Elasticheimsuch: NoSQL-Datenbanken geransomed

Ransomware muss nicht unbedingt Clients oder Infrastrukturen befallen. Datenbanken können auch direkt heimgesucht werden, so wie im Fall von mindestens 1.200 Elasticsearch-Instanzen. Angreifer hatten über eine unsichere Konfiguration der Authentifizierung die Daten durch Erpresserbriefe ersetzt.

Elasticsearch ist nicht die erste „next generation“-Datenbank, die auf solche Weise heimgesucht wird. 2020 stellten Sicherheitsforschende fest, dass in ca. der Hälfte der damals exponierten MongoDB-Instanzen ebenfalls der Inhalt durch eine ähnliche Ransom-Note ersetzt worden war.

https://www.secureworks.com/blog/unsecured-elasticsearch-data-replaced-with-ransom-note

Uns blutet das Herz: Hertzbleed leakt Geheimnisse

Auch wenn es Mode geworden ist, verdienen nicht alle Schwachstellen einen albernen Namen und ein noch alberneres Logo. „Hertzbleed“ hat beides – und das zurecht. So erlaubt doch diese neu entdeckte Side-Channel-Schwachstelle das Stehlen von Geheimnissen aus allen Intel- und vielen AMD-CPUs.

Hertzbleed nutzt dabei die Tatsache aus, dass moderne Prozessoren zum Performance-Gewinn ihre Taktfrequenz dynamisch hoch- oder herunterfahren. So kann über Timing-Unterschiede unter bestimmten Bedingungen etwa auf Krypto-Schlüssel zurückgeschlossen werden.

Standardmaßnahmen wie die Entwicklung von Krypto-Code als „Constant Time“ helfen hier nicht, da der „Bug“ ein Feature der Hardware ist. Intel und Co. planen zurzeit keinen Patch, sodass für jedes kritische Kryptosystem einzeln überprüft werden muss, ob es durch Hertzbleed angreifbar ist. Das generelle Abschalten des sogenannten Turbo Boost/Turbo Core empfiehlt sich aufgrund des empfindlichen Performance-Verlusts nicht.

https://www.hertzbleed.com/

Sonnenstürme in den Wolken – Droht die Cloud-Komplexität zu eskalieren?

In nur sechs Monaten, von August 2021 bis Januar 2022, wurden acht kritische Schwachstellen bei großen Cloud-Anbietern entdeckt – davon sechs allein bei Azure und zwei bei AWS. Das ergibt zumindest die Auswertung des Security-Forschers Scott Piper, der eine umfassende Liste solcher Lücken pflegt. Da Schwachstellen in Infrastrukturen in der Regel keine CVE-Nummern erhalten und somit von den Herstellern oder den Entdeckerinnen und Entdeckern mit CVSS-Scores für die Kritikalität ausgewiesen werden, musste Piper die Einstufung dafür selbst vornehmen.

Zwar hatte „die Cloud“ noch nicht ihren SolarWinds-Moment wie die Supply-Chain-Security im Dezember 2020, als über die Backdoor Solorigate/Sunburst in der Management-Software SolarWinds Orion sehr viele Firmen weltweit auf einmal akut betroffen waren. Doch zeigt die Aufstellung, dass es bereits diverse near misses gab, in denen großer Schaden hätte angerichtet werden können, wären Angreifer schneller als die Researcher gewesen.

Dass Microsofts Cloud-Dienst so stark überproportional betroffen ist, dürfte eher daran liegen, dass sich der Fokus der Sicherheitsforschung insbesondere auch auf Azure ausgeweitet hat, da sich die Plattform gerade im Business-Umfeld einen gewissen Marktanteil hat sichern können: Allein zwischen 2019 und 2021 legte Azure von 16,5 % auf 20,8 % zu, während Marktführer AWS bei rund 35 % verharrte.

https://www.protocol.com/enterprise/microsoft-azure-vulnerabilities-cloud-security

Lesetipps Juni 2022

Abhängig

Der „Dependency Graph“ beschreibt alle unsere Abhängigkeiten – zumindest was unsere Software betrifft.

https://docs.github.com/en/code-security/supply-chain-security/understanding-your-software-supply-chain/about-the-dependency-graph

Wissbegierig

Nick Jones, Cloud Security Specialist bei WithSecure (bis vor Kurzem als F-Secure Business bekannt) weiß, welches Wissen sein Feld benötigt.

https://www.nojones.net/posts/breaking-into-cloudsec

Eingebettet

Cory Doctorow kennt alle Tricks, mit denen Backdoors in KI-Modelle eingeschleust werden können.

https://doctorow.medium.com/undetectable-backdoors-for-machine-learning-models-8df33d92da30

Kein LAPSus: LAPS wird nativ auf Windows

Die bei auf Security bedachten Admins beliebte Local Administrator Password Solution (LAPS) von Microsoft musste bisher als zusätzliches Dienstprogramm installiert werden. Mit der neuen Windows 11 Preview wird LAPS nun zum nativen Bestandteil des Betriebssystems. LAPS macht es deutlich leichter, die lokalen Account-Passwörter auf domänenverbundenen Computern sicher zu verwalten. Die Ausweitung auf Azure AD ist ebenfalls bereits angekündigt.

https://blogs.windows.com/windows-insider/2022/06/22/announcing-windows-11-insider-preview-build-25145/

Angriff erkannt, Angriff gebannt? KRITIS-Orientierungshilfe zur Angriffserkennung

Nachdem das IT-Sicherheitsgesetz 2.0 insbesondere beim Thema Angriffserkennung den betroffenen Unternehmen neue Anforderungen bescherte, hat nun das BSI die einschlägige „Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung“ als Community Draft veröffentlicht.

Sie beschreibt Anforderungen an KRITIS- und Energieanlagen-Betreiber sowie prüfende Stellen.

Der Community Draft kann noch bis zum 8. Juli 2022 kommentiert werden.

Community Draft: https://www.bsi.bund.de/DE/Service-Navi/Presse/Alle-Meldungen-News/Meldungen/Orientierungshilfe_Angriffserkennung_220613.html

Darstellung des Inhalts: https://www.openkritis.de/massnahmen/angriffserkennung_kritis_siem_soc.html#orientierungshilfe

Abfragwürdig: Queryable Encryption wird praktikabel

Die meisten Evolutionsschritte in der Kryptographie haben nicht sofort nennenswerte Auswirkungen auf die Praxis. Schlimmstenfalls wird ein Verfahren oder ein Algorithmus durch einen neuen kryptoanalytischen Angriff unbrauchbar gemacht oder geschwächt. Aber dass neue Anwendungsfelder entstehen, geschieht nur etwa einmal im Jahrzehnt (z. B. in den 70er Jahren mit Public-Key-Kryptographie, in den 2000ern mit Blockchain oder in den 2010ern mit bestimmten quantensicheren Verfahren).

Jetzt könnte ein solcher Punkt wieder einmal erreicht sein: Mathematisch ist Queryable Encryption kein Hexenwerk. Verglichen mit ihrer großen Schwester könnte sie gar als geradezu trivial bezeichnet werden: Während homomorphe Verschlüsselung das Durchführen beliebiger Rechenoperationen auf verschlüsselten Daten ermöglicht, verspricht Queryable Encryption nur die Möglichkeit, bestimmte Operationen auszuführen, ohne die Daten zu entschlüsseln – im Wesentlichen eine (semantisch möglichst reichhaltige) Suche.

Das allein ermöglicht schon magisch klingende Anwendungsfälle: Der Cloud-Provider muss nicht mehr in unsere Daten hineinschauen. Das polizeiliche Informationssystem kann gewisse Recherchen durchführen, ohne den Inhalt der Datensätze kennenzulernen. Bestimmte bioinformatische Forschung kann auf verschlüsselten Genomen erfolgen. Die Kunst besteht jedoch darin, ein solches Kryptosystem zur Einsatzreife zu bringen.

Den Macherinnen und Machern der beliebten NoSQL-Datenbank MongoDB scheint es nun gelungen zu sein, Queryable Encryption in ihr Flaggschiff-Datenbank-Produkt Atlas einzubauen. Im aktuellen Preview ist zunächst nur die exakte Suche enthalten – das aber immerhin schon auf komplett randomisiert verschlüsselten Daten, krankte doch herkömmliche Client-Side-Verschlüsselung immer daran, dass nur deterministisch (immer gleich) verschlüsselt werden konnte, um die Daten wiederfinden zu können. Die Möglichkeit zur Suche nach Intervallen (Range) und Substrings soll in späteren Releases folgen.

Ob sich die Implementierung in MongoDB in der Praxis bewährt, wird sich erst noch zeigen. Als großer Schritt für die angewandte Kryptographie insgesamt darf das Feature aber durchaus schon gefeiert werden.

https://www.mongodb.com/blog/post/mongodb-releases-queryable-encryption-preview

Lesetipps Mai 2022

Anfänglich

Wie sich Denken und Argumentationen auf „First Principles“ zurückführen lassen: https://twitter.com/jackbutcher/status/1354820709042638848

Zwiespältig

Wie Datenschutz zur Marktverzerrung missbraucht werden kann:
https://venturebeat.com/2022/04/18/how-big-tech-uses-data-privacy-concerns-for-market-dominance/

Reiflich

Wie Maturity-Modelle wirklich zu verstehen sind: https://twitter.com/johncutlefish/status/1156727594210881538

Algebraisch

Wie mathematische Abstraktionen Big Data handlebar machen:
https://corecursive.com/050-sam-ritchie-portal-abstractions-2/

Eurovision Song CTF: Der hybride Krieg weitet sich aus

Im Medienrummel um den ukrainischen Triumph beim „ESC“, dem Eurovision Song Contest, ist weitgehend untergegangen, dass die IT-Infrastruktur des Festivals während der Show angegriffen wurde. Die prorussische Cybergruppierung Killnet hat versucht, die Abläufe zu stören und möglicherweise das Ergebnis zu verfälschen.

Da derartige Versuche erwartet wurden, konnten sie im laufenden Betrieb abgewehrt werden, sodass die Veranstaltung reibungslos über die Bühne gehen konnte. Trotzdem warnen Verfassungsschutzorganisationen weiterhin vor den Aktivitäten derartiger Gruppen auch in Deutschland, die das Ziel haben könnten, die öffentliche Meinung zu beeinflussen.

https://www1.wdr.de/fernsehen/aktuelle-stunde/alle-videos/video-angeklickt-der-hybride-krieg-weitet-sich-aus-100.html