HiSolutions Research

Lesetipps Dezember 2019

Jenseits von SVERWEIS

Die eierlegende Wollmilchsau Excel, Microsofts gleichzeitig produktivstes und am meisten Produktivität vernichtendes Tool aller Zeiten, kann sogar forensische „Big Data“-Analyseaufgaben übernehmen – solange „Big“ nicht zu groß wird. Für ernsthafte große Analysen müssen dann allerdings doch Add-ins oder sogar spezialisierte Tools bzw. Programmierkenntnisse in Python und Co. her.

https://www.fireeye.com/blog/threat-research/2019/12/tips-and-tricks-to-analyze-data-with-microsoft-excel.html

Jenseits von Prod

Mit BeyondCorp hatte Google 2014 als Reaktion auf einen Einbruch ins Firmennetz 2009 („Aurora“) das Konzept der Perimetersicherheit komplett über Bord geworfen und in Richtung Zero Trust und Context Aware weiterentwickelt. Nun, fünf Jahre später, ist die nächste Stufe erreicht: Das gerade veröffentlichte Paradigma „BeyondProd“ beschreibt ein Konzept und eine Referenzarchitektur, mit der es möglich sein soll, Security und Reliability in einer Welt von Tausenden Containern und Microservices herzustellen und aufrechtzuerhalten. Wieder gilt wie damals: Auch wenn nicht viele Organisationen dies 1:1 werden umsetzen können, findet sich hier ein reicher Schatz von Anregungen, die sich lohnen, durchdacht zu werden.

https://cloud.google.com/security/beyondprod

Links von der Mitte

Apropos links (unser Top Thema): Zum Schluss etwas fast Philosophisches für Techies und solche, die es werden wollen: Man muss nicht die Meinung teilen, dass Security Engineering die lichte Zukunft ist, aber diese Darstellung „From Pentester to AppSec Engineer“ ist allemal lesenswert. 

https://hella-secure.com/from-pentester-to-appsec-engineer

Genauso übrigens wie der Rest des Blogs: https://hella-secure.com

HiSolutions Research

Bitte warten Sie nicht länger! Untote und Wiedergänger

In vielen Unternehmen sind noch „Legacy“-Systeme im Einsatz. Bei Audits finden wir immer wieder Systeme, welchen aktuelle Patches fehlen, Server unter Windows Server 2008 oder Clients unter Windows XP. Das ist problematisch, da diese schwer ausreichend abzusichern sind, auch wenn es prinzipiell möglich ist.

Allzu bunt hat es in den letzten Jahren, um nicht zu sagen Jahrzehnten, die Berliner Justiz getrieben. Nach einer Emotet-Attacke auf das Kammergericht der Hauptstadt musste nun der Berliner Justizsenator höchstpersönlich Fehler einräumen. Das Haus sei “sicherheitstechnisch nicht auf dem Stand” gewesen, “auf dem wir sein müssten”. Es sei ein schwerfälliger Prozess, ein neues Fachverfahren für das Gericht einzuführen und damit das gesamte dortige Computersystem weniger angriffsanfällig zu machen. Am Geld werde es aber nicht scheitern: Es stünden nun erhebliche Mittel im IT-Haushalt bereit.

Dies ist dringend notwendig, ist im Kammergericht doch noch Word 95 im Einsatz. Schon 2017 fanden sich in einem Auditbericht ungewöhnlich eindringliche Worte: „Nicht supportete Software und Betriebssysteme sind ein ernst zu nehmendes Sicherheitsrisiko.” “Bitte warten Sie nicht länger! Budgetieren und unterstützen Sie ein umfassendes Transformationsprogramm.”

Das IT-Dienstleistungszentrum des Landes Berlin (ITDZ) wird das bisher IT-mäßig unabhängige Kammergericht nun “künftig unter seinen Schutzschirm nehmen”.

https://www.heise.de/newsticker/meldung/Emotet-Das-Faxen-am-Berliner-Kammergericht-hat-hoffentlich-bald-ein-Ende-4572843.html

HiSolutions Research

Fairsichert – Cyberversicherung soll reguliert werden

Der Markt für Cyberversicherungen wächst in den letzten Jahren rasant. Das lässt sich u. a. auch daran ablesen, dass die Regulierung sich nun das Thema vornimmt: Die Aufsichtsbehörde BaFin will sich im kommenden Jahr mit dem Einstieg der Versicherer ins Geschäft mit dem Schutz vor Hacker-Angriffen und Computer-Kriminalität beschäftigen. Der Umgang der Branche mit Cyber-Policen sei einer der Schwerpunkte der Aufsicht 2020.

Insbesondere wird dabei spannend zu beobachten, welche Normen die Versicherer für Versicherte etablieren werden. Gerade im KMU-Bereich – in dem ISO 27001 oder IT-Grundschutz noch keine Selbstverständlichkeit sind – gibt es noch keine einheitlichen Kriterien.

https://www.handelsblatt.com/finanzen/vorsorge/versicherung/zunehmende-schwierigkeiten-bafin-ruft-versicherer-zu-protest-gegen-niedrige-zinsen-auf/25165386.html

HiSolutions Research

Verzer(r)tifiziert – Schwachstelle in elliptischen Kurven

Wenn Implementierungen von kryptografischen Signaturen mit elliptischen Kurven nicht vor Timing-Angriffen geschützt werden, kann ein Angreifer unter Umständen den privaten Schlüssel berechnen. Das zeigte ein tschechisches Forscherteam am Beispiel eines Krypto-Chips namens Athena. Auch mehrere Open-Source-Bibliotheken sind verwundbar. Die verwundbaren Chipkarten wurden nach FIPS und Common Criteria zertifiziert. Den Angriff nennen die Forscher Minerva.

Am selben Forschungsinstitut wurde 2017 die Sicherheitslücke ROCA in der RSA-Implementierung von Infineon-Chips gefunden. Auch Letztere waren zertifiziert, unter anderem vom BSI

Dies zeigt wieder einmal, dass Zertifizierungen nicht alle Aufgaben erfüllen können, die ihnen zugeschrieben werden. 

https://www.golem.de/news/elliptische-kurven-minerva-angriff-zielt-auf-zertifizierte-krypto-chips-1910-144256.html

HiSolutions Research

I got the sPower – Cyberattacke auf Ökostrom

sPower ist der erste Erzeuger von regenerativen Energien, der bekanntermaßen von einer Cyberattacke getroffen wurde. Das Unternehmen aus Utah betreibt Stromnetze im Bereich der erneuerbaren Energien und wurde nach eigenen Angaben bereits im März Opfer eines Cyberangriffs, welcher Erzeuger und Netz voneinander trennte. Damit wird zum ersten Mal öffentlich, dass eine Cyberattacke eine Unterbrechung der Kommunikation mit Wind- und Solaranlagen bewirkte. Die Erzeugung selbst war nach Unternehmensangaben nicht beeinträchtigt. Bekannt wurde der Vorfall durch eine Anfrage auf Grundlage des Informationsfreiheitsgesetzes (Freedom of Information Act, FOIA).

https://securityaffairs.co/wordpress/93271/hacking/spower-cyber-attack.html

HiSolutions Research

HUNTER2 genügt nicht – Angriffe auf BitLocker

Die Windows-eigene Funktion BitLocker zur Festplattenverschlüsselung (FDE, Full Disk Encryption) gilt als ausgereift und – je nach Bedrohungsmodell – in Kombination mit anderen Maßnahmen wie Mehrfaktorauthentifizierung als ausreichend sicher. Insbesondere sind hier Funktionen implementiert, die die Ansprüche an das Passwort reduzieren. Bei naiver Implementierung einer Verschlüsselungssoftware müssen Passwörter mindestens 20 Zeichen lang sein. Bei BitLocker und Co. genügen ggf. auch 6-8 Zeichen – wenn diese zufällig genug sind. Dass man es mit Letzterem nicht zu locker nehmen sollte, zeigen neue Forschungsarbeiten. Durch die erste Open-Source-Implementierung für effiziente Wörterbuch-Attacken auf BitLocker wurden die Grenzen dessen, was mit Brute Force möglich ist, deutlich nach oben verschoben.

Mit einer einzigen High End GPU können immerhin 122 Millionen Passwörter pro Tag durchprobiert werden. Damit kommen Crack-Erfolge in greifbare Nähe, sobald Passwörter aus Zusammensetzungen oder leichten Abwandlungen von Wörterbucheinträgen bestehen. HUNTER2, iloveyou! oder P455W0RT69 sind hiermit auch für BitLocker gestorben.

http://www.sicherheitsforschung-magdeburg.de/uploads/journal/MJS_068_Agostini_Bitlocker.pdf

HiSolutions Research

Lesetipps November 2019

Skandal um ROSI

„You can’t control what you can’t measure“ ist ein beliebter Glaubenssatz. Gleichzeitig ist Messen in der Informationssicherheit ein schweres Problem, an dem schon viele gescheitert oder aber zumindest wahnsinnig geworden sind. Eine Galerie der ehrenwertesten Versuche rund um Frameworks, Scorecards, ROI und ROSI (Return On Security Investment) findet sich hier auf 24 Seiten PDF.

https://www.rstreet.org/wp-content/uploads/2019/10/Final-Cyberbibliography-2019.pdf

hacker:HUNTER – WannaCry: The Marcus Hutchins Story

Nun ist sie endlich verfilmt: Die Geschichte von Marcus Hutchins aka MalwareTech, der – wir berichteten hier schon öfter darüber – wesentlich dazu beitrug, dass WannaCry nicht die ganze Welt in Ransom genommen hat, in seinen eigenen Worten. 

https://www.youtube.com/watch?v=vveLaA-z3-o

HiSolutions Research

(Not Only) Size Matters: 179 GB Rekord-Leak mit Regierungs- und Militärdaten

Rein mit der Größe können Datenleaks heute kaum mehr Aufmerksamkeit erhaschen. 179 GB sensible Daten klingt zwar nach einer Menge (und ist es auch). Was dieses Leak jedoch besonders pikant macht, ist, dass vergangene und zukünftige Reisen- und Buchungsdaten auch von amerikanischen Regierungs- und Militärangehörigen frei abrufbar im Internet standen. So konnten Forscher etwa die Reisen von US-Generälen nach Russland und Israel nachvollziehen. Nach Benachrichtigung durch das Security-Scanning-Projekt des VPN-Anbieters vpnMentor, dass die Elasticsearch-Datenbank eines Reisedienstleisters in AWS ohne jeden Zugriffsschutz offenstand, benötigten die Behörden noch mehr als zwei Wochen, um die Datenbank abzusichern. Ein Fall wie viele – hier einmal (wieder) mit besonders kritischen Daten.

https://www.zdnet.com/article/autoclerk-database-leaked-customer-government-and-military-personal-records/

HiSolutions Research

Ununhackbar: NordVPN erleidet (Breach und) Shitstorm

Der renommierte und von vielen Experten empfohlene VPN-Anbieter NordVPN hat auf die Finger bekommen. Einerseits wegen eines Breaches: Bei einem finnischen Rechenzentrumsbetreiber bestand Zugriff über ein NordVPN unbekanntes Managementinterface auf einen Server, welcher jedoch keine Verbindungsdaten der Kunden enthielt. Selbstverständlich lag hier ein Fehler des Betreibers vor, welchen NordVPN durch Ablösung des Rechenzentrums sowie verschärfte Audits in den Griff zu bekommen verspricht. Der größere Schaden dürfte der Reputationsverlust sein, den sich zum Teil die Marketingabteilung zuschreiben darf: Kurz vor Bekanntwerden des Incidents hatte die Firma mit besonders selbstbewussten Statements à la „unhackbar“ geworben, was in der Kombination eine entsprechende Aufmerksamkeit und Häme in den sozialen Netzen entfachte. Merke: Sage nur, Du seist unhackbar, wenn Du es wirklich bist. Also quasi nie.

https://nordvpn.com/blog/official-response-datacenter-breach/

HiSolutions Research

Mal überlegen ob überlegen: Erste „Quanten-Supremacy“ erreicht

Nachdem bereits vor einer Weile die erste tatsächlich erreichte „Quanten-Supremacy“ verkündet worden war, hat Google nun endlich den offiziellen Bericht zu dem Erfolg in der Grundlagenforschung herausgebracht. Supremacy (Überlegenheit) bedeutet hier, dass ein Quantencomputer ein praktisches Problem schneller als jeder konventionelle Computer löst. Objektiv ist dies eindrucksvoll gelungen: Der supraleitende Quantenrechner konnte in 200 Sekunden eine Aufgabe berechnen, für die ein konventioneller Supercomputer 10.000 Jahre brauchen würde. Der Konkurrent IBM behauptet zwar, das Problem in einem theoretisch möglichen Supercomputer in 2 ½ Tagen bewältigen zu können, aber an der Überlegenheit ändert dies nichts.

Allerdings war das zu berechnende Problem aus der theoretischen Chemie so speziell auf den Erfolg geschneidert, dass es keinerlei sinnvolle Anwendung hat. Insofern ist Supremacy nicht gleich sinnvolles Ergebnis. Trotzdem ist hiermit ein technischer und theoretischer Meilenstein erreicht worden, den einige Kritiker den Quantencomputern bzw. ihren Konstrukteuren nie zugetraut hatten. Bis zum Brechen von Verschlüsselung ist noch ein längerer Weg – von dem allerdings ein wichtiger Schritt nun geschafft wurde.

https://www.heise.de/newsticker/meldung/Jetzt-auch-offiziell-Googles-Quantencomputer-zeigt-Quantum-Supremacy-4565771.html