Kategorie: News

Diesen Dienstag endete der Support für die letzte Version von Windows 8. Viele werden jetzt aufatmen, da sich diese Betriebssystem-Version kaum in professionellen Netzen durchsetzen konnte. Aber haben Sie schon den letzten Windows-7-Client aus Ihrem Netzwerk entfernen können – oder warten Sie noch auf das Update der einen Fachanwendung? Bei Windows 7 lief vorgestern auch die allerletzte Verlängerungsmöglichkeit mit dem kostenpflichtigen ESU (Extended Security Update) aus.

Unser Incident-Response-Team findet regelmäßig bei betroffenen Kunden stark veraltete Systeme (seltener Windows 8 auf den Clients, häufiger noch Windows Server 2008), die entweder selbst den Angriff begünstigt haben oder durch nötige Abwärtskompatibilitäten Härtungsmaßnahmen behindern. Die korrespondierende Serverversion zu Windows 8 – Windows Server 2012 – wird auch in diesem Jahr, genauer im Oktober, ihr Support-Ende erreichen. Um rechtzeitig die Migration einplanen zu können, helfen Übersichtsseiten wie https://endoflife.date/.

Angriffe durch Innentäter sind nicht ohne Grund der Schrecken jedes Sicherheitsverantwortlichen. Steckt doch inhärent der Konflikt darin, die richtige Balance zwischen vertrauensvoller Zusammenarbeit und kritischer Beobachtung von möglichen Missbräuchen zu finden. Daher werden Innentäter in Risikoanalysen immer gern kleingeredet. Auch wenn es keine schöne Vorstellung ist: es gibt sie doch.

Sehr drastisch ist der aktuell öffentlich diskutierte Fall, in dem ein BND-Mitarbeiter verdächtigt wird, vertrauliche Informationen an einen russischen Geheimdienst weitergegeben zu haben. Etwas kleiner, aber nicht weniger erschreckend ist ein ähnlicher Fall in den Niederlanden. Dort wurde ein Finanzbeamter angeklagt, da er verdächtigt wird, gegen Geld nach Nummernschildern, Adressen und sogar familiären Beziehungen gesucht zu haben.

Ähnliche Fälle gab es in der Vergangenheit auch bereits mit Support-Mitarbeitern, die Kundenkonten unberechtigt sperrten. Eine häufige Gemeinsamkeit ist, dass meist die regulären Zugriffsrechte und keine technische Schwachstelle ausgenutzt wird. Daher sind die Erkennung und auch die Aufklärung nur mit einem guten Konzept für Protokollierung und Monitoring möglich.

https://www.tagesschau.de/investigativ/ndr-wdr/bnd-russland-mutmasslicher-landesverrat-101.html

https://www.om.nl/actueel/nieuws/2023/01/03/eis-drie-jaar-cel-tegen-medewerker-belastingsdienst

Fediverse

Während Twitter auch als virtuelles Austausch-Forum über Informationssicherheit unter der Übernahme durch Elon Musk ächzt und einen Massenexodus von Usern erleidet, sammeln sich Mitglieder der Cybersecurity-Community auf anderen Plattformen. Viele große und kleine „Thought Leaders“ sind nun auf dem dezentralen Microblogging-Dienst Mastodon zu finden, etwa auf der Instanz infosec.social. Grundsätzlich kann aber ein Account auf jeder Instanz angelegt werden, da diese in der Regel miteinander föderiert sind.

Hier eine Kurzanleitung zu Mastodon: https://hopidd.de/mastodon

Know-how to binge

Auf unserem YouTube-Kanal finden sich neben den Aufzeichnungen der Vorträge aus unserem Format „Know-how to go“ auch eine Reihe von „One minute stories“ mit persönlichen Einblicken in das Arbeiten bei HiSolutions. https://www.youtube.com/@hisolutionsag

Auch bei der Entwicklung von Schadsoftware wird nur mit Wasser gekocht und mit dem Fachkräftemangel gekämpft. Insbesondere bei der Nutzung von Kryptografie – bei Ransomware prinzipbedingt ein Kernbestandteil der Funktionalität – ist es leicht, sich selbst in den Fuß zu schießen.

Besonders schön versemmelt hat es eine Malware, die den Mitarbeitenden des Schweizer Unternehmens Compass Security vor die Flinte kam: Die Verschlüsselung wurde nicht nur mit dem symmetrischen Verfahren AES vorgenommen. Zusätzlich war der Entschlüsselungsschlüssel, der identisch zum Verschlüsselungsschlüssel ist, aus der für den jeweiligen Angriff generierten „Attack ID“ direkt ableitbar. Damit wurde die Entschlüsselung, nachdem das Prinzip einmal durchschaut war, zur trivialen Aufgabe.

https://blog.compass-security.com/2022/11/a-symmetric-cipher-ransomware-yes/

Jedes Jahr steigt die Anzahl der Organisationen, die von einer Ransomware-Attacke oder einem ähnlich ernsten Cyberangriff betroffen sind – und es ist schwer, den Überblick zu behalten, zumal die Dunkelziffer hoch ist.

Für 2022 hat die Online-Zeitschrift CSO den Versuch unternommen, die bekannten Fälle zusammenzutragen. Die stetig aktualisierte Liste umfasst bereits über 60 Einträge allein deutscher Unternehmen.

https://www.csoonline.com/de/a/diese-unternehmen-hat-s-schon-erwischt,3674038

IT-Sicherheitsforschung bezieht sich häufig auf Protokolle der Anwendungs- oder vielleicht noch der Transportschicht. Seltener gibt es neue Forschung zu Angriffen auf der Netzwerkschicht oder darunter. Und ein Buch mit sieben Siegeln stellen für viele die Protokolle dar, die das Internet an sich zusammenhalten – allen voran BGP, das Border Gateway Protocol. Dieses organisiert das Routing zwischen den verschiedenen autonomen Systemen, aus denen das Internet besteht.

Dass BGP an sich Schwachstellen hat und angreifbar ist, ist seit Langem bekannt und wird immer wieder mal zum Thema, wenn Routen zeitweise bösartig umgeleitet werden. Ein tieferliegendes Problem hat jedoch bisher zu wenig Beachtung erfahren: Durch Missbrauch von BGP und seiner Schwachstellen können Sicherheitsgarantien anderer Protokollschichten ausgehebelt werden.

Ein aktueller Report der Broadband Internet Technical Advisory Group beschreibt detailliert, welche Angriffsvektoren auf BGP existieren und wie BGP eingesetzt werden kann, um insbesondere HTTPS zu hintergehen.

https://www.bitag.org/documents/BITAG_Routing_Security.pdf

Command-and-Control-Frameworks haben sich längst zu einem zentralen Bestandteil des Werkzeugkastens für Security-Assessments entwickelt. Diese Tools dienen dazu, bei Pentests oder Red Teaming Zugriff auf kompromittierte Maschinen zu halten, zu steuern und weiter auszunutzen.

Vom Marketing her auf „Adversary Emulation“ zielend, also das gutartige Simulieren böser Angreifer, werden die Frameworks auch in vielen echten Angriffen verwendet. Ob für die Verteidigung oder zur Detektion – es lohnt sich, die Tools zu kennen.

Die beliebte Seite „The C2 Matrix“ stellt die verschiedenen Frameworks mit ihren Fähigkeiten sowie Vor- und Nachteilen gegenüber.

https://www.thec2matrix.com/

„Fault Tolerance“, also Ausfallsicherheit auch beim Versagen einer definierten Anzahl beliebiger Komponenten, ist ein Schlagwort, das schnell gesagt und versprochen ist. Dabei steigt die Komplexität, welche Abhängigkeiten und Pfade zu beachten sind, bei großen verteilten Systemen schnell sprunghaft an. Gerade Cloud-Anbieter müssen Redundanzen auf sehr vielen Ebenen vorhalten, um das Gesamtsystem in einer Vielzahl von Fehlerzuständen funktionsfähig zu halten. Aber auch Cloud-Kunden können vieles falsch machen in der Architektur und Konfiguration und sich so unnötige „Single Points of Failure“ bauen.

Amazon Web Services hat nun in einem 30-seitigen Whitepaper, das etwas technisch als „AWS Fault Isolation Boundaries“ betitelt ist, dargelegt, auf welche Arten welche Layer von AWS in sich zusammenfallen können, und welche architektonischen Ansätze dagegen helfen können.

https://docs.aws.amazon.com/whitepapers/latest/aws-fault-isolation-boundaries/abstract-and-introduction.html