< Zurück
News

HiS-Cybersecurity Digest November 2018 veröffentlicht

Security Consulting , Cybersecurity Newsletter

Top Thema

Flache Verteidigung: Trügerische Festplattenverschlüsselung bei Self-Encrypting Drives und die Auswirkungen auf BitLocker 
Wissenschaftler der Radboud Universität in der holländischen Stadt Nimwegen haben entdeckt, dass die Hardware-Festplattenverschlüsselung bei einer Reihe von weit verbreiteten internen wie externen SSD-Festplatten – sogenannten SEDs (Self-Encrypting Drives) – u. a. der Hersteller Samsung und Crucial aufgrund von Fehlern in der Firmware praktisch wirkungslos ist. Patches stehen bereit. Allerdings liegen hier drei tiefere Probleme vor: Erstens, wie konnte derart sicherheitskritischer Code so fehlerhaft sein? Einerseits überrascht dies nicht, stellen doch aktuelle Firmwares komplexe Softwaregebilde dar, die zudem meist wenig kritische Begutachtung durch Dritte genießen können. Allerdings waren die Schwachstellen teilweise hanebüchen – 15 Minuten benötigten die beiden Forscher für die erste Kompromittierung. Hier stellt sich die Frage, wie Hardwarekomponenten an die entsprechenden Zertifizierungen von FIPS und Co. kommen konnten bzw. wie sich die Qualität an dieser Stelle nachweislich verbessern lässt.

Zweitens, der Fallout, also die direkten Nachwirkungen: Da aufgrund der Fehler schwache, zum Teil triviale Kryptoschlüssel verwendet worden sind, genügt es nicht, nur den Code auszutauschen. Außerdem müssen die Festplatten einmal komplett ent- und wieder neu verschlüsselt werden – entweder manuell, oder ggf. automatisch beim Firmware-Update, wenn dies angeboten wird. Oder man verzichtet zukünftig auf den zweifelhaften Schutz der Hardwareverschlüsselung und setzt auf Softwareverschlüsselung und/oder andere Maßnahmen. Die genannten Varianten decken jedoch weder den Fall ab, dass Festplatten nicht (mehr) in eigener Obhut sind, noch bestimmte Besonderheiten von SSDs wie Wear-Leveling, welche dazu führen können, dass Teile der schwach verschlüsselten Daten weiter auf der Platte vorhanden bleiben.

Drittens, und das ist besonders schwerwiegend: Eine Festplattenverschlüsselung auf Hardware-Ebene kann als ein Element einer Defense-in-Depth-Strategie durchaus substanziell zum Security-Margin beitragen. Microsofts Software-Festplattenverschlüsselung BitLocker befand jedoch eigenmächtig eine einmalige Verschlüsselung (auf Hardware-Ebene) für ausreichend und deaktivierte automatisch die BitLocker-(Software-)Verschlüsselung für solche Platten. Das bringt natürlich Performance (mit der BitLocker unberechtigt glänzen kann), setzt die Nutzer jedoch vollständig den oben genannten Schwachstellen aus – obwohl sie zusätzlich BitLocker benutzen! Nutzer von BitLocker auf SEDs sollten hier eine BitLocker-Verschlüsselung dringend erzwingen – und Microsoft das eigene Threat-Model überarbeiten.
Andere Produkte und Hersteller wurden von den Forschern zunächst nicht betrachtet, könnten also ähnliche Schwächen aufweisen. Insgesamt sollte Self-Encrypting Drives aktuell wenig Vertrauen entgegengebracht werden.
https://www.ru.nl/english/news-agenda/news/vm/icis/cyber-security/2018/radboud-university-researchers-discover-security/

Neuigkeiten im Oktober:

Durch die Decke: Cloud-Nutzung wächst unaufhaltsam
Die Marktforscher von Gartner stellen in einer neuen Studie dar, wie stark die Cloud-Nutzung im privaten und besonders im wirtschaftlichen Umfeld zunimmt. So setzten 2017 bereits zwei Drittel aller Unternehmen im technisch als konservativ geltenden Deutschland Clouddienste ein (2015: gut die Hälfte). Oracle führt die Liste der Unternehmen, die die größten Teile ihres Umsatzes mit Cloud-Angeboten machen, deutlich an (81 %), weit vor Microsoft (30 %), SAP (22 %) und dem größten Onlinehändler-Cloudanbieter Amazon (12 %).
https://www.heise.de/tr/artikel/Statistik-der-Woche-Ab-in-die-Cloud-4205149.html

Bei Anruf mordsmäßig Spaß: Schwachstellen in Video-Calls
Zurzeit geht es Protokollen und Applikationen für Videotelefonie an den Kragen. Eine Sicherheitslücke in WhatsApp ermöglicht es, ein Smartphone mit einem einzigen Video-Call zu kapern.
https://golem.de/news/google-project-zero-whatsapp-anruf-kann-sicherheitsluecke-ausnutzen-1810-137045.html
Nur drei Wochen später legte die Entdeckerin, Natalie Silvanovich von Googles Project Zero, nach und mit einem einzigen Videoanruf die iPhones eines ganzen Raums voll von Apple-Ingenieuren lahm. Auch hier ermöglichten die Schwachstellen, beliebigen Code bei den Opfern auszuführen. Beide Probleme sind inzwischen gepatcht, zeigen aber, wie fragil die Technik noch ist.
https://www.golem.de/news/apple-sicherheitsluecken-facetime-anruf-kann-zur-code-ausfuehrung-genutzt-werden-1811-137449-all.html

Cyberpolitik der verbrannten Erde? US Cyber Command teilt APTs
Für viele Beobachter überraschend verfolgt jetzt das US Cyber Command (USCYBERCOM) neue Strategie: Der Cyber-Arm der US-Armee lädt seit kurzem APTs des Gegners auf den zu Google gehörenden Online-Dienst VirusTotal hoch, auf dass sämtliche Virenforscher und Antivirenhersteller sie schnell erkennen können. Selbstverständlich werden nicht alle Samples geteilt, sondern höchstens die nicht klassifizierten. Zu vermuten ist, dass man „besonders gute“ Tricks anderer militärischer und nachrichtendienstlicher Organisationen eher für sich behalten wird. Denn eine einmal veröffentlichte Cyberwaffe ist natürlich zunächst verbrannt bzw. muss für die Nutzung wieder modifiziert werden.
Es bleibt abzuwarten, ob es hier die eine oder andere spannende Veröffentlichung geben wird, oder ob es eher um den politischen Showeffekt geht. 
https://www.zdnet.com/article/us-cyber-command-starts-uploading-foreign-apt-malware-to-virustotal/

Sie war’s, sie war’s … Äh, er war’s! Attribution wird salonfähig
Attribution – die verlässliche Zuschreibung des Urhebers von Angriffen – im „Informationsraum“ ist schwer, da sind sich die meisten Experten einig. So hatte sich bisher insbesondere auch die deutsche Außenpolitik zurückgehalten, bei Cyberattacken Schuldige oder Verdächtige zu benennen. Hier scheint sich aktuell ein Paradigmenwechsel zu vollziehen. Zugegeben, der russische Militärgeheimdienst GRU hatte sich zuletzt – wir berichteten – besonders ungeschickt angestellt. Trotzdem ist es ein Novum, dass sich die Bundesregierung nun der offiziellen Beschuldigung der russischen Seite durch niederländische Behörden anschließt. Dies dürfte komplexe Auswirkungen auf das Politikfeld „Cyber“ haben.
http://www.spiegel.de/netzwelt/netzpolitik/russland-und-die-hacker-die-zeit-der-diplomatie-ist-vorbei-a-1232006.html

Stuxnet-Nachfolger: CRASHOVERRIDE
Die amerikanische ICS-Sicherheitsfirma Dragos hat eine Analyse der nach Stuxnet zweiten Malware veröffentlicht, welche gezielt Automatisierungstechnik angreift. „CRASHOVERRIDE“ ist zudem der erste Virus überhaupt, der es gezielt auf das „Grid“, also Stromnetze, abgesehen hat. Bisher wurden die Fähigkeiten des Angriffswerkzeugs bei weitem noch nicht voll ausgenutzt. Die Akteure dahinter scheinen eng verwoben mit der Kampagne Sandworm, welche Ende 2015 einen Blackout in Teilen der Ukraine auslöste, ohne allerdings dafür ICS manipulieren zu müssen. Alle diese Versuche stellen vermutlich immer noch Vorübungen dar.
https://www.dragos.com/whitepapers/CrashOverride2018.html

Nachhause telefonieren: Android-Apps im Telemetrierausch
Eine Studie der Universität Oxford hat die Telemetrie – also das „nachhause Telefonieren“ von einer Million Android-Apps untersucht: Fast 90 % senden Nutzerdaten an Google, fast die Hälfte an Facebook, mehr als ein Drittel an Twitter. In 90 % der Fälle landen die Daten in den USA, während nur 5 bzw. 3 % der Android-Apps nach China bzw. Russland funken. Am geschwätzigsten sind statistisch gesehen Entertainment-Apps und Spiele, gefolgt von Produktivitäts-Apps sowie Health- und Lifestyle-Apps.
https://ig.ft.com/mobile-app-data-trackers/
Die Freigiebigkeit mit den eigenen Daten lässt sich den Apps ohne tiefere technische Eingriffe in der Regel höchstens teilweise austreiben. Insbesondere Location-Daten sind gerade bei Android schwer privat zu halten.
https://nakedsecurity.sophos.com/2018/08/15/google-is-tracking-your-location-even-when-the-setting-is-turned-off/

Blaue Hüte: IBM kauft Red Hat
Für die meisten Marktbeobachter überraschend hat IBM Ende Oktober die Übernahme des Open-Source-Spezialisten Red Hat für 34 Milliarden US-Dollar angekündigt. Es dürfte „Big Blue“ dabei weniger um das im Unternehmensumfeld führende Red Hat Enterprise Linux (RHEL) gehen, sondern mehr um die starke Stellung der 1993 in den USA gegründeten Firma bei Open-Source-Cloudprodukten wie OpenShift und OpenStack. In der weiter oben zitierten Gartner-Cloud-Statistik liegt IBM noch auf dem zweiten Platz der Unternehmen, welche die größten Teile ihres Umsatzes mit Cloud machen (2017: 44 %), weit hinter Oracle (81 %).
https://www.golem.de/news/ibm-kauft-red-hat-die-riesige-verzweifelte-wette-auf-die-cloud-1810-137384.html

Beginn des Anfangs vom Ende: Abschied von TLS 1.0 und 1.1
Hatten wir gerade im vorletzten Digest die offizielle Verabschiedung (im Sinn von Einführung) von TLS 1.3 verkündet, darf man sich nun „schon“ auf den Abschied (im Sinn von Farewell) von den TLS-Versionen 1.0 und 1.1 vorbereiten. „Schon“ deshalb in Anführungszeichen, weil diese Verbesserungen des Verschlüsselungs- und Authentifizierungsstandards SSL bereits 1999 bzw. 2006 eingeführt wurden und schon vor über 10 Jahren durch das noch sicherere TLS 1.2 ersetzt wurden. Ungeachtet dessen erfreuen sie sich jedoch weiterhin einer gewissen Verbreitung. Damit könnte in anderthalb Jahren Schluss sein: Die großen Browserhersteller Mozilla (Firefox), Google (Chrome), Microsoft (Edge, Internet Explorer) und Apple (Safari) haben angekündigt, in der ersten Jahreshälfte 2020 die Unterstützung einzustellen. Derweil überlegt die Internet Engineering Task Force (IETF), die beiden Internet-Standards offiziell für veraltet zu erklären. Bald sollen alle fünf Browser auch die Version 1.3 beherrschen – Apple und Microsoft hinken hier noch hinterher.
Zu befürchten ist allerdings, dass TLS 1.1 und ältere Bekannte wie SSL 3.0 oder gar 2.0 in bestimmten Nischen noch eine Weile länger ein Dasein als Untote fristen werden – etwa im Bereich ICS/IoT und bei Embedded-Geräten.
https://www.zdnet.de/88344499/chrome-edge-ie-firefox-und-safari-beenden-2020-support-fuer-tls-1-0-und-1-1/

Industrial Internet of Big Insecure Things: Steuerung von Baukran lässt sich übernehmen
In der nicht abreißenden Reihe von Schwachstellen in IIoT-Geräten heute ein klassischer Replay-Angriff: Eine Sicherheitslücke in der kabellosen Kransteuerung Telecrane F25 ermöglichte es, Signale mitzuschneiden und mit diesen anschließend den Kran fernzusteuern. Ein Sicherheitsupdate steht bereit. Der Schutz vor Replay-Attacken gehört zum soliden Basis-Handwerkszeug von Kommunikationsprotokollen – zumal bei Übertragung über unsichere Kommunikationskanäle wie Funk.
https://www.golem.de/news/sicherheitsluecke-steuerung-von-bau-kran-laesst-sich-uebernehmen-1810-137374.html

LESETIPPS

Die Lage der IT-Sicherheit in Deutschland 2018
Am 11. Oktober wurde „Die Lage der IT-Sicherheit in Deutschland“ 2018 vorgestellt. Der BSI-Lagebericht erscheint seit 2005 alle zwei Jahre und seit 2014 jährlich. Wer die 100 Seiten nicht überfliegen möchte, dem sei Kapitel 3 „Gesamtbewertung und Fazit“ ans Herz gelegt. Darin u. a. folgende Themen:

  • Einführung eines IT-Sicherheitskennzeichens
  • Massentaugliche verschlüsselte Kommunikation
  • „Prävention weiter denken“
  • Einrichtung einer „Agentur für Innovationen in der Cybersicherheit“ sowie eines IT-Sicherheitsfonds zum Schutz sicherheitsrelevanter Schlüsseltechnologien
  • Produkthaftung
  • Stärkung der Fähigkeiten der Finanzaufsicht im Bereich Digitalisierung und IT-Sicherheit
  • IT-Sicherheitsgesetz 2.0 und Erweiterung des Ordnungsrahmens

https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2018/lagebericht_2018_11102018.html

Byte für Byte: TLS zum Ausprobieren
Wer TLS einmal im Detail verstehen möchte – vom Handshake über die Aushandlung der Kryptoparameter bis zum Session-Handling – kann auf der interaktiven Website „The Illustrated TLS Connection: Every Byte Explained“ das wichtigste Security-Protokoll im Web Schritt für Schritt und Byte für Byte nachspielen:
TLS 1.2: https://tls.ulfheim.net
TLS 1.3: https://tls13.ulfheim.net

Wie lange noch bis zur Singularität? AI Safety Fails
Victoria Krakovna, Forscherin bei Googles KI-Tochter DeepMind, kuratiert eine informelle Liste von „AI Safety Fails“ – also Fällen, in denen Algorithmen mit künstlicher Intelligenz für die Programmierer bzw. Schöpfer unerwartete kreativ-überraschende Lösungen entwickelt haben, die dem durch die Menschen beabsichtigten Zweck zuwiderlaufen. Vom Sortieralgorithmus, der immer alles wegwirft und die „sortierte“ leere Liste ausgibt („fertig!“) über den Turmbaualgorithmus, der einfach alle Steinchen umdreht, da er für die z-Koordinate (also Höhe) der „unteren“ Fläche belohnt wird, bis zu den simulierten Kreaturen, die auf Tempo gezüchtet wurden und daher lernten, möglichst groß zu werden und dann zu stolpern, weil sie so die höchste Geschwindigkeit erreichten. Neben diesen absurden Beispielen gibt es auch witzige wie die Roboterhand, die lernte, so zu tun, als hätte sie ein Objekt ergriffen, indem sie die Hand geschickt vor der Kamera bewegte, oder den Fußballroboter, der für Ballkontakte belohnt wurde und am Ende immer den Ball fing, um dann nur noch mit der Hand zu vibrieren. Letzteres mag wieder neue Anwendungsfälle eröffnen. Aber es kann auch tragisch ausgehen, wie bei den simulierten Lebensformen, die zu Kannibalen wurden, weil es energetisch am effizientesten war, möglichst viele Kinder zu zeugen und sie zu verspeisen oder zum Inzest zu zwingen.
Die Liste hält noch viele weitere Beispiele bereit. Sie ist deswegen relevant, weil jede KI das Problem hat, dass sie nur zu einem gewissen Maß mit der realen Welt verbunden ist und es im Allgemeinen schwer vorauszusehen ist, welche Strategie ein selbstlernendes System entwickeln wird.
Hoffen wir, dass wir als Gattung Mensch intelligenter sein werden, als jener Agent, der gelernt hatte, das Spiel "Road Runner" zu spielen: Er brachte sich jedes Mal am Ende von Level 1 um. So konnte er vollständig vermeiden, in Level 2 zu verlieren.
https://vkrakovna.wordpress.com/2018/04/02/specification-gaming-examples-in-ai/ 

---------------------------------------------------------------
Der nächste HiS-Cybersecurity Digest erscheint Anfang Dezember 2018 – jetzt abonnieren!

Lesen Sie hier auch alle HiS-Cybersecurity Digests der letzten Monate:
Übersicht aller bisher erschienenen HiS-Cybersecurity Digests.

Kontaktieren Sie uns gern mit Rückfragen und Anregungen!

Jetzt teilen: