Autor: David Fuhr

Twitter: 0xdhf
News

Auf Sicht: Neue EBA-Richtlinie

Die Europäische Bankenaufsicht EBA hat eine neue Richtlinie zum Informationssichereitsmanagement und Business Continuity Management in Banken veröffentlicht. U. a. werden Anforderungen an das ISMS (inkl. Vorgaben-Framework, Assessments, Tests usw.), an das IT-Management sowie an das BCM (inkl. Methodik für die Business-Impact-Analyse, Business-Continuity-Plänen, Tests und Krisenkommunikation) gestellt. Wie so häufig steckt der Teufel im Detail. So wird etwa konkret gefordert, dass in der Business-Impact-Analyse auch Schutzziele zur Informationssicherheit betrachtet werden und somit die Verzahnung aus BIA und Schutzbedarfsfeststellung erfolgen muss. Die Guideline wird zum 30. Juni 2020 in Kraft gesetzt und ab dann auch geprüft.

https://eba.europa.eu/eba-publishes-guidelines-ict-and-security-risk-management

News

Oh Du Fröhliche: Ich weiß, was Du gestern mit welchem veralteten Gerät geschaut hast

Man kann glauben oder auch nicht, dass die Pornobranche der eigentliche Treiber für technologische Entwicklung im Internet ist. Unumstritten ist sie eine der Vorreiterinnen bei der Massentauglichmachung von Innovationen (Streaming, Flash, HTML5, Online-Payments, Mobile First, VR/AR …) – und eine wertvolle Quelle für (Security-)Informationen. So hat Google inzwischen davon Abstand genommen, Zahlen zur Verteilung der Versionen seines Android-Mobilbetriebssystems zu veröffentlichen – zu peinlich war möglicherweise die geringe Marktdurchdringung der neuesten Releases. Jährlich veröffentlichte Zahlen des Anbieters Pornhub zeigen nun, dass lediglich zwei Prozent der Nutzer von Android-Geräten bereits das im September veröffentlichte Update Android 10 installiert hatten. Bei iOS sieht das Bild erwartungskonform anders aus: Bereits auf 71 Prozent der erfassten Geräte lief das zeitgleich vorgestellte aktuelle iOS 13.

https://www.spiegel.de/netzwelt/web/pornhub-was-das-porno-portal-ueber-das-internet-weiss-a-1302087.html

News

Lesetipps Dezember 2019

Jenseits von SVERWEIS

Die eierlegende Wollmilchsau Excel, Microsofts gleichzeitig produktivstes und am meisten Produktivität vernichtendes Tool aller Zeiten, kann sogar forensische „Big Data“-Analyseaufgaben übernehmen – solange „Big“ nicht zu groß wird. Für ernsthafte große Analysen müssen dann allerdings doch Add-ins oder sogar spezialisierte Tools bzw. Programmierkenntnisse in Python und Co. her.

https://www.fireeye.com/blog/threat-research/2019/12/tips-and-tricks-to-analyze-data-with-microsoft-excel.html

Jenseits von Prod

Mit BeyondCorp hatte Google 2014 als Reaktion auf einen Einbruch ins Firmennetz 2009 („Aurora“) das Konzept der Perimetersicherheit komplett über Bord geworfen und in Richtung Zero Trust und Context Aware weiterentwickelt. Nun, fünf Jahre später, ist die nächste Stufe erreicht: Das gerade veröffentlichte Paradigma „BeyondProd“ beschreibt ein Konzept und eine Referenzarchitektur, mit der es möglich sein soll, Security und Reliability in einer Welt von Tausenden Containern und Microservices herzustellen und aufrechtzuerhalten. Wieder gilt wie damals: Auch wenn nicht viele Organisationen dies 1:1 werden umsetzen können, findet sich hier ein reicher Schatz von Anregungen, die sich lohnen, durchdacht zu werden.

https://cloud.google.com/security/beyondprod

Links von der Mitte

Apropos links (unser Top Thema): Zum Schluss etwas fast Philosophisches für Techies und solche, die es werden wollen: Man muss nicht die Meinung teilen, dass Security Engineering die lichte Zukunft ist, aber diese Darstellung „From Pentester to AppSec Engineer“ ist allemal lesenswert. 

https://hella-secure.com/from-pentester-to-appsec-engineer

Genauso übrigens wie der Rest des Blogs: https://hella-secure.com

Security Engineering

SHIFT LEFT – Linksruck im Neuland?

Linksruck in der IT? Was soll das bedeuten? Gewerkschaften bei Amazon? Google-style Walkouts bei SAP? Mindestlohn für Consultants bei Accenture und Co.? Keineswegs! Der aktuell „trendende“ Kampfruf „Shift Left“ spielt an auf die Bewegung nach links im Entwicklungszyklus von Software oder anderen IT-Produkten, also im SDLC (Software Development Life Cycle). Es mag merkwürdig anmuten, in Bezug auf einen Kreis(lauf) von „links“ und „rechts“ zu sprechen. Gemeint ist eine Bewegung hin zu den Tätigkeiten, die in der Entwicklung früh vorgenommen werden sollten.

Ein Penetrationstest setzt spät – „rechts“ – an und zieht dementsprechend große Aufwände nach sich, wenn grundsätzliche Dinge zu reparieren sind. Früher – „weiter links“ – wirkt sichere Softwareentwicklung. Und idealerweise wird die Security bereits „ganz links“, also in der Definition von Sicherheitsanforderungen, berücksichtigt.

Die Idee ist alles andere als neu. Doch scheint sie sich momentan aus ihrem Schattendasein als Elefant im Raum langsam in Richtung rosa Kaninchen auf der Tanzfläche zu bewegen. Immer mehr Organisationen umarmen das Konzept des „Linksrucks“ und greifen dafür in nicht unerheblichem Maße in althergebrachte Arbeitsweisen und Rollenverständnisse ein.

Der Hauptgrund dürfte – wie so oft bei der Umwälzung gesellschaftlicher oder technischer Verhältnisse – in der Veränderung der Produktionsbedingungen selbst liegen. Im Wasserfallmodell konnte man ans Ende der eh um 80 % überzogenen Entwicklungszeit und -budgets auch noch einen Penetrationstest „dranklatschen“, dessen Empfehlungen dann im Zweifel nicht umgesetzt wurden. In agilen Sprints mit DevOps-Prozessen und Hunderten von Microservices in Tausenden von Containern, die von Dutzenden Teams entwickelt und verantwortet werden, ist dies nicht mehr möglich. Wohl oder übel muss die Security ebenfalls agiler und mithin deutlich schneller werden – und das geht nur, indem sie früh im Entwicklungsmodell beginnt. Google etwa tanzt das aktuell mit dem Konzept BeyondProd (siehe Lesetipps) eindrucksvoll vor.

Bitte nicht falsch verstehen: Der klassische Penetrationstest hat weiterhin seine Daseinsberechtigung und ist in vielen Situationen (Legacy, Brownfield, Compliance …) das geeignete Mittel, um Schwachstellen zu identifizieren. Er muss allerdings zukünftig zu einem ganzheitlichen SDL (Security Development Lifecycle) ergänzt werden.

https://www.heise.de/developer/artikel/Shift-Left-Secure-by-Design-und-agile-Entwicklung-4613935.html

News

Bitte warten Sie nicht länger! Untote und Wiedergänger

In vielen Unternehmen sind noch „Legacy“-Systeme im Einsatz. Bei Audits finden wir immer wieder Systeme, welchen aktuelle Patches fehlen, Server unter Windows Server 2008 oder Clients unter Windows XP. Das ist problematisch, da diese schwer ausreichend abzusichern sind, auch wenn es prinzipiell möglich ist.

Allzu bunt hat es in den letzten Jahren, um nicht zu sagen Jahrzehnten, die Berliner Justiz getrieben. Nach einer Emotet-Attacke auf das Kammergericht der Hauptstadt musste nun der Berliner Justizsenator höchstpersönlich Fehler einräumen. Das Haus sei „sicherheitstechnisch nicht auf dem Stand“ gewesen, „auf dem wir sein müssten“. Es sei ein schwerfälliger Prozess, ein neues Fachverfahren für das Gericht einzuführen und damit das gesamte dortige Computersystem weniger angriffsanfällig zu machen. Am Geld werde es aber nicht scheitern: Es stünden nun erhebliche Mittel im IT-Haushalt bereit.

Dies ist dringend notwendig, ist im Kammergericht doch noch Word 95 im Einsatz. Schon 2017 fanden sich in einem Auditbericht ungewöhnlich eindringliche Worte: „Nicht supportete Software und Betriebssysteme sind ein ernst zu nehmendes Sicherheitsrisiko.“ „Bitte warten Sie nicht länger! Budgetieren und unterstützen Sie ein umfassendes Transformationsprogramm.“

Das IT-Dienstleistungszentrum des Landes Berlin (ITDZ) wird das bisher IT-mäßig unabhängige Kammergericht nun „künftig unter seinen Schutzschirm nehmen“.

https://www.heise.de/newsticker/meldung/Emotet-Das-Faxen-am-Berliner-Kammergericht-hat-hoffentlich-bald-ein-Ende-4572843.html

News

Fairsichert – Cyberversicherung soll reguliert werden

Der Markt für Cyberversicherungen wächst in den letzten Jahren rasant. Das lässt sich u. a. auch daran ablesen, dass die Regulierung sich nun das Thema vornimmt: Die Aufsichtsbehörde BaFin will sich im kommenden Jahr mit dem Einstieg der Versicherer ins Geschäft mit dem Schutz vor Hacker-Angriffen und Computer-Kriminalität beschäftigen. Der Umgang der Branche mit Cyber-Policen sei einer der Schwerpunkte der Aufsicht 2020.

Insbesondere wird dabei spannend zu beobachten, welche Normen die Versicherer für Versicherte etablieren werden. Gerade im KMU-Bereich – in dem ISO 27001 oder IT-Grundschutz noch keine Selbstverständlichkeit sind – gibt es noch keine einheitlichen Kriterien.

https://www.handelsblatt.com/finanzen/vorsorge/versicherung/zunehmende-schwierigkeiten-bafin-ruft-versicherer-zu-protest-gegen-niedrige-zinsen-auf/25165386.html

News

Verzer(r)tifiziert – Schwachstelle in elliptischen Kurven

Wenn Implementierungen von kryptografischen Signaturen mit elliptischen Kurven nicht vor Timing-Angriffen geschützt werden, kann ein Angreifer unter Umständen den privaten Schlüssel berechnen. Das zeigte ein tschechisches Forscherteam am Beispiel eines Krypto-Chips namens Athena. Auch mehrere Open-Source-Bibliotheken sind verwundbar. Die verwundbaren Chipkarten wurden nach FIPS und Common Criteria zertifiziert. Den Angriff nennen die Forscher Minerva.

Am selben Forschungsinstitut wurde 2017 die Sicherheitslücke ROCA in der RSA-Implementierung von Infineon-Chips gefunden. Auch Letztere waren zertifiziert, unter anderem vom BSI. 

Dies zeigt wieder einmal, dass Zertifizierungen nicht alle Aufgaben erfüllen können, die ihnen zugeschrieben werden. 

https://www.golem.de/news/elliptische-kurven-minerva-angriff-zielt-auf-zertifizierte-krypto-chips-1910-144256.html

News

I got the sPower – Cyberattacke auf Ökostrom

sPower ist der erste Erzeuger von regenerativen Energien, der bekanntermaßen von einer Cyberattacke getroffen wurde. Das Unternehmen aus Utah betreibt Stromnetze im Bereich der erneuerbaren Energien und wurde nach eigenen Angaben bereits im März Opfer eines Cyberangriffs, welcher Erzeuger und Netz voneinander trennte. Damit wird zum ersten Mal öffentlich, dass eine Cyberattacke eine Unterbrechung der Kommunikation mit Wind- und Solaranlagen bewirkte. Die Erzeugung selbst war nach Unternehmensangaben nicht beeinträchtigt. Bekannt wurde der Vorfall durch eine Anfrage auf Grundlage des Informationsfreiheitsgesetzes (Freedom of Information Act, FOIA).

https://securityaffairs.co/wordpress/93271/hacking/spower-cyber-attack.html

Malware

BlueKeep of Death – Kommt der nächste Wurm?

Aktuell werden wieder Wetten angenommen, wann wir mit der nächsten wirklich großen Infektionswelle rechnen können. „BlueKeep“ – so der umgangssprachliche Name für die Schwachstelle CVE-2019-0708 vom Typ „nicht authentifizierte Remote Code Execution“ unter Windows 7, Windows Server 2008 und Windows Server 2008 R2 – hat Microsoft bereits am 14. Mai gepatcht. Aber noch, das war nicht anders zu erwarten, sind viele Systeme weltweit verwundbar. In den letzten vier Wochen haben Angreifer nun mit der systematischen Ausnutzung begonnen. Bisher produzieren sie meist Abstürze (Blue Screen). Außerdem scheinen die Angriffe bislang noch größtenteils manuell, also per Clicki-Bunti-Oberfläche oder Metasploit-Modul, durchgeführt zu werden und sind dementsprechend langsam und an übliche Arbeitszeiten gebunden. Das könnte sich jedoch ändern, sobald stabilere Exploits entwickelt werden, welche automatisiert ausgeführt werden können.

Möglicherweise könnte dann der nächste große Wurm drohen, der ähnlich wie WannaCry innerhalb von Minuten Netzwerke auf der ganzen Welt befällt. Für BlueKeep kommen zwar nicht ganz so viele Ziele infrage – im Gegensatz zu WannaCry, welcher das verwundbare SMBv1-Protokoll auf einer großen Anzahl von Windows Server- und Clientsystemen ausnutzte, ist BlueKeep eine Lücke in den RDS (Remote Desktop Services), welche auf Clientbetriebssystemen standardmäßig deaktiviert sind. Allerdings stellen natürlich gerade die Server häufig Assets mit hohem Wert dar, zumal wenn sie intern mit vielen weiteren Systemen vernetzt sind. Die aktuellen Angriffe versuchen momentan nur, mittelmäßig schädliche Crypto-Miner unterzubringen. Aber auch das wird sich wohl ändern, sobald es sich von der Masse lohnt.

Das von den RDS verwendete RDP-Protokoll sollte niemals ungeschützt im Internet erreichbar sein. Scans des Internets, wie sie auch die Angreifer aktuell vornehmen, zeigen jedoch, dass dies an vielen Stellen trotzdem der Fall ist. Insbesondere bei Industrieanlagen wird RDP nicht selten zur Fernwartung eingesetzt.

Es mag sein, dass – anders als bei WannaCry – ein Wurm am Ende gar nicht notwendig ist. Vielleicht genügt es (aus Angreifersicht), mit einem stabilen Exploit das Internet zu scannen und alle verwundbaren Systeme direkt anzugreifen. Höchste Zeit also, nicht nur die Patches einzuspielen, sondern die eigene (RDP-)Exponierung im Internet zu überprüfen und zu reduzieren. Zumal mit DejaBlue im August schon die nächste RDP-Schwachstelle entdeckt wurde, die weitere, auch neuere Windows-Versionen betraf.

https://www.microsoft.com/security/blog/2019/11/07/the-new-cve-2019-0708-rdp-exploit-attacks-explained/

News

Lesetipps November 2019

Skandal um ROSI

„You can’t control what you can’t measure“ ist ein beliebter Glaubenssatz. Gleichzeitig ist Messen in der Informationssicherheit ein schweres Problem, an dem schon viele gescheitert oder aber zumindest wahnsinnig geworden sind. Eine Galerie der ehrenwertesten Versuche rund um Frameworks, Scorecards, ROI und ROSI (Return On Security Investment) findet sich hier auf 24 Seiten PDF.

https://www.rstreet.org/wp-content/uploads/2019/10/Final-Cyberbibliography-2019.pdf

hacker:HUNTER – WannaCry: The Marcus Hutchins Story

Nun ist sie endlich verfilmt: Die Geschichte von Marcus Hutchins aka MalwareTech, der – wir berichteten hier schon öfter darüber – wesentlich dazu beitrug, dass WannaCry nicht die ganze Welt in Ransom genommen hat, in seinen eigenen Worten. 

https://www.youtube.com/watch?v=vveLaA-z3-o