HiS-Cybersecurity Digest August 2017 veröffentlicht

HiS-Cybersecurity Digest August 2017

Die Top Themen des letzten Monats: Das Risiko liegt im Auge des Betrachters, Adobe Flash abgekündigt, IT-Grundschutz-Kompendium auf der Zielgeraden, Assessments des US ICS-CERT, B3S Wasser vom BSI akzeptiert, Atomkraftwerk angegriffen, Thermostate und Kaffee-Trojaner, Hack the Hacker back?, Unicode in URLs, Wie man heute ein Casino ausraubt.


Top Thema

Game of Pwns – das Risiko liegt im Auge des Betrachters
Die Höhe des tatsächlichen Schadens eines Leaks kann nur vom betroffenen Unternehmen selbst beurteilt werden. Es hängt stark davon ab, wie wertvoll die gestohlenen Daten für das Unternehmen sind. Dass es dabei nicht immer um personenbezogene Daten, Kreditkarteninformationen oder Pharmarezepte gehen muss, zeigt der neuste Angriff auf das amerikanische Medienunternehmen HBO. Bei einem Hack wurden 1,5 Terabyte an Daten entwendet, darunter das Skript einer neuen Game of Thrones-Folge. Dies ist jedoch nicht die erste unfreiwillige Veröffentlichung von Episoden von Serien oder Filmen. Zuletzt traf es die Netflix-Produktion Orange is the New Black. Neben HBO können wahrscheinlich Millionen von Fans weltweit am besten beurteilen, welche Gefahr es darstellt, wenn derartige Inhalte vorher bekannt werden. Interessant dürfte es allerdings sein, den zusätzlichen Werbeeffekt mit einzuberechnen, der durch den Cybervorfall entstanden ist.
https://www.golem.de/news/hack-game-of-thrones-skript-von-hbo-geleakt-1707-129228.html 


Neuigkeiten im Juli:

Stirb Langsam 2020 – Adobe Flash abgekündigt
Auch wenn es noch 3 ½ Jahre dauern wird: Adobe hat das viele Jahre lang im Internet prägende Multimediaformat Flash für Ende 2020 abgekündigt. „Endlich“, aus Sicherheitssicht, säumt doch eine lange Reihe von Sicherheitslücken die Geschichte der Technologie, welche sich häufig mit Java den Titel für das Haupteinfallstor für Angriffe beim Surfen teilte. Glücklicherweise stehen seit Jahren offene Nachfolger wie z. B. HTML5 bereit, welche von Anfang an mit Security-Gedanken konzipiert wurden.
https://blogs.adobe.com/conversations/2017/07/adobe-flash-update.html 

--------------------------------------------------------------

HiSolutions:
HiSolutions schult Auditoren der DQS 

Die Auditoren der Deutschen Gesellschaft zur Zertifizierung von Managementsystemen (DQS GmbH) sind seit Juli 2017 unter den ersten Auditoren für KRITIS-Unternehmen beim BSI gelistet. Im Rahmen einer zweitägigen Schulung haben die Auditoren für Informationssicherheits-Managementsysteme die Zusatzqualifikation „Spezielle Prüfverfahrenskompetenz für §8a BSIG“ nachgewiesen. Diese Zusatzqualifikation wird durch das BSI für prüfende Stellen und deren Auditoren zur Zertifizierung Kritischer Infrastrukturen empfohlen. Durchgeführt wurde die Schulung von der HiSolutions AG, einem der ersten vom BSI zugelassenen Schulungsanbiete.
http://www.dqs.de/index.php?id=892 

-------------------------------------------------------------- 
Endspurt – IT-Grundschutz-Kompendium auf der Zielgeraden
Der Final Draft des modernisierten IT-Grundschutz-Kompendiums soll zur Messe it-sa im November 2017 erscheinen. Von da an soll zum 1. Februar jeden Jahres die referenzierbare Version des IT-Grundschutzes für die Zertifizierung veröffentlicht werden. Anträge auf Zertifizierung nach dem neuen IT-Grundschutz (-Kompendium) sind ab 15. Oktober 2017 möglich. Bis 30. September 2018 (Stichtag) kann jedoch auch noch die Zertifizierung nach der 15. Ergänzungslieferung der bisherigen IT-Grundschutz-Kataloge beantragt werden. Zusätzlich gilt ein verlängerter Fristübergang, bei dem die 15. EL der IT-Grundschutz-Kataloge bis 30. September 2021 verwendet werden kann.
https://www.bsi.bund.de/DE/Themen/ITGrundschutz/IT-Grundschutz-Modernisierung/itgrundschutz_modernisierung_node.html 
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Veranstaltungen/Grundschutz/3GS-Tag_2017/Modernisierung.pdf?__blob=publicationFile&v=2 

--------------------------------------------------------------
Hack the Hacker back? Zip-Bomben gegen Vuln-Crawler
Der texanische Softwareentwickler Christian Haschek hatte eine Idee, wie man sich gegen Angriffe auf Webseiten verteidigen könnte. Statt Schwachstellenscanner zu blockieren, möchte er bei Anfragen nach nichtexistenten URLs oder bekannten Scanner-Clients wie nessus, nikto oder sqlmap eine geGZipte Datei voller Nullen ausliefern, welche sich auf Clientseite auf 10 GB im RAM expandiert. Abgesehen davon, dass dies nur gegen naive Angriffe von „Skript Kiddies“ helfen würde: Ob dies, angesichts der Möglichkeit, dass sich legitime Nutzer vertippen oder URLs versehentlich ins Leere weisen könnten, eine gute Idee ist, sei dahingestellt. Auch die Frage, ab wann §303 StGB (Computersabotage) gilt, dürfte spannend sein.
https://blog.haschek.at/2017/how-to-defend-your-website-with-zip-bombs.html 

--------------------------------------------------------------
Trauen Sie dem Schloss-Symbol? Unicode in URLs
URLs können neben ASCII-Zeichen auch weitere Sonderzeichen enthalten. Sicherheitsprobleme mit sogenannten Punycode-URLs, mit denen Unicode-Zeichen wie z. B. Umlaute in URLs dargestellt werden, sind bereits länger bekannt, weil damit gefälschte URLs erzeugt werden können, die vom Original schwer oder gar nicht zu unterscheiden sind. Nun wurde diese Idee noch weiter gesponnen, indem auch in Unicode darstellbare Icons in die URL aufgenommen werden, etwa das Schloss-Symbol. Steht dieses am Anfang eines Domain-Namens, könnte dies dem Nutzer ein gültiges Zertifikat vorgaukeln und damit Phishing zumindest erleichtern. Glücklicherweise stellen alle führenden Browser das Schloss am Anfang der URL nicht als Bild dar, sodass diesmal keine Sicherheitslücke bestand. Die Idee zeigt jedoch die Komplexität der Themen URL und Internationalisierung („i18n“).
https://nakedsecurity.sophos.com/2017/04/19/phishing-with-punycode-when-foreign-letters-spell-english-words/ 
https://www.virustotal.com/fr/url/a01120a6c58a9f78851b1c72b6b81f43684c98b3c3bba02d3304051ed3e515d4/analysis/1500326893/ 

-------------------------------------------------------------- 
CLOUD

Alles nur geCloud, Folge 275 – I/O-Quotas bei AWS
Der folgende Artikel beschreibt ein weiteres Beispiel dafür, dass der angebliche ökonomische Vorteil der (Public-)Cloud-Nutzung mit Vorsicht zu genießen ist. Im beschriebenen Fall bremsten harte I/O-Quotas der Storagedienste die Anwendung ab einer bestimmten Skalierung drastisch aus, was im Testbetrieb nie auffiel und nur durch die Buchung eines wesentlich teureren Tiers oder aber aufwändige Restrukturierung der Anwendungslogik vermieden werden konnte. Fazit des Experten: „Egal bei welchem Cloud-Anbieter, man zahlt, sowohl für Performance als auch dafür, dass sich das System deterministisch verhält.“
https://jeremyeder.com/2017/07/25/docker-operations-slowing-down-on-aws-this-time-its-not-dns/ 

--------------------------------------------------------------
KRITIS

Kritisch, kritischer, KRITIS – Assessments des US ICS-CERT
Gerade erschien die Auswertung der Audits, die das amerikanische ICS-CERT 2016 durchgeführt hat (insgesamt 130 Audits, davon 75 % in den Sektoren Energie oder Wasser). Dieser Bericht zeigt wichtige Trends auf. Dauerbrenner bleiben – wenig überraschend – Probleme mit „Boundary Protection“, also der Abschottung der Steuerungstechnik vom Officenetz und anderen aus Sicht der Automatisierung nicht vertrauenswürdigen Netzen. Interessant ist dabei, dass auch die fehlende Detektion von Vorfällen in den KRITIS-Systemen in diese Kategorie mit hineinzählt.
https://ics-cert.us-cert.gov/Assessments/ 

Wasser marsch – B3S Wasser vom BSI akzeptiert
Mit dem Branchenspezifischen Sicherheitsstandard (B3S) des Wassersektors hat das BSI erstmals einen Eignungsbescheid für den Branchenstandard einer kritischen Infrastruktur im Sinne des § 8a (2) BSI-Gesetz erteilt. Mit der Implementierung dieses Standards haben Wasserver- und entsorgungsunternehmen damit die Möglichkeit, die neuen gesetzlichen Verpflichtungen zu erfüllen. Andere Sektorverbände haben diesen Schritt noch vor sich. Der Branchenstandard besteht aus dem Merkblatt DVGW W 1060 bzw. DWA-M 1060 „IT-Sicherheit – Branchenstandard Wasser/Abwasser“ und einer Webanwendung namens „IT-Sicherheitsleitfaden“. Mittels derer können gemäß dem „Stand der Technik“ notwendige Sicherheitsmaßnahmen ermittelt werden. Noch wird am Nachweisverfahren gearbeitet, mit dem Unternehmen dem BSI gegenüber belegen können, dass die implementierten Schutzmaßnahmen den gesetzlichen Anforderungen nach § 8a (1) BSI-Gesetz entsprechen. Bezogen werden können Merkblatt und IT-Sicherheitsleitfaden voraussichtlich ab Ende August 2017.
https://www.dvgw.de/der-dvgw/aktuelles/presse/presseinformationen/dvgw-dwa-presseinformation-vom-01082017-branchenstandard-it-sicherheit/ 

Let’s Nuke’em? – Atomkraftwerk angegriffen 
Auch Atomkraftwerke werden schon angegriffen. Per gezieltem Spear-Phishing und sogenannten Watering-Hole-Attacken, einer Verseuchung typischerweise von Angestellten besuchter Webseiten, konnten Hacker die nicht zur direkten Steuerung eines AKW in Kansas benötigten Netze infiltrieren und kartieren. Vermutlich stehen staatliche oder staatlich finanzierte Akteure hinter dem aufwändigen Angriff.
http://www.spiegel.de/netzwelt/web/usa-hacker-attackieren-laut-zeitungsbericht-us-atomkraftwerke-a-1156447.html 

--------------------------------------------------------------
Internet of Things (IOT)

Killer-Thermostate und Kaffee-Trojaner
Auch andere Dinge sollten nicht leichtfertig vernetzt werden. Angreifer können sonst die Temperatur im Haus hochregeln – in diesem Fall nur auf „harmlose“ 35 °C – oder über eine Kaffeemaschine die Produktionslinie mit Ransomware verseuchen.
https://blog.newskysecurity.com/iot-thermostat-bug-allows-hackers-to-turn-up-the-heat-948e554e5e8b?gi=e3f209be60f7 
https://www.reddit.com/r/talesfromtechsupport/comments/6ovy0h/how_the_coffeemachine_took_down_a_factories/ 
Wirkliche Killer werden wir wohl auch demnächst erleben. Als Vorstufe dazu haben Sicherheitsforscher Autowaschanlagen präsentiert, die sich übers Internet dazu bewegen ließen, mit ihren Türen oder dem Wascharm auf Fahrzeuge oder Insassen einzuschlagen.
https://motherboard.vice.com/en_us/article/bjxe33/car-wash-hack-can-smash-vehicle-trap-passengers-douse-them-with-water/ 

Futter bei die Fische – Wie man heute ein Casino ausraubt
Angesichts allgegenwärtiger smartester Things braucht man heute keine Tunnel mehr zu graben, um ein Casino auszurauben. In diesem Fall war die automatische und aus dem Internet erreichbare Futternapfsteuerung des Aquariums der Angriffsvektor.
http://money.cnn.com/2017/07/19/technology/fish-tank-hack-darktrace/index.html 

-------------------------------------------------------------- 
LESETIPPS
In dieser Rubrik stellen wir Ihnen Interessantes zum Weiterlesen vor.

Philosophie
Sehr weit in die Grundlagen von Physik und Informatik geht folgender langer Blogeintrag des ebenfalls texanischen Quantenprofessors Scott Aaronson, bei dem es um die tiefere Bedeutung des Satzes „information is physical“ geht. 
http://www.scottaaronson.com/blog/?p=3327 

Übrigens auch sehenswert ist sein „Complexity Zoo“ (http://www.complexityzoo.com), eine Online-Enzyklopädie von über 500 Komplexitätsklassen der theoretischen Informatik.

Mathematik
Und sollte das als Urlaubslektüre nicht ausreichen, empfehle ich Ihnen den Kurzfilm „Triangle of Power“, welcher eine neue Schreibweise vorstellt und würdigt, die uns allen das Verständnis von und Rechnen mit Wurzeln, Potenzen und Logarithmen deutlich hätte erleichtern können.
https://twitter.com/VitalikButerin/status/882580697130483717/ 

Der nächste HiS-Cybersecurity Digest erscheint Anfang September 2017.

Für Rückfragen und Anregungen kontaktieren Sie uns gern!

Jetzt teilen: