Die Ikarussen kommen? Flächensonnenbrand in IT-Land – SolarWinds #Sunburst Supply Chain Angriff

Veröffentlicht Veröffentlicht in Supply Chain

Dass Supply-Chain-Angriffe verheerend sein können, ist spätestens seit 2017 klar, als die im Update einer ukrainischen Steuersoftware versteckte Malware NotPetya IT-Infrastrukturen weltweit verkrüppelte und Schäden in Milliardenhöhe verursachte. Nun haben Angreifer – amerikanische Dienste verdächtigen den russischen Auslandsgeheimdienst – einen noch viel effektiveren Vektor in potenziell 300.000 für die Spionage (und evtl. auch Sabotage) äußerst wertvollen Unternehmen und Behörden gefunden: Ein manipuliertes Update der beliebten Netzwerkmonitoring-Lösung Orion hat bequeme Einstiegspunkte bei Kunden des Herstellers SolarWinds geöffnet, die in mehreren Fällen auch schon konkret ausgenutzt worden sind.
Aufgefallen war der Angriff, weil eines der Opfer der amerikanische Security-Spezialist FireEye ist. Experten dort hatten den Missbrauch von Microsoft-Authentifizierungstechniken durch die Angreifer bemerkt und eine Untersuchung gestartet, die zunächst die Spitze des Eisbergs sichtbar machte.
Inzwischen ist klar, dass nicht nur viele Fortune 500-Unternehmen, sondern auch kritische Infrastrukturen und der Verteidigungssektor betroffen sind – eine Goldgrube für die Angreifer.
„Sunburst“, wie der Angriff genannt wird, ist relativ leicht im Netzwerk zu detektieren und zu stoppen. Die Sisyphusarbeit liegt jedoch darin, Netzwerke, die möglicherweise durch die Lücke schon kompromittiert wurden, zu untersuchen und – in vielen Fällen der einzig wirklich sichere Weg – neu aufzusetzen. Die Aufräumarbeiten hierzu haben gerade erst begonnen.

Wall of… Awareness: Prominente Opfer 2020

Veröffentlicht Veröffentlicht in News

2020 sollte allen klar sein, dass es keine Schande ist, Opfer von Ransomware oder anderen großen Cyber-Attacken geworden zu sein. Es kann jedes Unternehmen und jede Behörde treffen. In diesem Jahr waren unter anderem die folgenden Institutionen an der Reihe – ihnen gebührt unser aller Dank, dass wir aus diesen öffentlich bekannten Fällen lernen durften, um besser gerüstet zu sein.

Finanz- und das Handelsministerium (USA), AstraZeneca , Europäische Arzneimittelbehörde, Klinikum Düsseldorf, BW Fuhrpark Service, TX Group (Mediengruppe), Hirslanden-Gruppe (Krankenhaus), Argentinisches Innenministerium (Passdaten), Wipotec Gruppe (Maschinenbau), GWG Wohnungsbaugesellschaft München, Marabu (Druckfarbenhersteller), Manchester United (Fußball), Flughafen Saarbrücken, Magellan Health, Schmersal (Sicherheitsschaltgeräte und Systeme), Münchner Sicherheitskonferenz, X-Fab (Halbleiter), Software AG, Easyjet, KME (Kupferhersteller), Kammergericht Berlin, Humboldt-Universität, Stadtverwaltung Potsdam, Handwerkskammer Hannover, Ruhr-Universität Bochum, Swatch, DFB, Universität Augsburg, Tracto (Maschinenbau), Fresenius, Optima (Verpackungen), Garmin, Netzsch (Maschinenbau), Technische Werke Ludwigshafen, Kölner Universitäts- und Stadtbibliothek, Sopra Steria, Vastaamo, Symrise, …

Ganz normale Landstraße: Normungsroadmap KI veröffentlicht

Veröffentlicht Veröffentlicht in News

Beim DIN wurde die „Normungsroadmap KI“ veröffentlicht. Um ein einheitliches Vorgehen beim Thema IT-Sicherheit von KI-Anwendungen zu ermöglichen, soll eine übergreifende „Umbrella-Norm“ („Horizontale KI-Basis-Sicherheitsnorm“) entwickelt werden, die vorhandene Normen und Prüfverfahren bündelt und um KI-Aspekte ergänzt sowie durch Sub-Normen zu weiteren Themen ergänzt werden kann. Außerdem sollen eine praxisgerechte initiale Kritikalitätsprüfung von KI-Systemen ausgestaltet und ein nationales Umsetzungsprogramm „Trusted AI“ zur Ertüchtigung der europäischen Qualitätsinfrastruktur initiiert werden.

https://www.din.de/de/forschung-und-innovation/themen/kuenstliche-intelligenz/normungsroadmap-ki

Ja SANS denn deppert? SANS Practical Guide AWS Security

Veröffentlicht Veröffentlicht in News

SANS hat das kostenlose eBook „Practical Guide to Security in the AWS Cloud“ veröffentlicht, das auf ganzen 365 Seiten praktische Aspekte der Absicherung von AWS aufzählt – von Automatisierung über Detektion bis Threat Hunting. 

https://pages.awscloud.com/rs/112-TZM-766/images/Cloud%20Security%20Practical%20Guide%20to%20Security%20in%20the%20AWS%20Cloud.pdf

Es sieht schwarz aus für den Rotwald – Microsoft kündigt ESAE ab

Veröffentlicht Veröffentlicht in News

Das unaussprechliche Enhanced Security Admin Environment (ESAE), vielen auch unter dem griffigeren Namen Red Forest bekannt, ist ein Konzept, das in Kennerinnen und Kennern unterschiedlichste Reaktionen ausgelöst hat: von Ehrfurcht (ob des möglichen Sicherheitsniveaus) bis zu hysterischem Lachen (ob des sechsstelligen Taschengeldes, das notwendig war, damit Vertreter der Erfinderin Microsoft überhaupt vorbeikamen, um über diese Geheimwaffe zu reden). Nun schickt Redmond den Red Forest aufs Altenteil – zu komplex und zu schwerfällig war die Idee, um unter dem Strich für ein Plus an Hochsicherheit sorgen zu können. Ersetzt werden soll ESAE nach Microsofts Idee durch die hauseigene Privileged Access Strategy und die Rapid Modernization Plan (RAMP) Anleitung. Einzig Microsoft selbst möchte intern weiter eine Art Red Forest betreiben „because of the extreme security requirements for providing trusted cloud services to organizations around the globe.“

https://docs.microsoft.com/en-us/security/compass/esae-retirement

Praktisch unsicher: Elektronische Patientenakte stolpert über Konfigurationslücken

Veröffentlicht Veröffentlicht in News

Ab Januar ist die elektronische Patientenakte (ePA) in Arztpraxen, Krankenhäusern und Apotheken in Betrieb. Dann können über die Telematik-Infrastruktur sensible Gesundheitsinformationen miteinander ausgetauscht werden. Doch IT-Sicherheitsforscher fanden gravierende Sicherheitslücken bei der Konfiguration der sogenannten Konnektoren, welche die Praxen an die Infrastruktur anbinden. In etwa 30 Fällen hätten Angreifer der Telematik-Infrastruktur vortäuschen können, eine Arztpraxis zu sein, und damit ohne Passwortschutz Zugriff auf alle Patientenakten der Praxis bekommen.

https://www.tagesschau.de/investigativ/br-recherche/sicherheit-telematik-101.html

Oh IOT oh IOT, fast verjessen: AMNESIA:33

Veröffentlicht Veröffentlicht in News

AMNESIA:33 ist eine Sammlung von 33 Schwachstellen in vier weit verbreiteten TCP/IP-Stack-Implementierungen. uIP, FNET, picoTCP und Nut/Net decken als Basiskomponenten insgesamt viele Millionen vernetzter Geräte ab. Die Schwachstellen ermöglichen via Memory Corruption Angriffe wie Remote Code Execution (RCE), Denial of Service (DoS) und den Diebstahl von Informationen.

Lesetipps Dezember 2020

Veröffentlicht Veröffentlicht in News

Anstelle des Weihnachtsschmucks

Wem die Kreativität für Lamettagraphentheorie, Christbaumkugelpackungen oder Lebkuchenhauskonstruktionen in diesem Jahr ausgegangen ist, der kann sich auch einfach diese hübschen Netzwerktechnik-Cheat-Sheets in DIN A0 an die Wand hängen. Frohes Fest!

https://packetlife.net/library/cheat-sheets


Anstelle eines Weihnachtslieds

Und wem nicht nach Weihnachtsliedern zumute ist, der kann stattdessen Deichkind hören, die ein Video von „Frag den Staat“ musikalisch hinterlegt haben. Die Plattform hat auch 2020 mit der konsequenten Nutzung des Informationsfreiheitsgesetzes (IFG) dazu beigetragen, dass die Öffentlichkeit über diverse die Cybersicherheit betreffende Vorgänge informiert werden konnte.

https://fragdenstaat.de/spenden/wfds/#video

IT-SiG 2.0 v0.3

Veröffentlicht Veröffentlicht in News

Das IT-Sicherheitsgesetz 2.0 ist immer noch nicht fertig – und wird es auch in diesem Jahr nicht mehr. Immerhin wurde am 19.11. der dritte Referentenentwurf bekannt.

Viele Punkte sind aus den vorigen Entwürfen bekannt, es gibt aber auch Neuerungen. So sollen Bußgelder nicht mehr analog zur DSGVO bis zu 4 % des weltweiten Jahresumsatzes umfassen, sondern bei 2 Mio. Euro gedeckelt werden. Sicherheitsanforderungen sind nun auch für „Unternehmen im besonderen öffentlichen Interesse“ vorgesehen, für wirtschaftlich systemrelevante Unternehmen und für Gefahrstoffbetriebe (Chemie). Das BSI soll weiterhin die Befugnis bekommen, öffentlich zugängliche Internetdienste und Geräte zu hacken, um Sicherheitslücken aufzudecken. Letzteres ist problematisch aufgrund der fehlenden Unabhängigkeit des Bundesamts vom Innenministerium, das auch Strafermittlungsbehörden und Verfassungsschutz beherbergt. Es besteht damit die Gefahr, dass gefundene Sicherheitslücken für diese Zwecke geheim gehalten werden, anstelle bei den Softwareherstellern und  Anwendern für die Beseitigung zu sorgen.

Der dritte Referentenentwurf soll nun in die sogenannte Ressortabstimmung gehen. Eine Verabschiedung des Gesetzes im Frühjahr 2021 wäre möglich, einige Beobachter rechnen aber eher mit einer Punktlandung vor dem Ende der Legislaturperiode im Sommer. Unklar ist aktuell aber auch noch, ob es bereits einen Konsens in der Bundesregierung für diesen Entwurf gibt – oder ob demnächst ein weiterer folgt.

Eine detaillierte Analyse der Änderungen:

Kein Ryukzug: US-Krankenhäuser im Visier

Veröffentlicht Veröffentlicht in News

Der bekannte Security-Journalist Brian Krebs berichtet auf seiner Webseite KrebsOnSecurity.com, dass das amerikanische Gesundheitswesen aktuell im Visier der Ransomware-Kampagne Ryuk ist. Dabei beschreibt er auch, wie einzelne Gruppen mit Ryuk-Bezug erkannt werden können, und erklärt die aktuellen Exploit-Techniken.

https://krebsonsecurity.com/2020/10/fbi-dhs-hhs-warn-of-imminent-credible-ransomware-threat-against-u-s-hospitals/