Top Thema
Paging Münchhausen – Cloud braucht Cloud
Am 2. Juni standen weite Teile der Google Cloud für bis zu vier Stunden still. Dass Google damit die Jahres-SLAs gerissen hat, ist nur ein Teil des Problems, schließlich kamen und kommen Downtimes auch in selbstbetriebener IT immer wieder vor. Bedenklich ist vielmehr, dass es zu einem derart langen länderübergreifenden Ausfall kommen konnte, obwohl Google derart viel in Redundanz, Notfallplanung und Desaster Recovery investiert. Und zwar technisch wie konzeptionell. Nach ersterem Maßstab hat sich der Betreiber nicht viel vorzuwerfen, denn der Root-Cause war eine schwer vorauszusehende Interaktion drei verschiedener Bugs. Das Problem war schnell erkannt, verstanden und die Lösung schnell entworfen.
Allerdings gibt es zwei große Lessons Learned hier (für Google wie für die Kunden der großen Cloudanbieter): Erstens, die komplexen internen Abhängigkeiten der Gesamtsysteme, die Cloud-Dienste/-Rechenzentren/-Angebote darstellen, sind noch nicht ausreichend verstanden. Denn erst beim Incident-Handling fiel auf, dass man zur Behebung des Problems die, *tada*, Google Cloud benötigt, welche ja gerade nicht verfügbar war. Es fehlt also noch die Fähigkeit eines Baron Münchhausen, sich am eigenen Schopf aus dem Sumpf zu ziehen, sogenanntes Bootstrapping, im Energiesektor als Schwarzstartfähigkeit bekannt. Eine solche vorrätig zu halten, kostet Geld, was dem Kostendruck in der Cloud zuwiderläuft.
Das zweite Thema ist noch eine Ebene prinzipieller: Die großen Kosten- und Effizienzvorteile erzielt man im Cloud-Computing durch weitgehende Automatisierung – und die braucht als Basis Mono- oder zumindest Oligokulturen. Wie in der industriellen Landwirtschaft steigt mit der Effizienz hierbei auch das Risiko, dass ein einzelner Schädling/eine einzelne Schwachstelle/Bug/Fehlkonfiguration ganze Landstriche verwüsten und Hungersnöte auslösen kann. Meist wird man dies mittels viel Chemie unter Kontrolle halten können – was aber wieder nur das Risiko konzentriert und vertagt.
Sicher ist: Das dicke Ende kommt noch – und wir tun uns auf Dauer keinen Gefallen, wenn wir die Auseinandersetzung damit einfach nur in die Zukunft verschieben.
Zum Thema Cloud Security empfehle ich unseren aktuellen Webcast „Wege in die Cloud – aber sicher!"
Neuigkeiten
Hitting Home Hard: Emotet sucht Heise heim
Was für die Mitarbeiter und Administratoren von Heise – Heimat von iX, c’t, Heise Online, Telepolis und vielen anderen Medien, die die IT-Branche in Deutschland seit Jahrzehnten prägen – ein Fluch war, ist für die Leser ein Segen: Anfang Juni erlitt der Verlag einen schwerwiegenden Befall der momentan vermutlich gefährlichsten Schadsoftware Emotet. Denn die wackeren Journalisten machten nicht nur Überstunden, um des Incidents Herr zu werden, sondern berichteten auch ausführlich und detailliert darüber, auf dass andere die Chance haben, selbigen zu vermeiden. Interessant ist vor allem, welche grundlegende Umstrukturierung der IT-Infrastruktur aufgrund des Vorfalls beschlossen wurde: Hier könnten sich viele Unternehmen durchaus etwas abgucken.
https://www.heise.de/ct/artikel/Trojaner-Befall-Emotet-bei-Heise-4437807.html
HiSolutions kennt das Vorgehen der Emotet-Gang aus eigenen Erfahrungen im Rahmen der Cyber Response. Der Heise-Vorfall repräsentiert dabei einen durchaus typischen Angriff, wie wir sie seit Ende letzten Jahres verstärkt beobachten konnten. Ziele sind dabei Unternehmen aus allen Branchen, von der Arzt- und Anwaltspraxis bis hin zum Industrieunternehmen.
HISOLUTIONS
HiSolutions ist qualifizierter APT-Response-Dienstleister
Das BSI hat Ende Mai eine Liste von Dienstleistern veröffentlicht, die bei sogenannten APTs (Advanced Persistent Threats) zu Hilfe gerufen werden können. Anhand der Liste geeigneter Dienstleister und der transparenten Gestaltung der Auswahlkriterien werden Unternehmen im Sinne von § 3 BSI-Gesetz in die Lage versetzt, im Fall von oder bei Verdacht auf einen derartigen gezielten Angriff geeignete Unterstützung durch externe Experten anzufordern.
https://www.hisolutions.com/detail/bsi-weist-hisolutions-als-qualifizierten-apt-response-dienstleister-aus/
Leicht umzuhauen: Wattebäusche auf Firewalls
Einem DDoS-Tester ist laut eigener Aussage aufgefallen, dass man „große“ Firewalls vieler Hersteller mit TCP-Datenmüll komplett überlasten kann, dessen Bandbreite lediglich 1-2 % dessen beträgt, was die Firewall eigentlich verarbeiten könnte. Teure DDoS-Attacken kommen so bei Kosten von unter 5 Euro im Monat in die Reichweite von Script-Kiddies und anderen ressourcenarmen Akteuren. Der Mechanismus dahinter scheint noch nicht verstanden zu sein, und die Hersteller haben wohl noch nicht reagiert. Zumindest liefert der Blogeintrag aber ein Testskript (Einzeiler), mit dem das eigene Firewall-Cluster geprüft werden kann, sowie eine Liste von Herstellern, die nicht betroffen sind.
https://www.secjuice.com/rubber-bands-and-firewalls/
Nicht billig: Augenzeugenbericht SIM Port Hack
Zwei-Faktor-Authentifizierung ist eine gute Sache – wenn der zweite Faktor nicht leicht zu stehlen ist. Leider werden SIM-Port-Angriffe, also die Übernahme der Rufnummer durch Angreifer via Standardprozesse der Mobilfunkanbieter, immer häufiger. Dies erzählt der Augenzeugenbericht eines Kryptowährungsbesitzers („teuerste Lektion meines Lebens“).
https://medium.com/coinmonks/the-most-expensive-lesson-of-my-life-details-of-sim-port-hack-35de11517124?sk=4c29b27bacb2eff038ec8fe4d40cd615
Nicht totzukriegen: Der Traum von sicherer E-Mail
Google hat angekündigt, dass der sogenannte „Confidential Mode“ zukünftig für alle Nutzer von Gmail verfügbar ist. Die Funktion erlaubt ein Rechtemanagement, über das beispielsweise E-Mails mit einem Ablaufdatum versehen werden können, sowie das Zurückziehen bereits gesendeter Nachrichten. Weiterhin soll es auch möglich sein, zusätzliche Authentifizierung zum Lesen einer Nachricht einzufordern.
Experten sehen dies kritisch, da bestimmte Angriffsvektoren wie Zwischenspeichern oder Screenshots prinzipiell schwer zu verhindern sind bzw. in der Regel ein Trade-Off zwischen verschiedenen Sicherheitszielen wie Vertraulichkeit und Verfügbarkeit notwendig ist. Trotzdem ist es wichtig, weiter an der Absicherung von E-Mails zu arbeiten, wird uns dieses besonders unsichere Kommunikationsmedium doch noch geraume Zeit weiter begleiten.
https://gsuiteupdates.googleblog.com/2019/05/gmail-confidential-mode-launching-on-by.html
Nicht witzig: Google sperrt Adblocker aus
Google hat vor, die technische Grundlage von Adblockern wie uBlock Origin, uMatrix und Privacy Badger im Chrome-Browser stark zu beschneiden. Nach Angaben des Konzerns ist dies geplant, um die Leistung zu verbessern. Der Mutterkonzern Alphabet nennt Werbeblocker allerdings eine Bedrohung für Googles Geschäftsmodell. Neben den datenschutzrechtlichen Problemen von Online-Werbung allgemein und kartellrechtlichen Fragen im Besonderen ist aus Security-Sicht vor allem problematisch, dass mit den Adblockern auch eine wichtige Schutzfunktion gegen eingeschleusten Code verschwinden könnte.
https://www.heise.de/newsticker/meldung/Google-provoziert-Unmut-mit-geplanter-Aenderungen-fuer-Adblocker-in-Chrome-4435601.html
Inzwischen musste Google bereits Zugeständnisse machen: https://www.heise.de/newsticker/meldung/Chrome-Erweiterungen-Google-macht-Zugestaendnis-im-Werbeblocker-Streit-4445967.html
Nicht rückholbar: Biometrische Daten gestohlen
Als Vorteil für Biometrie wird immer die Usability genannt: Finger, Iris, Gesicht haben wir immer dabei und können sie nie vergessen oder verlegen. Die Schattenseite ist allerdings, dass einmal entwendete biometrische Daten unweigerlich verbrannt sind, da ich sie nicht ändern kann. Nun hat die Washington Post enthüllt, dass bei einem Cyberangriff auf einen Dienstleister der US-Grenzschutzbehörde CBP biometrische Fotos (und Nummernschilder) von bis zu 100.000 Reisenden abgezogen wurden. Die Daten standen im Darknet zum Verkauf.
https://www.golem.de/news/us-grenzschutz-datenleck-bei-einreisefotos-und-nummernschildern-1906-141806.html
Nicht möglich? SQL-Lücke in NoSQL-Datenbank
Bei einem Penetrationstest stießen HiSolutions-Sicherheitsberater auf eine Injection-Schwachstelle im NoSQL-Datenbank-Produkt Couchbase Sync Gateway. Durch diese ließen sich im ersten Schritt Statements der Sprache N1QL - eine Verbindung von SQL und JSON - injizieren. Im zweiten Schritt konnten so klassische SQL-Angriffs-Snippets wie "UNION ALL SELECT ..." an die Datenbank weitergereicht werden, um etwa massenhaft Werte auszulesen. Die kritische Schwachstelle wurde in Version v2.5 und v2.1.3 behoben – alle Nutzer sollten die Patches installieren. Unser Security-Advisory (CVE-2019-9039):
https://research.hisolutions.com/2019/06/n1ql-injection-in-couchbase-sync-gateway-cve-2019-9039/
Ich Cyberwar’s nicht: US-Offensivmaßnahmen gegen Grids werden verschärft
Etwas verworren sind noch die Berichte und Spekulationen um angeblich akut zunehmende Offensivmaßnahmen der US-Administration in Richtung der russischen Stromnetze. Unstrittig ist, dass seit Jahren mehrere Länder – ganz vorne mit dabei die USA – im Bereich offensive Cyberfähigkeiten aufrüsten. Nun berichtet die New York Times über eine im letzten Sommer fast unbemerkt im Kongress verabschiedete Änderung der Military Authorization Bill. Demnach kann die „routinemäßige Durchführung versteckter militärischer Aktivität im Cyberspace zur Abschreckung, Sicherung oder Verteidigung gegen Angriffe oder bösartige Cyberaktivitäten gegen die Vereinigten Staaten“ durch den Verteidigungsminister autorisiert werden, ohne den Präsidenten einzubinden.
Die aktuellen Cyber-Operationen gegen den Iran werden Thema des nächsten Digest sein.
https://www.nytimes.com/2019/06/15/us/politics/trump-cyber-russia-grid.html
Not OK Computer: Radiohead gehackt
Was tut die Band Radiohead, als ihre PCs gehackt und das MiniDisc-Archiv – die etwas Älteren unter uns erinnern sich vielleicht – abgezogen wird, mit dem Zweck, die berühmte Band um 150.000 US-Dollar zu erpressen? Kreative Flucht nach vorne: Die 18 Stunden bisher unveröffentlichten Rohmaterials kann man sich jetzt (bis Ende des Monats) ganz legal für 18 britische Pfund kaufen – und sämtliche Erlöse gehen an die Klimaschutzorganisation Extinction Rebellion.
https://twitter.com/JnnyG/status/1138403690350596098
Im selben Geiste veröffentlichte die Schauspielerin Bella Thorne vor einigen Tagen Nacktfotos lieber selbst, anstatt sich einem Erpresser zu beugen: „Ich werde heute Nacht besser schlafen können, denn ich habe die Macht über mein Leben zurück.“
https://www.derwesten.de/panorama/bella-thorne-schauspielerin-wird-mit-nacktfotos-erpresst-krasse-reaktion-id226195883.html
Auch für Unternehmen gibt es Situationen, in denen es im Sinne des Krisenmanagements geraten ist, offensiv an die Öffentlichkeit zu gehen – es müssen ja nicht gleich Nacktfotos sein.
Lesetipps
Not Just Someone Else’s Computer
Angesichts der neuen Cloud-Meldungen und der Nicht-Totkriegbarkeit des Spruchs „Cloud ist nur Somebody Else’s Computers“ lohnt sich noch einmal das Nachlesen eines Beitrags auf ZDNet von 2016, warum Cloud eben doch mehr – und vor allem anders – ist.
https://www.zdnet.com/article/stop-saying-the-cloud-is-just-someone-elses-computer-because-its-not/
Auch nicht totzukriegen: Blockchain-Revival
Nach dem letzten großen Crash von Bitcoin und Co. Ende 2017 hatten viele Beobachter Kryptowährungen und meist auch gleich Blockchain als Konzept abgeschrieben. Nun hat das BSI eine umfassende Analyse der Blockchain-Technologie veröffentlicht. Schwerpunkt der Betrachtung sind die Sicherheitseigenschaften, aber auch die Auswirkungen der technischen Grundkonzeption etwa auf Effizienz und Datenschutz sowie der aktuelle Rechtsrahmen.
https://www.bsi.bund.de/DE/Themen/Kryptografie_Kryptotechnologie/Kryptografie/Blockchain/blockchain_node.html
Dies kommt (zufällig!) passgenau zur Ankündigung der Firma Facebook, eine eigene Kryptowährung zu schaffen. Die Einschätzung der Fachwelt zu „Libra“ reichen von interessant (viele ungewöhnliche Eigenschaften, aber keine Kryptowährung) bis vernichtend: "Can't wait for a cryptocurrency with the ethics of Uber, the censorship resistance of Paypal, and the centralization of Visa, all tied together under the proven privacy of Facebook." (https://twitter.com/sarahjamielewis/status/1139429913922957312)
Hier eine Kurzanalyse von Sicherheitsguru Robert Graham: https://twitter.com/erratarob/status/1141070089971802112
Ewig blau: Kollateralschäden der NSA
Das der NSA 2017 abhandengekommene Angriffswerkzeug EternalBlue hat vermutlich einen deutlich größeren Schaden für die USA (und viele andere Länder) verursacht als das öffentlich weit bekanntere Leak der Dokumente durch Edward Snowden 2013. Der New York Times-Bericht zeichnet den Weg der Zerstörung nach, die hätte verhindert werden können, wenn die NSA die Schwachstelle frühzeitig an Microsoft gemeldet hätte.
https://www.nytimes.com/2019/05/25/us/nsa-hacking-tool-baltimore.html
Das kosmische Hintergrundrauschen der IT
Unendliche Weiten … Manchmal nähern sich IT und Security kosmischen Dimensionen an. Beim Thema Hintergrundrauschen etwa: Liefert uns dieses in der Physik Hinweise auf die Entstehung des Universums, so kann die Beobachtung der „Internet Background Radiation“ – also desjenigen Internetverkehrs, der in ungenutzten Adressbereichen aufschlägt – Rückschlüsse auf große Ausfälle und Fehlkonfigurationen im Netz ermöglichen. Welten, die noch nie ein Mensch erblickt hat.
https://arxiv.org/pdf/1906.04426.pdf
---------------------------------------------------------------
Der nächste HiSolutions Cybersecurity Digest erscheint Mitte Juli 2019
Lesen Sie hier auch alle HiSolutions Cybersecurity Digests der letzten Monate.
Kontaktieren Sie uns gern mit Rückfragen und Anregungen!