HiS-Cybersecurity Digest November 2017 veröffentlicht

HiS-Cybersecurity Digest November 2017

Die Top Themen des letzten Monats: KRACK und DUHK, Krypto-GAU bei Outlook, Standardvertragsklauseln auf dem Prüfstand, Unklarheit bei Meldepflicht, Apples Face ID noch nicht sehr wählerisch.


Top Thema

DUHK Mc KRACKen – Hilfe, die Branded Vulns kommen!
„Branded Vulns“ bezeichnen sicherheitsrelevante Bugs, welche anstelle eines nackten technischen „CVE-2017-xxxx“ mit coolen Namen und witzigen Logos daherkommen. Sie sind kein neues Phänomen. Heartbleed war 2014 vermutlich die erste Sicherheitslücke, die es als Celebrity in die Massenmedien geschafft hat. Nicht alle, die es danach versucht haben, konnten an den Erfolg anknüpfen. Sie blieben entweder auf Fachmedien beschränkt (Shellshock, GHOST) oder versanken in der medialen Bedeutungslosigkeit (ImageTragick, DirtyCOW, Badlock), da sie den verlangten Hype nicht bedienen konnten. Als Ausnahme mag die „Kelly Family“ der Schwachstellen gelten, die TLS/SSL-Probleme DROWN, CRIME, BEAST, BREACH, FREAK, Logjam, Bar Mitzvah und SWEET32, welche eine Art Achtungserfolg im Serienbereich erspielen konnten. Zuletzt haben mit KRACK und DUHK zwei neue Lücken international Furore gemacht. Es besteht immer die Gefahr eines überzogenen Medienrummels und von Panikmache. Mit der medialen Präsenz steigt jedoch auch die Chance, sich wichtige Schwachstellen zu merken und in Zukunft möglicherweise vermeiden zu können.
https://nakedsecurity.sophos.com/2016/05/04/heartbleed-imagetragick-badlock-are-we-facing-a-named-vulnerability-backlash/ 


Neuigkeiten im Oktober:


KRYPTO

KRACK – Da war das WLAN kaputt
Mit der Ankündigung der neuen Angriffs- bzw. Schwachstellenklasse KRACK (Key Reinstallation Attacks) löste Mathy Vanhoef, Securityforscher an der belgischen KU Leuven, Mitte Oktober ein weltweites Echo à la „Oh mein Gott, jedes WLAN ist gebrochen!“ aus. Die anfängliche Panik war jedoch etwas überzogen. Im Kern geht es darum, dass Clients oder Access Points dazu gezwungen werden können, bestimmte Schlüssel zu verwenden, gerade weil sie dem WLAN-Standard 802.11 korrekt folgen. Dies kann ein Brechen der WLAN-Verschlüsselung ermöglichen. Die Angriffsmöglichkeiten und Auswirkungen auf unterschiedliche Systemtypen sind komplex. KRACK hat allein 10 verschiedenen CVE-Schwachstellenbezeichner erhalten. Linux und damit auch Android waren am stärksten betroffen. Inzwischen stehen viele Patche bereit. Es müssten jedoch sämtliche Clients und APs upgedatet werden, um alle Angriffsvarianten auszuschalten. Dies ist gerade für kleine, verteilte Geräte, wie sie als „IoT“ zu Millionen in unserem Alltag integriert sind, ein fast aussichtloses Unterfangen. Insgesamt unterstreicht der Vorfall einmal mehr die Notwendigkeit einer zusätzlichen Verschlüsselung auf Anwendungs- oder Transportebene, nicht nur, aber insbesondere wenn Funknetze zum Einsatz kommen.
https://www.krackattacks.com/ 

--------------------------------------------------------------
DUHK Dich – Hart kodierte Schlüssel im Anflug
Wenn der Name einer Schwachstelle ein einfaches Rezept für ihre Vermeidung buchstabiert, weiß ein Hersteller, dass er sich einen schweren Schnitzer geleistet hat. DUHK (Don’t Use Hard-coded Keys) etwa steht samt Entenlogo für den handwerklichen Fehler, im AES-basierten Zufallszahlengenerator aus dem amerikanischen Standard ANSI X9.31 fest einprogrammierte statt zufällig erzeugte Schlüssel als Seed zu verwenden. Die Kenntnis weniger Werte genügt in diesem Fall, um alle weiteren Schlüssel vorherzusagen. Die VPN-Verbindungen von 25.000 Fortinet-Geräten u. a. waren so etwa über Jahre sehr leicht knackbar. Dabei hatten Sicherheitsforscher bereits 1998 vor dem grundsätzlichen Problem gewarnt.
https://www.golem.de/news/duhk-angriff-vermurkster-zufallszahlengenerator-mit-zertifizierung-1710-130777.html 

--------------------------------------------------------------
Krypto-GAU bei Microsoft – Outlook enthielt versehentlich S/MIME-Placebo
Microsoft Outlook hat für mindestens ein halbes Jahr mittels S/MIME verschlüsselte E-Mails mit unverschlüsselten Klartextversionen „angereichert“ und damit die versprochene und vom jeweiligen Nutzer sicherlich mit Bedacht gewählte Vertraulichkeit komplett zerstört. Das Problem beschränkte sich glücklicherweise auf als „Plaintext“ formatierte E-Mails. HTML-Mails waren nicht betroffen. In Enterprise-Installationen hat Exchange den Klartextanteil darüber hinaus nach dem ersten Hop entfernt, sodass Ende-zu-Ende-Unsicherheit nur in typischen Kleininstallationen auf Basis von SMTP bestand. Trotzdem zeigt der Bug, dass fatale Risiken auch in Standardfunktionen von stark getesteter kommerzieller Software schlummern können. Entdeckt worden war die Schwachstelle nur zufällig, da eigentlich verschlüsselte E-Mails in OWA (Outlook Web Access) angezeigt wurden, was nicht hätte möglich sein dürfen.
https://www.sec-consult.com/en/blog/2017/10/fake-crypto-microsoft-outlook-smime-cleartext-disclosure-cve-2017-11776/index.html 


DATENSCHUTZ

3:0 für Max? Standardvertragsklauseln auf dem Prüfstand
Max Schrems, unter anderem dadurch bekannt, dass er sich einen Ausdruck all seiner Facebook-Daten besorgte und nach dessen Gerichtsverfahren das Safe Harbour-Abkommen annulliert wurde, hat irische Richter überzeugt, dass eine Weitergabe personenbezogener Daten in die USA auf Basis der Standardvertragsklauseln gegen das europäische Datenschutzrecht verstoßen könnte. Jetzt ist der EuGH am Zug.
https://www.heise.de/newsticker/meldung/Europaeischer-Gerichtshof-muss-erneut-ueber-Datenweitergabe-in-die-USA-entscheiden-3849184.html 


CLOUD

Zu viel Verfügbarkeit – Neue Cloud-Leaks
Vertraulichkeit in der Cloud ist ein komplexes Thema. Dies durfte diesmal der US-Medienriese Viacom erfahren, als in den Amazon Web Services (AWS) für alle Welt lesbar eine Datei mit Daten hunderter Tochterunternehmen inklusive MTV und Paramount auftauchte. Dafür legte die Technologieberatung Accenture hunderte Gigabyte von Kundendaten öffentlich zugreifbar in der Wolke ab.
https://www.infosecurity-magazine.com/news/viacom-aws-misconfig-exposes-it/ 
https://www.upguard.com/breaches/cloud-leak-accenture/ 


KRITIS

Soll ich’s wirklich melden oder lass ich’s lieber sein? Unklarheit bei Meldepflicht
Sechs Monate nach Inkrafttreten der Änderung der KRITIS-Verordnung müssen nun im Dezember auch KRITIS-Betreiber des zweiten Korbs dem BSI laut § 8b (3) BSIG eine Kontaktstelle benennen. Bei der Meldepflicht bestehen derweil nach wie vor Unsicherheiten. Diese war vor vier Monaten auf alle Energieversorger ausgeweitet worden. Aktuell ist jedoch unklar, ob die Meldepflicht wirklich auch auf die Nicht-KRITIS-Energieversorgungsnetzbetreiber durchschlägt.
https://xmera.de/meldepflicht-energieversorger/ 

--------------------------------------------------------------
Einmal abhängen, bitte! GitHub führt Dependency Graph ein
Es gibt auch gute Nachrichten im Land der Security: Die Firma GitHub, welche einen nicht unerheblichen Teil der weltweiten Open-Source-Projekte hostet, hat eine Funktion implementiert, welche das Nachverfolgen von Code-Zusammenhängen erlaubt. Der sogenannte Dependency Graph stellt Abhängigkeiten eines Projekts von bestimmten Bibliotheken und Paketen dar. Zukünftig sollen auch Schwachstellen darin erkannt und dargestellt werden können. Dies dürfte deutliche Auswirkungen auf die Softwarequalität und damit die Security einer Reihe von Schlüsselprojekten haben.
https://help.github.com/articles/listing-the-packages-that-a-repository-depends-on/ 

--------------------------------------------------------------
Makros waren gestern – DDE-Attacken im Vormarsch
Makros gelten als gefährlich, weil auf dem Rechner, auf dem ein Dokument geöffnet wird, damit auch bösartiger Code ausgeführt werden kann. Ist also alles gut, wenn Makros verboten sind oder nur solche von bestimmten Absendern geöffnet werden? Nicht ganz! Abgesehen von Schwachstellen in Office selbst, die wie in allen Programmen dazu führen können, dass ein Dokument die Kontrolle übernimmt, gibt es auch noch andere, „legale“ Wege, Code auszuführen. Dynamic Data Exchange (DDE) beispielsweise ist eine sehr alte Technik, um zwischen Anwendungen zu kommunizieren. Hierfür ist kein Makro nötig: Ein geschickter Feldname, den jeder per Copy&Paste einbauen kann, genügt. Auch in CSV-Dateien lassen sich trivial Kommandos verstecken, die beliebige Programme ausführen können. Es werden zwar lange, schwer verständliche Nachfragen angezeigt, die den Nutzer stutzig machen sollten. Das sind aber keine Sicherheitswarnungen im eigentlichen Sinne, da Microsoft das Ganze als Feature sieht und bis auf weiteres nicht patchen will. Das Problem ist eigentlich schon länger bekannt und wurde aktuell nur wiederentdeckt.
https://sensepost.com/blog/2017/macro-less-code-exec-in-msword/ 
http://georgemauer.net/2017/10/07/csv-injection.html 

--------------------------------------------------------------
Schau mir in die Augen, Siri! Apples Face ID noch nicht sehr wählerisch
Die Apple-Jüngerschaft feiert das neue iPhone X. Eins der neuen Features, Face ID, soll das Smartphone durch Anschauen entsperren. Was dabei schiefgehen kann? Mein Bruder kann mir beispielsweise so ähnlich sein, dass ihn das Telefon mit mir verwechselt und sich freiwillig öffnet. Mit den nächsten Generationen von iOS wird dies sicher verbessert. Es bleibt jedoch das Grundproblem aller Biometrie, dass sich einmal kompromittierte „Schlüssel“ nie wieder ändern lassen.
https://www.reddit.com/r/iphone/comments/7anj9f/iphonex_face_id_fail/ 


LESETIPPS
In dieser Rubrik stellen wir Ihnen interessante Beiträge zum Weiterlesen vor.

Incerto
Unsicherheit ist eines der großen Themen des libanesisch-amerikanischen Gelehrten und ehemaligen Fond-Managers Nassim Nicholas Taleb. Denjenigen, die dem Thema Risiko wirklich auf den Grund gehen möchten, empfiehlt sich die Sammlung „Incerto“ als ideale Lektüre für lange Herbstabende. Diese enthält die vier wichtigsten Bücher Talebs: „Fooled by Randomness“, „The Black Swan“ – welches als eines der einflussreichsten Sachbücher der Nachkriegszeit gilt –, „The Bed of Procrustes: Philosophical and Practical Aphorisms“ und „Antifragile: Things That Gain from Disorder“. Alternativ lassen sich viele seiner spannenden Gedanken in seinem Blog nachlesen: https://medium.com/incerto/ 

Sollten Sie nur Zeit für einen einzigen (längeren) Artikel haben, lesen Sie „The Logic of Risk Taking“! Ein Begriff von (nicht-)ergodischen Systemen kann wichtig sein, um ein tieferes Verständnis von Risiko( management) zu gewinnen: https://medium.com/incerto/the-logic-of-risk-taking-107bf41029d3/ 

Der nächste HiS-Cybersecurity Digest erscheint Anfang Dezember 2017.

Lesen Sie hier auch alle HiS-Cybersecurity Digests der letzten Monate: 
Übersicht aller bisher erschienenen HiS-Cybersecurity Digests.

Für Rückfragen und Anregungen kontaktieren Sie uns gern!

Jetzt teilen: