Das BSI hat Version 2.0 seines Mindeststandards TLS veröffentlicht. Darin werden, zumindest für die Bundesverwaltung, TLS 1.2 und TLS 1.3 als einzige erlaubte Protokollvarianten gesetzt. Forward Secrecy ist nun Pflicht. Die umstrittene Neuentwicklung eTLS – wir berichteten – wird nicht erwähnt, ist somit also nicht statthaft.
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindeststandards/Mindeststandard_BSI_TLS_Version_2_0.pdf
Der amerikanische Netzwerkausrüster Cisco hat „versehentlich“ in seinem Nexus 9000-Switch, mit dem in der Cloud „SDN“ (Software Defined Networks“) gebaut werden, hart-codierte SSH-Schlüsselpaare verwendet. So kann jeder, der ein solches Gerät in der Hand hat, den privaten Schlüssel auslesen und sich damit in alle anderen Nexus weltweit einloggen, auf die er per IPv6 Zugriff hat – und zwar als root. Die Interpretation „extreme Fahrlässigkeit“ ist nicht um vieles besser als die der „absichtlichen Backdoor“.
https://www.theregister.co.uk/2019/05/02/cisco_vulnerabilities/
Chiasmus hat Konkurrenz bekommen: Als weiteres erlaubtes Software-Verschlüsselungstool für die Nutzung im Zusammenhang mit VS-NfD/EU-RESTRICTED/NATO-RESTRICTED ist nun Gpg4win bzw. GnuPG für KMail unter Linux freigegeben worden.
https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2019/Gpg4win-mit-VS-NfD-070519.html
Liste aller zugelassenen VS-NfD-Tools (Hardware und Software):
https://www.bsi.bund.de/DE/Themen/Sicherheitsberatung/ZugelasseneProdukte/Liste_Produkte/Liste_Produkte_html.html
Das Sterben des regelmäßigen Passwortwechselns schreitet langsam, aber unaufhaltsam voran. Über Jahre hinweg haben Sicherheitsstandards von den Anwendern verlangt, dass sie ihre Passwörter regelmäßig wechseln. Diese Anforderung wurde immer wieder kontrovers diskutiert. Mittlerweile sind sich die Sicherheitsfachleute weitgehend einig, dass ein regelmäßig erzwungener Passwortwechsel für die Sicherheit eher nachteilig ist.
Nun hat Microsoft ihn aus den Entwürfen für die neuen Security Baselines – technischen Empfehlungen für MS-Produkte, welche in Konfigurationen (GPOs) gegossen sind – für die aktuellen Windows-Produkte (Windows 10 v1903 und Windows Server 2019 v1903) entfernt. Darüber gibt es auch noch einen interessant argumentierenden Vorschlag, das zwanghafte Deaktivieren der built-in Admin- und Guest-Accounts zukünftig wegzulassen.
https://blogs.technet.microsoft.com/secguide/2019/04/24/security-baseline-draft-for-windows-10-v1903-and-windows-server-v1903/
Das IT-Grundschutz-Kompendium des BSI macht anhand von themenspezifischen Bausteinen konkrete Vorgaben und Empfehlungen zur Umsetzung der IT-Grundschutz-Methodik. Es wird durch benutzerdefinierte Bausteine aus der Hand erfahrener Anwender ständig erweitert. Jetzt hat HiSolutions aus der Erfahrung durchgeführter Projekte drei benutzerdefinierte Bausteine zu den Themen „Loadbalancer“, „Windows Server 2016“ und „Container unter Openshift“ erstellt, welche dem BSI und der Community kostenfrei zur Verfügung stehen.
Die Anzahl der bekanntwerdenden Schwachstellen nimmt seit Jahren zu. Immer wieder sind auch kritische dabei, und in manchen Monaten kommt mehr zusammen als in anderen. So knüppeldick wie in diesem Mai kam es allerdings lange nicht: Eine „wurmbare“, sprich potenziell im Schneeballeffekt millionenfach ausnutzbare Lücke in RDP (CVE-2019–0708) bei Windows 7 und Server 2008/R2 plus 22 weitere kritische Lücken bei Microsoft, ein Bug in WhatsApp, über den schon mit einem einzigen bösartigen Anruf das i- oder Android-Phone unbemerkt übernommen werden kann (CVE-2019–3568) sowie allein über 80 Schwachstellen bei Adobe (Flash, Acrobat/Reader). Wegen des RDP-Problems patchte Microsoft auch noch ein weiteres „letztes“ Mal ausgelaufene Windows-Versionen wie XP. Interessant an der Lücke ist auch, dass sie vom britischen National Cyber Security Centre (NCSC) gemeldet wurde – dessen Mutter, der technische Geheimdienst GCHQ, sich durchaus vorbehält, Schwachstellen nicht zu veröffentlichen, sondern für das eigene Arsenal aufzusparen. Mögliche Gründe für die Veröffentlichung könnten ein vorausgegangener Verlust der Kontrolle über die Schwachstelle sein, die Erkenntnis, dass andere Geheimdienste diese ebenfalls kennen, oder auch späte Einsicht in die Vorgänge um WannaCry vor zwei Jahren, als GCHQ und NSA in die Kritik kamen, im Interesse ihrer Angriffswaffen Nutzer nicht genügend zu schützen.
Googles Project Zero (GP0) verfolgt seit der Gründung vor fünf Jahren intensiv die Entwicklungen und Entdeckungsprozesse im Bereich Schwachstellen. Das erklärte Ziel der Gruppe ist die Bekämpfung von „Zero Days“: Schwachstellen, die bekannt werden, ohne dass für sie bereits ein Patch besteht. Daher sind diejenigen Fälle von besonderem Interesse, bei denen Angreifer es geschafft haben, 0days „in the wild“, in freier Wildbahn tatsächlich auszunutzen. Diese Liste – quasi des eigenen „Scheiterns“ bzw. der eigenen Unvollkommenheit – hat GP0 nun veröffentlicht, mit allen „in the wild“ ausgenutzten 0days seit 2014. Soweit bekannt natürlich; die Dunkelziffer wäre hier zweifellos noch interessanter. Auffällig ist, dass die Anzahl der jährlichen Einträge seit 2015 kontinuierlich zurückgeht – bis auf 2019, wo wir mit 10 Einträgen schon jetzt fast auf dem Jahresniveau von 2018 sind. Die Kategorisierung der Schwachstellen wiederum deutet auf ein Versagen der IT-Branche insgesamt hin: Memory Corruption, die zusammen mit Use-after-Free den Löwenanteil der Exploits ermöglicht, sollte heutzutage nicht mehr vorkommen … eigentlich.
Immer mehr Unternehmen nutzen sie heute. Doch nur wenige wagen bisher den Schritt, ihre Kerngeschäftsprozesse komplett in die Cloud zu verschieben. HiSolutions unterstützt die Lufthansa bei der sicheren Migration.
Abdou-Naby Diaw, Deutsche Lufthansa AG, & Timo Kob, HiSolutions AG: Sicher in die Wolken. Wie HiSolutions die Lufthansa Group beim Weg in die Cloud unterstützt, in: <kes> Special Sicheres Cloud-Computing, Februar 2019. [PDF]
Im Cybersecurity Digest der HiSolutions AG informieren wir Sie jeden Monat per E-Mail über die wichtigsten Veröffentlichungen zu Ereignissen und Neuigkeiten der IT-Sicherheit. Hier können Sie den HiSolutions-Cybersecurity Digest abonnieren und frühere Ausgaben lesen: https://www.hisolutions.com/digest/
Vortrag von David Fuhr, Head of Research bei HiSolutions, bei der M³ (Minds Mastering Machines), London, 16.10.2018
Machine Learning is being applied in many use cases of information technology, with varying, but sometimes mind-blowing success. Like any emerging tech, it can be used for better or worse when it comes to “cyber”.
The talk will examine the relations between ML and security:
Required audience experience: Basic knowledge of ML is helpful as is an interest in cybersecurity.
Objective of the talk
The audience will: