Autor: David Fuhr

Twitter: 0xdhf
HiSolutions Research
News

C5v2: BSI stellt aktualisierten C5-Katalog vor

Das BSI hat den 2016 veröffentlichten „Cloud Computing Compliance Criteria Catalogue” einer umfassenden Revision unterzogen. Der „C5“ wird von Cloud-Anbietern aller Größen zum Nachweis der Sicherheit von Cloud-Diensten verwendet. Die Aktualisierungen betreffen sowohl Formalia als auch die Kriterien, die an den aktuellen Stand der Technik angepasst wurden. Er enthält außerdem eine neue Domäne zur Produktsicherheit und berücksichtigt damit nun auch die Regelungen und Anforderungen des 2019 in Kraft getretenen EU Cybersecurity Acts. Zudem wurde – insbesondere für kleinere Cloud-Anbieter – der Nachweisweg über die direkte Prüfung eröffnet.

Der C5 legt fest, welche Kriterien das interne Kontrollsystem der Cloud-Anbieter erfüllen muss bzw. auf welche Anforderungen der Cloud-Anbieter mindestens verpflichtet werden sollte. Der Nachweis, dass ein Cloud-Anbieter die Anforderungen einhält und die Aussagen zur Transparenz korrekt sind, wird durch einen Bericht nach dem Wirtschaftsprüferstandard ISAE 3402 bzw. IDW PS 951 erbracht.

https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/CloudComputing/Kriterienkatalog/C5_AktuelleVersion/C5_Neuerungen_node.html

HiSolutions Research
News

Vor der eigenen Garage kehren: Microsoft-Parkhäuser im Internet

Auch der beste SDL (Security Development Lifecycle), Rolling Updates in den aktuellen Betriebssystemen und noch so viele Patch Tuesdays bewahren anscheinend nicht davor, dass der eigene Dienstleister versagt: Die Parkhaussteuerung am Microsoft-Firmensitz sollte normalerweise nicht aus dem Internet erreichbar sein. Trotzdem konnte man auf die Server in Redmond problemlos zugreifen. Immerhin war das Problem schnell behoben.

https://www.golem.de/news/sicherheitsluecken-microsoft-parkhaeuser-ungeschuetzt-im-internet-2001-146025.html

HiSolutions Research
News

Am Pulse der Unzeit: SSL-Gateway nicht Secure

Eine Schwachstelle, die auf der international gebräuchlichen Skala CVSS einen Score von 10 erreicht – den Höchstwert –, sieht man nicht alle Tage. Inzwischen wird die seit April letzten Jahres bekannte und (im Idealfall) gepatchte Schwachstelle der von Juniper ausgegründeten SSL-Gateways von PulseSecure aktiv zur Verbreitung von Ransomware ausgenutzt. Das CERT-Bund hatte zuletzt im August öffentlich gewarnt, trotzdem finden sich immer noch ungepatchte Gateways im Internet.
Prominentestes Opfer ist die Firma Travelex, die es jüngst hart traf. Dabei hatten Sicherheitsforscher die Firma schon Mitte September vor ihren ungepatchten SSL-VPNs gewarnt.

https://arstechnica.com/information-technology/2020/01/unpatched-vpn-makes-travelex-latest-victim-of-revil-ransomware/

HiSolutions Research
News

Toter als tot: SHA1

Der immer noch viel zu häufig eingesetzte Hash-Algorithmus SHA1 gilt schon seit Jahren als theoretisch gebrochen und deutlich geschwächt. Bisher waren praktische Angriffe für die meisten Akteure jedoch außer Reichweite. Nun konnten Forscher die Kosten für eine sogenannte Kollisionsattacke und vor allem für die wesentlich gefährlichere „Chosen-Prefix Kollisionsattacke“, mit der sich etwa digitale Signaturen fälschen lassen, noch einmal entscheidend auf wenige 10.000 Euro senken, Tendenz fallend.

Höchste Zeit, den diversen Empfehlungen (u. a. des BSI) zu folgen und SHA1 durch modernere Algorithmen wie SHA2 oder SHA3 zu ersetzen.

https://sha-mbles.github.io/

HiSolutions Research
News

Lesetipps Januar 2020

Wissen: NCSC Cyber Body of Knowledge

Das britische National Cyber Security Centre (NCSC) hat versucht, in einem Dokument das derzeit aktuelle Wissen zum Thema Cybersicherheit zusammenzutragen. Der „Cyber Security Body of Knowledge“ kann für einige der Themen durchaus ein guter Startpunkt sein.

https://www.ncsc.gov.uk/blog-post/full-version-of-the-cyber-security-body-of-knowledge-published

Modellieren: MITRE ATT&CK Framework

Weniger zum Lesen, sondern viel mehr zum Ausprobieren: Das MITRE ATT&CK Framework hat sich zu einem mächtigen Tool entwickelt, wenn es um die Modellierung von Angreiferverhalten („Tools, Tactics, Procedures – TTP“) geht.

https://attack.mitre.org/resources/getting-started

Mit dem Navigator lässt sich direkt im Browser herumspielen, um etwa zu schauen, welche Angriffsvektoren man noch nicht auf dem Schirm hatte.

https://mitre-attack.github.io/attack-navigator/enterprise

Cheaten: OWASP im neuen Gewand

Ebenfalls einen Blick lohnt die neue Website des OWASP-Projekts, bekannt vor allem für die „Top 10“ der Schwachstellen bei Webapplikationen, aber auch für eine große Sammlung brauchbarer Security-Cheat-Sheets, welche nun einfacher zu finden sind.

https://www.owasp.org

Aufgeben: Undercover in den 2020ern

Gerade Geheimdienste haben es schwer angesichts der immer allgegenwärtigeren personenbezogenen Daten und Überwachungstechniken. Über den vergeblichen Kampf, heute noch undercover zu sein:

https://news.yahoo.com/shattered-inside-the-secret-battle-to-save-americas-undercover-spies-in-the-digital-age-100029026.html

HiSolutions Research
KI/ML, Veranstaltungen

Don't Train Evil – Keynote bei den Machine Learning Essentials 2020

Ethik und Sicherheit im Machine Learning

Heidelberg, 17.-19. Februar 2020

Machine Learning gewinnt Einfluss auf immer größere Bereiche unseres täglichen Arbeits- und Privatlebens. Man muss nicht die Angst vor der bösartigen AGI oder der Singularität teilen, um angesichts zunehmender Überwachung und der Diskussion um autonome Waffensysteme zu erkennen: Ohne eine gewisse möglichst frühzeitig und grundsätzlich ins Design einbezogene Sicherheit droht KI mehr Schaden als Nutzen zu bringen. Die Keynote wirft die grundlegenden Fragen auf, mit denen sich alle beschäftigen sollten, die an der Revolution mitbauen, und zeichnet ein Modell, welche Bedingungen für ML Security und Safety notwendig sind.

David Fuhr ist Principal Berater bei der HiSolutions AG in Berlin. Als Forschungsleiter IT-Security beschäftigt er sich mit den grundlegenden Fragen von Sicherheit und Safety in unserer immer weiter digitalisierten Welt sowie den Grenzgebieten zwischen Mathematik, Technik, Ökonomie und Psychologie.

https://ml-essentials.de/lecture.php?id=10729

HiSolutions Research
Incidents

When #Shitrix hits the Fan

Massenhafte Hacks via NetScaler

Reihenweise Unternehmen und Behörden fallen aktuell einer Lücke zum Opfer, die den besonders „schönen“ Spitznamen #Shitrix (offiziell CVE 2019-19781) erhalten hat. Benannt ist dieser nach dem amerikanischen Netzwerk-Ausrüster Citrix, der das Debakel durch einen Schusselfehler im weitverbreiteten Enterprise-Gateway ADC (Application Delivery Controller) ausgelöst hat – vielen auch bekannt unter dem Namen NetScaler. Bereits seit der ersten Januarhälfte erreichen die HiSolutions-Hotline immer neue Fälle, da teilweise Administratoren noch nichts von der Lücke gehört haben.

Ein erfolgreicher Angriff hat neben der Übernahme des Gateways selbst weiterhin zur Folge, dass nicht nur die klassischen Zugangsdaten wie SSH-Keys oder Klartext-Passwörter in Konfigurationsdateien als kompromittiert gelten müssen, sondern auch verschlüsselte LDAP-Passwörter in der NetScaler-Konfiguration, wodurch weitere Angriffe ins Netzwerk hinein möglich werden.

Zunächst war kein offizieller Patch erschienen, lediglich Workarounds, die nicht ganz trivial sind, nicht immer voll effektiv und nicht für alle Versionen funktionieren.

Das größte Problem bei #Shitrix ist – wenn nicht offensichtlich Folgeschäden wie Ransomware entstehen –, dass zunächst nicht klar ist, wie weit der Angriff gegangen ist. Allein die Analysen nehmen Zeit und Ressourcen in Anspruch. Nicht selten fahren Betroffene in der Zeit Teile ihrer Infrastruktur herunter, wie zuletzt mehrere Kommunen in Brandenburg.

Derweil scheinen sogenannte „NOTROBIN“-Robin-Hood-Hacker die Lücke auszunutzen, um sie zu schließen – leider nicht ohne vorher noch eine Backdoor zu installieren.

Hier ist eine Liste mit bekannten IOCs zu finden.

Um Systeme lediglich auf die Schwachstelle zu scannen, existiert ein Nmap-Skript.

MEDIEN:

Unser Kollege Manuel Atug hat sich dazu auch im Beitrag mit dem SWR zum Vorfall geäußert.

Was kann der Gesetzgeber aus dem Citrix-Vorfall lernen und für KRITIS Betreiber verbessern? Manual Atug bei AG KRITIS.

UPDATE:

Ein paar erste Patches (nur für bestimmte Versionen) sind bereits erschienen.

UPDATE 2 (2020-01-27):

Nun sind die “finalen” Patches erschienen.

HiSolutions Research
News

Vertracked: Geo-Lokation als Safety-, Security- und Privacy-Katastrophe

Eine neue Enthüllungsgeschichte der New York Times nimmt sich den Markt der Sammler und Anbieter von Geo-Lokationsdaten vor. Die gemeinhin unbekannten Firmen verarbeiten Daten, die von Smartphones und vor allem von Tausenden Apps unterschiedlichster Funktion erzeugt werden. Dadurch sind sie in der Lage, genaue Bewegungs- und Persönlichkeitsprofile der meisten Menschen anzulegen. Die Times zeigt eindrucksvoll, wie anhand eines eingeschränkten Auszugs eines solchen Datensatzes Besucher bei Celebrities und im Weißen Haus, Mitarbeiter im Pentagon und Demonstranten unterschiedlicher Couleur nicht nur mühelos identifiziert, sondern virtuell bis zu ihren Wohnungen und Arbeitsstätten verfolgt werden konnten. In den Händen eines Stalkers wäre ein solcher Datensatz, der auf dem grauen Markt bereits heute käuflich zu erwerben ist, ein Albtraum – in den Händen eines autoritären oder sich in die autoritäre Richtung entwickelnden populistischen politischen Systems eine Katastrophe. Denn diese Art von Daten ist kaum zu anonymisieren und zudem bisher faktisch und praktisch nicht ausreichend reguliert.

https://www.nytimes.com/tracked ​​​​​

HiSolutions Research
News

Rechnung von der Schwiegermutter: Emotet-Masche zieht

Die neue Masche von Emotet und Co., die Glaubwürdigkeit von SPAM-Nachrichten mit Viren-Anhängen zu erhöhen, indem Kontakte und frühere Konversationen bei bereits befallenen Opfern angezapft und genutzt werden, um neue potenzielle Opfer anzusprechen (wir berichteten), scheint unheilvoll zu ziehen. So traf es in den letzten Tagen unter anderem das Klinikum Fürth, die Stadtverwaltung Frankfurt und die Uni Gießen (wobei hier die Hintergründe noch nicht klar sind). Ganz nach dem Motto: Auch wenn es irgendwie merkwürdig ist, warum mir meine Schwiegermutter eine Rechnung schickt, klicke ich aus reiner Neugier trotzdem. Aktuelle Awareness-Kampagnen reichen nicht mehr aus, um die Nutzer immun zu machen.

https://www.faz.net/aktuell/rhein-main/diese-schadsoftware-hat-das-it-system-der-uni-giessen-befallen-16543809.html

Dies lässt sich gut im Rahmen einer größeren „Marktverschiebung“ zu immer komplexeren Viren lesen. Hier gut zusammengefasst von Heise: https://www.heise.de/security/artikel/Emotet-Trickbot-Ryuk-ein-explosiver-Malware-Cocktail-4573848.html

HiSolutions Research
News

APT meets Rent-a-Ransom: Cybercrime-as-a-Service 2.0

Die Entstehung und Entwicklung der komplexen Schadsoftware TrickBot, ihrer Vorgänger, Methoden und Verknüpfungen bis hin zu APTs und nordkoreanischen Hackergruppen zu verstehen ist wichtig, um aktuelle Angriffswellen einordnen und verstehen zu können. Kern der Geschichte ist laut Analysten von SentinelOne, dass TrickBot es geschafft habe, die vielen ehemals vereinzelten Bereiche der „Cyber“-Kriminalität wie Banking-Fraud, Ransomware, Diebstahl von persönlichen Informationen und Cryptomining zusammenzubringen und in einer modularen Schadsoftware hochautomatisiert zu verpacken, die dann als Cybercrime-as-a-Service an Dritte vermietet wird.

https://labs.sentinelone.com/the-deadly-planeswalker-how-the-trickbot-group-united-high-tech-crimeware-apt

Technische Details: https://assets.sentinelone.com/labs