HiSolutions Cybersecurity Digest Februar 2020 veröffentlicht

Top Thema:

Ich weiß, wo Du online Geld verdienst: Cyber-OK lernt dazu

Ransomware ist seit vielen Monaten die größte Geißel der IT – und zumindest derjenigen Menschen, die für diese verantwortlich sind. Erst letztens hatten wir berichtet, dass Emotet und Co. dazugelernt haben und statt mit dummen Standard-E-Mails in schlechter Übersetzung, nun frühere Kommunikationsstränge wiederverwerten, um so die Klickrate auf die Malware deutlich zu erhöhen. Unterdessen hat die im Hintergrund die Geschäftsprozesse spinnende organisierte Cyber-Kriminalität (Cyber-OK) anscheinend gelernt, dass es noch weitere gemeine Hebel gibt, um Opfer zur Zahlung zu bewegen. Es gilt schließlich für die Angreifer, die empfindlichste Stelle eines Unternehmens zu finden und auszunutzen. Denn je mehr Unternehmen auf starke Backup-Konzepte mit schreibgeschützten Sicherungen und realistischen, regelmäßigen Restoretests umstellen, desto mehr bewegt sich das Wettrüsten in Richtung anderer Erpressungsvektoren.

Mit salamitaktikhafter Veröffentlichung gestohlener Informationen haben Erpresser ebenfalls bereits gedroht (teils erfolgreich, teils nicht). Was lässt sich – möglichst (teil-)automatisiert, denn das Ganze soll ja skalieren – einem Unternehmen außer Datenkidnapping noch antun? Nun wurde eine weitere Masche in freier Wildbahn gesichtet: Für Publisher – „Verlage“, wie es in der alten Welt heißt – ist das Wertvollste die Schnittstelle zu ihren Anzeigenkunden, heutzutage meist vermittelt über Internetgiganten wie Google. Statt also die Webserver in Geiselhaft zu nehmen, haben Angreifer begonnen, die Anzeigen auf den Seiten derart oft klicken zu lassen, dass dies bei Google, Facebook & Co. als Werbemissbrauch gewertet wird und die dortigen Sicherheitsmechanismen den Werbeträger automatisch sperren. Bei Wiederholung droht sogar eine permanente Verbannung von der Werbeplattform – mithin der Entzug der Existenzgrundlage.

Selbstverständlich bietet die freundliche Gang von nebenan da zufälligerweise ein "Traffic Management" an, das sich gegen Einwurf geeigneter Bitcoins gerne um dieses Problem kümmert und den Betrug-Betrug umgehend beendet.
Auf eine Art ist dies alles in der analogen Welt schon da gewesen. Überträge in die digitale ergeben trotzdem immer wieder neue und überraschende Gemengelagen.

https://krebsonsecurity.com/2020/02/pay-up-or-well-make-google-ban-your-ads/

Dass Eingeweihte dies bereits seit langem wussten, dokumentiert sehr schön dieser Blog-Post von Security-Guru Bruce Schneier inklusive der Kommentare:

https://www.schneier.com/blog/archives/2020/02/crypto_ag_was_o.html


Neuigkeiten:

Runter vom Gas: Ransomware stoppt Pipeline

Ransomware hat schon des Öfteren industrielle Anlagen lahmgelegt: Von Containerverladung bis zur Schokoladenproduktion: Überall, wo komplexe verbundene IT-Systeme im Einsatz sind, gab es bereits Opfer. Bisher weitgehend verschont geblieben sind die Automatisierungsbereiche von kritischen Infrastrukturen wie Wasser oder Energie. Nun hat es einen Gasbetreiber in den USA getroffen: Über Spearphishing in die Office-IT konnte der Angriff auf die – in der hehren Theorie stark absegmentierte – OT (Steuerungsstechnik) übergreifen, sodass eine Pipeline zwei Tage lang stillstand. Nicht betroffen waren angeblich die Steuerungsanlagen. Die Täter konnten wohl in diesem Fall (noch) keine Prozesse manipulieren.

https://www.spiegel.de/netzwelt/web/ransomware-zwingt-pipeline-betreiber-zu-zwangspause-a-07f7f69f-e251-4363-b93a-9528d02f828c


Schludrig, Euer Ehren! IT-GAU beim Kammergericht Berlin

Im Kammergericht Berlin ist der Albtraum aller Informationssicherheitsexperten wahr geworden. Eine völlig veraltete IT-Infrastruktur ohne ernst zu nehmendes Sicherheitskonzept (keine Netzwerksegmentierung, keine Filterung am Gateway, keine Proxy-Logdaten, lokale Administratoren, mangelnde AD-Logs) führte zunächst zu einem Trojaner-Incident und dann zum Vollausfall der IT – und das mit Ansage: Ein Auditbericht hatte eklatante Lücken zuvor dringend bemängelt. Inzwischen ist der Wiederanlauf mit völlig neuer Technik im Gang – der Reputationsschaden der verfassungsgemäß unabhängigen Justiz jedoch noch längst nicht behoben.

https://www.golem.de/news/gutachten-zu-emotet-datenabfluss-beim-berliner-kammergericht-2001-146294.html 


HiSolutions Know-How to go

Das nächste Wissensfrühstück, dieses Mal zum Thema Risiko- und Sicherheitsmanagement, findet am 26.03.2020 in Frankfurt am Main statt. 
Weitere Informationen werden in Kürze auf der Webseite veröffentlicht. 

Sie haben Fragen oder möchten sich schon jetzt einen Platz sichern?
Kontaktieren Sie uns! 


Shitrix Happens Again: Hacker gingen bei Citrix ein und aus

Wie der auf Cyber-Scoops, also Enthüllungsgeschichten mit Bezug zum Thema Informationssicherheit, spezialisierte Journalist Brian Krebs berichtete, gingen Hacker fünf Monate lang in den Netzwerken des Anbieters von Applikationsvirtualisierung Citrix ein und aus. Zugang hatten sie über sogenanntes „Password Spraying“ erhalten. Das meint das Durchprobieren einer überschaubar großen Liste typischer Passwörter an einer großen Menge von Accounts, im Gegensatz zum Brute Forcing, welches in der Regel das Durchtesten einer sehr großen Menge von Credentials an einem oder ein paar wenigen Accounts umschreibt. Einmal drin, konnten die Angreifer sich lange Zeit weitgehend ungestört umsehen und potenziell bisher unbekannten weiteren Schaden anrichten. Citrix-Produkte werden von vielen Unternehmen häufig an kritischer Stelle für den Fernzugriff bzw. Zugriff auf Geschäftsanwendungen eingesetzt.

https://krebsonsecurity.com/2020/02/hackers-were-inside-citrix-for-five-months/ 


CIS transformiert: CIS Benchmarks aktualisiert

Die Benchmarks des gemeinnützigen Center for Internet Security (CIS) haben sich zu Best Practices für die Härtung von Systemen aller Arten entwickelt. Über 100 Benchmarks von Docker bis Juniper helfen dabei, eine sichere Baseline zu setzen oder aber zu auditieren. Nun sind die Benchmarks gerade alle aktualisiert worden und können hier abgerufen werden:

https://www.cisecurity.org/ 
 

Damit der Kuber net is: Kubernetes-Security-Tools

K8s (Kubernetes) hat sich zum de facto-Standard bei der Orchestrierung von Containern entwickelt. Die Sicherheit derartiger Systeme ist jedoch noch nicht Allgemeinwissen. Nun wurden mit kube-scan und kccss zwei Tools für die Allgemeinheit bereitgestellt, die helfen, zumindest die automatisierbaren Aspekte der K8s-Sicherheit zu überprüfen.

https://techcrunch.com/2020/01/22/octarine-releases-open-source-security-scanning-tool-for-kubernetes/

https://www.heise.de/developer/meldung/Containerisierung-KCCSS-bewertet-die-Risiken-fuer-Kubernetes-4644164.html 
 

Signing Party verschoben: Microsoft verspricht und verschiebt LDAP Signing

Das Protokoll LDAP (Lightweight Directory Access Protocol) ist die Basis vieler kritischer Authentifizierungssysteme. So beruht unter anderem auch die Basis der Active Directory Services (ADS, oft einfach AD genannt) darauf. Bestimmte Angriffe auf die Authentifizierung lassen sich dadurch verhindern, dass Signaturen in LDAP eingeführt werden. In Windows ist dies bisher nicht der Fall.
Microsoft war mit der Ankündigung vorgeprescht, LDAP Signing ab März zum Standard zu machen – und ruderte kurze Zeit später wieder zurück. Wohl aufgrund des Aufschreis bestimmter Nutzergruppen, die um die Kompatibilität ihrer Legacy-Systeme fürchten, wurde das Sicherheitsfeature nun auf die zweite Jahreshälfte 2020 verschoben.
Der folgende Beitrag beschreibt, wie sich anhand der Event ID 2887 im Event Log der Domain Controller überprüfen lässt, ob die eigene Landschaft mit dem Change klarkommen würde. 

https://opensecurity.global/forums/topic/249-preventing-ldap-apocalypse-in-march-2020-ldap-signing-requirements/


40 nicht nett: „Private“ Schlüssel auf Fortinet Firewall

Der Firewallhersteller Fortinet hat auf seiner Appliance FortiSIEM, die für das Einsammeln und Auswerten von sicherheitsrelevanten Logdaten eingesetzt wird, einen für alle Geräte einheitlichen Schlüssel in der Firmware hardcodiert. Wer Zugang zu einem Gerät oder einem Firmware-Image hat, kann den Schlüssel extrahieren und sich damit auf allen Geräten dieser Serie anmelden - wenn auch nur mit eingeschränkten Berechtigungen. Diese reichen aber aus, um den Betrieb zu stören (Denial-of-Service) und gegebenenfalls weitere Angriffe zur Rechteerweiterung zu versuchen. 

https://fortiguard.com/psirt/FG-IR-19-296 
 

Lesetipps:

Nicht neutral

Washington Post und ZDF enthüllten, wie CIA und BND über Jahrzehnte die Mitarbeiter, Produkte und damit die weltweiten Kunden des Schweizer Krypto-Herstellers Crypto AG manipulierten und abhörten.

https://www.washingtonpost.com/graphics/2020/world/national-security/cia-crypto-encryption-machines-espionage/
 

Drei Ecken
Urgestein Ross Anderson über die Nachhaltigkeit von Security, Safety und Privacy beim Chaos Communication Congress 2019 (36c3).

https://media.ccc.de/v/36c3-10924-the_sustainability_of_safety_security_and_privacy#t=2049 


Zum Bärte raufen

Über den spannenden Generationen- und Philosophiekampf in der Unix-/Linux-Welt, welcher nicht zuletzt auch für die Security entscheidende Weichenstellungen bedeutet, berichtet:

https://www.heise.de/newsticker/meldung/FOSDEM-Die-Container-Revolution-ist-der-Alptraum-der-Unix-Graubaerte-4651575.html 


Nicht zum Lesen,

sondern zum Umschauen und Ausprobieren: Das Cryptomuseum lohnt einen Online-Besuch.

https://www.cryptomuseum.com/ 

 

Der nächste HiS-Cybersecurity Digest erscheint Mitte März 2020.

Jetzt abonnieren!

Lesen Sie hier auch alle HiS-Cybersecurity Digests der letzten Monate.

Kontaktieren Sie uns gern mit Rückfragen und Anregungen!

Jetzt teilen: