HiSolutions Research

Sicherer Brausen: BSI-Mindeststandard Browsersicherheit

Das BSI hat einen Draft des überarbeiteten Mindeststandards für sichere Browser publiziert. Ein Muss sind demnach inzwischen moderne Sicherheitstechniken wie HSTS (HTTP Strict Transport Security; erzwungenes TLS), CSP (Content Security Policy; Schutz vor Einschleusung von Daten wie XSS) und SRI (Subresource Integrity; Integritätsschutz von Drittparteikomponenten einer Webseite wie etwa auf einem CDN gehosteter Skripte). Anmerkungen der Community sind gerne gesehen.

https://www.bsi.bund.de/DE/Themen/StandardsKriterien/Mindeststandards_Bund/Sichere_Web-Browser/Sichere_Web-Browser_node.html

HiSolutions Research

I Query the Power: Neue Angriffe auf Excel

Excels Power-Query-Feature kann über das Uraltprotokoll DDE (Dynamic Data Exchange) Dateien von Remote-Quellen importieren. Damit lässt sich auch bösartiger Code in ein System einschleusen – schwer zu erkennen für den Nutzer, da kaum Interaktion notwendig ist. Den Forschern von Mimecast gelang damit die Umgehung der Sandbox, die per E-Mail versandte Dokumente analysieren soll, bevor Nutzer sie öffnen. Normalerweise müsste der Nutzer DDE per Doppelklick in eine Zelle und einen weiteren Klick erlauben – nicht aber, wenn der Angreifer das bösartige Dokument in einer älteren Version von Office erstellt. In Word ist DDE wegen ähnlicher Probleme schon seit 2017 deaktiviert.

https://www.mimecast.com/blog/2019/06/exploit-using-microsoft-excel-power-query-for-remote-dde-execution-discovered/

HiSolutions Research

War das 1 Game – innogy eröffnet Energie-Cyberrange

Interaktivität und Realismus werden im Training von Cyberzwischenfällen immer wichtiger, um Komplexität und auch Stressniveau realer Angriffe abbilden und üben zu können. Der Essener Energiekonzern innogy ist nun für die deutsche Energiebranche vorgeprescht und hat die „Cyberrange-e“ eröffnet, ein interaktives Trainingszentrum für „War Gaming“. Das blaue Team, bestehend aus Mitarbeitern verschiedener Energiefirmen, muss die Angriffe des roten Teams „professioneller Hacker“ (FAZ), das in einem anderen Raum untergebracht ist, abwehren. Innogy hat das Konzept mit einer von israelischen Sicherheitsexperten gegründeten Firma erarbeitet, die schon länger solche „CyberGyms“ betreibt.

https://www.faz.net/aktuell/wirtschaft/diginomics/innogy-eroeffnet-trainingszentrum-gegen-hackerangriffe-16262688.html

HiSolutions Research

Lesetipps Juli 2019

Don’t Cry For Me, Internet

Der Tech-Journalist Zack Whittaker schreibt zwei Jahre nach dem verheerenden WannaCry-Angriff die Geschichte der Malware nieder, vor allem aber der Personen, die mit Mut, Glück und sehr viel Schlafmangel einen noch übleren Ausbruch verhindern konnten und deren Leben seitdem nie mehr dasselbe war.

https://techcrunch.com/2019/07/08/the-wannacry-sinkhole

Marcus „MalwareTech“ Hutchins hat sich im April in zwei der zehn von der US-Anwaltschaft gegen ihn erhobenen Anklagepunkte schuldig bekannt. Das Urteil des in der Security-Szene für seine späteren „Heldentaten“ und seine Online-Schulungen (Live-Reverse-Engineering) verehrten Sicherheitsforschers dürfte in Kürze fallen und von dauerhafter Ausweisung bis maximal 10 Jahre Gefängnis reichen.

https://krebsonsecurity.com/2019/04/marcus-malwaretech-hutchins-pleads-guilty-to-writing-selling-banking-malware

Hacke Backe Eierkuchen?

Ein längerer Beitrag in der ZEIT beleuchtet die verschiedenen Bestrebungen, das umstrittene und nach Meinung vieler Experten risikobehaftete Thema „Hackback“, also den aktiven Gegen- oder präventiven Erstschlag mit Cyberwaffen, zu etablieren.

https://www.zeit.de/digital/internet/2019-07/hackback-cyberwar-datensicherheit-digitaler-angriff-bundesregierung

The Times They Are A-Changing

In den weltgrößten Tech-Firmen tobt ein „Bürgerkrieg“ (Zitat Fortune). Nachdem das „Don’t Be Evil“-Mantra bereits seit Jahren angekratzt ist (bzw. Microsoft sich durch Umarmung von Open Source erst langsam in der Tech-Community Respekt erarbeitet hatte und Amazon von ethischen Überlegungen eh immer weitgehend ungetrübt agierte), haben sich die Auseinandersetzungen um Chancengleichheit, Geschlechtergerechtigkeit, sexuelle Belästigung, Stalking und Arbeitsbedingungen inzwischen auf viele „hippe“ Firmen im Silicon Valley und anderswo ausgeweitet. Ein langes Feature in Fortune untersucht, wie es dazu kommen konnte. Möglicherweise stehen uns in Europa einige Diskussionen erst noch bevor.

https://fortune.com/longform/inside-googles-civil-war

HiSolutions Research

Hitting Home Hard: Emotet sucht Heise heim

Was für die Mitarbeiter und Administratoren von Heise – Heimat von iX, c’t, Heise Online, Telepolis und vielen anderen Medien, die die IT-Branche in Deutschland seit Jahrzehnten prägen – ein Fluch war, ist für die Leser ein Segen: Anfang Juni erlitt der Verlag einen schwerwiegenden Befall der momentan vermutlich gefährlichsten Schadsoftware Emotet. Denn die wackeren Journalisten machten nicht nur Überstunden, um des Incidents Herr zu werden, sondern berichteten auch ausführlich und detailliert darüber, auf dass andere die Chance haben, selbigen zu vermeiden. Interessant ist vor allem, welche grundlegende Umstrukturierung der IT-Infrastruktur aufgrund des Vorfalls beschlossen wurde: Hier könnten sich viele Unternehmen durchaus etwas abgucken.
https://www.heise.de/ct/artikel/Trojaner-Befall-Emotet-bei-Heise-4437807.html

HiSolutions kennt das Vorgehen der Emotet-Gang aus eigenen Erfahrungen im Rahmen der Cyber Response. Der Heise-Vorfall repräsentiert dabei einen durchaus typischen Angriff, wie wir sie seit Ende letzten Jahres verstärkt beobachten konnten. Ziele sind dabei Unternehmen aus allen Branchen, von der Arzt- und Anwaltspraxis bis hin zum Industrieunternehmen.

HiSolutions Research

HiSolutions ist qualifizierter APT-Response-Dienstleister

Das BSI hat Ende Mai eine Liste von Dienstleistern veröffentlicht, die bei sogenannten APTs (Advanced Persistent Threats) zu Hilfe gerufen werden können. Anhand der Liste geeigneter Dienstleister und der transparenten Gestaltung der Auswahlkriterien werden Unternehmen im Sinne von § 3 BSI-Gesetz in die Lage versetzt, im Fall von oder bei Verdacht auf einen derartigen gezielten Angriff geeignete Unterstützung durch externe Experten anzufordern.
https://www.hisolutions.com/infocenter/detail/detail/News/bsi-weist-hisolutions-als-qualifizierten-apt-response-dienstleister-aus/

HiSolutions Research

Leicht umzuhauen: Wattebäusche auf Firewalls

Einem DDoS-Tester ist laut eigener Aussage aufgefallen, dass man „große“ Firewalls vieler Hersteller mit TCP-Datenmüll komplett überlasten kann, dessen Bandbreite lediglich 1-2 % dessen beträgt, was die Firewall eigentlich verarbeiten könnte. Teure DDoS-Attacken kommen so bei Kosten von unter 5 Euro im Monat in die Reichweite von Script-Kiddies und anderen ressourcenarmen Akteuren. Der Mechanismus dahinter scheint noch nicht verstanden zu sein, und die Hersteller haben wohl noch nicht reagiert. Zumindest liefert der Blogeintrag aber ein Testskript (Einzeiler), mit dem das eigene Firewall-Cluster geprüft werden kann, sowie eine Liste von Herstellern, die nicht betroffen sind.
https://www.secjuice.com/rubber-bands-and-firewalls/

HiSolutions Research

Nicht billig: Augenzeugenbericht SIM Port Hack

Zwei-Faktor-Authentifizierung ist eine gute Sache – wenn der zweite Faktor nicht leicht zu stehlen ist. Leider werden SIM-Port-Angriffe, also die Übernahme der Rufnummer durch Angreifer via Standardprozesse der Mobilfunkanbieter, immer häufiger. Dies erzählt der Augenzeugenbericht eines Kryptowährungsbesitzers („teuerste Lektion meines Lebens“).
https://medium.com/coinmonks/the-most-expensive-lesson-of-my-life-details-of-sim-port-hack-35de11517124?sk=4c29b27bacb2eff038ec8fe4d40cd615

HiSolutions Research

Nicht totzukriegen: Der Traum von sicherer E-Mail

Google hat angekündigt, dass der sogenannte „Confidential Mode“ zukünftig für alle Nutzer von Gmail verfügbar ist. Die Funktion erlaubt ein Rechtemanagement, über das beispielsweise E-Mails mit einem Ablaufdatum versehen werden können, sowie das Zurückziehen bereits gesendeter Nachrichten. Weiterhin soll es auch möglich sein, zusätzliche Authentifizierung zum Lesen einer Nachricht einzufordern.

Experten sehen dies kritisch, da bestimmte Angriffsvektoren wie Zwischenspeichern oder Screenshots prinzipiell schwer zu verhindern sind bzw. in der Regel ein Trade-Off zwischen verschiedenen Sicherheitszielen wie Vertraulichkeit und Verfügbarkeit notwendig ist. Trotzdem ist es wichtig, weiter an der Absicherung von E-Mails zu arbeiten, wird uns dieses besonders unsichere Kommunikationsmedium doch noch geraume Zeit weiter begleiten.
https://gsuiteupdates.googleblog.com/2019/05/gmail-confidential-mode-launching-on-by.html

HiSolutions Research

Lesetipps Juni 2019

Not Just Someone Else’s Computer

Angesichts der neuen Cloud-Meldungen und der Nicht-Totkriegbarkeit des Spruchs „Cloud ist nur Somebody Else’s Computers“ lohnt sich noch einmal das Nachlesen eines Beitrags auf ZDNet von 2016, warum Cloud eben doch mehr – und vor allem anders – ist. 
https://www.zdnet.com/article/stop-saying-the-cloud-is-just-someone-elses-computer-because-its-not/

Auch nicht totzukriegen: Blockchain-Revival

Nach dem letzten großen Crash von Bitcoin und Co. Ende 2017 hatten viele Beobachter Kryptowährungen und meist auch gleich Blockchain als Konzept abgeschrieben. Nun hat das BSI eine umfassende Analyse der Blockchain-Technologie veröffentlicht. Schwerpunkt der Betrachtung sind die Sicherheitseigenschaften, aber auch die Auswirkungen der technischen Grundkonzeption etwa auf Effizienz und Datenschutz sowie der aktuelle Rechtsrahmen. 
https://www.bsi.bund.de/DE/Themen/Kryptografie_Kryptotechnologie/Kryptografie/Blockchain/blockchain_node.html

Dies kommt (zufällig!) passgenau zur Ankündigung der Firma Facebook, eine eigene Kryptowährung zu schaffen. Die Einschätzung der Fachwelt zu „Libra“ reichen von interessant (viele ungewöhnliche Eigenschaften, aber keine Kryptowährung) bis vernichtend: „Can’t wait for a cryptocurrency with the ethics of Uber, the censorship resistance of Paypal, and the centralization of Visa, all tied together under the proven privacy of Facebook.“ (https://twitter.com/sarahjamielewis/status/1139429913922957312)

Hier eine Kurzanalyse von Sicherheitsguru Robert Graham: https://twitter.com/erratarob/status/1141070089971802112

Ewig blau: Kollateralschäden der NSA

Das der NSA 2017 abhandengekommene Angriffswerkzeug EternalBlue hat vermutlich einen deutlich größeren Schaden für die USA (und viele andere Länder) verursacht als das öffentlich weit bekanntere Leak der Dokumente durch Edward Snowden 2013. Der New York Times-Bericht zeichnet den Weg der Zerstörung nach, die hätte verhindert werden können, wenn die NSA die Schwachstelle frühzeitig an Microsoft gemeldet hätte.
https://www.nytimes.com/2019/05/25/us/nsa-hacking-tool-baltimore.html

Das kosmische Hintergrundrauschen der IT

Unendliche Weiten … Manchmal nähern sich IT und Security kosmischen Dimensionen an. Beim Thema Hintergrundrauschen etwa: Liefert uns dieses in der Physik Hinweise auf die Entstehung des Universums, so kann die Beobachtung der „Internet Background Radiation“ – also desjenigen Internetverkehrs, der in ungenutzten Adressbereichen aufschlägt – Rückschlüsse auf große Ausfälle und Fehlkonfigurationen im Netz ermöglichen. Welten, die noch nie ein Mensch erblickt hat.
https://arxiv.org/pdf/1906.04426.pdf