IT-Sicherheit

15 12, 2016

Strategien gegen Ransomware – Schutz vor Verschlüsselungstrojanern

von |15. Dezember 2016|IT-Sicherheit|0 Kommentare|

Ransomware bzw. Verschlüsselungstrojaner – wer hat noch nicht, wer will nochmal? Ich habe im Laufe der Zeit einige Unternehmen gesehen, die Opfer einer Ransomware geworden sind. Diese Art von Schadsoftware verschlüsselt oftmals in aller Ruhe Dateien um danach frech Bitcoins als Lösegeld zu erpressen – entweder man zahlt, oder sieht seine Daten nie wieder. Das Geschäftsmodell funktioniert, das muss man den Angreifern schon lassen.

Aber wie kann man sich als Unternehmen dagegen wappnen? Ein ganzheitliches Sicherheitskonzept wäre eine gute Idee, aber grundsätzlich finde ich die folgenden Maßnahmen am wichtigsten:

  1. Regelmäßige und funktionierende (d.h. überprüfte) Backups. Die Häufigkeit von „regelmäßig“ kann von alle paar Tage bis hin zu alle paar Stunden reichen. Das hängt vom Einzelfall ab. Aber wichtig ist: Backups erstellen und grundsätzlich verifizieren, dass man Dateien auch wieder erfolgreich wiederherstellen kann. Es macht natürlich auch keinen Sinn, Backups auf dem selben Datenträger vorzuhalten. Fassen wir den ersten Punkt zusammen zu: „vernünftiges Backupkonzept“.
  2. Vernünftige Berechtigungskonzepte. Einfach ausgedrückt: Nicht jeder Mitarbeiter muss Zugriff auf alle Shares und Ordner haben. Berechtigungen auf Need-to-know bzw. Need-to-work-Basis – so viel Rechte wie man zum Arbeiten benötigt, aber nicht mehr.
  3. Virenscanner mit stets aktuellen Signaturdatenbanken. Wenn man Glück hat, erkennt ein Virenscanner die Ransomware bereits und der Angriff wird erfolgreich abgewehrt. Wenn man Pech hat, gibt es noch keine Signatur für eine neue Schädlingsvariante und der Virenscanner hilft nichts. Sex mit Kondom ist auch keine 100%ige Schutzmaßnahme.
  4. Mitarbeiter-Schulung bzw. Security Awareness: Nicht auf jeden Anhang muss man klicken. Leicht gehässig ausgedrückt: Big Boobs muss man nicht im Büro ansehen und normale Menschen möchte einem nicht ein paar Tausend Dollar oder Euro schenken. Ist schwerer gesagt als getan, ich weiß. Aber einmal ernsthaft ausgedrückt: Es ist absolut notwendig Mitarbeiter in dem richtigen Umgang mit Outlook & co. zu schulen und auch ein Bewusstsein dafür zu schaffen, dass ihr richtiges Handeln im optimalen Fall wirklich wichtig für ihr Unternehmen sein kann.

In welcher Reihenfolge empfehle ich diese Punkte? Erst das umgesetzte Backupkonzept, dann das Berechtigungskonzept, dann Virenscanner und danach erst die Mitarbeiter sensibilisieren. Warum? Menschen machen Fehler, Virenscanner hängen immer hinterher, bessere Berechtigungskonzepte verringern nur den Schaden und das einzige was im Zweifel helfen kann, ist die erfolgreiche Wiederherstellung der Daten.

21 04, 2016

Apache2-CipherSuite-Konfiguration für A+ Rating beim Qualys SSL Labs Server Test

von |21. April 2016|IT-Sicherheit|0 Kommentare|

Der Blog hat nun ein A+ Rating beim SSL Server Test von Qualys. Die CipherSuite-Konfiguration des Apache2 dazu sieht wie folgt aus:

SSLProtocol All -SSLv2 -SSLv3
SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4
SSLHonorCipherOrder On

15 04, 2016

Die Grenzen von Antivirus-Software – Gegen Scriptkiddie top, gegen Hacker relativ nutzlos

von |15. April 2016|IT-Sicherheit|0 Kommentare|

Eigentlich dachte ich, dass Antivirus-Software unverzichtbar in der Abwehr von Schadsoftware ist. Dieser Glaube wurde durch die Bachelorarbeit  „Das Schutzpotential von Antivirenprogrammen“ von Dominik Sauer erschüttert. Bei individuell entwickelter Schadsoftware beißt sich Antivirus-Software regelrecht die Zähne aus. Dominik Sauer zeigte in seiner Arbeit sehr anschaulich, dass jeder Hacker in der Lage ist, seinen bösartigen Schadcode mit relativ einfachen Mitteln vor jeder relevanten Antivirus-Engine zu verstecken. Dabei beschreibt er eine generische Vorgehensweise, wie man dieses reproduzieren kann. In seinem Fazit schreibt er dazu:

„Nach dieser Bachelorthesis und meiner professionellen Meinung als Penetration Tester nach sind Antivirenprogramme dennoch nicht obselet geworden. Antivirus-Software ist erforderlich um breite Malware-Angriffe zu erkennen, aber weitgehend nutzlos in der Abwehr zielgerichteter Angriffe.“

Die Verhaltenserkennungen von Antivirussoftware ist leider nicht optimal und kann durch relativ einfache Mittel ausgetrickst werden. Die Signaturerkennung ist zwar sehr gut, allerdings muss dafür erst ein Schädling als solcher identifiziert und geeignete Signaturen erstellt werden. Wird eine Schadsoftware nur bei einem oder sehr wenigen Zielen eingesetzt, passiert dieses vielleicht nie.

Insgesamt muss man die Grenzen von Antivirus-Software kennen: Gegen breite Angriffe oder gegen mit Scriptkiddie-Tools erzeugter Schadcode helfen Antivirus-Software sehr gut, wenn im Zweifel auch erst zeitverzögert. Gegen zielgerichtete Angriffe von einem Hacker sind sie absolut nutzlos.

16 02, 2016

Bachelorthesis „Das Schutzpotential von Antivirenprogrammen“ von Dominik Sauer

von |16. Februar 2016|IT-Sicherheit|0 Kommentare|

In der Abschlussarbeit „Das Schutzpotential von Antivirenprogrammen“ zur Erlangung des akademischen Grades Bachelor of Science (B.Sc.) zeigt Dominik Sauer die Grenzen aktueller Antivirenprogrammen auf. In seiner Arbeit entwickelte er eine generische Methodik zur Umgehung von Antivirenprogrammen und wies über eine Umfrage in einschlägigen Kreisen diese Fähigkeiten Täterprofilen zu. Im Ergebnis zeigt er, dass Antivirenprogrmme nur ein begrenztes Schutzpotential bieten.

Diese Arbeit wurde auf seinen Wunsch hier veröffentlicht. Er hat sie am 25. Januar 2016 an der Hochschule Darmstadt im Studiengang Informatik (mit einem selbst organisierten Schwerpunkt IT-Sicherheit) eingereicht. Die Arbeit wurde mit 1.0 bewertet.

8 05, 2015

Die WordPress-Seuche

von |8. Mai 2015|IT-Sicherheit|2 Kommentare|

Ich habe es satt. Mein Blog läuft selbst auf WordPress und ich habe noch 2-3 andere WordPress-Installationen, aber der aktuelle Handlings-Aufwand um diese Sachen „sicher“ zu halten steht in keinem ertragbaren Verhältnis mehr.

WordPress hat sich von einem kleinen „pain in the ass“ zu einer regelrechten Security-Seuche entwickelt. Seit der „It’s not a bug, it’s a feature!“-Pingback-Schwachstelle hört es gefühlt nicht mehr auf. Aktuell ist das Standard-Theme von WordPress anfällig. Die geniale readme.html, die die aktuelle WordPress-Version einer Installation auf dem Silbertablett in die Öffentlichkeit posaunt und auch immer schön nach einem Update wieder da ist, sorgt bei mir immer noch für verständnisloses Kopfschütteln.

Aber das gute ist: Hat man eine aktuelle Installation und es existiert noch nicht eimal ein Zero-Day-Exploit für WordPress, kann man sich im Zweifel immer noch auf ein verwundbares Plugin verlassen. Sicher ist, dass viele WordPress-Installationen einfach nur unsicher sind. Vollgestopft mit irgendwelchen Plugins, selten regelmäßig aktualisiert, ist WordPress des Pentesters Liebling geworden.

23 07, 2014

First Car-Hacking: Tesla S

von |23. Juli 2014|IT-Sicherheit|0 Kommentare|

Endlich, es hat auch lange gedauert. Stimmen die Bericht auf SPON und in der FAZ, ist es chinesischen Studenten gelungen über eine Schwachstelle in einer Handy-App zur Fernsteuerung des Autos einen Tesla S während der Fahrt zu hacken: Lampen einschalten, Schiebedach öffnen & mehr.

Warum muss man eigentlich alles aus dem Internet fernsteuern können? Und muss ich wirklich mein Auto per App steuern können? Ist das wirklich die Welt, in der wir leben wollen: Haustür per App öffnen/verschließen, per App den Ofen anschalten, das Auto öffnen/schließen, die Waschmaschine starten?

Sicher, es ist bequem. Und was passiert, wenn einem das Smartphone gestohlen wird? Per Passwort-Reset über das auf dem Handy eingerichtete Mailkonto können schon die meisten Online-Accounts gekapert werden. Zukünftig wird dann noch das Auto übernommen oder gleich das Haus als Party missbraucht, wenn man im Urlaub ist.

Dabei können Hacker zukünftig über die Fernsteuerung von Autos noch viel mehr Schäden anrichten: Anonyme Morde & terroristische Attacken per Car-Hacking? An den Meistbietenden zu verkaufen. Ich hoffe zwar, dass die Autoindustrie aus diesen akademischen Hacks am Telsa S schnell genug lernt und in allen Bereichen der Fahrzeugentwicklung IT-Sicherheit einen sehr hohen Stellenwert bekommt, aber ich glaube nicht daran.

Und dabei gibt es noch ganz andere Herausforderungen: Sicherheitsupdates beim Auto! Wie lange werden Autos zukünftig mit Updates versorgt? Wie schnell werden sie ausgeteilt? Was passiert bei Software-Bugs durch das Update? Patch-Day am 1. Mittwoch des Monats bei Tesla? Gruselige Vorstellung.

Es wird sicherlich noch eine Zeit dauern, bis Autos nicht nur ständig online und per App steuerbar sind, sondern diese Features auch in den Massenmarkt kommen. Hoffentlich lernt die Autoindustrie aus den Fehlern anderer, bevor sie sie selbst begeht. Am besten werfen sie einfach mal einen Blick auf das Update-Chaos bei Android und gebrandeten Versionen der Mobilfunkprovider. Man darf gespannt sein..

1 06, 2014

Woran erkennt man, dass im Unternehmen ein Password Change durchgesetzt wurde?

von |1. Juni 2014|IT-Sicherheit|0 Kommentare|

Alter Witz, aber leider immernoch wahr:

F: Woran erkennt man, dass im Unternehmen ein Password Change durchgesetzt wurde?

A: Die Bestellungen von Post-Its steigen plötzlich an.

 

29 05, 2014

Der TrueCrypt-Selbstmord

von |29. Mai 2014|IT-Sicherheit|0 Kommentare|

Unter truecrypt.sourceforge.net warnt das Projekt vor dem Einsatz der eigenen Software:

WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues

This page exists only to help migrate existing data encrypted by TrueCrypt.
The development of TrueCrypt was ended in 5/2014 after Microsoft terminated support of Windows XP. [..]

Die alten Softwareversionen wurden entfernt und die aktuelle Variante von TrueCrypt erlaubt nur noch das Entschlüsseln von existierenden Datenträgern. Die digitale Signatur der aktuellen Software ist echt. Entweder ist das ein grandioser Hack oder das Projekt hat aufgegeben. Im Netz kursieren die ersten Gerüchte, dass dahinter in irgendeiner Form die NSA oder andere Geheimdienste stecken sollen. Ob das stimmt, wird sich eher nicht bestätigen lassen.

Aktuell kann man nur annehmen, dass die Entwicklung von TrueCrypt eingestellt wurde. Nachdem die Software nicht unter einer freien Lizenz steht, kann das Projekt nicht geforkt werden. Somit können auch keine Security-Fixes mehr veröffentlicht werden.

TrueCrypt scheint Selbstmord begangen zu haben.

23 04, 2014

Heartbleed ermöglicht KEINE DoS (Denial of Service) Attacke

von |23. April 2014|IT-Sicherheit|0 Kommentare|

Im Gegensatz zu der von Klaus Brandstätter (CEO der Firma HOB GmbH & Co. KG) in verschiedenen Werbeanzeigen (z.B. FAZ) und auf der Homepage seines Unternehmen (http://www.hob.de/news/2014/news0814.jsp) behaupteten Aussage ermöglicht Heartbleed KEINE Denial of Service Attacke.

Weder kann ich ein realistisches Angriffsszenario für die Durchführung einer DoS-Attacke erkennen, noch lässt sich über Google bisher eine inhaltlich identische Aussage eines anerkannten Sicherheitsexperten finden. Meiner Einschätzung nach irrt Herr Brandstätter deutlich.

Auch wenn er – nach eigener Aussage – bereits vor über 40 Jahren während seiner Gymnasialzeit gelernt hat zu programmieren und – wieder nach eigener Aussage – das Problem von Heartbleed verstanden zu haben meint, hat er in seinen Veröffentlichungen das eigentliche Problem von Heartbleed nicht umfassend korrekt wiedergegeben.

Im Gegensatz dazu spricht er einem promovierten Akademiker in Deutschland seine übermäßige Intelligenz ab. Zudem unterstellt der den meisten Entwicklern von OpenSSL minderjährig zu sein,  um danach seine eigenen Produkte wie z.B. HOB SSL zu bewerben. Dass er u.a. auf seiner Homepage selbst OpenSSL und Open Source einsetzt, erwähnt er in seiner Werbeanzeige leider nicht.

18 04, 2014

Der Einsatz von Perfect Forward Secrecy ist alternativlos!

von |18. April 2014|IT-Sicherheit|0 Kommentare|

Klassisch verschlüsselte Kommunikation über SSL/TLS kann nachträglich mit Zugriff auf den privaten Key vom Zertifikat wieder entschlüsselt werden. Mit dem Netzwerk-Sniffer Wireshark ist das nicht sonderlich schwer und die letzten Jahre hat es die wenigsten gestört. Ein Abzug der privaten Keys setzt gewöhnliche eine Komprimierung des Servers voraus, sodass das Risiko oftmals als nicht sonderlich hoch angesehen wurde. Seit dem Snowden-Zeitalter änderte sich etwas das Risikobewusstsein, nachdem der eventuelle Gegner auch eine NSA sein könnte. Was früher vielleicht noch Paranoia war, sind heute ernstzunehmende Angriffsvektoren. Das Buzzword Advanced Persistent Threats (APT) lässt grüßen. Das Risiko erhöhte sich, aber es war noch nicht kritisch.  Eine massenhafter Schwenk zu Perfect Forward Secrecy wurde dennoch nicht vollzogen, auch wenn es die nachträgliche Entschlüsselung effektiv verhindern würde.

Heartbleed änderte das. Die Sicherheitslücke in OpenSSL erlaubt es, zufällige Speicherbereiche des Servers auszulesen. Nachdem die privaten Schlüssel zu den Zertifikaten notwendigerweise im Speicher gehalten werden, können diese nun ausgelesen werden. Einzige Voraussetzung: Eine verwundbare OpenSSL-Version. Dass der Angriff kaum forensische Spuren hinterlässt, macht ihn noch gefährlicher. Die Keys lassen sich nicht mit 1-2 Anfragen auslesen, aber durch massenhafte Anfragen extrahieren. Das wurde öffentlich nachgeprüft und mittlerweile existiert dafür auch ein Angriffs-Tool.

Die Sicherheitslücke in OpenSSL zeigt uns, dass auch mutmaßlich „sichere“ Software hochkritische Lücken aufweisen kann. Sofern kein Perfect Forward Secrecy eingesetzt wurde, lässt sich der Datenverkehr von einem Angreifer jetzt nachträglich problemlos entschlüsseln. Nun ist der Einsatz von Perfect Forward Secrecy absolut alternativlos; alles andere muss ab sofort als nicht ausreichend sicher angesehen werden.