Kompromisslos geliefert: MITRE-Report Supply-Chain-Security

Derweil sucht die IT-Sicherheitsforschung fieberhabt nach Wegen, wie das komplexe Problem der Supply-Chain-Security in den Griff zu bekommen ist. So hat das US-Forschungszentrum MITRE jüngst den Bericht „Deliver Uncompromised: Securing Critical Software Supply Chains“ veröffentlicht. Dieser enthält nichts geringeres als einen Vorschlag für ein Framework, das Softwareintegrität über die ganze Lieferkette Ende-zu-Ende gewährleisten kann.

https://www.mitre.org/sites/default/files/publications/pr-21-0278-deliver-uncompromised-securing-critical-software-supply-chains.pdf

Kettenreaktion: Supply-Chain bleibt ein schwaches Glied

Spätestens seit den Enthüllungen um #Sunburst aka #Solorigate zum Ende des vergangenen Jahres ist immer klarer geworden, wie tiefgehend und schwer zu beheben das Problem der Supply-Chain-Security ist. Wie die französische Nationale Agentur für Sicherheit der Informationssysteme (ANSSI) nun mitteilte, wurde auch Centreon, ein französischer Mitbewerber zu SolarWinds, zum indirekten Angriff auf mehrere französische Unternehmen und Behörden missbraucht. Hierbei soll eine Schwachstelle in einem Webserver das Einfallstor gewesen sein.

https://www.heise.de/news/Frankreich-Centreon-Server-waren-jahrelang-infiltriert-5055835.html

Warnung: SolarWinds #Sunburst Supply Chain Angriff

Dass Supply-Chain-Angriffe verheerend sein können, ist spätestens seit 2017 klar, als die im Update einer ukrainischen Steuersoftware versteckte Malware NotPetya IT-Infrastrukturen weltweit verkrüppelte und Schäden in Milliardenhöhe verursachte. Nun haben Angreifer – amerikanische Dienste verdächtigen den russischen Auslandsgeheimdienst – einen noch viel effektiveren Vektor in potenziell 300.000 für die Spionage (und evtl. auch Sabotage) äußerst wertvollen Unternehmen und Behörden gefunden: Ein manipuliertes Update der beliebten Netzwerkmonitoring-Lösung Orion hat bequeme Einstiegspunkte bei Kunden des Herstellers SolarWinds geöffnet, die in mehreren Fällen auch schon konkret ausgenutzt worden sind.

Aufgefallen war der Angriff, weil eines der Opfer der amerikanische Security-Spezialist FireEye ist. Experten dort hatten den Missbrauch von Microsoft-Authentifizierungstechniken durch die Angreifer bemerkt und eine Untersuchung gestartet, die zunächst die Spitze des Eisbergs sichtbar machte.

Inzwischen ist klar, dass nicht nur viele Fortune 500-Unternehmen, sondern auch kritische Infrastrukturen und der Verteidigungssektor betroffen sind – eine Goldgrube für die Angreifer.

„Sunburst“, wie der Angriff genannt wird, ist relativ leicht im Netzwerk zu detektieren und zu stoppen. Die Sisyphusarbeit liegt jedoch darin, Netzwerke, die möglicherweise durch die Lücke schon kompromittiert wurden, zu untersuchen und – in vielen Fällen der einzig wirklich sichere Weg – neu aufzusetzen. Die Aufräumarbeiten hierzu haben gerade erst begonnen.

Meta Thread von Sven Herpig, Stiftung Neue Verantwortung (SNV)

Lesetipps August 2020

DEFCON Is Cancelled – Still Hackers Gonna Hack

2020 ist zum ersten Mal in der Geschichte der legendären Hackerkonferenz der Running Gag „DEFCON fällt aus“ beinahe wahr geworden: Unter dem Titel „Safe Mode“ fand auch die DEFCON dieses Jahr nur virtuell statt. Neben Vorträgen zum Hacking von Lichtanlagen im Straßenverkehr und Geldautomaten erfreute sich insbesondere der Vortrag „Hacking the Hybrid Cloud“ von Sean Metcalf großer Beliebtheit. Oder mit den Worten des Vortragenden gesprochen: „How bad can this get?“ – „Don’t want all my eggs in one basket… So now eggs are in all baskets.“

Why, oh, why, PyPI?

Fipptehler treten auf, binsedonsere dort, wo Menschen Dinge über Tostatüren einbegen können. Das Potenzial von Supply-Chain-Angriffen via Benutzerfehleingaben hat der Sicherheitsforscher William Bengtson genauer betrachtet und gezielt knapp falsch benannte Pakete wie „pythonjsonlogger“ erstellt, die irrtümlich statt des korrekten „python-json-logger“ installiert werden sollen. Bösartige Pakete könnten an dieser Stelle Schadcode einschleusen und z. B. Zugangsdaten abgreifen. Details und Geschichten, die er mit seinem Engagement für die Python-Community erlebt hat, finden Sie unter:

https://medium.com/@williambengtson/python-typosquatting-for-fun-not-profit-99869579c35d

Hätte, hätte, Supply Chain – Insider-Skandal bei AT&T

Insider-Angriffe sind unbeliebt – insbesondere natürlich bei den (potenziellen) Opfern. Nicht nur wegen der möglichen gravierenden Folgen; vielmehr bereitet schon das Nachdenken und Sprechen darüber Schmerzen, wollen sich viele doch die Vorstellung von Vertrauen und Integrität innerhalb der eigenen Mitarbeiterschaft bewahren. Eine aktuelle Verhaftungswelle beim amerikanischen Mobilfunk- und Kommunikationsriesen AT&T rüttelt nun wach: Eine Reihe von Mitarbeitern wurde hier bestochen, in großem Maßstab SIM-Locks aufzuheben. In diesem Fall stellt das „nur“ einen wirtschaftlichen Schaden für den Anbieter dar. Derselbe Angriffsvektor ließe sich aber genauso leicht für Angriffe auf Daten von Kunden oder Kommunikationsverbindungen nutzen. Dies wirft nicht zuletzt tiefere Fragen in Bezug auf Supply Chain Security auf.

https://www.wired.com/story/att-insiders-bribed-unlock-phones/