HiS-Cybersecurity Digest April 2017
Die Top Themen des letzten Monats: Schurken verschlüsseln jetzt auch, Schwachstellenreport 2016, Parteien, Ministerien und Uno ließen Daten ungeschützt im Netz, Public(!) Cloud, Wikileaks leakt CIA-Hacking-Tools, Krypto-Vorgaben des BSI, Google: Zertifikatsmassaker bei Symantec, Mobile Security: Apple, Samsung, Bundesverwaltung.
Top Thema
Denn sie wussten nicht, was sie taten: Innentäter wider Willen
Innentäter werden immer wieder als besonderes Risiko genannt, welchem häufig nicht genügend Beachtung geschenkt wird. Dabei dürfte der Schaden durch versehentliche Innen“täter“– also menschliches Versagen – in der Praxis sehr viel größer sein als der durch kriminelle Absicht verursachte. Die Wirtschaftswoche hat die spektakulärsten öffentlich bekannt gewordenen Fälle der letzten Jahre zusammengestellt. Darunter findet sich auch der Konfigurationsfehler eines erfahrenen Programmierers am Überweisungssystem der staatlichen Förderbank KfW, durch den im Februar 2017 mehrere Milliarden Euro irrtümlich vorübergehend an vier andere Banken überwiesen wurden.
Weiterlesen http://www.wiwo.de/unternehmen/industrie/menschliches-versagen-im-job-in-der-haut-dieser-mitarbeiter-will-niemand-stecken/19582572.html
Neuigkeiten im März:
Dürfen die das? Schurken verschlüsseln jetzt auch
Die kostenlose Open Source-Software „Let’s Encrypt“ (https://letsencrypt.org/) ermöglicht es jedem, allgemein anerkannte TLS-Zertifikate für seine Domains auszustellen. Rund um den Anbieter ist nun eine Diskussion entbrannt, ob damit nicht Betrug Tür und Tor geöffnet wird. Denn das vollautomatisierte Verfahren wird bereits auch von Cyberkriminellen verwendet, um Phishing-taugliche Domains wie www.paypal.de.evil.example.com mit Zertifikat und damit mit den begehrten vertrauensfördernden Symbolen wie etwa dem Schloss im Browser zu versehen. Der britische Sicherheitsforscher und TLS-Experte Scott Helme argumentiert in seinem Blogeintrag „Let's Encrypt are enabling the bad guys, and why they should“, dass dies kein Grund sein darf, „Let’s Encrypt“ zu beschränken und damit die Hürde für die TLS-Nutzung im Netz wieder zu erhöhen. Vielmehr liege das Problem bei der Mehrdeutigkeit der Browsersymbole. Das Schloss bedeutet nämlich gerade nicht, dass ich mich garantiert auf der Seite von PayPal befinde, sondern dass mit dem Inhaber des Zertifikats X verschlüsselt kommuniziert wird. Die weitere Verbreitung von Verschlüsselung im Netz hat viele Vorteile für die Sicherheit und darf nicht gebremst werden. Das Problem der Identifizierung muss anders gelöst werden.
https://scotthelme.co.uk/lets-encrypt-are-enabling-the-bad-guys-and-why-they-should/
--------------------------------------------------------------
HiSolutions:
Schwachstellenreport 2016
Der im April neu erschienene jährliche Bericht gibt Einblick in Resultate und Erkenntnisse der Penetrations- und Schwachstellentests, die im letzten Jahr in verschiedenen Kundenprojekten von HiSolutionsdurchgeführt wurden. Er gibt Aufschluss über besonders häufige sowie schwerwiegende Schwachstellen und verdeutlicht Entwicklungen und Trends der allgemeinen Sicherheitslage. Wichtigste Erkenntnisse aus 2016: Der Anteil von Tests mit schweren Befunden ist im Vergleich zum Vorjahr zwar gesunken (2016: 65 %, 2015: 67 %), der Anteil kritischer Befunde daran jedoch stark angestiegen (35 %) und nähert sich dem Höchststand von 2012 (damals 44 %). Die Prüfungen wurden auch 2016 in keinem Fall ohne Befunde abgeschlossen. Die häufigsten Lücken lassen sich auf unsichere Konfiguration sowie Offenlegung sensibler Informationen zurückführen.
> Zum kostenlosen Download
--------------------------------------------------------------
Aus den Wolken 1: Parteien, Ministerien und Uno ließen Daten ungeschützt im Netz
Eigene Cloudserver aufzusetzen ist einfach, sie sicher zu halten nicht unbedingt. Besonders eklatant waren die Sicherheitslücken bei der AfD, wo ein ungepatchter ownCloud-Server aus dem Jahr der Parteigründung 2013 lief. Erst auf den Hinweis des Anbieters Nextcloud selbst an das CERT des BSI hin aktualisierten etwa das Bundesinnenministerium, die CDU-nahe Konrad-Adenauer-Stiftung und die Landesregierung Nordrhein-Westfalen ihre Server.
http://www.spiegel.de/netzwelt/netzpolitik/afd-gruene-und-uno-lassen-daten-ungeschuetzt-im-internet-a-1137444.html
Unter https://scan.nextcloud.com/ lassen sich eigene Instanzen vonownCloud und Nextcloud automatisch auf häufige Sicherheitslücken wie veraltete Software oder Fehlkonfigurationen überprüfen. Noch mehr Sicherheit lässt sich durch einen professionellen Penetrationstest erhalten.
--------------------------------------------------------------
Aus den Wolken 2: Public(!) Cloud
Manchmal ist noch nicht einmal eine Sicherheitslücke nötig. Nutzer von Microsofts Dienst Docs.com teilten unwissentlich tausende teilweise sensible Dokumente mit aller Welt und den Suchmaschinen.
https://arstechnica.com/security/2017/03/doxed-by-microsofts-docs-com-users-unwittingly-shared-sensitive-docs-publicly/
--------------------------------------------------------------
Vault 7 statt Wolke 7: Wikileaks leakt CIA-Hacking-Tools
Am 7. März 2017 veröffentlichte Wikileaks den ersten Schwung aus einem großen Satz an Dokumenten, welche vermutlich ein Dienstleister der CIA gestohlen hat. „Vault 7“ beschreibt detailliert Techniken und Tools der elektronischen Überwachung und Cyberkriegsführung, insbesondere nach physischem Zugriff auf Geräte. Aus den Dokumenten wird deutlich, dass der Geheimdienst über Exploits für die meisten Systeme verfügt, von Smart-TVs bis iPhones. Eine wichtige Rolle spielt das Konsulat in Frankfurt am Main, aus welchem heraus ein größeres als Diplomaten getarntes Hackerteam operiert. Bemerkenswert ist die Bibliothek „UMBRAGE“, welche falsche Fährten in Bezug auf den Verursacher der Cyberangriffe legt. Für die CIA dürfte insbesondere Teil 3 des Leaks vom 31. März problematisch sein: Die Handschrift des hier enthaltenen Sourcecodes des Obfuskationstools „MARBLE“ kann helfen, aktuelle und vergangene Kampagnen der CIA zuzuordnen.
https://en.wikipedia.org/wiki/Vault_7/
https://www.nytimes.com/2017/03/08/us/wikileaks-cia.html
https://www.heise.de/security/meldung/Vault-7-Von-Wikileaks-veroeffentlichte-CIA-Werkzeuge-koennten-Geheimoperationen-enttarnen-3673845.html
--------------------------------------------------------------
Neues vom BSI: Krypto-Vorgaben
Zur CeBIT hat das BSI seine Empfehlungen für den sicheren Einsatz von TLS (TR-02102) aktualisiert und dabei die erforderlichen Parameter und Algorithmen an den aktuellen Stand der Technik angepasst. So wird z. B. deutlicher herausgestellt, dass die durch zwischenzeitlich neu entwickelte Angriffsverfahren stark geschwächte, aber immer noch verbreitete Hashfunktion SHA1 nicht mehr zum Einsatz kommen soll. Zudem wird ab 2023 das Sicherheitsniveau erhöht (auf 120 Bit effektive Schlüssellänge).
https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr02102/tr02102_node.html
Auch neue Versionen der TR-03116 (Teile 2-4) samt TLS-Checkliste für Diensteanbieter wurden veröffentlicht. Sie definieren Krypto-Vorgaben für Projekte der Bundesregierung, insbesondere für die Telematikinfrastruktur, hoheitliche Dokumente, Smart Metering und Kommunikationsverfahren in Anwendungen.
https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr03116/index_htm.html
--------------------------------------------------------------
Neues von Google: Zertifikatsmassaker bei Symantec
Immer wieder werden CAs – also Aussteller von Zertifikaten – fahrlässiger Praktiken überführt. Der Security-Riese Symantec hat es nun übertrieben und muss dafür büßen. Als Eigentümerin von u. a. VeriSign, GeoTrust, Thawte und RapidSSL kontrolliert Symantec nach unterschiedlichen Angaben indirekt bis zu 42 % der Zertifikate im Web. Seit Januar hatte das Team von Google Chrome, welches sich auch um die Sicherheit der Web-PKI kümmert, Symantecs Ausgabepraxis für Zertifikate untersucht. Was zunächst nach 127 missbräuchlich ausgestellten Zertifikaten aussah, stellte sich als ein Missbrauch der Vertrauensstellung der Symantec-Root-CAs bei über 30.000 Zertifikaten über Jahre hinweg heraus. Google beschränkt daher die Gültigkeit von Symantec-Zertifikaten in Chrome auf neun Monate oder weniger, entzieht aktuell gültigen Zertifikaten nach und nach das Vertrauen und nimmt Symantec die Möglichkeit, wertvollere sogenannte EV-Zertifikate (Extended Validation) zu verkaufen, mindestens für ein Jahr.
Dieser bisher beispiellose Fall zeigt einerseits, wie schwierig es ist, das Vertrauenssystem der PKI im Web zu bewahren, und andererseits, wie weit einige mächtige Player gehen, um es zu verteidigen. Symantec will auf die betroffenen Kunden zugehen.
https://groups.google.com/a/chromium.org/forum/#!topic/blink-dev/eUAKwjihhBs%5B1-25%5D/
https://arstechnica.com/security/2017/03/google-takes-symantec-to-the-woodshed-for-mis-issuing-30000-https-certs/
--------------------------------------------------------------
Mobile Security: Apple, Samsung, Bundesverwaltung
Apple hat ein umfangreiches Whitepaper „iOS Security“ für iOS 10 veröffentlicht, welches alle wesentlichen Sicherheitsfunktionen des iPhone bzw. iPad erläutert.
http://images.apple.com/business/docs/iOS_Security_Guide.pdf
Im Fall von Samsung ist es das BSI, welches die „Sicherheitsempfehlungen zur Konfiguration von Samsung Knox“ herausgibt. Das Dokument beschreibt mögliche Ansätze zur Absicherung und Konfiguration mittels der Knox-Funktionen und zeigt zwei beispielhafte MDMs mit empfehlenswerten Konfigurationsparametern.
https://www.bsi.bund.de/DE/Publikationen/Studien/Samsung_Knox/samsung_knox.html
Auch für die Bundesverwaltung selbst hat das BSI nun iOS-Devices zugelassen, sofern sie die Lösung „SecurePIM Government SDS“ des Herstellers Virtual Solution AG nutzen. So ergibt sich auch für Länder, Kommunen und KRITIS die Möglichkeit, iPhones und iPads mit SecurePIM in der vom BSI zugelassenen Variante für eingestufte Informationen zu nutzen. Bisher war der Betrieb von SecurePIM nur im Regierungsnetz IVBB möglich gewesen.
https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2017/SecurePIM_20032017.html
--------------------------------------------------------------
Das aufhaltsame Ende von Zeus. Anti-Botnetz-Operation
Anlässlich der möglichen Verwicklungen des berüchtigten russischen Cyberkriminellen Evgeniy Mikhailovich Bogachev in die Einmischung seines Landes in den amerikanischen Wahlkampf 2016 hat das Wired-Magazin die Geschichte des berühmten Botnetzes Zeus und seines Erfinders einmal in Gänze aufgeschrieben. Neben digitalem Bankraub größten Maßstabs informiert es sehr unterhaltsam über Spionage und die Professionalisierung von Cybercrime. Auch wenn Zeus 2014 weitgehend ausgehoben werden konnte, ist der Schöpfer bis heute nicht gefasst.
https://www.wired.com/2017/03/russian-hacker-spy-botnet/
--------------------------------------------------------------
Digitaler Bankraub die zweite: Nordkorea
Hacker aus Nordkorea wollten der Commerzbank Viren unterjubeln. Das Online-Magazin Motherboard bringt dazu eine schöne Zusammenfassung eines strukturierten und gezielten Angriffsplans auf die relevantesten Banken weltweit.
https://motherboard.vice.com/de/article/hacker-aus-nordkorea-wollten-der-commerzbank-viren-unterjubeln/
Zur Analyse von Symantec: https://www.symantec.com/connect/blogs/attackers-target-dozens-global-banks-new-malwaret/
--------------------------------------------------------------
60 Sekunden bis zum Meltdown: Wie lösche ich ein Rechenzentrum?
Auf der Security-Fachkonferenz Troopers in Heidelberg hat der Hacker Zoz Brooks Ideen vorgestellt, wie sich die kompletten Daten eines Rechenzentrums innerhalb einer Minute sicher vernichten lassen. Was sich im großen Maßstab als nicht trivial herausstellt: Naheliegende Verfahren wie Sprengstoff und Thermit-Schmelze haben schwerwiegende Nachteile. Vielversprechende Kandidaten für ein derartiges letztes Mittel sind vielmehr Sauerstoff, Plasmaschneider und Nagelpistolen.
https://www.golem.de/news/festplatten-zerstoeren-wie-man-in-60-sekunden-ein-datencenter-ausloescht-1703-126940.html
Der nächste HiS-Cybersecurity Digest erscheint Anfang Mai 2017.
Für Rückfragen und Anregungen kontaktieren Sie uns gern!
