicherheit in ihrem Kontext funktioniert. Es reicht
nicht aus, lediglich eine gute Sicherheitslösung zu
haben, denn das meiste im Bereich der Sicherheit hat nichts mit Sicherheit ansich zu tun. Es ist
wichtig das Umfeld der Sicherheit zu verstehen,
die Psychologie der Entscheidungsfällung und
den juristischen Rahmen der Sicherheitsbestrebungen.
Wie Du mir vor ein paar Jahren in einem privaten Schriftwechsel geschrieben hast, wird
es von Deinem Buch "Applied Cryptography"
keine dritte Auflage geben. Es habe sich zu
viel geändert und der Bereich sei zu schnell
vorangeschritten. Verneinst Du den Wunsch
der Wissbegierigen Leser nach einer Neuauflage noch immer?
Unter dem Titel "Practical Cryptography" (John
Wiley & Sons, 2003) habe ich eine konzeptionelle
Weiterführung des besagten Buches publiziert.
Es handelt sich dabei aber nicht um eine erweiterte Auflage des ersten. "Applied Cryptography"
war sehr breitflächig abgestützt und versuchte
sämtliche Bereiche des Themas abzudecken.
"Practical Cryptography" hingegen ist fokussierter. Es diskutiert das grundlegende Problem der
Kryptographie - der Aufbau eines sicheren Kanals zwischen zwei Parteien - und geht dabei
detailliert auf die jeweiligen Aspekte ein. Ich denke, dass es ein viel besseres Buch ist für jemanden, der sich das Verständnis für die Funktionsweise kryptographischer Methoden aneignen will.
Ebenso deckt es die Bedürfnisse von Entwicklern, die ihre eigenen Lösungen umsetzen wollen,
besser ab.
Nun, viele Künstler und Programmierer haben
ihre "Babies": Eine Entwicklung, die sie besonders schätzen und lieben. In Bezug auf Deine Arbeiten im Bereich
der Kryptographie, welches sind da
„Blicke ich auf meine Arbeiten zurück, erfreue ich mich
Deine Babies, auf die Du besonders
am meisten an jenen der Kryptoanalyse.“
stolz bist?
Wie jeder Ingenieur bin ich natürlich
stolz auf jeden Algorithmus, der seine breite An-
Was denkst Du, hätte der Zweite Weltkrieg ein
9/14
s c i p
a g
© scip AG
anderes Ende genommen, wären da nicht die
"Codebreakers" auf der Seite der Alliierten
gewesen? Einige Leute sagen, dass der Erste
Weltkrieg durch Chemiker und der Zweite
Weltkrieg durch Physiker gewonnen wurde.
Der Dritte Weltkrieg hingegen würde durch
Kryptologen entschieden werden. Denkst Du,
dass das wahr ist? Handelt es sich beim globalen Terrorismus um den laufenden Dritten
Weltkrieg?
In der Tat spielte die Kryptoanalysie eine wichtige
Rolle im Zweiten Weltkrieg. Moderne Historiker
meinen, dass der Krieg deswegen um etwa zwei
Jahre kürzer ausfiel. Der Grund dafür ist einmalig
in der Geschichte: Die Verschlüsselungsgeräte
wurden in der maschinellen Ära durch elektronische Teile erweitert und die Code-Breaking Machines die ersten digitalen Computer der damaligen Zeit. Heute ist das nicht mehr so. Während
Computer- und Netzwerksicherheit eine entscheidende Rolle bei zukünftigen "Weltkriegen"
spielen werden - sowohl offensiv als auch defensiv -, wird das bei der Kryptoanalyse eher weniger der Fall sein.
werden?
Jede Technologie kann sowohl für gutartige als
auch für bösartige Zwecke eingesetzt werden. In
diesem Belang unterscheidet sich Kryptographie
in keinster Weise. Wir alle benutzen Autos und
fahren damit herum - Die bösen Jungs brauchen
Autos hingegen, um nach einem Überfall zu
flüchten. Wir alle benutzen Telefone zwecks
Kommunikation - Und die bösen Jungs planen
damit ihre Verbrechen. Das ist soweit okay, denn
die Gesellschaft besteht glücklicherweise vorwiegend aus guten und ehrlichen Menschen, weshalb die positiven Auswirkungen einer Technologie meistens überwiegen. Restriktion in Bezug
auf Kryptographie ist, wie Du das richtig angemerkt hast, ein Werkzeug der Diktatur. Es ist ein
Mittel des Polizeistaats. Jegliche Aussage, dass
derlei Einschränkungen dem Kampf gegen den
Terror nützen würden, sind Lügen - Es ist lediglich ein Mittel, um die Bevölkerung zu kontrollieren.
In vielen Fällen wollen Kunden ein Black-box
Testing ihrer Lösungen (z.B. NetzwerkUmgebungen oder während des SoftwareDevelopements). Wie Du in Bezug auf Kryptographie immerwieder betont hast, gewährt
"Security by Obscurity" niemals ein umfassendes Mass an Sicherheit. Denkst Du aber
trotzdem, dass ein solches "Closed-Source
Testing" in einigen Fällen und bestimmten
Phasen eines Projekts sinnvoll sein kann?
In Bezug auf den "Krieg gegen den Terror" denke
ich, dass es sich hier um einen Krieg im rhetorischen und keinen im klassischen Sinn handelt.
Es macht keinen Sinn, den Krieg einem abstrakten Gebilde zu erklären. Es macht keinen Sinn,
einer Taktik den Krieg zu erklären. Es macht
ebenso keinen Sinn, den Krieg einer Strategie zu
erklären, die schon tausende von Jahren seit
Beginn der Zivilisationen angewendet
wird. Krieg wird grundsätzlich einem
Land erklärt. Danach wird eine der
„Jegliche Aussage, dass Einschränkungen der KryptogParteien besiegt oder Waffenstillstand ausgehandelt. Wir alle wissen,
taphie dem Volk helfen würden, sind Lügen.“
wie wir hingegen die Taktik nennen
wollen, die seit Anbeginn der Zeitrechnung und bis zum Ende der Zivilisation bestehen wird: Verbrechen. Terrorismus
Klar. Überprüfungen geschlossener Systeme
ist ein abscheuliches und schreckliches Verbrekönnen durch solche Massnahmen in Bezug auf
chen. Es als Krieg zu bezeichnen vernebelt ledigihre Sicherheit hin verbessert werden. Obschon
lich die Sicht, mit der dem Terrorismus entgees sehr zeitintensiv und kostenaufwendig sein
gengetreten werden muss.
kann, kann es jenachdem sehr effektiv sein. In
einem solchen geschlossen Testing bezahlt das
Die Limitierung der (privaten) Nutzung krypSoftware-Unternehmen einem Experten-Team
tographischer Methoden durch Regierungen
sehr viel Geld, um den Stand und die Schwächen
ist ein Mittel der Kontrolle und der Limitieder Sicherheit zu determinieren.
rung des Informationsaustauschs des Volkes.
Bei Open-Source hingegen wird Software gerne
In den meisten Diktaturen halten genau diese
einfach mal eben offen gelegt in der Hoffnung,
Massnahmen das System am Leben. Denkst
dass einige Experten sich aus Interesse und
Du, dass in einem demokratischen System
Leidenschaft der Sache annehmen. Beide Modeleine derartige Restriktion in irgendeiner Weile können zu einer umfassend geprüften Softse legitim sein kann? Oder darf das Recht auf
ware oder zu einer miserablen Lösung führen. Es
Privatsphäre nie gegen Sicherheit (z.B. gegen
geht nämlich nicht darum ob offen oder geTerrorismus und Verbrechen) eingetauscht
schlossen, es geht primär darum, wer die Über10/14
s c i p
a g
© scip AG
prüfungen durchführt.
Die Lösung PGP (Pretty Good Privacy) von
Phil Zimmermann war ein wichtiger Durchbruch und steht seit jeher jedermann, der sich
um sicheren Datenaustausch bemüht, zur
Verfügung. Doch erstaunlicherweise benutzen verhältnismässig nur wenige Firmen oder
Einzelpersonen das besagte Produkt. Was
denkst Du, sind die Gründe für das Ausbleiben eines umfassenden Einsatzes von PGP?
Vielleicht, weil sich die jeweiligen Implementierungen zu komplex und zu unhandlich erweisen? Oder vielleicht deswegen, weil das
Public-Key Prinzip für viele Leute einfach
abschreckend wirkt? Nutzt Du PGP im alltäglichen Gebrauch?
PGP ist keineswegs ein Flop. Die PGP Corporation ist eine gesunde Firma und PGP verkauft
sich besser dennje. Es gab eine Reihe von Gründen, warum PGP so lange gebraucht hat, um
sich zu etablieren. Einer davon ist mit Sicherheit
die Schwierigkeit der Nutzung. Die PGP Corporation hat sehr viel Aufwand betrieben, um das
Interface zu verbessern und viele Dinge für den
Benutzer transparent zu machen.
heutzutage sehr flexibel und anpassbar sein.
Flexible Dienste lassen sich eben einfacher den
Bedürfnissen anpassen weder statische Produkte. Ich beobachte ein Anhalten dieses Trends.
Ein anderer, parallel auftretender Trend ist im
Outsourcing gegeben. Unternehmen haben oftmals nicht das Wissen und die Kapazitäten, um
mit Sicherheitsproblemen richtig umgehen zu
können. Da bietet sich dann Outsourcing an.
Diese beiden Trends haben dazu geführt, dass
sich Managed Security Services (MSS) immer
mehr etablieren und zunehmends einen Teil der
Sicherheitsbestrebungen für sich in Anspruch
nehmen.
Kennst Du die TV-Serie "Numb3rs" (2005)?
Was hälst Du von der Idee, dass man jedes
erdenkliche Problem mit Mathematik und Algorithmen lösen kann? Ist es naiv anzunehmen, dass unsere Welt eigentlich nur aus
Zahlen besteht (z.B. wie die Pythagoräer)?
Jedes Werkzeug hat seinen Nutzen und ist in
einer bestimmten Situation vorzuziehen. Es gibt
Probleme, die mittels Mathematik adressiert werden können und halt eben auch andere, bei denen das nicht der Fall ist. Sicherheit ist eines der
Gebiete, bei dem dies eher weniger der Fall ist,
so nebenbei gesagt. Wir können zwar Mathematik nutzen, um eine bestimmte Klasse an Problemen zu lösen, wie zum Beispiel in der Kryptographie. Doch die wirklich komplexen Probleme der
Informationssicherheit lassen sich damit nicht
bewältigen.
Ebenso ist es aber wichtig zu bemerken, dass
Mail-Verschlüsselung nicht jedes Sicherheitsproblem der Informationsgesellschaft lösen kann.
Die meisten Daten werden nämlich nicht während
der Übertragung mitgeschnitten. Viel eher passiert das, wenn man sich selbst vor dem Rechner
befindet und zwischenzeitlich einige böse Jungs
in das Netzwerk eingebrochen sind. PGP löst
dieses Problem nicht. Jedoch wird
mit PGP Disk ein Produkt angeboten,
das Verzeichnisse und Laufwerke zu
„Es ist wichtig zu bemerken, dass Verschlüsselung nicht
verschlüsseln in der Lage ist. Das hat
jedes
Problem der Informationsgesellschaft lösen kann.“
aber mit dem eigentlichen PGP nur
mehr wenig zu tun.
Denkst Du, dass dafür IPv6 mit all
seinen Sicherheits-Features die meisten
Probleme heutiger Netzwerke lösen wird?
Was ist Deine mittelfristige Voraussage für
den Bereich der Computersicherheit? Werden
Firmen auch in Zukunft "magische Zauberkistchen" verkaufen oder wird der Beratungsbereich zunehmends an Wichtigkeit
gewinnen? Wie wird Information Security in
zehn Jahren aussehen?
Sicherheit ist ein Prozess und kein Produkt. Die
Industrie macht natürlich keine Anstalten, von der
Bildfläche zu verschwinden. Doch die Lösungen
zielen immer mehr auf Dienste denn auf Produkte ab. Das macht Sinn, denn Lösungen müssen
Und nun meine letzte und nicht immer ganz
ernstgemeinte Frage. John Forbes Nash (USamerikanischer Mathematiker und 1994 Nobelpreis-Träger in Economic Sciences) sagte
einmal, dass er ein miserabler Schachspieler
wäre. Wie sieht Dein Schachspiel aus? Oder
magst Du lieber Scrabble?
(lacht) Leider bin ich kein guter Schachspieler.
Obschon ich eigentlich nicht genau sagen kann,
ob das an meiner Denkweise oder der fehlenden
Erfahrung liegt. Und ich hatte noch nie ein gutes
Erinnerungsvermögen, was mich wiederum in die
nicht-professionellen Scrabble-Spieler einreiht.
11/14
s c i p
a g
© scip AG
Vielen Dank für das interessante Interview.
Ich wünsche Dir viel Spass bei Deinen Reisen
und viel Glück beim nächsten Schachspiel.
12/14
s c i p
a g
© scip AG
6.
Kreuzworträtsel
Wettbewerb
Gewinnen Sie ein Sony Ericsson K750i
Mailen Sie uns das erarbeitete Schlüsselwort an die Adresse
mailto:[email protected] inklusive Ihren Kontakt-Koordinaten. Das
Los entscheidet über die Vergabe des Preises. Teilnahmeberechtigt sind alle ausser den Mitarbeiterinnen und Mitarbeitern der scip AG sowie deren Angehörige. Es wird keine
Korrespondenz geführt. Der Rechtsweg ist ausgeschlossen.
-
Einsendeschluss ist der 15.04.2006. Die GewinnerInnen
werden nur auf ihren ausdrücklichen Wunsch publiziert. Die
scip AG übernimmt keinerlei, wie auch immer geartete Haftung im Zusammenhang mit irgendeinem im Rahmen des
Gewinnspiels an eine Person vergebenen Preises. Die Auflösung der Security-Kreuzworträtsel finden Sie jeweils online
auf http://www.scip.ch unter Publikationen > scip monthly
Security Summary > Errata.
Triband
2-Megapixel Kamera
Display mit 262'144 Farben
99 g
Memory Stick Slot
WAP 2.0 XHTML
FM-Radio
Preissponsor:
13/14
s c i p
a g
© scip AG
7.
Literaturverzeichnis
scip AG, scip monthly Security Summary,
Dannbacher, André, Kienle, Fabian, Oktober
2002, Leitfaden für sichere Citrix-Systeme,
http://www.computec.ch/download.php?view.344
Ruef, Marc, 22. Dezember 2001, Die psychosozialen Aspekte der Computerkriminalität, computec.ch, http://www.computec.ch/download.php?view.110
Ruef, Marc, 2002, Intrusion Prevention – Neue
Ansätze der Computersicherheit, Computer Professional, Ausgabe 4-2002, Seiten 10-14,
http://www.computec.ch/download.php?view.302
Ruef, Marc, Februar 2004, Lehrgang Computersicherheit, Universität Luzern, Master of Advanced Studies eLearning und Wissensmanagement, http://www.computec.ch/download.php?view.481
8.
Impressum
Herausgeber:
scip AG
Technoparkstrasse 1
CH-8005 Zürich
T +41 44 445 1818
mailto:[email protected]
http://www.scip.ch
Zuständige Person:
Marc Ruef
Security Consultant
T +41 44 445 1812
mailto:[email protected]
scip AG ist eine unabhängige Aktiengesellschaft
mit Sitz in Zürich. Seit der Gründung im September 2002 fokussiert sich die scip AG auf Dienstleistungen im Bereich IT-Security. Unsere Kernkompetenz liegt dabei in der Überprüfung der
implementierten Sicherheitsmassnahmen mittels
Penetration Tests und Security Audits und der
Sicherstellung zur Nachvollziehbarkeit möglicher
Eingriffsversuche
und
Attacken
(LogManagement und Forensische Analysen). Vor
dem Zusammenschluss unseres spezialisierten
Teams waren die meisten Mitarbeiter mit der
Implementierung von Sicherheitsinfrastrukturen
beschäftigen. So verfügen wir über eine Reihe
von Zertifizierungen (Solaris, Linux, Checkpoint,
ISS, Cisco, Okena, Finjan, TrendMicro, Symantec etc.), welche den Grundstein für unsere Projekte bilden. Das Grundwissen vervollständigen
unsere Mitarbeiter durch ihre ausgeprägten Programmierkenntnisse. Dieses Wissen äussert sich
in selbst geschriebenen Routinen zur Ausnutzung
gefundener Schwachstellen, dem Coding einer
offenen Exploiting- und Scanning Software als
auch der Programmierung eines eigenen LogManagement Frameworks. Den kleinsten Teil
des Wissens über Penetration Test und LogManagement lernt man jedoch an Schulen – nur
jahrelange Erfahrung kann ein lückenloses Aufdecken von Schwachstellen und die Nachvollziehbarkeit von Angriffsversuchen garantieren.
Einem konstruktiv-kritischen Feedback gegenüber sind wir nicht abgeneigt. Denn nur durch
angeregten Ideenaustausch sind Verbesserungen möglich. Senden Sie Ihr Schreiben an [email protected]. Das Errata (Verbesserungen,
Berichtigungen, Änderungen) der scip monthly
Security Summarys finden Sie online. Der Bezug
des scip monthly Security Summary ist kostenlos. Anmelden! Abmelden!
14/14

scip ag

Transcription

Documents pareils

scip ag

scip ag

scip ag

PM_AntiRa Campus Erfurt_Cosmopolar

ESPAÑAMUNDO LOTERIA PRIMITIVA S.A.

Benjamin Franklin, der große amerikanische Staatsmann

Norton Internet Security 2006 Konfigurationseinstellungen

Artikel als PDF anzeigen

Dienstplan FW Hitzacker 2012.xlsx