Autor: Dr. Jörg Schneider

Senior Expert
News

Reddit-Ausfall: Nicht nur Systeme, sondern auch die Menschen aktuell halten 

In der pointierten Kurzform klingen die Ursachen für den jüngsten Ausfall der Plattform „Reddit“ wie der Albtraum jedes Betreibers von historisch gewachsenen Systemlandschaften: Die Routing-Regeln, die der Ursprung für einen Ausfall waren, wurden vor sehr langer Zeit geschrieben – und jeder aus dem ursprünglichen Team war inzwischen entweder in einer anderen Rolle im Unternehmen oder ganz woanders unterwegs.

Für mehr Details empfiehlt sich der sehr lange, aber auch schön zu lesende Post des Reddit-Engineering-Teams. Er schildert sehr anschaulich das Auf und Ab zwischen gewählten Lösungsansätzen und dann plötzlich querschlagenden Komplikationen, für die wieder neue Lösungen gesucht werden müssen. Auch die schwierige Entscheidung zwischen dem Weiterdebuggen im laufenden Restbetrieb und dem aktiven Abschalten zum Einspielen der Back-ups ist ein gutes Beispiel für die Entscheidungen in einer Krise, wie sie unsere Krisencoaches auch bei unseren Kunden begleiten.

Neben dem Problem, dass es für das ursächliche Teilsystem keine Experten mehr gab und dieses ganz anders verwaltet wurde als die neueren Teile, so dass sich die Mitarbeiter erst tiefer einarbeiten mussten, war auch ein weiteres organisatorisches Problem, dass die Wiederherstellung aus dem Back-up in der Form nicht geübt worden war. Damit fehlten Erfahrungswerte für die Dauer der Wiederherstellung, und man liest aus dem Beitrag auch heraus, dass dieser Lösungsweg aus Furcht vor Fehlern anfangs vermieden werden sollte.

Aber auch unser Monatsthema Patchmanagement kommt in dem Bericht nicht zu kurz: Die Back-up-Wiederherstellungsskripte wurden nicht an die Änderungen im produktiven Cluster angepasst. Daher passten sie nicht zu architektonischen Änderungen des Reddit-Teams, enthielten aber auch Kommandos für eine inzwischen End-of-Life-Version von Kubernetes. Der ursächliche Fehler mit den „Route Reflectors“ basierte auf einer Umbenennung, die bereits mit Kubernetes 1.20 im Jahr 2020 eingeführt wurde. In den folgenden Versionen waren dann noch übergangsweise die alten Bezeichner gültig, bis sie in der beim Vorfall installierten Version 1.24 ganz entfernt wurden.

You Broke Reddit: The Pi-Day Outage
by u/grumpimusprime in RedditEng
News

Explodierende USB-Sticks

In fast jeder Sensibilisierungsschulung wird auf die Risiken von gefundenen oder zugesendeten USB-Sticks hingewiesen. Dabei sind aber meist Risiken für die IT-Systeme gemeint, in die der USB-Stick dann eingesteckt wird. Die Beispiele reichen vom einfachen Speicher-USB-Stick, auf dem eine Malware liegt und die vom Nutzer aus Neugier per Hand gestartet wird, über automatisierte Tastaturen wie den „Rubber Ducky“ bis hin zu USB-Geräten, die das Gerät mit Stromschlägen physisch beschädigen sollen (z. B. USBKill).

In Ecuador haben fünf Journalisten eine noch drastischere Version per Brief zugeschickt bekommen. Die Geräte in Form von handelsüblichen USB-Sticks sollten nach dem Einstecken explodieren. In einem Fall kam es tatsächlich zu einer Explosion des enthaltenen Sprengstoffes, und der Journalist Lenin Artieda wurde dabei verletzt. In den anderen vier Fällen konnten die Briefe rechtzeitig als Briefbombe identifiziert werden.

https://arstechnica.com/gadgets/2023/03/journalist-plugs-in-unknown-usb-drive-mailed-to-him-it-exploded-in-his-face/

Beitragsbild: Keine Informationssicherheit, kein Job mehr
Allgemein, ISMS, Risikomanagement

Keine Informationssicherheit, kein Job mehr

Wer lange genug in der IT-Sicherheit unterwegs ist, kennt mehr als eine Situation, in der Hinweise und Vorgaben zur IT-Sicherheit mit einem selbstbewusst geäußerten „Keine Lust“, „Haben wir noch nie so gemacht“ oder „Erklären Sie mir nicht meinen Job“ zur Seite geschoben wurden.

Rechtsanwalt Jens Ferner berichtet von einem Fall, der am Ende gerichtlich ausgefochten wurde. Konkret ging es um eine nicht abgeschlossene Schreibtischschublade, in der sich Kundenakten mit Finanzdaten befanden. Eine Schublade klingt nicht direkt nach IT-Sicherheit, aber die entsprechende Clean-Desk-Regelung war Teil der Vorgaben zur Informationssicherheit. Der Verstoß dagegen wurde vom Landesarbeitsgericht Sachsen als so schwer bewertet, dass er eine Abmahnung bzw. wie im konkreten Fall wegen Wiederholung sogar die Kündigung rechtfertigte.

Umgekehrt kann auch eine zu laxe Handhabung von Informationssicherheit zum Jobverlust führen. In vielen Fällen, in denen wir Kunden bei der Bewältigung von Sicherheitsvorfällen unterstützen, stehen die Existenz des Unternehmens und damit auch Arbeitsplätze auf dem Spiel.

Beide Aspekte unterstreichen, dass ein gelebtes Informationssicherheitsmanagement mehr als nur viele geduldige Seiten Text bedeutet.
https://www.ferner-alsdorf.de/wirksame-kuendigung-bei-verstoss-gegen-richtlinie-zur-informationssicherheit/

Link zur Rechtsprechung: https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=LAG%20Sachsen&Datum=07.04.2022&Aktenzeichen=9%20Sa%20250%2F21

News

Vertrauen gebrochen? TPMs geben ihre Geheimnisse preis

Das Trusted Plattform Module (TPM) soll den Vertrauensanker im Rechner bilden und kann beispielsweise die benötigten Schlüssel für die Festplattenverschlüsselung bereithalten. Genau bei dieser Aufgabe haben sie gerade etwas an Vertrauen verloren, da eine Lücke in der Referenzimplementierung zu einem Auslesen oder Verändern von geschützten Daten führen kann.

Je nachdem, wie sehr die Hersteller von der Referenzimplementierung abgewichen sind, so unterschiedlich fallen die konkreten Auswirkungen aus. Die Voraussetzung für den Angriff haben sie aber alle gemein: Der Zugriff klappt nur aus einem bereits laufenden System heraus mit einem Nutzerkonto, das entsprechenden Zugang zur betroffenen TPM-Funktion „CryptParameterDecryption“ hat. Die Lücke ist also nicht geeignet, um einem ausgeschaltetem Laptop den Bitlocker-Key zu entlocken. Aber wie „Bleeping Computer“ passend anmerkte, erfüllt bereits eine Malware auf dem Laptop die nötigen Bedingungen, um möglicherweise an vertrauliche Informationen aus dem TPM zu kommen.

https://trustedcomputinggroup.org/wp-content/uploads/TCGVRT0007-Advisory-FINAL.pdf
https://www.bleepingcomputer.com/news/security/new-tpm-20-flaws-could-let-hackers-steal-cryptographic-keys/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-1017
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-1018

News

Wenn die KI mondsüchtig wird und Gespenster sieht

Eine spannende Diskussion wird gerade über die Zoom-Funktion in Samsung-Handys geführt. Mit der Handykamera gelingen nämlich seit einer Weile überraschend gute Bilder – besonders spektakulär sind dabei Bilder vom Mond. Vergrößert man die Bilder, lassen sich viele Details der Mondoberfläche erkennen. Die Diskussion entspann sich jetzt daran, ob das alles durch Verbesserungen an der Hardware und schlaue Optimierungsalgorithmen realisiert wurde, oder ob die Algorithmen es sich nicht etwas einfach machen und entsprechende Aufnahmen vom Mond passend einfügen. Wie immer, wenn es um die Vorzüge und Nachteile von IT-Marken geht, wird die Diskussion mit vehementem Eifer ausgetragen.

Vor kurzem hat der Reddituser „ibreakphotos“ die Diskussion mit einem Experiment noch einmal bereichert. Er hat ein vorhandenes Foto vom Mond genommen, es verpixelt, mit einem Weichzeichner versehen und anschließend erneut fotografiert. Das so entstandene Foto ist nicht perfekt, enthält aber Informationen, die de facto in der Vorlage nicht (mehr) enthalten waren. Die KI hatte bei ihrer Bildoptimierung also vermutlich zumindest eine korrekte Mond-Textur im Hinterkopf bei der Bildoptimierung.

Benchmark-relevante Funktionen zu schönen hat eine sehr lange Historie. Vielleicht erinnern Sie sich an die Grafikkartenhersteller Anfang der 2000er, die Spiele-Benchmarks erkannt und anders ausgeführt haben – oder an neuere Fälle bei Herstellern von Mobiltelefonchips und Fernsehern in den letzten Jahren.

Spiele und Mond-Bilder – wo ist da der Bezug zur Büro-IT? Dafür gehen wir auch wieder an den Karteikasten mit historischen News: Vor genau 10 Jahre machte eine vermeintlich schlaue Bildoptimierung in Xerox-Scankopierern Furore, da sie gelegentlich Zahlen vertauschte. Alles begann mit einer Bauzeichnung, in der die Quadratmeterangaben vertauscht waren. David Kriesel deckte damals auf, dass das Problem auch in vielen anderen Fällen auftrat, z. B. bei Tabellen mit Zahlen.

Ursprünglicher Reddit-Post zur Samsung-Kamera: https://www.reddit.com/r/Android/comments/11nzrb0/samsung_space_zoom_moon_shots_are_fake_and_here/

Ergänzung mit weiteren Versuchen: https://www.reddit.com/r/Android/comments/11p7rqy/update_to_the_samsung_space_zoom_moon_shots_are/

Andere Fälle mit geschönten Benchmarks:

https://www.theregister.com/2003/05/27/ati_admits_it_optimised_drivers/

https://www.anandtech.com/show/15703/mobile-benchmark-cheating-mediatek

https://entertainment.slashdot.org/story/22/06/15/0615211/samsung-caught-cheating-in-tv-benchmarks

10 Jahre alter Xerox-Fall: https://www.dkriesel.com/blog/2013/0802_xerox-workcentres_are_switching_written_numbers_when_scanning

News

Wir nehmen RTF: Da gibt es keine Makros – dafür aber einen Exploit

Das Rich Text Format (RTF) wurde lange als plattformübergreifendes Austauschformat genutzt – auch wenn das Format genauso wie das Word-Format von Microsoft spezifiziert wurde. RTF-Dokumente können aber von Haus aus keine Makros enthalten, und es gibt neben den Microsoft-Produkten eine Reihe weiterer Tools auf verschiedenen Betriebssystemen, die damit umgehen können. Ganz Mutige lesen das RTF-Dokument direkt im Texteditor und denken sich das Layout einfach dazu.

Das klingt doch nach einer tollen Ablösung für den Mailversand von Office-Dokumenten mit potenziell verseuchten Makros. Das Format wird allerdings seit 2008 nicht mehr gepflegt. Noch viel entscheidender: Vor einem Monat wurde eine Lücke in Word bekannt, mit der über ein präpariertes RTF-Dokument beliebiger Code ausgeführt werden kann. Microsoft hat die Lücke mit den Februar-Patches bereits behoben. In seinem Bericht hat Joshua J. Drake, der Finder der Lücke, aber auch schon einen Proof-of-Concept-Exploit veröffentlicht.

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21716

https://qoop.org/publications/cve-2023-21716-rtf-fonttbl.md

News

Angriffe im Jahresrückblick

Das Frühjahr ist auch immer die Zeit für Jahresrückblicke. Natürlich sind sie beschränkt auf den jeweiligen Wirkungsbereich und daher streng genommen nicht repräsentativ, aber sie ermöglichen doch, Trends und Gemeinsamkeiten zu erkennen.

Die Kollegen vom DFIR-Report (Digital Forensics and Incident Response) sammeln Artefakte und Berichte von realen Angriffen und haben vor kurzem ihre Sicht auf das Jahr 2022 zusammengefasst. Analog zu unseren Erfahrungen liegen die meisten Vorfälle im Bereich Ransomware. 69 % der Fälle ließen sich auf Phishing als initialen Zugriff zurückführen. Um sich dann von dem ersten System mit meist geringen Rechten weiter vorzuarbeiten, bedarf es weiterer Zugangsdaten. In den meisten Fällen (44 %) wurden sie aus dem LSASS-Speicher geholt. Wem das nichts sagt, der hat vermutlich schon von dem typischen Tool hierfür gehört: mimikatz. Das Auslesen im Browser gespeicherter Passwörter teilt sich bereits den zweiten Platz mit zwei weiteren Speicherauslese-Techniken. Für die Bewegung im Netz werden meist Standardprotokolle wie RDP und SMB genutzt (beide jeweils in 41 % der Fälle) – die nötigen Zugangsdaten sind dann ja bekannt. Spannend wird es bei den Tools, die zur späteren Steuerung hinterlassen werden (Command & Control, C2). Platzhirsch Cobalt Strike führt mit 29 %, direkt mit 8 % gefolgt von AnyDesk – einer ganz normalen Fernzugrifflösung.

Im Report sind noch mehr Zahlen und vor allem viel mehr technische Details sowie Beispiele enthalten: https://thedfirreport.com/2023/03/06/2022-year-in-review/

News

Medientipp März 2023

Wer sich schon mal stundenlang in der Wikipedia verlaufen hat und das jetzt auch mit mehr Sicherheit wiederholen will, sollte sich ein paar ruhige Stunden nehmen und dann die MITRE ATT&CK Webseite öffnen:

https://attack.mitre.org/

Die ATT&CK-Matrix gibt nicht nur ein dekoratives Poster her, sondern bietet mit ihrem mehrdimensionalen Ansatz auch viel Raum, um spannende Zusammenhänge zu finden. Es gibt verschiedene Einstiegslisten: alle möglichen Angriffstechniken, Tools oder Angreifergruppen. Zu jedem Eintrag gibt es eine kurze Beschreibung und viele Verknüpfungen zu den anderen Dimensionen. So kann man etwa über die Liste Tools zu dem oben erwähnten Cobalt Strike kommen und findet dort alle Techniken, bei denen es zum Einsatz kommt sowie Gruppen, die es nutzen. Auf diese Weise kann man sich schön durch die Welt der Angreifer klicken und findet auch viele weiterführende Links.

Passenderweise gibt es direkt auf der Startseite einen Button „Random Page“: ein Klick – und die Reise kann beginnen.

News

Ein kurzes Kürzel mit großen Auswirkungen: NIS2

Haben Sie durchgeatmet, weil Ihre Organisation nicht unter die Definition von KRITIS nach dem BSI-Gesetz fiel? Dann atmen sie nochmal tief ein, denn Ihre Puste könnten Sie bald für die Umsetzung der Anforderungen und Maßnahmen aus der europäischen Richtlinie NIS2 brauchen. Ende 2022 beschlossen, wird sie bis Herbst 2024 in allen EU-Mitgliedsstaaten in nationales Gesetz überführt werden müssen. Das bedeutet für rund 40.000 Unternehmen und vergleichbare Einrichtungen in Deutschland die Umsetzung ambitionierter Anforderungen und Pflichten.

Es kommen neue Sektoren hinzu, mit Anforderungen an mittelgroße Unternehmen (50-250 Mitarbeiter) und große (alles darüber) sowie für Ausnahmefälle, die sich durch eine hohe Kritikalität auszeichnen. Zusätzlich kommen auf die Organisationen Meldepflichten bei signifikanten Sicherheitsvorfällen zu und Vorgaben zu technischen, organisatorischen und operativen Sicherheitsmaßnahmen. Diese könnten sich über das geforderte Lieferkettenmanagement auch indirekt auf Zulieferer auswirken.

Einige Details ergeben sich noch aus den nationalen Verfeinerungen. Trotzdem sollten alle potenziell Betroffenen bereits jetzt überlegen, welche Auswirkungen sie bewältigen müssen, und wie ein Vorbereitungsplan aussehen könnte. „Herbst 2024“ klingt weit weg. Aber eineinhalb Jahre sind in IT-Projektzeit doch ziemlich wenig. 

Zusammenfassung und FAQ der EU: https://digital-strategy.ec.europa.eu/de/policies/nis2-directive Die Richtlinie im Detail: https://eur-lex.europa.eu/eli/dir/2022/2555/oj

News

Neues vom IT-Grundschutz: 10 ergänzte Bausteine 2023

Jedes Jahr wird das IT-Grundschutzkompendium aktualisiert und ergänzt. Durch die 10 neuen Bausteine in diesem Jahr gibt es jetzt 111 Bausteine, die Anforderungen für die verschiedenen Zielobjekte im Informationsverbund definieren. Neben dem schon häufig vermissten Baustein für einen Terminalserver gibt es auch zwei neue Outsourcing-Bausteine als Ersatz für die bisher im Kompendium enthaltenen. Wer nicht tief im Grundschutz steckt, wird sich fragen, warum gleich zwei Bausteine nötig sind: Der eine beschreibt die Anforderungen aus Sicht des Outsourcing-Nutzers, der andere ist das entsprechende Gegenstück aus Sicht des Outsourcing-Anbieters. Beide Seiten setzen den passenden Baustein in ihrem jeweiligen Verbund um, damit mögliche Regelungslücken vermieden werden. Das klappt mit den neuen Bausteinen jetzt auch besser. Kleiner Wermutstropfen für alle, die bereits die alten Bausteine modelliert hatten: Da sich so viel geändert hat, kommt die Umstellung auf die neuen Bausteine einer Neuerhebung gleich.