HiSolutions Research

Medientipps November 2022

Fediverse

Während Twitter auch als virtuelles Austausch-Forum über Informationssicherheit unter der Übernahme durch Elon Musk ächzt und einen Massenexodus von Usern erleidet, sammeln sich Mitglieder der Cybersecurity-Community auf anderen Plattformen. Viele große und kleine „Thought Leaders“ sind nun auf dem dezentralen Microblogging-Dienst Mastodon zu finden, etwa auf der Instanz infosec.social. Grundsätzlich kann aber ein Account auf jeder Instanz angelegt werden, da diese in der Regel miteinander föderiert sind.

Hier eine Kurzanleitung zu Mastodon: https://hopidd.de/mastodon

Know-how to binge

Auf unserem YouTube-Kanal finden sich neben den Aufzeichnungen der Vorträge aus unserem Format „Know-how to go“ auch eine Reihe von „One minute stories“ mit persönlichen Einblicken in das Arbeiten bei HiSolutions. https://www.youtube.com/@hisolutionsagsecurityit-ma6828

HiSolutions Research

Dümmetrisch: Ransomware patzt beim Verschlüsseln

Auch bei der Entwicklung von Schadsoftware wird nur mit Wasser gekocht und mit dem Fachkräftemangel gekämpft. Insbesondere bei der Nutzung von Kryptografie – bei Ransomware prinzipbedingt ein Kernbestandteil der Funktionalität – ist es leicht, sich selbst in den Fuß zu schießen.

Besonders schön versemmelt hat es eine Malware, die den Mitarbeitenden des Schweizer Unternehmens Compass Security vor die Flinte kam: Die Verschlüsselung wurde nicht nur mit dem symmetrischen Verfahren AES vorgenommen. Zusätzlich war der Entschlüsselungsschlüssel, der identisch zum Verschlüsselungsschlüssel ist, aus der für den jeweiligen Angriff generierten „Attack ID“ direkt ableitbar. Damit wurde die Entschlüsselung, nachdem das Prinzip einmal durchschaut war, zur trivialen Aufgabe.

https://blog.compass-security.com/2022/11/a-symmetric-cipher-ransomware-yes/

HiSolutions Research

Ransom Wer? Von Cyberangriffen betroffene Unternehmen 2022

Jedes Jahr steigt die Anzahl der Organisationen, die von einer Ransomware-Attacke oder einem ähnlich ernsten Cyberangriff betroffen sind – und es ist schwer, den Überblick zu behalten, zumal die Dunkelziffer hoch ist.

Für 2022 hat die Online-Zeitschrift CSO den Versuch unternommen, die bekannten Fälle zusammenzutragen. Die stetig aktualisierte Liste umfasst bereits über 60 Einträge allein deutscher Unternehmen.

https://www.csoonline.com/de/a/diese-unternehmen-hat-s-schon-erwischt,3674038

HiSolutions Research

Protoproll: BGP schwächt andere Protokolle

IT-Sicherheitsforschung bezieht sich häufig auf Protokolle der Anwendungs- oder vielleicht noch der Transportschicht. Seltener gibt es neue Forschung zu Angriffen auf der Netzwerkschicht oder darunter. Und ein Buch mit sieben Siegeln stellen für viele die Protokolle dar, die das Internet an sich zusammenhalten – allen voran BGP, das Border Gateway Protocol. Dieses organisiert das Routing zwischen den verschiedenen autonomen Systemen, aus denen das Internet besteht.

Dass BGP an sich Schwachstellen hat und angreifbar ist, ist seit Langem bekannt und wird immer wieder mal zum Thema, wenn Routen zeitweise bösartig umgeleitet werden. Ein tieferliegendes Problem hat jedoch bisher zu wenig Beachtung erfahren: Durch Missbrauch von BGP und seiner Schwachstellen können Sicherheitsgarantien anderer Protokollschichten ausgehebelt werden.

Ein aktueller Report der Broadband Internet Technical Advisory Group beschreibt detailliert, welche Angriffsvektoren auf BGP existieren und wie BGP eingesetzt werden kann, um insbesondere HTTPS zu hintergehen.

https://www.bitag.org/documents/BITAG_Routing_Security.pdf

HiSolutions Research

Kobold-Streik & Co. – Jahrmarkt der C2-Frameworks

Command-and-Control-Frameworks haben sich längst zu einem zentralen Bestandteil des Werkzeugkastens für Security-Assessments entwickelt. Diese Tools dienen dazu, bei Pentests oder Red Teaming Zugriff auf kompromittierte Maschinen zu halten, zu steuern und weiter auszunutzen.

Vom Marketing her auf „Adversary Emulation“ zielend, also das gutartige Simulieren böser Angreifer, werden die Frameworks auch in vielen echten Angriffen verwendet. Ob für die Verteidigung oder zur Detektion – es lohnt sich, die Tools zu kennen.

Die beliebte Seite „The C2 Matrix“ stellt die verschiedenen Frameworks mit ihren Fähigkeiten sowie Vor- und Nachteilen gegenüber.

https://www.thec2matrix.com/

HiSolutions Research

Keine Faulheit vor-schützen: Fault Tolerance in der Cloud

„Fault Tolerance“, also Ausfallsicherheit auch beim Versagen einer definierten Anzahl beliebiger Komponenten, ist ein Schlagwort, das schnell gesagt und versprochen ist. Dabei steigt die Komplexität, welche Abhängigkeiten und Pfade zu beachten sind, bei großen verteilten Systemen schnell sprunghaft an. Gerade Cloud-Anbieter müssen Redundanzen auf sehr vielen Ebenen vorhalten, um das Gesamtsystem in einer Vielzahl von Fehlerzuständen funktionsfähig zu halten. Aber auch Cloud-Kunden können vieles falsch machen in der Architektur und Konfiguration und sich so unnötige „Single Points of Failure“ bauen.

Amazon Web Services hat nun in einem 30-seitigen Whitepaper, das etwas technisch als „AWS Fault Isolation Boundaries” betitelt ist, dargelegt, auf welche Arten welche Layer von AWS in sich zusammenfallen können, und welche architektonischen Ansätze dagegen helfen können.

https://docs.aws.amazon.com/whitepapers/latest/aws-fault-isolation-boundaries/abstract-and-introduction.html

HiSolutions Research

Ein Post-Quäntchen für alle: Erstes Postquantenverfahren im Großeinsatz

Noch immer ist nicht geklärt, wann Quantencomputer einen Großteil der heute verwendeten Kryptografie obsolet machen. Sehr wahrscheinlich ist, dass wir unsere Algorithmen und Verfahren mittelfristig austauschen müssen, um nicht von der „Kryptokalypse“ überrascht zu werden.

Bisher hat es nur viele kleinere und einige wenige größere Experimente gegeben, um Post-Quanten-Kryptografie (PQC) in freier Wildbahn zu testen. Diese waren jedoch alle zeitlich begrenzt.

Mit der Beendigung der dritten Runde im Standardisierungsprozess des NIST im Juli hatten allerdings bei einigen großen Anbietern fieberhafte Arbeiten eingesetzt, erste „quantensichere“ Produkte und Dienstleistungen auf den Markt zu bringen.

Cloudflare etwa bietet ab heute standardmäßig ein aktiviertes hybrides PQC Key Agreement in TLS 1.3 an. Die dort ausgehandelten Schlüssel werden sowohl durch ein neues quantensicheres Verfahren als auch durch ein klassisches Verfahren geschützt, falls der PQC-Algorithmus doch zuerst gebrochen werden sollte. Auch IBM, Google und AWS sind dabei, erste hybride Komponenten in ihren Angeboten einzuführen.

https://blog.cloudflare.com/post-quantum-for-all/

Compliance-Bingo und Checklisten-Fetisch? Die Suche nach nachhaltiger Security

Hundertprozentige Security gibt es nicht, wie wir alle wissen. Daher macht es wenig Sinn, Vorfälle zu zählen, um den Erfolg eines Security-Programms zu bewerten. Woher weiß ich aber sonst, ob ich auf dem richtigen Weg bin?

Eine gleichzeitig schwammige und konkrete Antwort darauf, was umzusetzen ist, gibt der Begriff „Stand der Technik“. Zwar gibt es keine objektiven harten Vorgaben in Bezug auf Ziele, Tools oder Technologien, wenn ich allerdings etwa meine, ohne Authentifizierung oder Backup auszukommen, sollte ich gute Argumente haben, wenn etwas anbrennt.

Das kann so weit gehen, dass Konzerne viele Security-Funktionen im Wesentlichen deswegen im Einsatz haben, um sich moralisch abzusichern, falls etwas schiefgeht: „Erst wenn du den Gartner Hype Cycle einmal rauf- und runtergekauft hast, sind du und dein Job auf der sicheren Seite.“

Darüber hinaus stellt sich aber auch die Frage, wie die Umsetzung geschehen soll, also welche Qualität und Intensität ausreichend ist. Das Zauberwort hier ist „Sorgfaltspflicht“ (Englisch „Due Diligence“) – und die sollte ich im Notfall nachweisen können.

Um auch langfristig in Bezug auf die Security voranzukommen, innerhalb einer Organisation wie auch gesamtgesellschaftlich, braucht es allerdings noch ein drittes Prinzip: Das Ganze kann nicht funktionieren, wenn wir dauerhaft technische Schulden anhäufen. Zwar wissen wir heute nicht, welche kritischen Schwachstellen in nächster Zeit auftauchen. Aber solange wir immer mehr technische Altlasten sammeln, wächst das Risiko, dass uns eine davon kalt erwischt.

https://www.heise.de/meinung/Kommentar-Angriffe-lassen-sich-nicht-vermeiden-uebernehmt-die-Verantwortung-7328918.html

HiSolutions Research

Lesetipps Oktober 2022

26 Seiten

… lang ist die Antwort auf die Frage, was beim Aufruf eines Hello-World-Programms (hier in Python unter Windows) passiert:

https://asawicki.info/articles/Hello_world_under_the_microscope.php5

6 Bedeutungen

… von Security beschwört Kelly Shortridge, von Platon bis zu den Römern:

https://kellyshortridge.com/blog/posts/what-do-we-mean-when-we-say-security-part-1/

10 Mythen

… der Supply-Chain-Security führt sie darüber hinaus an und legt sich dabei mit dem „US-amerikanischen BSI“ (CISA) und der NSA an:https://kellyshortridge.com/blog/posts/securing-the-supply-chain-of-nothing/

HiSolutions Research

Auch ohne Führung verlässlich: Neues vom BSI

Wie alle Jahre hat das BSI auch jetzt wieder den Bericht “Die Lage der IT-Sicherheit in Deutschland” veröffentlicht. Laut der Cybersicherheitsbehörde des Bundes spitzte sich 2022 die bereits zuvor angespannte Lage weiter zu. Neben neuen und verschärften Bedrohungen im Bereich Cybercrime kamen insbesondere Gefahren im Zusammenhang mit dem russischen Angriffskrieg auf die Ukraine hinzu.

Steht für Unternehmen und den öffentlichen Sektor Ransomware weiterhin ganz oben auf der Liste der Top-Bedrohungen, so ist für Individuen bzw. die Gesellschaft neben Identitätsdiebstahl und Online-Betrug das Thema „Sextortion“, also die Erpressung mit angeblichem oder tatsächlichem anzüglichen Material, zu einem wesentlichen Risiko avanciert.

https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/lagebericht_node.html

200-4 CD 2.0: Zweiter Community Draft des BSI-Standards 200-4 veröffentlicht

Das BSI hat die Überarbeitungen abgeschlossen, die sich aus der ersten Kommentierungsphase des gemeinsam mit HiSolutions erstellten BCM-Standards 200-4 ergeben hatten. Gegenüber dem CD 1.0 konnte der Umfang durch eine Restrukturierung deutlich reduziert werden. Darüber hinaus wurden viele Details angepasst, etwa beim Thema Outsourcing.

Der Community Draft kann noch bis zum 30. November 2022 per E-Mail an it-grundschutz@bsi.bund.de kommentiert werden.

www.bsi.bund.de/gs-standard200-4

Finale, Finale! ISO 27001:2022 fertig

Nun endlich völlig fertig und final erschienen ist die „Mutter aller Security-Normen“ in ihrer aktualisierten Version: ISO/IEC 27001:2022 „Information security, cybersecurity and privacy protection — Information security management systems — Requirements“.

https://www.iso.org/standard/82875.html