< Zurück
News

HiS-Cybersecurity Digest September 2017 veröffentlicht

Security Consulting , Cybersecurity Newsletter

HiS-Cybersecurity Digest September 2017

Die Top Themen des letzten Monats: Revolution der Passwortregeln, Totalschaden in Wahlsoftware, Schulungen zu IEC 62443 und Cyberangriffen auf Kraftwerke, sichere Speicherung von Passwörtern, Angriffe auf Smartphones über Austauschkomponenten, 300 Mio. $ Schaden durch NotPetya, alte und neue Lücken in Apache Struts und Xen, Neuauflage der Crypto Wars.


Top Thema

Passt das Wort noch? Die langsame Revolution der Passwortregeln nimmt Fahrt auf
Die sogenannte „Passwort-Policy“, also die Regelung darüber, welche Passwörter erlaubt bzw. nicht erlaubt sind und wie oft diese geändert werden müssen, war über viele Jahre eine der heiligen Kühe der Security. Froh darüber, wenigstens an einer Stelle mathematische, algorithmische Klarheit über die Vorgaben zu haben, quälen IT-SiBes sich selbst und ihre Schutzbefohlenen bis heute mit der Dreifaltigkeit aus „mittlere Länge (‚>= 8 Zeichen‘, technisch kompliziert (führt dann etwa zum leicht knackbaren 'pa5$w0rt'), häufig wechseln (‚90 Tage‘)“. Diese Regeln wurden jedoch in einem anderen Jahrzehnt (70er Jahre) und unter völlig anderen Einsatzbedingungen (Großrechner mit langsamen Terminals) verfasst. Sie werden heute nicht mal mehr von ihren Erfindern für sinnvoll erachtet. Ganz langsam beginnen sich nun die ersten Standards für zeitgemäße Regeln zu öffnen. Diese hängen vom Use Case, der sogenannten Exposure und einer Reihe anderer Faktoren ab und stellen den Nutzer in den Mittelpunkt. Das National Institute of Standards and Technology (NIST) ist mit der gerade verabschiedeten Überarbeitung der Digital Authentication Guidelines 800-63-3 für den öffentlichen Sektor in den USA bereits einen weiten Schritt voraus. Die Nutzer werden es uns danken, wenn wir nachziehen. Die Security auch.
https://www.heise.de/security/meldung/Sichere-Passwoerter-Viele-der-herkoemmlichen-Sicherheitsregeln-bringen-nichts-3797935.html 


Neuigkeiten im August:

Die Qual der Zahl der Wahl – „Totalschaden“ in Wahlsoftware
Experten des Chaos Computer Clubs haben in einer Wahlsoftware, welche in mehreren Bundesländern und vielen Gemeinden eingesetzt wird, eine Reihe von gravierenden Schwachstellen gefunden, die sehr leicht auszunutzen sind. Auf diesem Weg könnten am 24. September zumindest die Hochrechnungen manipuliert werden. Die Landes- und der Bundeswahlleiter verstärken daraufhin aktuell die zusätzlichen Checks etwa durch Telefonketten. „Es ist einfach nicht das richtige Bundestagswahljahrtausend, um in Fragen der IT-Sicherheit bei Wahlen ein Auge zuzudrücken“, kommentiert der CCC angesichts von Gefahren, wie sie bei den letzten Wahlen in den USA aufgedeckt wurden. 
https://www.ccc.de/de/updates/2017/pc-wahl/ 

--------------------------------------------------------------
HiSolutions:
Neue Schulungen zur IEC 62443 und zur Abwehr von Cyberangriffen auf Kraftwerke
Experten der HiSolutions AG führen zwei neue Schulungen beim VDI durch. Die Schulung „Aufbau eines ICS-Security-Programms mit IEC 62443“ gibt einen Überblick über den Standard sowie aktuelle Risiken und gesetzliche Anforderungen. Leitung: David Fuhr, HiSolutions AG.
Termine: 09.-10.11.2017 Karlsruhe | 13.-14.3.2018 Köln | 26.-27.6.2018 München
https://www.vdi-wissensforum.de/weiterbildung-it-security/aufbau-ics-security-programm-iec-62243/ 

Das Seminar „Abwehr von Cyberangriffen auf Kraftwerke“ vermittelt Ihnen effektive Schritte gegen Attacken auf Ihre Kraftwerksinfrastruktur. Leitung: Martin Junghans, HiSolutions AG.
Termine: 20.-21.11. 2017 Düsseldorf | 20.-21.3.2018 Berlin | 19.-20.6.2018 München
https://www.vdi-wissensforum.de/weiterbildung-energie/abwehr-von-cyberangriffen/ 

--------------------------------------------------------------
Geschüttelt, aber nicht genug gerührt – Passwörter, die zweite
Nicht nur bei der Erstellung, auch beim Speichern von Passwörtern lässt sich vieles falsch machen. Obwohl längst nicht überall umgesetzt, hat es sich inzwischen herumgesprochen, dass eine Speicherung im Klartext nicht angemessen ist. Kenner wissen, dass Passwörter mit einer sicheren Einweg-Funktion „gehasht“ und nur der Hash abgespeichert werden sollten. Fortgeschrittene „salzen“ zudem ihre Passwörter mit einem Zufallswert, um das Nachschlagen nach Hashes in Listen und Suchmaschinen zu verhindern. Zumindest ersteres dachte sich auch einer der größten Kenner der Passwortproblematik, Troy Hunt. Der Betreiber des Dienstes haveibeenpwned.com, in dem man nach Leaks der eigenen Zugangsdaten suchen kann, veröffentlichte eine Liste von über 300 Millionen SHA-1-Hashes geleakter Passwörter. Zwar war ihm bewusst, dass ein Teil davon leicht per Brute Force, also Durchprobieren von Passwörtern, zu rekonstruieren sein würde. Dass jedoch andere Sicherheitsforscher nach nur einer Stunde Rechenzeit quasi alle Hashes auf die Klartext-Passwörter zurückgeführt haben würden, hat er wohl nicht erwartet. Dies zeigt, dass es nicht ausreicht, Passwörter einfach nur irgendwie zu hashen, sondern dass dies mit einer hinreichend komplizierten, sprich aufwändig zu berechnenden Funktion wie z. B. Argon2 erfolgen sollte.
https://www.troyhunt.com/introducing-306-million-freely-downloadable-pwned-passwords/ 
https://cynosureprime.blogspot.de/2017/08/320-million-hashes-exposed.html 

--------------------------------------------------------------
Zersplittertes Vertrauen – Angriff der Austausch-Displays
Nutzer von Smartphones sollten gesplitterte Displays und andere Anlässe zum Austausch von Teilen künftig nicht nur aus Usability-Gesichtspunkten fürchten. Wie ein Vortrag und ein Paper der letzten Security-Konferenz Usenix zeigen, wird beim Austausch gegen von Drittherstellern produzierte Komponenten anders als bei Code oft von einer Authentizität von Hardware und Software ausgegangen. Die Tatsache, dass hier nur wenige Integritätschecks durchgeführt werden, ermöglichte es den Forschern, zwei neue Angriffe zu entwickeln, die es erlauben, ein handelsübliches Android-Handy zu kompromittieren. Notwendig sind also zukünftig hardwarebasierte Gegenmaßnahmen.
https://www.usenix.org/system/files/conference/woot17/woot17-paper-shwartz.pdf 

--------------------------------------------------------------
NotPeanuts – Maersk erwartet bis zu 300 Millionen Dollar Verlust wegen NotPetya
Der dänische Logistikkonzern Maersk hat den Schaden beziffert, den die Schadsoftware NotPetya kürzlich ausgelöst hat. Im Zwischenbericht für Q2 2017 wird ein Verlust von 200-300 Millionen Dollar aufgrund des Angriffs geschätzt. Solche Zahlen können auch anderen Unternehmen helfen, ihre Risiken besser einschätzen und somit die Wirtschaftlichkeit von Gegenmaßnahmen besser zu bewerten.
http://www.maersk.com/en/the-maersk-group/press-room/press-release-archive/2017/8/a-p-moller-maersk-interim-report-q2-2017/ 

--------------------------------------------------------------
Alte Bugs leben länger – Lücke in Apache Struts seit 2008
Manchmal werden Sicherheitslücken in Software, die häufig in Unternehmen eingesetzt wird, erst nach langer Zeit entdeckt. Dies ist der bessere Fall. Das bedrohlichere Szenario ist, dass diese vielleicht längst durch andere entdeckt, ggf. ausgenutzt wurden und erst dann öffentlich bekannt werden. So geschehen mit einer Lücke im XML-Deserializer des in Enterprise-Umgebungen beliebten Apache Struts-Frameworks, welche seit 2008 Remote Code Execution (RCE), also die Übernahme des Systems aus der Ferne, erlaubte. Funktionierende Exploits soll es bereits geben, sodass der passende Patch schnell eingespielt werden sollte. 
https://struts.apache.org/docs/s2-052.html 


CLOUD
Escape Room – Auch eine VM ist nicht ganz dicht
VMs, genauer gesagt die für die Trennung der verschiedenen auf einem Host laufenden virtuellen Maschinen zuständigen „Hypervisoren“, gelten im allgemeinen als besser segmentiert als Prozesse, die in einem Betriebssystem laufen, selbst wenn diese ggf. in Containern gekapselt sind. Trotzdem ist es grundsätzlich möglich, aus Gast-VMs „auszubrechen“ und Rechte auf dem Host zu erhalten, wodurch mittelbar wieder andere VMs manipuliert oder ausgelesen werden können. Dem u. a. von verschiedenen Cloudanbietern genutzten Hypervisor Xen ist das allein in den letzten 10 Monaten dreimal passiert. Das Risiko des „VM Escape“ bleibt also bei jeder Cloudnutzung.
https://www.csoonline.com/article/3193718/security/xen-hypervisor-faces-third-highly-critical-vm-escape-bug-in-10-months.html 


POLITIK
Crypto Wars Reloaded – Neue Ära des Kampfs gegen Verschlüsselung
Die Tendenz, Kryptographie staatlich einschränken oder gar verbieten zu wollen, nimmt weltweit aktuell zu. Eine ähnliche Bewegung in den 90er Jahren vor allem in den USA ging als Crypto Wars in die Geschichtsbücher ein. Der Berliner Think Tank Stiftung Wissenschaft und Politik (SWP) hat die aktuellen Entwicklungen analysiert und kommt zu der Empfehlung, dass Deutschland die Kryptographie schützen und stärken sollte. Auch am Ende der ersten Crypto Wars hatten sich die meisten rationalen Akteure darauf verständigt, dass eine einfachere Überwachung nicht die Gefährdung der Datensicherheit aller Individuen und Unternehmen rechtfertigt. Schon Georg Wilhelm Friedrich Hegel wusste, dass Geschichte sich immer wiederholt. Das eine Mal als Tragödie, das andere Mal als Farce, fügte Karl Marx hinzu. Wir dürfen also schon jetzt auf die dritten Verschlüsselungskriege gespannt sein.
https://www.swp-berlin.org/fileadmin/contents/products/aktuell/2017A56_she.pdf 


LESETIPPS
In dieser Rubrik stellen wir Ihnen Interessantes zum Weiterlesen vor.

Passwörter
Passend zum Topthema bietet es sich an, die Geschichte der Mythen zu guten Passwörtern nachzulesen – z. B. hier: https://www.cerias.purdue.edu/site/blog/post/password-change-myths/ und hier: http://www.cerias.purdue.edu/site/blog/post/passwords-and-myth/. Die Beiträge erschienen 2006, sind aber immer noch aktuell.

Der Comic-Klassiker zum Thema ist XKCD („correcthorsebatterystaple“) und wird immer wieder gerne zitiert, gilt jedoch schon lange als überholt.
Comic: https://xkcd.com/936/ 
Gegenstimmen dazu: 
https://diogomonica.com/2014/10/11/password-security-why-the-horse-battery-staple-is-not-correct/ 
https://www.schneier.com/blog/archives/2014/03/choosing_secure_1.html 



Der nächste HiS-Cybersecurity Digest erscheint Anfang Oktober 2017.

Für Rückfragen und Anregungen kontaktieren Sie uns gern!

Jetzt teilen: