< Zurück
News

HiS-Cybersecurity Digest Mai 2018 veröffentlicht

Security Consulting , Cybersecurity Newsletter

HiS-Cybersecurity Digest Mai 2018

Die Top Themen des letzten Monats: Gaslöschanlage beschädigt Rechenzentrum, Gefahr durch BGP Hijacking, erste Nur-HTTPS-Top-Level-Domain, neue EU-Kryptoempfehlungen.


Top Thema

Endlich Durchblick – Certificate Transparency ist jetzt Pflicht
Nach mehrmaligem Aufschub ist seit dem 30. April die sogenannte Certificate Transparency Pflicht – zumindest im Browser Chrome. Die anderen großen Browserhersteller folgen derartigen Ankündigungen jedoch häufig mit einer gewissen Verzögerung.
Die seit Jahren vorbereitete große Veränderung im „Ökosystem“ der Zertifikate im WWW bedeutet, dass alle öffentlich ausgegebenen Zertifikate in ein öffentlich verfügbares, unveränderliches Log protokolliert werden müssen. Dadurch kann jeder nachprüfen, ob für eine Domain weitere, ggf. unberechtigte Zertifikate ausgestellt wurden. Beim TLS-Handshake muss der Beweis, dass das Zertifikat geloggt wurde (sogenannte SCTs, Signed Certificate Timestamps), vom Server mit präsentiert werden. Die meisten CAs fügen diese neu bestellten Zertifikaten automatisch hinzu.
Da ältere Zertifikate noch nicht protokolliert werden mussten, kann ein Angreifer versuchen die Transparency dadurch zu umgehen, dass er ein betrügerisch erstelltes Zertifikat vor den 30. April 2018 rückdatiert. Als Gegenmaßnahme können Server wiederum einen „Expect-CT“-Header mitliefern, der die Browser anweist, keine intransparenten Zertifikate für diese Domain mehr zu akzeptieren.
Die Maßnahme dürfte einen wichtigen Baustein zur weiteren Stärkung der Web-PKI beitragen.
https://www.certificate-transparency.org/ 
> Weiterlesen https://www.heise.de/security/meldung/Chrome-Google-macht-Ernst-mit-Certificate-Transparency-4038968.html 


Neuigkeiten im Mai: 

Gespenster ohne Ende – Spectre NG
Schon im Januar, als die kritischen CPU-Schwachstellen Meltdown und Spectre enthüllt wurden, war klar, dass bestimmte Varianten schwer zu beheben sein würden. In Kürze werden nun voraussichtlich acht neue Varianten veröffentlicht, von denen Intel die Hälfte als hohes Risiko einstuft. Insbesondere eine dieser „Spectre NG“ (Next Generation) getauften Lücken könnte Angriffe auf Virtualisierungsinfrastrukturen stark vereinfachen. Bedroht sind vor allem Serversysteme im Cloud-Umfeld und andere Virtualisierungshosts. Auf Dauer scheint die Entwicklung alternativer, zunächst erst einmal deutlich weniger performanter Prozessoren zumindest für den Hochsicherheitsbereich unausweichlich.
https://www.heise.de/ct/artikel/Super-GAU-fuer-Intel-Weitere-Spectre-Luecken-im-Anflug-4039134.html 

-------------------------------------------------------------- 
Feuer? Wasser? Nein, zu laut – Gaslöschanlage beschädigt NASDAQ-Rechenzentrum
Gaslöschanlagen haben den großen Vorteil, dass Equipment nicht durch Löschwasser zerstört wird. Gleichwohl können sie der IT gefährlich werden, wenn sie nicht richtig kalibriert sind. Im folgenden Fall zerstörte eine Löschanlage bei einem Fehlalarm durch den Lärm der ausströmenden Gase zahlreiche Festplatten im Data Center der NASDAQ in Schweden. Ersatzserver mussten schnell aus dem Ausland eingeflogen werden, worauf der Handel erst fünf Stunden verspätet aufgenommen werden konnte.
https://www.bleepingcomputer.com/news/technology/loud-sound-from-fire-alarm-system-shuts-down-nasdaqs-scandinavian-data-center/ 

--------------------------------------------------------------
Kein rein akademisches Problem: Kryptowährungsdiebstahl durch BGP Hijacking
BGP (Border Gateway Protocol) ist das Protokoll, welches das Internet zusammenhält. Hier wird festgelegt, wie die Datenpakete ihren Weg zwischen verschiedenen Autonomen Systemen (AS, von verschiedenen Organisationen verwaltete Teile des Internets) finden. Die Angriffe auf BGP sind daher besonders mächtig, auch wenn sie bisher noch wenig Beachtung fanden. In diesem Fall gelang es Angreifern, einer größeren Zahl von Routern im Internet einen falschen Amazon AWS DNS-Server weiszumachen. Alle weiteren DNS-Server, die diesem glaubten, wurden folglich „vergiftet“ (DNS Poisoning) und schickten in diesem speziellen Fall ausschließlich Besucher der Seite „myetherwallet.com“ auf eine Phishing-Seite bei einem russischen Provider. Solange die Nutzer HTTPS nutzten, wurde immerhin eine Zertifikatswarnung angezeigt, sodass der Schaden durch Diebstähle beschränkt wurde. Das grundsätzliche Angriffsszenario wurde bereits 2015 auf der Konferenz Black Hat Briefings vorgestellt. Dieser Blogeintrag der Firma Cloudflare beschreibt den Fall im Detail und diskutiert die notwendigen komplexen Gegenmaßnahmen:
https://blog.cloudflare.com/bgp-leaks-and-crypto-currencies/ 

--------------------------------------------------------------
PKI killt Verfügbarkeit: Abgelaufenes Zertifikat legt Seiten mit jQuery lahm
JavaScript-Frameworks werden gerne von zentralen Servern eingebunden, statt sie selbst mit der Seite zu hosten. Das hat den Vorteil, jeweils aktuelle Versionen zu nutzen und spart eigenen Traffic. Dabei ist es ratsam, HTTPS zu benutzen, um das Einschleusen von schädlichem Code zu verhindern. Dies wird jedoch zum Problem, wenn das Zertifikat des die Bibliothek hostenden Servers abläuft. So geschehen beim beliebten jQuery auf der Seite code.jquery.com. Dies führte dazu, dass kurzfristig eine große Anzahl von Websites nicht mehr fehlerfrei geladen werden konnte. Schuld war in diesem Fall der Betreiber des CDN (Content Delivery Networks), welches von jQuery zur Entlastung der eigenen Server genutzt wird.
https://github.com/jquery/codeorigin.jquery.com/issues/34/ 

--------------------------------------------------------------
*.app*.app – Google schafft erste Nur-HTTPS-Top-Level-Domain
Die konzertierten Bemühungen, das gesamte Web in Richtung HTTPS zu bewegen, dauern an. Nun hat Google die Registrierung für die erste Top-Level-Domain (TLD) geöffnet, die HTTPS Strict Transport Security (HSTS) per Default mitbringt. Jede Domain mit der Endung „.app“ kommt automatisch auf die sogenannte HSTS Preload List. Das heißt, dass Chrome und andere wichtige Browser sich nur noch per HTTPS mit dieser Seite verbinden werden. Der Betreiber der Domain muss lediglich noch ein gültiges TLS-Zertifikat aufsetzen. Bisher war die Aufnahme in HSTS Preload-Listen ein aufwändiger Prozess und konnte sich deshalb nicht wirklich durchsetzen. Google hatte die Top-Level-Domain „.app“ Anfang 2015 für 25 Millionen US-Dollar gekauft. Dies war damals das bis dato bei weitem höchste Gebot bei einer TLD-Auktion der Internetverwaltung ICANN gewesen.
https://www.zdnet.com/article/google-our-new-app-domain-is-first-to-bake-in-https-to-make-browsing-safer/ 
Ob die eigene Domain HSTS-fähig ist, lässt sich hier prüfen: https://hstspreload.org/ 

--------------------------------------------------------------
Smart Does It Again: Neue EU-Kryptoempfehlungen
Nach vier Jahren wurde nun der Nachfolger des ENISA-Reports "Algorithms, key size and parameters report 2014" veröffentlicht. Unter wiederholter Leitung des britischen Kryptologen Nigel Smart haben Experten auf knapp 140 Seiten detaillierte Empfehlungen zu kryptographischen Algorithmen, Schlüssellängen und auch Protokollen bis hin zu WPA, UMTS, Bluetooth, ZigBee und EMV zusammengetragen und analysiert. Der praxisnahe wissenschaftliche Bericht enthält nichts grundlegend Überraschendes, geht aber in der Behandlung einiger Themen und Inhalte über nationale behördliche Standards hinaus.
http://www.ecrypt.eu.org/csa/documents/D5.4-FinalAlgKeySizeProt.pdf 

--------------------------------------------------------------
Unredlicher Retter? Consultant zahlt angeblich Ransom
Das FBI hat einen Fall behandelt, in dem ein Unternehmen einen Dienstleister angezeigt hat, weil er ein Honorar für die Behandlung eines Ransomware-Angriffs kassierte, im Hintergrund aber einfach (für weniger Geld) die Erpressungsforderung in Bitcoin beglichen haben soll, um die Daten wieder freizubekommen, ohne das Unternehmen jedoch zu informieren. Der Vorgang hat heftige ethische Diskussionen ausgelöst.
https://twitter.com/SeamusHughes/status/988487142363025409/ 


LESETIPPS

3x Twitter
Tweets umfassen zwar nur 140 bzw. inzwischen bis zu 280 Zeichen, trotzdem können sie ganze Geschichten umfassen, ob als Diskussionen, „Tweet-Storms“ oder einfach prägnante Perlen:

1. Das CISO-Spiel
Chris Sanders (@chrissanders88), Gründer der Sicherheitsfirma Applied Network Defense, hat auf Twitter ein Spiel vorgeschlagen: Stell Dir vor, Du wurdest als CISO einer Organisation mit 1.000 Mitarbeitern eingestellt, die über praktisch keine Security verfügt. Welche (am Markt erhältlichen) Sicherheitsmaßnahmen sind notwendig, um innerhalb von drei Jahren ein effektives Sicherheitsprogramm aufzubauen? 
https://twitter.com/chrissanders88/status/992085590563786753/ 
Die Antworten der Community samt Diskussionen sind allemal lesenswert, so etwa die von noch-Facebook-Sicherheitschef Alex Stamos https://twitter.com/alexstamos/status/992206933418430465/:
1.) Zentrales Cloud-SSO 
2.) 2-Faktor-Authentifizierung
3.) G Suite oder Office 365 anstatt Exchange
sowie über zugekaufte Services (“MSS”, Managed Security Provider)
4.) Cloud-SIEM
5.) Alle Logs dort hinein
6.) Antivirus/IDS auf allen Systemen mit Threat Feed
Dies ist zwar sicher nicht für jede Organisation passend, hieran lassen sich zumindest jedoch neue Trends und Bewegungen ablesen und gegen die eigene Strategie halten.

2. “Bulls*-Meter”
Das Diskrete Logarithmus-Problem in einem (frechen) Tweet zu erklären, schafft nur der kanadisch-russische Entwickler Vitalik Buterin (@VitalikButerin), Mastermind hinter der Kryptowährung Ethereum. In seinem Livekommentar zur Kryptowährungskonferenz Deconomy ließ er sich zu folgender Beschimpfung hinreißen: „My bulls*** meter is spinning so fast that figuring out the next time it will hit zero *is* a hard discrete log problem.” Abzüglich einiger mathematischer Details* hat er damit die Essenz des Problems auf den Punkt gebracht, das hinter Algorithmen wie dem Diffie-Hellman-Schlüsselaustausch (DH) oder dem Digital Signature-Algorithmus (DSA) steht.
https://twitter.com/VitalikButerin/status/981086748087173120/ 
* Details: https://en.wikipedia.org/wiki/Discrete_logarithm/ 

3. Nukleare Supply Chain
Auch Kernkraftwerke sind nach Meinung der Beratungsfirma Dragos anfällig für Hackerangriffe - via ihrer Supply Chain. Zunehmend werden auch in diesem Bereich digitale und vernetzte Devices eingesetzt, die eigentlich für andere Anwendungsfälle konstruiert wurden. Gleichzeitig fehlt im Nuklearsektor aufgrund fester Vorgaben und Prozesse die Agilität und Flexibilität für den Umgang mit dynamischen Risiken. 
https://motherboard.vice.com/en_us/article/mbxy33/cyberattacks-nuclear-supply-chain/ 
(via Ex-NSA-Analyst und Firmengründer Robert Lee, https://twitter.com/RobertMLee/status/990549840634540032/)


Der nächste HiS-Cybersecurity Digest erscheint Mitte Juni 2018.

Lesen Sie hier auch alle HiS-Cybersecurity Digests der letzten Monate:
Übersicht aller bisher erschienenen HiS-Cybersecurity Digests.

Für Rückfragen und Anregungen kontaktieren Sie uns gern!

Jetzt teilen: