Autor: Abraham Söyler

14. November 2024Netzwerk, Schwachstelle

Perimeter Defense

Zuletzt häuften sich erneut herstellerübergreifend die Sicherheitslücken in Firewalls, also gerade in den Geräten, die die Umgebung eigentlich schützen sollten. Die Rolle der Perimeterverteidigung wird nunmehr infrage gestellt und Zero Trust nicht nur als neues Buzzword verwendet, sondern auch als innovative Lösung der Hersteller versprochen.

Das Konzept dahinter ist aber gar nicht so innovativ: Bereits 1994 wurde „Zero Trust“ im Rahmen einer Dissertation definiert. Über die Jahre finden sich viele weitere Talks und Beiträge, die gegen Firewalls als alleinige Sicherheitskonzepte plädieren, aber auch die grundsätzliche Rolle dieser Geräte hinterfragen. Eine eindeutige Definition des Begriffes „Zero Trust“ wird zunehmend durch die Derivationen der Hersteller schwieriger, aber das Konzept ist recht simpel: statt einer geschützten Grenze zwischen dem „bösen“ Internet und dem „guten“ Intranet wird das gesamte Transportmedium als grundsätzlich nicht vertrauenswürdig angesehen. Ein Schutz der Daten findet dann direkt über das Anwendungsprotokoll statt.

Wenngleich der Begriff das Misstrauen gegenüber allen beteiligten Instanzen suggeriert, verbleibt die Notwendigkeit dem Anbieter einer solchen Lösung zu vertrauen. Das heißt wie auch schon heute mit Firewalls ist dessen Reputation entscheidend. Besonders klar machte uns das die Meldung über die Ausnutzung eben dieser besonderen Privilegien durch das X-Ops Team von Sophos, um eine chinesische APT-Gruppe zu verfolgen, indem die Sicherheitsforschenden eigene Malware auf den Geräten hinterlegten.

Wie so oft ist die vorgestellte Lösung also nicht das Allheilmittel, es ist weiterhin wichtig alle Optionen im Blick zu haben und die beste Umsetzung für die eigene Umgebung auszuwählen.

https://www.wired.com/story/sophos-chengdu-china-five-year-hacker-war

https://news.sophos.com/en-us/2024/10/31/pacific-rim-neutralizing-china-based-threat/

https://www.securityweek.com/security-perimeter-dead

https://media.ccc.de/v/gpn21-88-perimeter-security-is-dead-get-over-it-

https://www.cvedetails.com/vulnerability-list/vendor_id-3080/Fortinet.html?page=1&year=2024&month=-1&order=1

https://dspace.stir.ac.uk/bitstream/1893/2010/1/Formalising%20trust%20as%20a%20computational%20concept.pdf

14. November 2024News

DDoS-Attacke auf das Internet Archive: Ein Schlag gegen die digitale Bewahrung

Anfang Oktober wurde das „Internet Archive“, ein Web-Angebot, das sich zum Ziel gesetzt hat, die flüchtigen Inhalte des World Wide Web durch Archivierung dauerhaft recherchierbar zu machen, durch mehrere Angreifergruppen kompromittiert und war Ziel einer DDoS-Aktion. Neben dem Datenabfluss der dort gespeicherten Zugangsdaten ist jedoch auch eine fehlende Verfügbarkeit sowohl beim Abruf als auch bei der Archivierung der Seiten problematisch. Alle Links in diesem Blog könnten irgendwann nicht mehr funktionieren, wenn die ursprünglichen Zielseiten offline genommen werden oder die Linkstruktur sich ändert (Stichwort: link rot). Mit dem Internet Archive besteht die Möglichkeit, Inhalte permanent zu speichern und das Wissen zu erhalten: ein wichtiger Grundbestandteil unserer Kultur, den wir schützen sollten.

https://infosec.exchange/@briankrebs/113279512399397674

14. November 2024News

Hackerparagraph: Neue Version, alte Probleme

2007 wurde der sogenannte „Hackerparagraph“ (§ 202 c StGB) vom Gesetzgeber mit dem Ziel eingeführt, schwere Formen der Computerkriminalität unter Strafe zu stellen. Die Regelung war von Beginn an starker Kritik aus der Community ausgesetzt, weil sie auch Sicherheitsforscher zu kriminalisieren droht. Nun hat das Bundesministerium für Justiz einen Referentenentwurf zur Änderung des besagten Paragraphen vorgelegt, der von der Seite Netzpolitik veröffentlicht wurde. Die AG KRITIS veröffentlichte eine Stellungnahme und zeigt auf, welche Probleme vom Entwurf nicht gelöst werden.

https://dserver.bundestag.de/btd/16/054/1605449.pdf

https://www.heise.de/news/Modern-Solution-Berufungsgericht-bestaetigt-Schuld-des-Sicherheitsforschers-10007090.html

https://netzpolitik.org/2024/hacker-paragrafen-wir-veroeffentlichen-den-gesetzentwurf-zum-computerstrafrecht/

https://ag.kritis.info/2024/10/24/hackerparagraph-stellungnahme-referentenentwurf-computerstrafrecht/

17. Oktober 202417. Oktober 2024News

Kleine Wortänderung mit großer Wirkung – NIST-Passwortrichtlinie

In der letzten Veröffentlichung 800-63-4 hat das NIST die Richtlinien zum Umgang mit Digitalen Identitäten überarbeitet, unter anderem zum Thema Passwörter. Insbesondere die Maßgabe der periodischen Passwortänderung wurde von einem „SHOULD NOT“ zu „SHALL NOT“ geändert. Wenngleich also vorher eine regelmäßige Passwortänderung nicht empfohlen aber erlaubt war, ist dies zukünftig nicht mehr mit dem Standard konform. Auch die Nutzung der immer noch weit verbreiteten Sicherheitsfragen (knowledge based authentication – KBA) ist nun nicht mehr erlaubt.

Auch die bekannten Komplexitätsklassen werden infrage gestellt. Die explizite Anforderung von Sonderzeichen und Ziffern in Passwörtern erhöht zwar die Entropie der Zeichenfolge, tut dies aber auf eine vorhersehbare Art. Aus einem „passwort“ wird dann gerne ein „Passwort!“, was zwar auf dem Papier „sicherer“, für Angreifende aber leicht zu knacken ist. Es ist immer wichtig zu bedenken, wie Menschen auf technische und organisatorische Änderungen reagieren und die daraus resultierenden Folgen im Blick zu behalten.

Übrigens: Das BSI hat seine Empfehlung zur Änderung der Passwörter in regelmäßigen Zeitabständen im Grundschutz aus dem Baustein ORP.4 bereits in der Edition 2020 entfernt.

https://pages.nist.gov/800-63-4/

https://arstechnica.com/security/2024/09/nist-proposes-barring-some-of-the-most-nonsensical-password-rules/

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2022/02_ORP_Organisation_und_Personal/ORP_4_Identitaets_und_Berechtigungsmanagement_Editon_2022.html

https://dl.acm.org/doi/10.1145/1866307.1866327

17. Oktober 202415. November 2024News

Tor-Browser geknackt: Die Zwiebel hat eine Schale verloren!

Schlagzeilen machten deutsche Ermittler wegen einer Plattform mit Child Sexual Abuse Material (CSAM) im TOR-Netzwerk. Nach offenbar jahrelangem Observieren von Entry-Knoten und einer Verfügung beim ISP konnte eine Schlüsselfigur festgenommen und verurteilt werden. Die genauen Details der Ermittlungen sind nicht öffentlich bekannt, weshalb über den Verlauf auch im TOR-Projekt diskutiert wird. Relevant war wohl der Einsatz eines Messenger-Dienstes, der die neuen Vanguards nicht einsetzte, sowie die „letzte Meile“ zum Entry-Knoten, die nach einer Abfrage der Ermittler beim ISP aufgedeckt wurde.

Aufgrund des hohen Aufwandes bei der Durchführung ist nicht von einer allgemeinen Kompromittierung des gesamten Netzwerkes auszugehen. Der Vorfall erinnert aber an bekannte Probleme aus der Vergangenheit, bei denen nicht das Protokoll selbst, sondern eine Anwendung darum herum gebrochen wurde (z. B. durch den Flash Player).

https://www.dw.com/de/qa-ist-das-tor-netzwerk-noch-sicher/a-70320968

https://blog.torproject.org/tor-is-still-safe/

https://blog.torproject.org/announcing-vanguards-add-onion-services/

https://torproject.github.io/manual/plugins/

17. Oktober 202417. Oktober 2024News

perfctl – kein Administrationswerkzeug, sondern Malware

Heartbleed, Hafnium, xz und viele Weitere: Alle paar Monde bescheren uns Malware-Schmieden neue Exploits und Werkzeuge, die uns das Leben schwerer machen in unterschiedlichen Variationen und Größen. Sicherheitsforscher von Aqua Security fanden eine auffällige Linux-Malware namens perfctl, die wohl diverse Lücken ausnutzt, um weitreichend Systeme zu kompromittieren.

Spannend sind die vielseitig genutzten TTPs (Tactics, Techniques, Procedures), die in der Laborumgebung beobachtet wurden. Die konkrete Sicherheitslücke ist allerdings bereits seit einem Jahr behoben; ein weitreichender Fallout blieb bisher aus.

https://www.aquasec.com/blog/perfctl-a-stealthy-malware-targeting-millions-of-linux-servers/