[Owasp-germany] Owasp-germany Digest, Vol 74, Issue 3

Hidasi, Annette a.hidasi at pmc-services.de
Tue Feb 4 11:31:55 UTC 2014


Hi again,

danke, dass Du das verteilst!

Liebe Grüsse

Annett(e)

-----Ursprüngliche Nachricht-----
Von: owasp-germany-bounces at lists.owasp.org [mailto:owasp-germany-bounces at lists.owasp.org] Im Auftrag von owasp-germany-request at lists.owasp.org
Gesendet: Dienstag, 4. Februar 2014 10:59
An: owasp-germany at lists.owasp.org
Betreff: Owasp-germany Digest, Vol 74, Issue 3

Send Owasp-germany mailing list submissions to
        owasp-germany at lists.owasp.org

To subscribe or unsubscribe via the World Wide Web, visit
        https://lists.owasp.org/mailman/listinfo/owasp-germany
or, via email, send a message with subject or body 'help' to
        owasp-germany-request at lists.owasp.org

You can reach the person managing the list at
        owasp-germany-owner at lists.owasp.org

When replying, please edit your Subject line so it is more specific than "Re: Contents of Owasp-germany digest..."


Today's Topics:

   1. Re: Emergency Cheat Sheet (Dirk Wetter)
   2. Re: Emergency Cheat Sheet (arnim.rupp at lhsystems.com)
   3. Re: Emergency Cheat Sheet (Dirk Wetter)
   4. Re: Emergency Cheat Sheet (Stefan Pantke)
   5. Re: Emergency Cheat Sheet (Buchholz-Stepputtis, Kai)
   6. Re: Emergency Cheat Sheet (Guenther, Stefan)


----------------------------------------------------------------------

Message: 1
Date: Mon, 03 Feb 2014 13:31:13 +0100
From: Dirk Wetter <dirk at owasp.org>
To: owasp-germany at lists.owasp.org
Subject: Re: [Owasp-germany] Emergency Cheat Sheet
Message-ID: <52EF8C11.4070403 at owasp.org>
Content-Type: text/plain; charset=windows-1252


Hi Stefan,

Am 02/02/2014 03:50 AM, schrieb Stefan Pantke:
> Hallo,
>
> gibt es von OWASP eigentlich ein Cheat Sheet, das beschreibt, was man im Fall eine Einbruchs in eine WebApp oder einen Server in welcher Reihenfolge tun sollte?
>
> Mit ist klar, dass ein solches Cheat Sheet keine L?sung f?r einen solchen Fall beschreiben kann.
>
> Ich denke mehr an allgemeine  Handlungsempfehlungen, was man auf jeden Fall tun sollte:
>
> - Server vom Netz und Beweise sichern?
> - Trauen Sie ihrem System nicht mehr?

mir ist keins von OWASP bekannt, es gibt aber einige zu ergooglen.

Die erste Frage in solchen F?llen: Man sollte sich ?ber die Zielsetzung im klaren
sein:

- was ist wichtiger: kann's der Server vom Netz / muss er weiterlaufen
- sollen strafrechtliche Ermittlungen oder zivilrechtliche folgen?

Das sind erstmal Managemententscheidungen. Management ist verpflichtet, gewissen Gesetzen zur Schadensminimierung zur folgen (BDSG/GmbhG/KontraG sowie branchenspezifische wie z.B. PCI DSS. Bei letzterem ist eine Verpflichtung zur Meldung, mit Konsequenzen).

?blicherweise schie?t Management und Technik auf ein sich bewegendes Ziel, weil im Vorfeld ?blicherweise wenig ?ber die Ursache bekannt ist (wer hat's gemacht:
Insider Hack/ohne Chance auf legislativen Zugriff, was ist der Schaden, wann ist es passiert, etc. pp).

<shameless Plug> Ein paar Dinge hab ich fr?her zu Bordmitteln und Unix only dazu geschrieben:
www.guug.de/veranstaltungen/ffg2008/slides/erste_hilfe_in_digitale_forensik-FFG08.pdf
http://drwetter.eu/talks/erste-hilfe_ffg08_proceedings.pdf) . Das ist nicht aktuell, vielleicht hilft's aber zum Einstieg (und vielleicht mache ich mal ein OWASP-Sheet, gute Idee eigentlich) ... </shameless plug>


BG, Dirk



--
German OWASP Board,
(Chair AppSec Research 2013)


------------------------------

Message: 2
Date: Mon, 3 Feb 2014 13:46:52 +0000
From: <arnim.rupp at lhsystems.com>
To: <seaside.ki at me.com>, <owasp-germany at lists.owasp.org>
Subject: Re: [Owasp-germany] Emergency Cheat Sheet
Message-ID:
        <C414238405FC48459631CE0DAEBA53BEC662B4BE at SW-FRAADS-MBX31.ads.dlh.de>
Content-Type: text/plain; charset="iso-8859-1"

hallo,

solche handlungsempfehlungen gibt es reichlich aber mir f?llt eigentlich nichts ein, was man da web-spezifisch tun k?nnte, das ein eigenes dokument von owasp rechtfertigen k?nnte. gro?e webdiensten schalten vielleicht von dynamischem auf statisches HTML, um eine weitere ausnutzung zu verhindern bis das problem gefixt ist. aber sobald der angreifer z.b. eine webshell hat verl??t er damit ja auch technisch schon den bereich, den owasp normalerweise abdeckt.

tsch?
arnim



-----Urspr?ngliche Nachricht-----
Von: owasp-germany-bounces at lists.owasp.org [mailto:owasp-germany-bounces at lists.owasp.org] Im Auftrag von Stefan Pantke
Gesendet: Sonntag, 2. Februar 2014 03:50
An: OWASP Germany
Betreff: [Owasp-germany] Emergency Cheat Sheet

Hallo,

gibt es von OWASP eigentlich ein Cheat Sheet, das beschreibt, was man im Fall eine Einbruchs in eine WebApp oder einen Server in welcher Reihenfolge tun sollte?

Mit ist klar, dass ein solches Cheat Sheet keine L?sung f?r einen solchen Fall beschreiben kann.

Ich denke mehr an allgemeine  Handlungsempfehlungen, was man auf jeden Fall tun sollte:

- Server vom Netz und Beweise sichern.
- Trauen Sie ihrem System nicht mehr.


Gr??e

S
_______________________________________________
Owasp-germany mailing list
Owasp-germany at lists.owasp.org
https://lists.owasp.org/mailman/listinfo/owasp-germany


------------------------------

Message: 3
Date: Mon, 03 Feb 2014 16:32:46 +0100
From: Dirk Wetter <dirk at owasp.org>
To: owasp-germany at lists.owasp.org
Subject: Re: [Owasp-germany] Emergency Cheat Sheet
Message-ID: <52EFB69E.7090106 at owasp.org>
Content-Type: text/plain; charset=ISO-8859-1

Moin!

Am 02/03/2014 02:46 PM, schrieb arnim.rupp at lhsystems.com:
> hallo,
>
> solche handlungsempfehlungen gibt es reichlich aber mir f?llt eigentlich nichts ein, was man da web-spezifisch tun k?nnte, das ein eigenes dokument von owasp rechtfertigen k?nnte.
> gro?e webdiensten schalten vielleicht von dynamischem auf statisches HTML, um eine weitere ausnutzung zu verhindern bis das problem gefixt ist. aber sobald der angreifer z.b. eine webshell hat verl??t er damit ja auch technisch schon den bereich, den owasp normalerweise abdeckt.

stimmt, so hatte ich das gar nicht gesehen. Mag sein. Auf der anderen Seite schreibt OWASP auch was zu HSTS und TLS -- und Einbr?che
in/durch die Applikation sind nicht selten.

YMMV, Dirk




> tsch?
> arnim
>
>
>
> -----Urspr?ngliche Nachricht-----
> Von: owasp-germany-bounces at lists.owasp.org [mailto:owasp-germany-bounces at lists.owasp.org] Im Auftrag von Stefan Pantke
> Gesendet: Sonntag, 2. Februar 2014 03:50
> An: OWASP Germany
> Betreff: [Owasp-germany] Emergency Cheat Sheet
>
> Hallo,
>
> gibt es von OWASP eigentlich ein Cheat Sheet, das beschreibt, was man im Fall eine Einbruchs in eine WebApp oder einen Server in welcher Reihenfolge tun sollte?
>
> Mit ist klar, dass ein solches Cheat Sheet keine L?sung f?r einen solchen Fall beschreiben kann.
>
> Ich denke mehr an allgemeine  Handlungsempfehlungen, was man auf jeden Fall tun sollte:
>
> - Server vom Netz und Beweise sichern.
> - Trauen Sie ihrem System nicht mehr.
>
>
> Gr??e
>
> S
> _______________________________________________
> Owasp-germany mailing list
> Owasp-germany at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-germany
> _______________________________________________
> Owasp-germany mailing list
> Owasp-germany at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-germany
>


--
German OWASP Board,
(Chair AppSec Research 2013)


------------------------------

Message: 4
Date: Tue, 04 Feb 2014 01:10:08 +0100
From: Stefan Pantke <seaside.ki at me.com>
To: OWASP Germany <owasp-germany at lists.owasp.org>
Subject: Re: [Owasp-germany] Emergency Cheat Sheet
Message-ID: <62D7D38D-CAC2-465C-9C21-74AB8128DE12 at me.com>
Content-Type: text/plain; charset=windows-1252

Hallo arnim,

ja, korrekt.

Eigentlich suchte ich auch nur ein OWASP Papier, da ich in einem Forum einige Hinweise zu so einer Situation gab. Baue dort sch?n regelm??ig Referenzen auf OWASP rein ;-)

Ja, wirklich WebApp spezifisch w?rde es nicht sein.

K?nnte aber das Angebot komplettieren: Anwender, der technische cheat sheets sucht, k?nnte dann auch ? finden.


Gr??e

S

Am 03.02.2014 um 14:46 schrieb arnim.rupp at lhsystems.com:

> hallo,
>
> solche handlungsempfehlungen gibt es reichlich aber mir f?llt eigentlich nichts ein, was man da web-spezifisch tun k?nnte, das ein eigenes dokument von owasp rechtfertigen k?nnte. gro?e webdiensten schalten vielleicht von dynamischem auf statisches HTML, um eine weitere ausnutzung zu verhindern bis das problem gefixt ist. aber sobald der angreifer z.b. eine webshell hat verl??t er damit ja auch technisch schon den bereich, den owasp normalerweise abdeckt.
>
> tsch?
> arnim
>
>
>
> -----Urspr?ngliche Nachricht-----
> Von: owasp-germany-bounces at lists.owasp.org [mailto:owasp-germany-bounces at lists.owasp.org] Im Auftrag von Stefan Pantke
> Gesendet: Sonntag, 2. Februar 2014 03:50
> An: OWASP Germany
> Betreff: [Owasp-germany] Emergency Cheat Sheet
>
> Hallo,
>
> gibt es von OWASP eigentlich ein Cheat Sheet, das beschreibt, was man im Fall eine Einbruchs in eine WebApp oder einen Server in welcher Reihenfolge tun sollte?
>
> Mit ist klar, dass ein solches Cheat Sheet keine L?sung f?r einen solchen Fall beschreiben kann.
>
> Ich denke mehr an allgemeine  Handlungsempfehlungen, was man auf jeden Fall tun sollte:
>
> - Server vom Netz und Beweise sichern.
> - Trauen Sie ihrem System nicht mehr.
>
>
> Gr??e
>
> S
> _______________________________________________
> Owasp-germany mailing list
> Owasp-germany at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-germany



------------------------------

Message: 5
Date: Tue, 4 Feb 2014 10:23:53 +0100
From: "Buchholz-Stepputtis, Kai"
        <Kai.Buchholz-Stepputtis at commerzbank.com>
To: OWASP Germany <owasp-germany at lists.owasp.org>
Subject: Re: [Owasp-germany] Emergency Cheat Sheet
Message-ID:
        <14B649944170734083650EBBE22358553F6C7F6C95 at SE005728.cs.commerzbank.com>

Content-Type: text/plain; charset="iso-8859-1"

Vielleicht nicht ganz passend (da nicht speziell auf Servereinbruch o.?. gem?nzt... ;-)

Aber wenns allgemein um den Aspekt geht, ggf. strafrechtliche Ermittlungen einleiten zu wollen,
finde ich dieses Papier vom BKA gar nicht so schlecht

https://www.bka.de/nn_238144/SharedDocs/Downloads/DE/ThemenABisZ/InternetKriminalitaet/handlungsempfehlungenWirtschaft.html

Mit freundlichen Gr??en
Kai.


--

Dr. Kai Buchholz-Stepputtis
Leitung Information Security Consulting & Research

Commerzbank AG
Group Organisation & Security
Information Security Consulting & Research

Postanschrift: 60261 Frankfurt am Main
Gesch?ftsr?ume: Hafenstrasse 51, 60327 Frankfurt am Main
Tel.:   +49 (0)69 136 25135
Fax:   +49 (0)69 136 22922
Mobil: +49 (0)172 6603809
Mail: kai.buchholz-stepputtis at commerzbank.com

Commerzbank AG, Frankfurt am Main, http://www.commerzbank.de
Pflichtangaben http://www.commerzbank.de/pflichtangaben


-----Urspr?ngliche Nachricht-----
Von: owasp-germany-bounces at lists.owasp.org [mailto:owasp-germany-bounces at lists.owasp.org] Im Auftrag von Stefan Pantke
Gesendet: Dienstag, 4. Februar 2014 01:10
An: OWASP Germany
Betreff: Re: [Owasp-germany] Emergency Cheat Sheet

Hallo arnim,

ja, korrekt.

Eigentlich suchte ich auch nur ein OWASP Papier, da ich in einem Forum einige Hinweise zu so einer Situation gab. Baue dort sch?n regelm??ig Referenzen auf OWASP rein ;-)

Ja, wirklich WebApp spezifisch w?rde es nicht sein.

K?nnte aber das Angebot komplettieren: Anwender, der technische cheat sheets sucht, k?nnte dann auch . finden.


Gr??e

S

Am 03.02.2014 um 14:46 schrieb arnim.rupp at lhsystems.com:

> hallo,
>
> solche handlungsempfehlungen gibt es reichlich aber mir f?llt eigentlich nichts ein, was man da web-spezifisch tun k?nnte, das ein eigenes dokument von owasp rechtfertigen k?nnte. gro?e webdiensten schalten vielleicht von dynamischem auf statisches HTML, um eine weitere ausnutzung zu verhindern bis das problem gefixt ist. aber sobald der angreifer z.b. eine webshell hat verl??t er damit ja auch technisch schon den bereich, den owasp normalerweise abdeckt.
>
> tsch?
> arnim
>
>
>
> -----Urspr?ngliche Nachricht-----
> Von: owasp-germany-bounces at lists.owasp.org [mailto:owasp-germany-bounces at lists.owasp.org] Im Auftrag von Stefan Pantke
> Gesendet: Sonntag, 2. Februar 2014 03:50
> An: OWASP Germany
> Betreff: [Owasp-germany] Emergency Cheat Sheet
>
> Hallo,
>
> gibt es von OWASP eigentlich ein Cheat Sheet, das beschreibt, was man im Fall eine Einbruchs in eine WebApp oder einen Server in welcher Reihenfolge tun sollte?
>
> Mit ist klar, dass ein solches Cheat Sheet keine L?sung f?r einen solchen Fall beschreiben kann.
>
> Ich denke mehr an allgemeine  Handlungsempfehlungen, was man auf jeden Fall tun sollte:
>
> - Server vom Netz und Beweise sichern.
> - Trauen Sie ihrem System nicht mehr.
>
>
> Gr??e
>
> S
> _______________________________________________
> Owasp-germany mailing list
> Owasp-germany at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-germany

_______________________________________________
Owasp-germany mailing list
Owasp-germany at lists.owasp.org
https://lists.owasp.org/mailman/listinfo/owasp-germany


------------------------------

Message: 6
Date: Tue, 4 Feb 2014 09:57:59 +0000
From: "Guenther, Stefan" <Stefan.Guenther at hermes-europe.eu>
To: OWASP Germany <owasp-germany at lists.owasp.org>
Subject: Re: [Owasp-germany] Emergency Cheat Sheet
Message-ID: <20140204095709.F35451140C5 at mailout.hermes-vs.de>
Content-Type: text/plain; charset="iso-8859-1"


moin liste,

ein spickzettel mit akuten handlungsanweisungen bei servereinbr?chen wird daran scheitern, dass es solche und solche server/webaplications gibt.
hier sollte man sich die spezielle anwendung anschauen und f?r sich entscheiden, welche schutzlevel f?r integrit?t von daten und anwendung - aber auch f?r die betriebssicherheit und die verf?gbarkeit des gesch?ftsprozesses - gelten. Den kompromiterten server oder das beeintr?chtigte netzsegment abzukoppeln, kann da eine l?sung sein, muss es aber nicht um jeden preis.

das ganze geht dann recht schnell ins incidentmanagement und busines-continuity-management rein und muss formal betrachtet werden. beim sichern von beweisen kann auch viel falsch gemacht werden; ob es in den meisten f?llen f?r die analyse der root cause oder nach geschaltete ermittelungen ?berhaupt notwendig/gewollt ist, sei dahin gestellt.

stefan



--
Stefan G?nther
IT Security Manager
IT Europe

Hermes Europe GmbH
Essener Str. 89
D-22419 Hamburg



> -----Urspr?ngliche Nachricht-----
> Von: owasp-germany-bounces at lists.owasp.org [mailto:owasp-germany-
> bounces at lists.owasp.org] Im Auftrag von Buchholz-Stepputtis, Kai
> Gesendet: Dienstag, 4. Februar 2014 10:24
> An: OWASP Germany
> Betreff: Re: [Owasp-germany] Emergency Cheat Sheet
>
> Vielleicht nicht ganz passend (da nicht speziell auf Servereinbruch
> o.?. gem?nzt... ;-)
>
> Aber wenns allgemein um den Aspekt geht, ggf. strafrechtliche
> Ermittlungen einleiten zu wollen, finde ich dieses Papier vom BKA gar
> nicht so schlecht
>
> https://www.bka.de/nn_238144/SharedDocs/Downloads/DE/ThemenABisZ/Inter
> net Kriminalitaet/handlungsempfehlungenWirtschaft.html
>
> Mit freundlichen Gr??en
> Kai.
>
>
> --
>
> Dr. Kai Buchholz-Stepputtis
> Leitung Information Security Consulting & Research
>
> Commerzbank AG
> Group Organisation & Security
> Information Security Consulting & Research
>
> Postanschrift: 60261 Frankfurt am Main
> Gesch?ftsr?ume: Hafenstrasse 51, 60327 Frankfurt am Main
> Tel.:   +49 (0)69 136 25135
> Fax:   +49 (0)69 136 22922
> Mobil: +49 (0)172 6603809
> Mail: kai.buchholz-stepputtis at commerzbank.com
>
> Commerzbank AG, Frankfurt am Main, http://www.commerzbank.de
> Pflichtangaben http://www.commerzbank.de/pflichtangaben
>
>
> -----Urspr?ngliche Nachricht-----
> Von: owasp-germany-bounces at lists.owasp.org [mailto:owasp-germany-
> bounces at lists.owasp.org] Im Auftrag von Stefan Pantke
> Gesendet: Dienstag, 4. Februar 2014 01:10
> An: OWASP Germany
> Betreff: Re: [Owasp-germany] Emergency Cheat Sheet
>
> Hallo arnim,
>
> ja, korrekt.
>
> Eigentlich suchte ich auch nur ein OWASP Papier, da ich in einem Forum
> einige Hinweise zu so einer Situation gab. Baue dort sch?n regelm??ig
> Referenzen auf OWASP rein ;-)
>
> Ja, wirklich WebApp spezifisch w?rde es nicht sein.
>
> K?nnte aber das Angebot komplettieren: Anwender, der technische cheat
> sheets sucht, k?nnte dann auch . finden.
>
>
> Gr??e
>
> S
>
> Am 03.02.2014 um 14:46 schrieb arnim.rupp at lhsystems.com:
>
> > hallo,
> >
> > solche handlungsempfehlungen gibt es reichlich aber mir f?llt
> > eigentlich nichts ein,
> was man da web-spezifisch tun k?nnte, das ein eigenes dokument von
> owasp rechtfertigen k?nnte. gro?e webdiensten schalten vielleicht von
> dynamischem auf statisches HTML, um eine weitere ausnutzung zu
> verhindern bis das problem gefixt ist. aber sobald der angreifer z.b.
> eine webshell hat verl??t er damit ja auch technisch schon den bereich, den owasp normalerweise abdeckt.
> >
> > tsch?
> > arnim
> >
> >
> >
> > -----Urspr?ngliche Nachricht-----
> > Von: owasp-germany-bounces at lists.owasp.org
> > [mailto:owasp-germany-bounces at lists.owasp.org] Im Auftrag von Stefan
> > Pantke
> > Gesendet: Sonntag, 2. Februar 2014 03:50
> > An: OWASP Germany
> > Betreff: [Owasp-germany] Emergency Cheat Sheet
> >
> > Hallo,
> >
> > gibt es von OWASP eigentlich ein Cheat Sheet, das beschreibt, was
> > man im Fall
> eine Einbruchs in eine WebApp oder einen Server in welcher Reihenfolge tun sollte?
> >
> > Mit ist klar, dass ein solches Cheat Sheet keine L?sung f?r einen
> > solchen Fall
> beschreiben kann.
> >
> > Ich denke mehr an allgemeine  Handlungsempfehlungen, was man auf
> > jeden Fall
> tun sollte:
> >
> > - Server vom Netz und Beweise sichern.
> > - Trauen Sie ihrem System nicht mehr.
> >
> >
> > Gr??e
> >
> > S
> > _______________________________________________
> > Owasp-germany mailing list
> > Owasp-germany at lists.owasp.org
> > https://lists.owasp.org/mailman/listinfo/owasp-germany
>
> _______________________________________________
> Owasp-germany mailing list
> Owasp-germany at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-germany
> _______________________________________________
> Owasp-germany mailing list
> Owasp-germany at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-germany

**************************************************
Find out more about Hermes, the leading expert
for integrated solutions along the supply chain
and a partner for national and international
trading companies on www.hermesworld.com.
**************************************************

Hermes Europe GmbH *
Essener Strasse 89 * D-22419 Hamburg *
AG Hamburg HRB 110035 *
VAT ID. No.: DE 265 893 565 *
Managing Directors: Hanjo Schneider (CEO),
Marc Dessing, Frank Iden, Frank Rausch,
Dieter Urbanke, Carole Woodhead



------------------------------

_______________________________________________
Owasp-germany mailing list
Owasp-germany at lists.owasp.org
https://lists.owasp.org/mailman/listinfo/owasp-germany


End of Owasp-germany Digest, Vol 74, Issue 3
********************************************


More information about the Owasp-germany mailing list