< Zurück
News

HiS-Cybersecurity Digest März 2017 veröffentlicht

Security Consulting , Cybersecurity Newsletter

HiS-Cybersecurity Digest März 2017

Die Top Themen des letzten Monats: SHAttered: SHA-1 ist gebrochen, Cloudbleed: Cloudflare verstreute geheime und private Daten im Internet, BSI legt Grundstein für Prüfungen gemäß IT-Sicherheitsgesetz, Cyber im Wahljahr: Parteien aufgerufen, sich zu schützen, Ama-gone: Die Welt am Tropf der großen Cloud-Dienstleister, Kosten eines Hackerangriffs: USD 364 Mio., Heute vor 25 Jahren: Warten auf Michelangelo.


Top Thema

SHAttered! Auf Kollisionskurs: Der Hash-Algorithmus SHA-1 ist gebrochen 
Zwei Kryptologen des staatlichen niederländischen Forschungsinstituts CWI veröffentlichten im Februar gemeinsam mit Google die erste Kollision für den weit verbreiteten Hashalgorithmus SHA-1: Zwei unterschiedliche PDF-Dokumente, welche denselben SHA-1-Hash besitzen. Eine solche Kollision ist als Todesstoß für ein Hashverfahren anzusehen, da Hashes aufgrund ihrer eigentlichen Kollisionsresistenz etwa für Email-Signaturen, Signaturen von Softwarepaketen und -updates, die Integrität von Backups und Code (Git etc.) oder Speicherdeduplizierung in der Cloud genutzt werden.

SHA-1 stammt von 1993 und galt spätestens seit 2005 als angeschlagen. Der Versuch großer Browserhersteller und anderer Akteure, das Verfahren durch modernere Hashalgorithmen zu ersetzen, erwies sich jedoch als hartnäckiges Problem.

Obwohl diese, aktuell sehr spezielle Kollision zudem durch geeigneten Code detektiert werden kann, hat sie trotzdem bereits gravierende Auswirkungen auf Systeme, die sich auf die Eindeutigkeit von Dateien mit unterschiedlichen Hashes verlassen. Große Repositories des Source-Control-Systems SVN wurden so bereits lahmgelegt. Auch auf Bitcoin wurden bereits mögliche Angriffe erdacht (https://biterrant.io/). Darüber hinaus schlummern SHA-1-Hashes an vielen weiteren Stellen wie etwa auch in Hardware (Router, IoT).


Neuigkeiten im Februar:

SHAttered: Folgen und Gegenmaßnahmen
Es ist nur eine Frage der Zeit, bis der Angriff auf den Hashalgorithmus SHA-1 verallgemeinert werden kann. Voraussetzung: Eine gewisse Rechenkraft, die sich heute jedoch prinzipiell leicht anmieten lässt. Damit würden beliebige Dokumente, Codeblöcke oder digitale Unterschriften fälschbar. Die großen Browser wie Chrome und Firefox haben SHA-1 bereits zur Signatur von TLS-Zertifikaten verboten. Unternehmen und Behörden sollten dringend alle Verwendungen von SHA-1 in ihrer Organisation katalogisieren (wenn nicht bereits geschehen), analysieren und bewerten und nötigenfalls Gegenmaßnahmen ergreifen. Auch rückwirkend kann etwa für Archivdatenbestände eine Übersignatur notwendig werden. In jedem Fall sollte eine Migration zu sicheren Verfahren geplant werden. Bei Fragen, kontaktieren Sie uns gerne!
http://shattered.io/ 

--------------------------------------------------------------
Die Wolken bluteten: Cloudflare verstreute geheime und private Daten im Internet
Ein kompliziert zu entdeckendes und ebenso nichttrivial zu erklärendes Problem, welches bei bestimmten Features des Dienstleisters Cloudflare auftrat, sorgte mehrere Monate dafür, dass private und geheime Daten (einschließlich Cookies, Passwörtern etc.) in Antworten auf Requests mitgegeben wurden, welche nach ganz anderen Daten gefragt hatten. Pikanterweise betraf dies alle Cloudflare-Kunden, auch solche, die die speziellen Features gar nicht nutzten. Cloudflare, ein weltweit tätiger (D)DoS-Schutz-Anbieter, hat mehrere Millionen Webseiten unter seinem Schirm. Angelehnt an die Lücke "Heartbleed" der OpenSSL-Bibliothek (2014), wurde die aktuelle Lücke ufgrund ihrer Tragweite und strukturellen Verwandtheit "Cloudbleed" getauft. Entdeckt hat sie der Forscher Tavis Ormandy von Googles "Project Zero", der für das Aufspüren von Schwachstellen berüchtigt ist.

Das Hauptproblem: Antworten wurden mit geleakten Inhalten in Suchmaschinen, Proxies und vielen anderen Orten im Internet gecacht und sind kaum vollständig zu bereinigen. Die Arbeiten dazu dauern an, müssen aber unvollständig bleiben. Vorsichtige Stimmen empfehlen daher, sämtliche Passwörter(!) im WWW zu ändern, zumindest die der Dienste auf folgender Liste: 
https://github.com/pirate/sites-using-cloudflare/blob/master/README.md/

"Post-Mortem" (Analyse des Incidents) von Cloudflare: https://blog.cloudflare.com/incident-report-on-memory-leak-caused-by-cloudflare-parser-bug/ 
Details des Entdeckers: https://bugs.chromium.org/p/project-zero/issues/detail?id=1139 

--------------------------------------------------------------
HiSolutions: Schulung für angehende IT-Grundschutz-Auditoren
Die Anforderungen an die Personenzertifizierungen des BSI verpflichten angehende Auditteamleiter für ISO 27001 auf Basis IT-Grundschutz dazu, an einer mindestens dreitägigen IT-Grundschutzschulung teilzunehmen und eine entsprechende Abschlussprüfung zu bestehen. Unser neues Schulungsangebot vermittelt Grundlagen und praktische Anwendung des IT-Grundschutzes konform der Standards 100-1, 100-2 und 100-3. Der Schwerpunkt liegt auf der Vermittlung von Zertifizierungserfahrungen durch langjährig qualifizierte Trainer.
Produktblatt Schulung IT-Grundschutz in der Praxis fuer Auditoren 

--------------------------------------------------------------
HiSolutions: SenSchu-NEWSLETTER Informationssicherheit - Kontinuierliche Sensibilisierung und Schulung Ihrer Mitarbeiter 
Die kontinuierliche Sensibilisierung und Schulung Ihrer Mitarbeiter ist einer der entscheidendsten Faktoren für den Erfolg Ihres Informationssicherheitsmanagements. Der auf Ihr Unternehmen angepasste, im 2-monatigen Rhythmus erscheinende SenSchu-Newsletter umfasst professionell aufbereitete Informationen zu Kernthemen - insbesondere der ISO 27001 - und aktuelle Themen der Informationssicherheit, welche mit wenig Aufwand in Ihrer Organisation verteilt werden können.
Produktblatt Senschu-Newsletter

--------------------------------------------------------------
Drum prüfe, wer sich kritisch betätigt: BSI gestaltet Prüfungen nach IT-SiG aus
Betreiber kritischer Infrastruktur müssen sich zukünftig regelmäßig prüfen lassen und dabei nachweisen, Sicherheitsvorkehrungen gemäß dem Stand der Technik vorgenommen zu haben. Die ersten Schulungen für Prüfer machen klar, was das konkret bedeutet. Mehr dazu in folgendem Beitrag von Manuel Atug, Senior Manager bei der HiSolutions AG:
https://www.heise.de/security/meldung/BSI-legt-Grundstein-fuer-Pruefungen-gemaess-IT-Sicherheitsgesetz-3632463.html 

--------------------------------------------------------------
Cyber im Wahljahr: Parteien aufgerufen, sich zu schützen
Nach den Erfahrungen der Wahlkämpfe in den USA befürchtet das BSI im zwar nicht Super- (https://de.wikipedia.org/wiki/Superwahljahr/), doch aber wichtigen Wahljahr 2017, auch in Deutschland eine Zunahme von Cyberangriffen auf politische Institutionen wie Parteien und ruft zu besserem Schutz auf.
http://www.spiegel.de/netzwelt/netzpolitik/bundestagswahl-2017-bsi-chef-arne-schoenbohm-warnt-parteien-vor-hacker-angriffen-a-1136542.html 

--------------------------------------------------------------
Ama-gone: Die Welt am Tropf der großen Cloud-Dienstleister
Ein Ausfall des Amazon-Clouddienstes AWS (Amazon Web Services) an der Ostküste der USA Ende Februar hat die Gefahren des hohen Marktanteils weniger Player eindrücklich aufgezeigt: Der Tippfehler eines Amazon-Mitarbeiters hatte dazu geführt, dass neben einer sehr großen Anzahl weiterer internetbasierter Dienste u. a. 54 der 100 größten Onlinehändler stundenlang nicht oder kaum verfügbar waren.
http://www.zeit.de/digital/internet/2017-03/amazon-aws-s3-cloud-ausfall-infrastruktur-internet-der-dinge/ 

>>> Interessieren Sie sich für das Thema BCM (Business Continuity)? Abonnieren Sie unseren dedizierten zweimonatlichen HiS-BCM-News! Schreiben Sie dafür einfach an news@hisolutions.com, Stichwort „BCM-News“. Eine Übersicht aller bisher erschienenen HiS-BCM-News finden Sie hier: Infocenter

--------------------------------------------------------------
Kosten eines Hackerangriffs: USD 364 Mio.
Soviel – nämlich USD 14 Millionen an Prämie und Aktien für die Chefin Marissa Meyer und einen um USD 350 Mio. niedrigeren Preis beim Verkauf der Firma an Verizon – kostete Yahoo das Versäumnis, einem 2014 bemerkten Hackangriff auf 26 Nutzer weiter auf den Grund zu gehen. Dabei wurde übersehen, dass 2013 und 2014 die Daten von sage und schreibe 500 Millionen bzw. 1 Mrd. Yahoo-Nutzern gestohlen worden waren. Die Haftbarkeit des Top-Managements und die Marktwirksamkeit von Security-Incidents hat sich damit, zumindest in den USA, auf eine neue Stufe begeben. Die Kosten für die betroffenen Kunden sind hierbei noch nicht einmal mitgedacht.
https://www.heise.de/newsticker/meldung/Yahoo-Hacks-kosten-Chefin-Mayer-den-Bonus-3641917.html 

--------------------------------------------------------------
Heute vor 25 Jahren: Warten auf Michelangelo
Am 6. März 1992 - als Computerviren den meisten Menschen noch kein Begriff waren – sollte "Michelangelo" Millionen von Festplatten weltweit löschen. Warum es dazu nicht kam, beschreibt die aktuelle c't in einem schönen historischen Artikel. Zumindest wusste die Welt danach, was ein (Computer-)Virus ist.
https://www.heise.de/newsticker/meldung/25-Jahre-Michelangelo-Der-Tag-der-grossen-Virenpanik-3643630.html 


Der nächste HiS-Cybersecurity Digest erscheint Anfang April 2017.

Für Rückfragen und Anregungen kontaktieren Sie uns gern!

Jetzt teilen: