< Zurück
News

HiSolutions Cybersecurity Digest Juni 2021 veröffentlicht

Security Consulting , Cybersecurity Newsletter

Top Thema

Einmal lächeln bitte! Die Schnappschuss-Schädlingsfalle

Virenscanner sind zweischneidige Biester. Während sie zugegebenermaßen eine beeindruckende Anzahl bekannter Schädlinge wegfangen helfen können, verhalten sie sich selbst manchmal wie Malware: Mit Admin-Macht ausgestattet lesen und schreiben sie an allen möglichen Orten und haken sich in verschiedene Operationen des Betriebssystems ein. Ganz gruselig wird es in der Cloud: Hier müssen mit abenteuerlichen Rechten Agents verteilt werden, die dann aus /tmp ausgeführt werden, um sich danach selbst wieder zu löschen. Und auch wenn nichts schief geht dabei, nagt das Heer der Scanner an Leistung und Stabilität der Hosts.

Dabei ist das überhaupt nicht nötig. Die detektivische Arbeit des Scanners – Abgleich von Dateien mit bekannten Mustern – lässt sich sogar viel besser an statischen Daten machen. Und hier kann die Cloud ihre Stärke ausspielen. 

Neue Open Source Tools wie Patrolaroid können EC2-Instances und S3-Buckets snapshotten, die Snapshotdaten in Ruhe mit Yara-Regeln auf Kryptominer, Hintertüren und andere bekannte Fieslinge durchsuchen und am Ende den Snapshot wieder löschen, ohne dass die Produktion überhaupt irgendetwas mitbekommen hätte.

Ein solcher Game Changer scheint rückblickend naheliegend – und doch brauchte es 15 Jahre Cloud-Technologien und zwei geniale Köpfe wie Ryan Petrich und Kelly Shortridge, um die Idee zu entwickeln.

Das liegt vermutlich daran, dass drei Konzepte aus ganz unterschiedlichen Bereichen kreativ kombiniert werden mussten, um etwas Neues zu schaffen: Virenscanner (Security), Cloud (IT-Betrieb &  Ökonomie) und Snapshots (Backup). Das ist der Stoff, aus dem Innovationen sind.

https://github.com/rpetrich/patrolaroid 

 

Neuigkeiten

Not So Fastly! Edge-Ausfall legt Teile des Internets lahm

Bekannt ist, dass weite Teile des Internets von Google (u. a. DNS), Cloudflare (u a. Security), Akamai (DDoS-Schutz) oder Microsoft (Azure/Azure AD) abhängen. Manchmal gibt es allerdings Überraschungen, ohne wen wirklich nichts mehr geht. So geschehen am 8. Juni, als der nicht jedermann/-frau geläufige Dienstleister Fastly durch einen kleinen Bug für knapp eine Stunde die Grätsche machte.

Nun könnte man Fastly plump ein „CDN“ (Content Delivery Network) nennen, also einen Dienst, der häufig benötigte Dateien zum Download bereitstellt und so die Last von Webseiten nimmt. Dem Ausmaß des Ausfalls, der zweitweise unter anderem BBC, CNN und die New York Times hinwegraffte, wird man eher gerecht, wenn man Fastlys eigenem Marketing Claim folgt: „The edge cloud platform behind the best of the web“.

Während wir bei den großen Cloudanbietern wie Amazon, Microsoft und Google die Gefahren der Zentralisierung präsent haben, verlieren wir aus dem Blick, wie stark die Konzentration und damit Abhängigkeit im (auf Dauer datenintensiveren) Edge-Computing/Storage-Bereich geworden ist. Die Anbieter dort haben unsere Aufmerksamkeit verdient, nicht zuletzt auch in Bezug auf Security.

https://www.fastly.com/blog/summary-of-june-8-outage 

Pikanterweise hatten einige größere Kunden ihre betroffenen Websites flugs durch schnell zusammengetippte Google Docs ersetzt, um überhaupt erreichbar zu sein – und dabei vergessen, die Schreibrechte geeignet zu beschränken, was für Häme und Ironie sorgte.

https://twitter.com/ChrisSinjo/status/1402214570278768643 


HISOLUTIONS

HiSolutions Academy - Trainings für Ihre IT-Sicherheit!

In unseren HiSolutions Academy Trainings erlangen Sie und Ihre Mitarbeiter die erforderlichen Kenntnisse, um Sicherheitsmaßnahmen richtig zu verstehen und umsetzen zu können. Wissen aus Theorie und Praxis wird anschaulich miteinander vereint, um für die Teilnehmenden und Ihre Organisation einen nachhaltigen Mehrwert zu schaffen. 

Profitieren Sie vom interdisziplinären Wissensvorsprung unserer erfahrenen Spezialisten und von unserer langjährigen Projekterfahrung.

https://www.hisolutions.com/security-consulting/academy 


Nicht Wurst: Ransomware-Angriff auf Fleischkonzern

Nach dem spektakulären Angriff auf die größte Benzin-Pipeline der USA im Mai wurde in diesem Monat ein weiterer KRITIS-Sektor aufs Korn genommen: Systeme der amerikanischen Tochter des weltgrößten Fleischkonzerns JBS in den USA und in Australien wurden Opfer einer Ransomware-Attacke. Obwohl in diesem Fall Backups nicht betroffen gewesen sein sollen, entstanden Verzögerungen für Kunden und Zulieferer.

https://www.faz.net/aktuell/wirtschaft/unternehmen/weltgroesster-fleischkonzern-jbs-ziel-einer-hackerattacke-17368122.html 


Schwurbler veräppelt: Sperren Apple und Google Telegram-Kanäle?

Zwischen Volksverhetzern und dem Rechtsstaat läuft seit Jahren ein Katz- und Mausspiel: Ist der rechtliche Durchgriff auf eine Kommunikationsdrehscheibe möglich, ziehen einschlägige Verschwörungstheoretiker auf die nächste weiter. Insbesondere der Messaging-Anbieter Telegram ist zurzeit bekannt dafür, zweifelhaften Accounts eine Plattform zu bieten.

Nun ist deutlich geworden, dass die Smartphone-OS-Anbieter am längeren Hebel sitzen, wenn sie wollen (oder müssen). Zwischenzeitlich schien es, als hätten Apple und Google aufgrund von strafbarer Hetze den bei Telegram betriebenen privaten Kanal des zur Fahndung ausgeschriebenen Antisemiten und Verschwörungstheoretikers Attila Hildmann gesperrt. Wie sich später herausstellte, hatten die Hersteller von iOS und Android dann doch nicht den Schalter umgelegt, sondern Telegram durch Drohung mit dem Ausschluss aus App Store bzw. Play Store gezwungen, selbst den Stecker zu ziehen.

Laut Google wäre ein technischer Durchgriff auf Inhalte der App wie bestimmte Kanäle auch gar nicht möglich. Dies ist sicherlich nur richtig, wenn man Eingriffe nur bis zu einer bestimmten Tiefe in Betracht zieht.

So oder so zeigt der Vorgang, dass die Macht der Duopolisten aus Kalifornien sehr groß geworden ist und sich so schnell keine App wirklich unabhängig fühlen kann, möchte sie nicht den Ausschluss aus den beiden großen Ökosystemen riskieren.

https://www.tagesspiegel.de/politik/wegen-antisemitischer-hetze-apple-und-google-sperren-offenbar-zugriff-auf-hildmanns-telegram-kanal/27268154.html 


Die Dosenkost: DDoS-Angriff auf Fiducia & GAD

Server des Unternehmens Fiducia & GAD wurden nach eigenen Angaben des Unternehmens mit einer Distributed-Denial-of-Service-Attacke (DDoS) überzogen. Nach dem ersten Angriff auf das Rechenzentrum des IT-Dienstleisters in Karlsruhe erfolgte ein zweiter auf das Rechenzentrum in Münster. Bei den jeweils angeschlossenen Kreditinstituten seien die Bank-Webseiten oder das Onlinebanking nur unregelmäßig oder gar nicht erreichbar gewesen. Kunden konnten aber durchgängig Geld am Automaten abheben.

https://www.golem.de/news/fiducia-ddos-angriff-legt-onlinebanking-bei-volksbanken-lahm-2106-15704h0.html 

Derweil wurden dem taiwanesischen Chip- und Speicherhersteller ADATA durch die Ragnar Locker Ransomware-Gang 700 GB an Daten zu Erpressungszwecken entwendet.

https://www.bleepingcomputer.com/news/security/adata-suffers-700-gb-data-leak-in-ragnar-locker-ransomware-attack/ 


Wahl zur Miss Aligned: Cloud gewinnt

Security-Guru-Urgestein Bruce Schneier sieht im Geschäftsmodell der Cloud eine prinzipielle Schieflage zuungunsten der Nutzer.

Zum einen koste Sicherheit Geld, aber Auswirkungen von Sicherheitsschwankungen spürten weniger die Cloud-Provider, sondern vor allem deren Kunden. Nur selten werde klar kommuniziert, wessen Risikoprofil in die Bewertungsmaßstäbe eingegangen sei.

Zum zweiten seien Design Trade-Offs der Cloud meist nicht bekannt, daher das Risiko für die Nutzung nicht nachvollzieh- bzw. bewertbar.

Und zu guter Letzt sei Cybersicherheit eh schon komplex. Und „Cloud“ beinhalte eine Menge zusätzlicher und unbekannter Systeme, die immer enger miteinander verflochten werden.

https://www.schneier.com/blog/archives/2021/05/the-misaligned-incentives-for-cloud-security.html 


Sicher bauen 1: Supply chain Levels for Software Artifacts Framework (SLSA)

Google hat ein Framework zum Nachdenken über die Absicherung von Software in Lieferketten (SLSA) veröffentlicht. Hier werden Angriffsvektoren sowie Schutz- bzw. Vertrauensklassen definiert sowie ein gestaffeltes Modell von Maßnahmen für die unternehmensübergreifende Absicherung vorgeschlagen.

https://security.googleblog.com/2021/06/introducing-slsa-end-to-end-framework.html 


Sicher bauen 2: Top 20 Secure PLC Coding Practices Project

SPS – Speicherprogrammierbare Steuerungen – sind zwar Computer. Trotzdem unterscheidet sich die OT („Operational Technology“) in vielen Aspekten entscheidend von der IT. Das gilt insbesondere auf der maschinennahen Ebene des Shop Floor, auf denen SPS angesiedelt sind.

Daher gelten auch für Sicherheitsmaßnahmen andere Regeln, Grenzen und Empfehlungen.

In mühe- und liebevoller Kleinarbeit hat ein hoch angesehenes Team aus Expertinnen und Experten die wichtigsten Maßnahmen für sichere Entwicklung auf SPS zusammengetragen, bewertet und die Top 20 ausgewählt. Auf der Liste finden sich einige erwartbare Klassiker, aber auch jede Menge Überraschungen für diejenigen, die sich bisher hauptsächlich mit IT- oder aber noch gar nicht mit Security auseinandergesetzt haben.

https://gca.isa.org/blog/the-top-20-secure-plc-coding-practices-project 

 

Lesetipps

über den Security-Tellerrand.

  1. Politik und Wirtschaft: Was die EU tun muss, um nicht von Silicon Valley und China vollends abgehängt zu werden
    https://www.politico.eu/article/eu-silicon-valley-mariya-gabriel-european-commission/
     
  2. Technik: Was wir tun können, um unser persönliches *nix zu modernisieren
    https://github.com/ibraheemdev/modern-unix 

 

Der nächste HiSolutions-Cybersecurity Digest erscheint Ende Juli 2021.

Jetzt abonnieren!

Lesen Sie hier auch alle HiSolutions-Cybersecurity Digests der letzten Monate.

Kontaktieren Sie uns gern mit Rückfragen und Anregungen!

Jetzt teilen: