« Gadgets | Blog | Physische Sicherheit »

Ransomware-Angriff mit Petya und Eternal Blue [Updates]

Dienstag 27 Juni 2017   Kategorien: IT-Sicherheit   von Rainer W. Gerling

Derzeit läuft eine Angriffswelle mit einer - so die Vermutungen - modifizierten Version von Petya. Angeblich wird die Sicherheitslücke "Eternal Blue" (von der NSA entdeckt und ausgenutzt und von Shadow Brokers veröffentlicht) für die Ausbreitung genutzt.

BSI-Präsident Arne Schönbohm dazu: "Nach ersten Erkenntnissen des BSI handelt es sich um eine Angriffswelle mit der Schadsoftware Petya, die unter anderem die gleiche Schwachstelle ausnutzt, die sich auch die Ransomware WannaCry zu Nutzen gemacht hatte. Das Patchen dieser Schwachstelle mit dem seit Monaten verfügbaren Microsoft-Patch hätte in vielen Fällen eine Infektion verhindert. In internen Netzen benutzt Petya zusätzlich ein gängiges Administrationswerkzeug zur Weiterverbreitung und kann damit auch Systeme befallen, die auf aktuellem Patchstand sind. Angesichts der akuten Bedrohungslage rufen wir die Wirtschaft erneut dazu auf, die Risiken der Digitalisierung ernst zu nehmen und notwendige Investitionen in die IT-Sicherheit nicht aufzuschieben."

Es wäre schön, wenn wir das "gängiges Administrationswerkzeug" kennen würden.

Die Liste der betroffenen Unternehmen bei Heise Online läßt ein größeres Ausmaß als bei WannaCry befürchten.

Die ersten Betroffenen habe auch schon die geforderten 300 US-$ (derzeit ca. 0,12 BitCoin) bezahlt. Die BitCoin Adresse ist in dem Screenshot von George Argyrakis gut zu erkennen. Hier sieht man den bisher eingegangen Betrag.

[Update] Die angebene Kontakt-E-Mail wowsmith123456@posteo.net ist vom deutschen Provider Posteo gesperrt. Eine Kontaktaufnahme per E-Mail mit den Erpressern ist somit nicht möglich. Damit können die Lösegeldzahlungen nicht zugeordnet werden und dementsprechend kann es keinen Schlüssel geben. Zahlen ist also definitiv sinnlos.

[Update2] Das angesprochene gängige Administrationstool ist psexec. Außerdem soll WMI verwendet werden. Kaspersky berichtet in einem Blog, dass ein Exploit EternalRomance benutzt wird. Der betrifft nicht gepatchte Windows XP bis Windows 2008 Systeme. Der Angriff erfolgt über TCP Port 445. Außerdem soll der Update Prozess einer Ukrainischen Software benutzt werden. Ein gezielter Angriff gegen die Ukraine? Dafür spricht, dass rund 60% der infizierten System in der Ukraine sind. In dem Kasperkys Blog findet der Adminstrator auch IoCs und Yara-Regeln zur Erkennung.

[Update3] Mittlerwiele gibt es Hinweise auf einen Killswitch. Auf Twitter wird diskutiert, wie die Datei heissen muss: "c:\windows\perfc", "c:\windows\perfc.dat" oder "c:\windows\perfc.dll". Am einfachsten legt amn alle drei Dateien an. Und sicherheitshalber sollte die Dateien schreibgecshützt sein udn nicht ausgeführtw erden dürfen.

DDoS Trittbrettfahrer

Freitag 16 Juni 2017   Kategorien: Awareness, IT-Sicherheit   von Rainer W. Gerling

Seit dem 13.6.2017 werden Unternehmen und Einrichtungen weltweit mit der Drohung bereits gestohlene Daten zu veröffentlichen, mit Crypto-Ransomware Daten zu evrschlüsseln und einen DDoS Angriff auszuführen erpresst. Nach Einschätzung vieler Experten handelt es sich um eine leere Drohung. Die verwendeten Begriffe in der englischsprachigen E-Mail sind komisch ("DataBase tax forms") bzw. bei den angeschriebenen Unterenhemen und Einrichtungen nicht immer vorhanden (Universitäten oder Behörden haben keine Kredikartendaten von Kunden).

Die ersten Mails kamen von einer Gruppierung "HACKER TEAM - Meridian Collective" und drohten mit Hacks und DDoS-Angriffen am 16.6.2017 um 20:00 Uhr GMT.

Dann änderte sich die Gruppierung (eher nur der Name) zu "Xball collective" bzw. "Team Xball". Diese behaupten, die Daten seien bereits gestohlen und beginnen den Angriff schon am 16..6.2017 um 19:00 Uhr GMT.

Ein Angreifer, der mit DDoS droht, wird nicht viele Ziele gleichzeitig angreifen, sondern sich auf ein Ziel konzentrieren. Dies scheinen Massen-E-Mails zu sein, die einfach hoffen, dass schon jemand zahlt. Es kann davon ausgegangen werden, dass nichts passiert, auch wenn Sie nicht zahlen. Deshalb: zahlen Sie auf keinen Fall.

Die Information "Once you have paid we will automatically get informed that it was your payment." ist definitiv falsch, da in vielen Mails identische BitCoin-Adressen verwendet werden. Da der Erpresser aber nicht weiss, wer gezahlt hat, kann er den Angriff auch nicht gezielt einstellen oder unterlassen.

Es werden weltweit nur relativ wenige BitCoin-Adressen verwendet.

Und zum Glück ist die Zahlungsmoral doch relativ schlecht. :-)

Auch wenn DDoS und Crypto-Ransomware, wie der Vorfall "WannaCry" gezeigt hat, eine echte Bedrohung darstellen, sollte man sich vor Trittbrettfahrern in Acht nehmen.

[Update 19.6.] Erwartungsgemäß ist weder am Freitagabend noch am Wochende "etwas passiert".]

[Update 20.6.] Mittlerweile tritt die Gruppe auch unter dem Namen "Collective of Amadeus" auf, verwendet aber identische BitCoin-Adressen. Eine weitere BitCoin-Adressse wurde ergänzt

Quellen: DFN-Cert GmbH, Intruder Systems Ltd. und reddit Inc.

Hilfe, ich habe einen Virus erzeugt

Samstag 10 Dezember 2016   Kategorien: Awareness, IT-Sicherheit   von Rainer W. Gerling

Für eine Anleitung zur forensichen Untersuchung von verdächtigen PDF- und Office-Dateien habe ich ein paar kleine Demo-Dateien erzeugt. Eine PDF-Datei sollte dabei folgendes Verhalten zeigen: In der PDF-Datei ist eine ausführbare Datei virus.exe enthalten. Diese wird über etwas Javascript beim Öffnen der PDF-Datei extrahiert (dazu wird exportDataObject verwendet) und gestartet. Jemand hat die Datei nach Virustotal hochgeladen und völlig überraschend wird diese kleine Demo-Datei - auch von renomierten Antiviren-Software Herstellern - als Virus erkannt, obwohl sie völlig harmlos ist. Am 14.11.2016 waren es noch sechs Antivirenhersteller, die die Datei für bösartig hielten. Jetzt sind es schon els Hersteller.

Offensichtlich sind die Heuristiken der Virenscanner so simple, dass das beschreibene Verhalten zur Auslösung des Virenalarms ausreicht.

Die Datei virus.exe wurde mit dem Tiny C Compiler 0.9.26 (veraltet, aber immer noch gutgeeignet für kleine Tools) aus dem Quellcode

1: #include <stdio.h>
2:
3:   int main()
4:   {
5:      printf("Test- und Demo-Virus\n");
6:      printf("\nEine harmlose Datei, die keinen Schaden anrichtet.\n");
7:      getchar();
8:      return 0;
9:   }

erzeugt. Also ein Quellcode, der wirklich keinen Schaden anrichten kann.

Zugegeben, in der Praxis wird man ein derartiges Verhalten einer PDF-Datei wohl nicht finden.

ALDI und die chinesische Web-Seite

Samstag 26 November 2016   Kategorien: Awareness, Gadgets, IT-Sicherheit   von Rainer W. Gerling

Am 17. September gab es bei Aldi-Süd ein WiFi-Steckeset zu kaufen. Jetzt gibt es das Steckerset am 14. November nochmals zu kaufen. Dieses Steckset hat eine nicht dokumentierte Hintertür und auch noch so einige "interessante Funktionen".

Ich habe mit das Steckerset gekauft und in mein Testnetz eingebunden. Als erstes habe ich mit nmap einen Portscan gegen die Steckdose gemacht. Dabei wurde der Port 80(http) als geöffnet gemeldet. Interessant. Also die Seite mit dem Browser aufgerufen: Es wurde eine Authentisierung mit Benutzername und Passwort verlangt. Der erste Versuch root/123456 hat nicht funktioniert. Aber der zweite Versuch mit admin/admin war erfolgreich. Und dann kam die Überraschung:

Eine chinesische Web-Seite. Damit war nun wirklich nicht zu rechnen. Einiges über die Funktionalität läßt sich aus dem Kontext erschliessen. Aber nicht alles:

Zum Glück gibt es Google Chrome. Mit dem Browser läßt sich die Web-Seite on-the-fly übersetzen.

Ob der Software-Upgrade im Menue funktioniert, habe ich noch nicht wirklich getestet. Wenn die SSID und das WLAN-Passwort meines Heimnetzes in dem WLAN-Schalter hinterlegt wären, hätte ich doch erhebliche Sicherheitsbedenken. Die IP-Konfiguration läßt sich wie üblich per DHCP vornehmen. Aber der voreingestellte DNS-Server in China 114.114.114.114 läßt sich offensichtlich nicht verändern. Der ist wohl fest einprogrammiert.

Vor dem Hintergrund der Diskussionen über die Sicherheit von IoT und den DDoS-Angriffen aus IoT-Netzen ist diese unerwartete Zugabe schon ein starkes Stück. Dabei fordern viele Stellen mittlerweile IoT-Geräte nicht mit undokumentierten Diensten oder undokumentierten Benutzerkonten auszuliefern. Beides ist hier gegeben.

Im Gegensatz zu einer Überwachungskamera von Aldi-Süd (gekauft im Dezember 2015) kann das Passwort des Nutzers admin dauerhaft geändert werden. Bei der Überwachungskamera gab es einen undokumentierten Telnet-Zugang und das root-Passwort (es ist 123456) konnte immer nur bis zum nächsten Booten geändert werden.

Fazit: Wer gerne mit Sicherheitslücken spielt, wird bei Aldi gut bedient.

Nur die Schlüsselverwaltung ist kompliziert

Sonntag 29 Mai 2016   Kategorien: IT-Sicherheit   von Rainer W. Gerling

Warum werden E-Mails eigentlich nicht verschlüsselt? Alles was man braucht ist ein E-Mail-Programm, das die Verschlüsselung der E-Mail unterstützt. Die wichtigsten E-Mail-Programme unterstützen dies mittlerweile out-of-the-box. Zumindest wenn es um S/Mime geht. An der fehlenden Software kann das also nicht liegen. Der wahre Grund ist das Schlüsselmanagement. Bei S/Mime (oder genauer bei den X.509 Zertifikaten) ist die Schlüsselverwaltung streng hierarchisch organisiert. Bei OpenPGP gibt es das berühmte Web-of-Trust.

Letzteres ist schwer zu verstehen. Selbst Fachzeitungen schreiben von vertrauenswürdigen Schlüsseln. Ein Schlüssel ist gültig oder ungültig (validity). Nur der Inhaber eines Schlüssels kann vertrauenswürdig sein (Owner trust). Eine Unterschrift unter einem Schlüssel mit dem Schlüssel eines vertrauenswürdigen Inhabers akzeptiere ich (Im Grunde sind die Bestätigungen Zertifikate). Nur dem Inhaber eines gültigen Schlüssels kann ich auch das Vertrauen aussprechen.

Aber auch in der vermeintlich einfachen X.509-Welt gibt es Probleme im Umgang mit den Schlüsseln. So gibt es unter Windows bis mehrere Speicherorte für Zertifikate (Certificate Stores): Microsoft, Mozilla und Oracle/Java. Der Nutzer muss diese – falls erforderlich – synchron halten. Zusätzlich kann (muss?) man die Zertifikate seiner Kommunikationspartner im Outlook-Adressbuch speichern.

Hier verliert man gerne mal die Übersicht welches Zertifikat wo ist. Zusätzlich müssen öffentlicher und privater Schlüssel auch noch auf das Smartphone kopiert werden. Und spätestens wenn das Windows mal nicht mehr so richtig will (Stichwort Software-Verrottung), und man Windows neu installiert, ist der private Schlüssel weg, da man das Backup des Schlüssels vergessen hat.

Moderne E-Mail-Provider versuchen das Schlüsselmanagement vor dem Anwender zu verbergen. Sie speichern auch den privaten Schlüssel des Kunden mehr oder weniger geschützt und stellen so die Verfügbarkeit sicher. Lavabit, der E-Mail-Provider dem Edward Snowden (fälschlicherweise?) vertraute, wusste sich gegen einen National Security Letter nur durch die Einstellung des Geschäftsbetriebs zu retten. 1 und 1 mit den Marken web.de und GMX versucht in einer geschlossen Nutzergruppe (d.h. nur für Kunden) ein OpenPGP-Schlüsselmanagement vor dem Anwender zu verbergen.

Wir sind hier schon ziemlich nah an der Quadratur des Kreises. Entweder der private Schlüssel ist durch eine Passphrase, die nur der Anwender kennt, geschützt. Ist die Passphrase weg, ist der Schlüssel weg. Oder der Provider kann dem Kunden jederzeit „helfen“, auf den privaten Schlüssel zuzugreifen. Dann kann der Provider aber auch jederzeit (!) an den privaten Schlüssel, also auch auf „Wunsch“ staatlicher Stellen.

Eine einfache, benutzerfreundliche und sichere Lösung für das Schlüsselmanagement gibt es noch nicht.

Da E-Mail-Verschlüsselung immer vor dem Hintergrund der zu schützenden Individualkommunikation gesehen wird, fehlen leider auch gute Konzepte für Vertretungsregeln. In Unternehmen und Behörden sind Vertretungsregeln unverzichtbar. OpenPGP wäre in der Lage mit seinen flexiblen Schlüsselformat so etwas abzubilden. X.509 kann das nur über mehrere Schlüssel abbilden. Aber wirklich angegangen ist das noch niemand.

Eine von PGP vor Jahren erfundene Lösung sind Verschlüsselungs-Proxies wie Symantec PGP Universal, Z1 SecureMail Gateway oder Ciphermail, um nur einige zu nennen. Sie verzichten auf Ende-zu-Ende-Verschlüsslung und übernehmen die Schlüsselverwaltung. Auch De-Mail ist im Grunde fast eine solche (allerdings staatliche) Gateway-Lösung.

Letztendlich haben aber alle Probleme bei der E-Mail-Verschlüsselung ihren Ursprung im Schlüsselmanagement. Nicht Verschlüsseln ist kompliziert, sondern der sichere Umgang mit den Schlüsseln.

Ein schönes schlechtes Beispiel

Dienstag 26 April 2016   Kategorien: Awareness, IT-Sicherheit   von Rainer W. Gerling

Manchmal erlebt man Dinge, die man sich selbst in schlechten Träumen nicht ausdenken kann.

Ich fuhr heute Morgen kurz vor neun Uhr in der U-Bahn und neben mir saß ein jüngerer Mann. Wie ich gleich lernen sollte wohl ein IT-Administrator. Sein Telefon klingelte und er sagte, dass er erst nach acht „da sein werde“. Offensichtlich gab es an der Arbeitsstelle eine IT-Problem, denn er sagte dann, der Nutzername sei „admin.ws“ („ws wie workstation“). Und das Passwort sei „r…t for i…t“ mit „R“ und „I“ groß, der Rest klein und einer Vier in der Mitte, also „R…t4I…t“. Uups, jetzt kenne ich und ein paar mehr Leute ein (oder vielleicht sogar das?) Administrator-Passwort eines Unternehmens oder einer Behörde.

Der Administrator war wohl der Meinung, dass niemand weiß, um welches Unternehmen oder welche Behörde es sich handelt. Er trug zum Glück auch keinen sichtbaren Dienstausweis mit Logo. Aber da er an der Haltestelle „K…n“ dann ausstieg, hätte ich ihm problemlos folgen können. Und dann hätte ich gewusst, wo er arbeitet.

Mir hat es die Sprache verschlagen, ob solcher Sorglosigkeit. Dieses schlechte Beispiel zeigt, das IT-Sicherheit nicht nur der Einsatz von Technik ist, sondern auch ganz wesentlich aus organisatorischen Regeln besteht und auch bestehen muss. Die Verantwortlichen bei diesem Arbeitgeber haben wohl die ein oder andere Awareness-Schulung für Administratoren vergessen.

Ich habe den Vorfall übrigens etwas verfremdet, denn ich will die IT-Sicherheit des Unternehmens bzw. der Behörde ja nicht gefährden, indem ich es bzw. sie identifizierbar mache. Aber wer für seine Awareness-Schulung ein schönes schlechtes Beispiel sucht …

Tipp: Man kann ein Administrator-Passwort für Notfälle in einem versiegelten Umschlag in einem Tresor hinterlegen. Und nachdem der Umschlag geöffnet werden musste, wird das Passwort geändert und neu hinterlegt.

Wir wollen starke Bürger, die in Freiheit sicher leben.

Montag 28 März 2016   Kategorien: Datenschutz, IT-Sicherheit, Politik   von Rainer W. Gerling

Bundesinnenminister Thomas de Maizière äußert sich durchaus widersprüchlich, wenn es um den Konflikt von Grundrechten und Sicherheit (gerade auch vor dem Hintergrund Terrorismus) geht. Die Europäische Menschrechtskonvention sagt in Art. 5 Abs. 1 Satz 1 "Jede Person hat das Recht auf Freiheit und Sicherheit." Freiheit und Sicherheit sind Grundrecht die gelichberechtigt nebeneinander stehen. Zitate unseres Inneministers wie "Datenschutz ist schön, aber Sicherheit hat Vorrang" (genau hat er in den Tagesthemen vom 22.3.1026 gesagt: "Datenschutz ist schön, aber in Krisenzeiten wie diesen hat Sicherheit Vorrang.") legen nahe, dass Datenschutz ein Grundrecht zweiter Ordnung und die Sicherheit ein Grundrecht erster Ordnung ist. Bei einem Konflikt von Grundrecht gewinnt dann automatisch das Grundrecht erster Ordnung.

Unsere Rechtsordnung kennt nur Grundrechte und keine Rangfolge der Grudnrechte. Alle Grundrechte stehen gleichberechtigt neben einander! Natürlich kommt es immer wieder zu Konflikten zwischen Grundrechten. Diese müssen dann im Einzelfall gegeneinader abgewogen werden. Dabei kommen unterschiedliche gesellschaftliche Gruppierungen durchaus auch zu unterschiedlichen Bewertungen. Diese unterschiedlichen Bewertungen müssen ausdiskutiert werden.

Die finale Messlatte sind das Grundgesetz, die Europäische Menschrechtskonvention und Die Allgemeine Erklärung der Menschenrechte der Vereinten Nationen. Die Messlatte wird ultimativ angelegt von den dafür zuständigen Gerichten, also in Deutschland dem Bundesverfassungsgericht und auf europäischer Ebene dem Europäischen Gerichtshof. Und diese Urteile gelten final. Es steht einer Regierung nicht frei, die Urteille des jeweiligen Verfassugsgerichts zu ignorieren, da sie ihr nicht passen. Eine Regierung (so geschehen in Europa), die dies versucht hat die Grundidee von Demokratie und Gewaltentrennung nicht verstanden.

Einer der Gründerväter der Vereinigten Staaten, Benjamin Franklin, formulierte bereits 1775 eine noch heute gültige Maxime: "Wer wesentliche Freiheit aufgeben kann um eine geringfügige bloß jeweilige Sicherheit zu bewirken, verdient weder Freiheit, noch Sicherheit." (Zitiert nach Dr. Benjamin Franklin's nachgelassene Schriften und Correspondenz, nebst seinem Leben. Band 3. Franklin's Leben ersten Theil enthaltend. Weimar 1818).

(Abbildung: Screenshot der Homepage des BMI; abgerufen am 28.3.2016)

Datenschutzfreundliche Dropbox und Zertifizierung

Donnerstag 25 Juni 2015   Kategorien: IT-Sicherheit, Tipps   von Rainer W. Gerling

Das Unternehmen Dropbox bemüht sich intensiv Business Accounts an die Unternehmen zu bringen. Von kostenlosen Accounts kann man auf Dauer nicht leben. Diese Accounts können von der Unternehmens IT gemanagt werden. Verlässt ein Mitarbeiter das Unternehmen, kann der Speicherplatz gewiped werden oder an den Nachfolger übertragen werden. Details findet man im “Dropbox for Business Security Overview“.

Aber leider gibt es auch für Unternehmens-Kunden keine Dateiverschlüsselung. Dropbox schreibt zwar im Security Guide (und das ist auch korrekt), dass die Dateien beim Storage-Provider verschlüsselt (AES 256 Bit) gespeichert werden. Aber den Schlüssel hat Dropbox und nicht das Unternehmen. Dropbox kann (manchmal vielleicht auch; muss) auf die Daten zugreifen. Dropbox ist seit dem 16.2.2012 Safe Harbor „zertifiziert“ und erfüllt damit formal die EU-Vorgaben.

Dropbox for Business nach ISO 27018 zertifiziert“ schrieb die Computer Woche am 18.5.2015. Dropbox ist nach eigenen Angaben einer der ersten Cloud-Anbieter, der das neue ISO-Gütesiegel erhält. Die ISO 27018 wurde erst im August 2014 verabschiedet und regelt datenschutzrechtliche Anforderungen an Cloud-Dienste nach EU-Recht und nach deutschem Recht.

Ist das nicht ein Widerspruch? Die Anforderungen nach deutschen Datenschutzrecht sind nach ISO 27018 zertifiziert und die Unternehmensdaten liegen unverschlüsselt in der Cloud? Da muss man doch mal genau nachschauen, was eigentlich zertifiziert ist. Und das steht in dem Zertifizierungsdokument.

Services in scope, when used with a registered Dropbox for Business account:

  • The Dropbox software client (desktop/laptop access)
  • The Dropbox web application (desktop and mobile browser access)
  • The Dropbox mobile application (mobile device access)
  • The Dropbox application programming interface (API) (invoked by a Dropbox for Business customer to perform operations on data within that customer's account)"

steht auf Seite 2 der Zertifikatsurkunde.

Zertifiziert sind also: der Desktop Klient, die Webanwendung, die App und das API. Im Grunde ist alles zertifiziert, was die Firma für den Klienten zur Verfügung stellt. Die Serverseite ist NICHT zertifiziert. Über die Speicherung der Daten in der Cloud wird in der Zertifizierung nichts gesagt!

Was lernen wir? Es empfiehlt sich Zertifizierungen nur zu akzeptieren, wenn man sich davon überzeugt hat, was genau zertifiziert ist. Manchmal klaffen Zertifizierung und Wahrnehmung (oder sollte ich Werbung schreiben) etwas auseinander.

Solche „Missverständnisse“ gab es schon öfter. Im April 1996 wurde Windows NT mit dem Report No. CSC-FER-95/003 nach dem Orange Book als C2-sicher zertifiziert. Aber zertifiziert war „nur“ Windows NT 3.5 Service Pack 3 mit spezieller Konfiguration und - auch bei der NT Server Version - ohne Netzwerkkarte im Rechner. (Wenn man es genau nimmt, galt das Zertifikat auch nur für die Compaq Rechner Proliant 2000 und Proliant 4000 5/90-1 und 5/100-1 sowie einen DECpc AXP/150.) Ein Windows NT 4 mit Netzwerkkarte war nie zertifiziert. Obwohl fast alle das geglaubt haben.

Wenn Sicherheitslücken ein Feature sind ...

Donnerstag 30 April 2015   Kategorien: IT-Sicherheit   von Rainer W. Gerling

Vor kurzem berichten diverse Newsticker über eine Windows-Sicherheitslücke, die seit 1997 bekannt ist. Aber es handelt sich dabei nicht um eine Lücke, sondern schlicht um ein „dummes“ Konzept. Wenn ein Browser oder eine Anwendung eine Ressource nicht über http:\\server oder https:\\server holen soll, sondern über smb:\\server oder schlicht \\server und der Server eine Authentisierung verlangt, dann wird Windows extrem hilfsbereit: es versucht den Nutzer einfach mal anzumelden. Vielleicht kappt das ja und dann muss der Nutzer nicht mit so einem lästigen Passwortprompt behelligt werden. Und dabei wird freundlicherweise die Kombination von Benutzer-Name und Passwort genommen, mit der der Nutzer gerade am Windows angemeldet ist. Wie blöd ist das denn?

Bindet ein Anbieter eine Grafik (das berühmte weiße Pixel reicht völlig) über das smb-Protokoll ein, bekommt der Server Benutzername und gehashtes Passwort frei Haus. In vielen Artikel liest man, dass der Angreifer dann noch das Passwort knacken muss. Das stimmt so nicht immer.

Microsoft verwendet bei der Anmeldung an einer Ressouce per smb (genauer NTLM(v2) Authentisierung) ein Challenge-Response-Verfahren. Der Server schickt eine Zufallszahl (das Challenge) an den Klienten und der muss es verschlüsselt zurück schicken (der Response). Nur womit wird verschlüsselt? Mit dem Passwort des Nutzers? Das Passwort kennt der Klient aber nicht, da es nur gehasht gespeichert wird. Das bei der Anmeldung eingegebene Passwort wird sofort gehasht und es wird nach erfolgreicher Authentisierung sofort gelöscht. Also nimmt der Klient in Ermangelung des Passworts den Hashwert des Passworts zur Authentisierung. Ist das Ziel des Angriffs die Anmeldung an einer entsprechenden Ressource reicht die Kenntnis des Hashes des Passworts völlig aus.

Dieses Verfahren ist auch als „Pass-the-Hash“ bekannt. Der Benutzer/Klient beweist dem Server, dass er den Hash des Passworts kennt, ohne ihn zu übertragen. Das eigentliche Passwort zur Anmeldung am ist nämlich der Hash des Passworts.

Was lernen wir hieraus? Passwort-basierte Challenge-Response-Verfahren benötigen immer das Passwort im Klartext auf beiden Seiten. Und das ist schlecht, da man Passworte nicht im Klartext speichern darf. Challenge-Response-Verfahren machen nur dann Sinn, wenn sie auf Private-Key-Kryptographie basieren. Denn nur dann kann man das Geheimnis (den privaten Schlüssel) vernünftig schützen. Dem Server reicht die Kenntnis des öffentlichen Schlüssels zur Authentisierung.

It’s not a bug, it’s a feature. Deshalb wird die Lücke wohl auch nicht gepatcht. Zu viele Anwendungen würden nicht mehr funktionieren.

Bei der Domain-Anmeldung an ein Active Directory kommt seit Windows 2000 eine Kerberos-basierte Authentifizierung zum Einsatz. Wen der Server kein Kerberos kann gibt es einen automatischen Rückfall auf NTLM. Abwärtskompatibilität macht IT-Sicherheit nicht einfacher.

Wieviel Verschlüsselung braucht die Mail?

Donnerstag 12 März 2015   Kategorien: IT-Sicherheit   von Rainer W. Gerling

Die Ankündigung, dass im April De-Mail um eine Ende-zu-Ende Verschlüsselung auf Basis von Mailvelope angereichert werden soll, ist sehr zurückhaltend aufgenommen worden. Bisher war eine wesentliche Kritik an De-Mail die fehlende Ende-Zu-Ende Verschlüsselung.

Was ist eigentlich der Unterschied zwischen einer TLS-Transport-Verschlüsselung und einer Ende-zu-Ende Verschlüsselung wie OpenPGP oder S/Mime?

Bei einer TLS-Transport-Verschlüsselung wird der Mail-Verkehr zwischen zwei Mail-Servern oder zwischen dem Mail-Klienten komplett verschlüsselt. Die einzelnen unverschlüsselten E-Mails werden – wie in einem Tunnel – geschützt übertragen. Ein Lauscher sieht nur noch, dass Mail-Server A mit Mail-Server B Daten austauscht. Er sieht nicht mehr, wer wem eine E-Mail schickt.

Auf den beteiligten Mailservern liegen die E-Mails unverschlüsselt und damit ist der Provider technisch in der Lage die E-Mails zu lesen (auch wenn er es rechtlich nicht darf). Deshalb propagierten Experten immer, dass „nur“ eine TLS-Transport-Verschlüsselung Blödsinn sei.

Die Abbildung zeigt eine unverschlüsselte und eine mit S/Mime verschlüsselte E-Mail (Die Header der E-Mail wurden stark verkürzt). In der verschlüsselten E-Mail sind Absender, Empfänger, Zeitpunkt und Betreff immer noch im Klartext zu lesen: nur der Mail-Body und eventuelle Anhänge werden verschlüsselt. Die berühmte Speicherung und Analyse der Meta-Daten durch die NSA ist auch bei der verschlüsselten E-Mail immer noch möglich ohne eine Verschlüsselung zu knacken.

Dies macht deutlich das wird beides dringend brauchen: die TLS-Transport-Verschlüsselung, damit die Header der Mail beim Transport zwischen den Mail-Servern verschlüsselt sind und die Ende-zu-Ende-Verschlüsslung, damit der Provider die Mail-Inhalte nicht lesen kann.

In diesem Zusammenhang ist es auch wichtig, dass wir in unserem Mail-Klienten (Outlook, Thunderbird oder wie immer er heißt) die Verschlüsslung für SMTP und POP3 oder IMAP aktivieren.

Die Einführung der TLS-Transport-Verschlüsslung durch Projekte wie De-Mail und „E-Mail made in Germany“ ist zu begrüßen. Aber OpenPGP und S/Mime sind auch unverzichtbar. Erst im Zusammenspiel beider Mechanismen wird ein vernünftiges Gesamtpaket daraus.

Webserver-Sicherheit für Freaks

Samstag 07 März 2015   Kategorien: IT-Sicherheit, Tipps   von Rainer W. Gerling

Die sog. Freak Sicherheitslücke hat die Aufmerksamkeit auf die Verwendung der sog. Cipher Suiten bei verschlüsselten Verbindungen gelegt.

Bei dem Aufbau einer verschlüsselten Verbindung müssen zwichen Klient und Server die verwendeten Verschlüsselungsverfahren ausgehandelt werden. Dabei haben der Server und der Klient jewiels eine Liste der von ihnen unterstützen Verschlüsselungsverfahren. Der Klient macht eine Vorschlag und der Server akzeptiert diesen Vorschlag oder sagt "beherrsche ich nicht, wir müssen was anderes nehmen". Können die beiden sich nicht auf eine Cipher Suite einigen, kommt keine Verbindung zu Stande.

Es müssen das Protokoll (SSL, TLS) und vier Algorithmen vereinbart werden:

  • das Schlüsselaustauschverfahren (RSA, DH)
  • das Authentifizierungsverfahren (RSA, DSA, ECDSA)
  • das Verschlüsselungsalgorthmus inkl. Schlüssellänge (keine, RC4, DES, 3DES, IDEA, AES
  • die verwendete Hashfunktion (MD5, SHA1, SHA2)

Aus den fünf Angaben setzt sich dann der Name der Cipher Suite zusammen, z.B. DHE-DSS-AES256-SHA256 (OpenSSL-Name) oder TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 (IANA Name). Dies sind die für den Menschen lesbare Form. Intern werden die Cipher Suiten durch Codezahlen (0x00,0x6A) dargestellt.

Die Grundidee der Attacke ist es, in diesen Verbindungsaufbau so einzugreifen, dass sich beide Partner auf eine schwache Cipher Suite einigen, so dass die Entschlüsselung dann "einfacher" geknackt werden kann. Nicht alle Server und Klienten sind angreifbar. Unter Windowssystemen sind alle Anwendungen, die auf die schannel.dll Verschlüsselungsbibliothek zurückgreifen angreifbar. Darüber hinaus sind Chrome, Safari und andere Browser angreifbar.

Eine Liste der angreifbaren Server der Top Million Server des Alexa Rankings ist hier verfügbar. Ingesamt sind 9,5% (am 7.3.) der Top Million Server verwundbar (am 3.3. waren es noch 12,2%).

Aber was muss ein Administrator tun, um seinen Server so zu konfigurieren, damit nur sichere Cipher Suiten verwendet werden? Die derzeit beste verfügabre Anleitung ist ein umfangreiches PDF-Doukment "Applied Crypto Hardening" von bettercrypto.org. Erfahrene Praktiker aus eropäischen Certs und Hochschulen haben für die gängisten Webserver (Apache, lighttpd, nginx und MS IIS) die sichere Konfiguration der Cipher Suiten beschrieben. Alle Besipiele können direkt per Copy & Paste übernommen werden. Darüber hinaus wird die Krypto-Konfiguration von SSH, Mail Serverv, VPNs, PGP, Instant Messaging Systemen Datenbanken und anderen Systemen beschrieben.

Obwohl das Dokument ncoh den Status "draft" hat, gibt es derzeit wohl keine bessere Anleitung.

Wer jetzt seine eigenen SSL/TLS fähigen Server überprüfen möchte, dem sei der Kommandozeilen SSL-Scanner SSLyze ans Herz gelegt. Das in Python geschriebene Programm ist für Windows, OS X und Linux verfügbar.

Nachtrag vom 21.3.2015: Dieser Beitrag wird in der Datenschutz Newsbox 3/2015 verwendet

Was haben Superfish und Bluecoat gemeinsam?

Samstag 21 Februar 2015   Kategorien: IT-Sicherheit   von Rainer W. Gerling

In sicherhheitskritischen Unternehmen ist es nicht unüblich, dass der Webverkehr an der Firewall auf Schadsoftware untersucht wird. Damit dies auch bei SSL-Verbindungen funktioniert, muss diese SSL-Verbindung mit einem Man-in-the Middle (MITM)-Angriff aufgebrochen werden. Hierzu gibt es spezielle Hardware z.B. von der Firma Bluecoat (Anmerkung: Die Fa. Bluecoat hat mit der Adware nichts zu tun. Sie ist ein führender Anbieter von Sicherheits-Appliances).

Wie funktioniert das? Die Box nimmte die SSL-Verbindung an und gibt sich gegenüber dem Server als Client aus. Damit können die Daten aus dem SSL-Strom entpackt und analysiert werden. Damit beim Benutzer auch der erwartete SSL-Datenstrom ankommt, müssen die Daten neu verschlüsselt werden. Ansonsten würde der Nutzer die Verbindung für unsicher halten. Da die Box den privaten Schlüssel des Servers nicht kennt, muss sie einen eigenen Schlüssel nehmen. Dieser ist aber von keiner gänigen CA bestätigt. Würde eine seriöse CA auch nicht tun, da diese für alle Domains gültig sein muss. Deshalb stellt die Box quasi als CA für jede auftretende Domain on the fly ein neues Zertifikat aus.

Anderfalls käme es zu einem Zertifikatsfehler, wie ihn jeder schon mal gesehen hat. Deshalb muss auf den Clienten-Rechnern das Zertifikat dieser Pseudo-CA in den Speicher für die vertrauenswürdigen Zertifizierungsstellen gebracht werden. In einem Unternehmen mit gemanagten Rechnern ist das kein Problem.

In einem Unternhemen, wo es entsprechende Sicherheitsanforderungen gibt, ist dies auch kein Problem, wenn dies entsprechend transparent (z.B. durch eine Betriebsvereinbarung gereglt) gemacht wird.

Was hat dies mit alles mit der Adware Superfish zu tun? Offensichtlich funktioniert sie genauso. Nur das das alles in Software auf dem lokalen Rechner geschieht. Damit die Bilder in SSL-Verbindungen analysiert werden können, um die passende Werbung einzublenden, muss der SSL-Datenstrom mit einem MITM-Angriff aufgebrochen werden. Und das Bedürfnis kontextbezogene Werbung einzublenden steht sicher nicht auf einer Stufe mit den IT-Sicherheitsinteressen eines Unternehmens, das im SSL-Datenstrom nach Malware sucht.

Und dann sieht man auch die "Notwendigkeit", in der Software den privaten Schlüssel zu hinterlegen und die Superfish-CA in den Zertifikatspeicher einzutragen.

Moziilla, Microsoft und andere müssen diese Superfish-CA ganz schnell auf ihre jeweiligen Blacklists setzen. Wie das geht wurde ja schon mehrfach geübt.

Das Sicherhietsrisko dieser Software durch das Zertifikat ist groß, da der private Schlüssel und das Passwort bereits im Internet stehen.

Das Kommunikationsgeheimnis ist (un)verletzlich

Freitag 20 Februar 2015   Kategorien: Awareness, IT-Sicherheit, Politik   von Rainer W. Gerling

In den Verfassungen aller demokratischer Staaten ist die Unverletzlichkeit des Kommunikationsgeheimnisses festgeschrieben (in Deutschland z.B. konkret als Brief-, Post und Fernmeldegeheimnis). Es werden dann noch Feinheiten unterschieden, ob das Kommunikationsgeheimnis für alle Menschen (z.B. in Deutschland) oder nur für die eigenen Bürger (z.B. in den USA) gilt.

In der „guten alten Zeit“ waren dies organisatorische Regeln. Der Staat garantierte das Kommunikationsgeheimnis durch Gesetze, konnte es aber selber jederzeit durchbrechen. Als die Post in Deutschland noch als staatliches Unternehmen die komplette Kommunikation abwickelte, war das unproblematisch: der Beamte der Sicherheitsbehörde ging zu dem Beamten des Kommunikationsunternehmens und gut war's. Die Kommunikationsüberwachung fand innerhalb von oder zwischen Behörden statt.

Mit dem Aufkommen von guter Verschlüsselung (z.B. Pretty Good Privacy, Encryption for the Masses) konnte endlich ein Bürger seine Kommunikation mit eigenen technischen Mittel schützen und er war nicht mehr auf die organisatorischen Regeln des Staates angewiesen. Und plötzlich waren sich Regierungen dieser Welt einig, so was das aber nicht gemeint mit dem Kommunikationsgeheimnis. Die Krypto-Debatte war geboren. Unter Innenminister Kanther war die erste große Runde in Deutschland. David Cameron hat im Januar 2014 die derzeit letzte Runde in Europa eröffnet.

Die heute verfügbaren Krypto-Algorithmen sind so gut, dass auch potente Dienste wie die NSA diese nicht ohne weiteres brechen können. Deshalb müssen die Dienste ausweichen. Wenn die Schlüssel bekannt sind, muss man die Algorithmen nicht knacken. Wie kommt man an den Schlüssel? Man „bittet“ jemanden, der ihn hat, ihn herauszugeben. Man sorgt dafür, dass nur Schlüssel generiert werden, die man kennt (d.h. man beeinflusst die Generierung der Zufallszahlen, aus denen die Schlüssel erzeugt werden). Man nimmt sich die Schlüssel einfach bei jemanden, der sie hat.

Gerade auch letzteres wird, wie wir heute wieder lernen mussten, intensiv gemacht. Ob eine Firma wie RSA, die geheimen Schlüssel aller Einmal-Passwort-Token (SecureID) speichert (Warum eigentlich?) oder ob man bei Chip(karten)-Herstellern einbricht, um sich die Schlüssel zu nehmen, wird letztendlich dann glücklicherweise doch bekannt.

Wir brauchen deutlich mehr asymmetrische Verschlüsselung mit dezentraler Erzeugung der Schlüsselpaare, so dass man die geheimen Schlüssel nicht gesammelt an einer Stelle abgreifen kann. Insofern ist der neue Personalausweis (nPA) ein guter Schritt. Er wird ohne Schlüsselpaar ausgeliefert und das Schlüsselpaar wird erst bei mir erstellt. Aber die Zertifizierer zieren sich noch das Verfahren zu unterstützen. Nur die Bundesdruckerei macht einen vorsichtigen Pilot-Test (sign-me).

ENISA stellt die Cyber-Bedrohungslandschaft 2014 vor

Donnerstag 19 Februar 2015   Kategorien: IT-Sicherheit   von Rainer W. Gerling

Der Bericht der "European Union Agency for Network and Information Security" (ENISA) zur Bedrohungslandschaft 2014 (ETL 2014) ist der dritte Jahresbericht in Folge, der die wichtigsten Cyber-Bedrohungen und die 2014 stattgefundene Entwicklung zusammenfasst und analysiert. Der ETL 2014 trägt zur Erreichung der in der Cyber-Security-Strategie für die EU formulierten Ziele bei und betont die Bedeutung der Bedrohungsanalyse und die Identifizierung der neuen Trends in der Cyber-Sicherheit.

2014 waren bei den wichtigsten Bedrohungen größere Veränderungen zu beobachten: eine erhöhte Komplexität der Attacken, erfolgreiche Angriffe auf wesentliche Sicherheitsfunktionen des Internets, jedoch auch erfolgreiche, international koordinierte Operationen durch Strafverfolgungsbehörden und Sicherheitsunternehmen. Viele der Veränderungen im Bereich Cyber-Bedrohungen sind exakt dieser Koordination und der Mobilisierung der Cyber-Community zu verdanken. Jedoch gibt es Hinweise darauf, dass die künftigen Cyber-Bedrohungslandschaften eine hohe Dynamik beibehalten werden.

Tabelle 2 aus dem Bericht zeigt die 15 TOP-Bedrohungen und Ihre Veränderung gegenüber dem Jahr 2013.

Der Bericht entält in Kapitel 5 interessante Informationen zu den Angriffsvektoren, die anfängliche Informationen dazu liefern, „wie“ ein Cyber-Angriff stattfindet. Dabei wird auf "Targeted attacks", "Drive-by-attacks", "watering hole attacks" und "Advanced persistent threat (APT)" näher eingegangen. Sehr schön ist, dass der Bericht zahlreiche Links auf weiterführende Informationen enthält.

Insgesamt ein lesenswertes Dokument.

Die beiden ersten Reports:

Ich habe gewonnen ...

Donnerstag 19 Februar 2015   Kategorien: Awareness, IT-Sicherheit   von Rainer W. Gerling

„In der letzten Lotterie des FBI habe ich 20 Millionen Dollar gewonnen. Ich habe zwar nicht gewusst, dass das FBI Lotterien veranstaltet, ich habe auch nicht teilgenommen ... aber ich habe gewonnen. Ich muss nur noch auf diesen komischen Link in der Mail klicken, um meinen fetten Gewinn zu kassieren.“

Klingt gut! Klingt zu gut, um wahr zu sein. Ist auch nicht wahr. Wenn etwas zu gut klingt um wahr zu sein, dann ist es auch nicht wahr. Es soll nur der Gier-Schalter im Gehirn eingeschaltet werden. Und der schaltet gleichzeitig das Denken und damit die Vorsicht aus.

„Angeblich ermittelt das BKA gegen mich wg. MP3-Download. Werde ich jetzt verhaftet? Nochmal Glück gehabt, denn gegen Zahlung von 50 Euro über einen anonymen Zahlungsdienstleister kann ich mich frei kaufen. Und den Zahlungscode muss ich an eine E-Mail-Adresse in ein dubioses Land schicken. Da habe ich ja nochmal Glück gehabt.“

Deutsche Polizeibehörden schicken immer noch Papierpost. Aber über den Schock soll der Panik-Schalter umgelegt werden und der funktioniert genauso wie der Gier-Schalter.

Die IT-Abteilung Ihres Arbeitgerbers oder Ihr Provider verschicken E-Mails, dass Ihr Postfach voll oder Ihr Passwort abgelaufen ist, niemals aus dubiosen Ländern, sondern immer von Absender-Adressen aus dem Unternehmen.

Denken Sie nach. Und löschen Sie solche E-Mails. Wenn Sie sich nicht sicher sind, fragen Sie lieber die Experten.

Phishing – so der Fachausdruck für derartige Mails – ist eine boomende, kriminelle Industrie. Virenscanner bieten einen unverzichtbaren Grundschutz, aber es bleibt ein Restrisiko und dafür benötigen Sie Ihren gesunden Menschenverstand. Seien Sie kritisch.

Klickt man auf einen Link in einer sogenannten Phishing-Mail, startet der Browser und öffnet eine Web-Seite. Diese fragt meist dreist nach Benutzernamen und Passworten sowie weiteren Informationen wie z.B. Banking-TANs. Spätestens hier sollte man innehalten und merken, dass etwas nicht stimmt. Kritischer sind Seiten, die wie dem Nutzer bekannte Portale aussehen. Hier gibt dann mancher sein Passwort ein, da die gefälschte Eingabemaske aussieht, wie die Bekannte.

Hat man Pech, geschieht beim Klick auf den Link außer dem Browserstart vermeintlich nichts. Dies sind die gefährlichen Seiten, da heimlich eine Schadsoftware auf Ihrem Rechner installiert wird. Auch beim Öffnen eines zip-, pdf oder Word-Anhangs einer Phishing-Mail wird eine Schadsoftware installiert.

Eine „beliebte“ Funktion dieser Schadsoftware ist das Ausspähen von Benutzernamen und Passworten. Die Account-Daten können dann zum weiteren Versand von Phishing-E-Mails, Zugriff auf andere Benutzerberechtigungen (viele verwenden überall dasselbe Passwort), oder dem Eröffnen von Benutzerkonten bei Diensteistern verwendet werden.

Gelangt der Angreifer in Ihren eBay Account, kann er unter Ihrem Namen Waren verkaufen. Wird Ihr Mail-Account für den Versand von SPAM missbraucht, so kann Ihr Arbeitgeber vielleicht tagelang nur eingeschränkt E-Mails verschicken, da der Mail-Server Ihres Arbeitgebers auf einer schwarzen Liste gelandet ist.

Da letztlich das Ziel ist, ohne viel Arbeit an Geld zu kommen, wird auch immer wieder versucht in Ihr Internetbanking manipulativ einzugreifen. Es gibt viele Leute, die auf diese Art schon Geld verloren haben.

Hier mal ein konkretes Beispiel für die Folgen eines Klicks:Ein Kollege in einer Uni klickt auf den Link und gibt seine Daten ein. Er fühlte sich unter Druck gestetzt und wollte sich schnell wieder freischalten lassen und hat deshlab seine Mailadresse und sein Passwort preisgegeben. Im Laufe der folgenden Nacht gab es dann sieben Anmeldungen aus Ägypten und Nigeria beim Webmail-Server der Uni. Dabei wurden 379 Mails verfasst, einige davon mit sehr vielen Adressen im BCC-Feld. Das führte zu 129.836 versendeten Mails und 39.418 abgelehnten Mails, die dann als Unzutsellbarkeitsbenachrichtungen im Posteingang des Nutzers waren. (Dank an Max B. für die konkreten Zahlen)

Die Technische Universität München bietet zum Thema "Phishing" einen netten kleinen Phishing Selbstlerntest an. Haben Sie alle Mails richtig klassifiziert?

Endlich Online

Montag 16 Februar 2015   Kategorien: IT-Sicherheit   von Rainer W. Gerling

IT-Sicherheit wird von Tag zu Tag wichtiger und fordert uns heraus. Viele Nachrichten erscheinen zu dem Thema und mich juckt es oft in den Fingern diese Nachrichten zu kommentieren oder mit einer anderen Sichtweise zu ergänzen. Das ist bisher immer nur im kleinen Kreis und typischwerwiese mündlich passiert. Und es gab oft den Kommentar, warum schreibst Du das nicht auf. Meistens ist es zu wenig, um daraus einen Artikel für eine Zeitschrift zu machen.

Hieraus enstand dann irgendwann die Idee ein Blog zu machen. Und jetzt ist es soweit: das Blog ist online. Ein paar Beiträge enstanden zu Testzwecken während der Implementierung. Ich habe sie nicht gelöscht; aber das Erstelldatum ist geblieben.

Dieses Blog soll meine Web-Seite nicht ersetzen, sondern ergänzen. Awareness, interessante Gadgets, IT-Sicherheit, physische Sicherheit, Spionage(abwehr) und interessante Tipps sollen die Themenbereiche sein.

Mit einem simplen Desktop-Blog "Thingamablog" und dem CSS Framework "YAML 4", das ich auch schon für meine Webseite benutze, ist dies eine einfache - aber ausreichende - technische Lösung.

MongoDB: der GAU

Dienstag 10 Februar 2015   Kategorien: IT-Sicherheit   von Rainer W. Gerling

Drei Cybersicherheit-Studenten der Universität des Saarlandes endeckten eine Sicherheitslücke und arbeiteten sie mit Wissenschaftlern des CISPA auf. Mehrere Zehntausend unzulänglich konfigurierte Instanzen der Datenbank MongoDB standen offen im Netz. Damit war im Extremfall der Zugriff auch auf mehere Millionen personenbezogene Datensätze möglich. Kundendaten oder Live-Daten von Webshops mit Kreditkarten Informationen lagen frei zugänglich im Netz.Technische Details und Hintergrundinformationen finden sich hier. Die Firma hinter der MangoDB legt Wert auf die Feststellung, dass es sich nicht um eine Sicherheitslücke in der Software ahndelt, sondern um einen Konfigurationsfehelr der Anwender. Eine offene Frage ist, wie deutlich die Installationsanleitung auf die Gefahr der fehlerhaften Konfiguration hinweist.

Mittlerweile hat die Fa. MongoDB, Inc. detaillierte "Sicherheits-Empfehlungen für MongoDB" in Netz gestellt. Einen direkten ins Auge fallenden Link auf der Homepage sucht man allerdings vergeblich.

Per Default-Installation einer beliebten Installationsvariante wird eine MongoDB so aufgesetzt, dass sie nur auf dem virtuellen Netzwer-Interface "localhost (127.0.0.1)" auf Verbindungen wartet. Alle Zugriffe erfolgen lokal und um die IT-Sicherheit muss man sich vermeintlcih keine großen Gedanken machen. Löscht man in der Konfigurationsdatei diesen Eintrag, wartet die Datenbank auf allen Netzwerk-Interfaces auf Verbindungen. Ändert man die IP-Adresse auf eine offizille im Internet erreichbare Adresse, ändert sich nicht automatisch der Schutz des Zugriffs mit. Dies muss zuätzlich konfiguriert werden.

Dies wäre immer noch kein Problem, wenn einen Instanz der MongoDB hinter einer Firewall, die alle Zugriffe auf die Datenbank blockt, betrieben würdr. Dies war aber offensichtlich nicht immer der Fall.

Ein weiteres Szenario ist aber weitaus gefährlicher: Der Betrieb der Datenbank bei einem Dienstleister in der Cloud. Dann muss beim Dienstleister der Zugriff auf die Datenbank auf die IP-Adressen der Anwendung, die die Datenbank nutzt, beschränkt werden. Zusätzlcih sollte per VPN-Verbindung die Abhörbarkeit der Kommunikation abgestellt werden.

Alles dies (total einfach) sind effektive Massnahmen, die ohne Passowrtschutz der Datenbank auskommen. Sie wurden aber in knapp 40.000 Fällen nicht beachtet. Kann ein Administrator nur noch eine Anleitung abarbeiten ohne wirklich zu verstehen, was er da tut? Und versteht er dann auch nicht, wie sich dies auf die IT-Infrastruktur des Unternehmens auswirkt?

Seit 2004 sammelt die Shadow Server Foundation "Daten aus der dunkleren Seite des Internet". Unter der Rubrik "Protocols That Should not be Exposed" wird jetzt (seit dem 13.2.15) auch regelmäßig nach den Ports der MongoDB gescannt. Nach REDIS (seit 21.1.15) und MemCached (seit 23.1.15) wird schon etwas länger gescannt.

Wo ist der Download?

Montag 22 Dezember 2014   Kategorien: IT-Sicherheit, Tipps   von Rainer W. Gerling

Sie möchten ein kostenloses Programm z.B. den kostenlosen Passwordmanager KeePass oder das Löschprogramm CCleaner herunterladen. Sie klicken den Link an und werden von einem großen, nicht übersehbaren Download-Button „angestrahlt“. Die Versuchung ist groß auf den größten Button mit dem Text "Download Start" in der Mitte des Bildschirms zu klicken. Dabei können Sie sich aber leicht einen Virus einfangen. Warum?

Viele Anbieter von Software-Downloads fianzieren ihr Angebot über Werbung. Das ist auch völlig legitim. Die Werbung wird über spezielle Dienstleister (z.B. Google, Rubicon, Valueclick) geschaltet. Da die Werbe-Diensteister die Möglichkeit nutzen, den Inhalt der Werbung an den Inhalt der Web-Seite thematisch anzugleichen, ist es für einen Werbekunden recht einfach auf einer legitimen Download Seite eine Werbeanzeige mit einem übergroßen Download-Button zu schalten.

Diese Möglichkeit wird von zwielichtigen Zeitgenossen (die Firmen Well Known Media/Filehippo und Piriform/CCleaner sind hier "Opfer" der Download-Button) auch genutzt, um Besucher der ansonsten seriösen Download-Seite zu verleiten, auf den falschen Button zu klicken. Und schon ist die Schadsoftware installiert.

Deshalb sollte ein Nutzer vor dem Klick auf einer Download-Seite sorgfältig schauen, ob er auch an der richtigen Stelle klickt. Und wenn der Download ein bischen zeitverzögert beginnt, ist Warten eine Tugend, denn der automatische Download sorgt dafür, dass die richtige Software auf dem eigenen Rechner landet.

Bundeskabinett beschliesst IT-Sicherheitsgesetz

Mittwoch 17 Dezember 2014   Kategorien: IT-Sicherheit   von Rainer W. Gerling

Das Bundeskabinet beschloss heute das umstrittene IT-Sicherheitsgesetz. Die Synopse (v3) wurde um diesen Beschluss erweitert.

Eine Synopse (v1) der beiden Entwürfe (18.8.14 und 6.11.14) zum IT-Sicherheitsgesetz sowie der derzeit geltene Fassungen der Gesetze (im Wesentlichen das BSI-Gesetz, das Telekommunikationsgesetz und das Telemediengesetz), die geändern werden sollen.

Mit dem BSI-Gesetz soll im Bereich der Kritischen Infrastruktur (das sind Wirtschaftsbereiche, die zum Funktionieren unserer Gesellschaft unerlässlich sind, also Strom, Gas, Wasser, Telekommunikation, Banken, Ernährung, Gesundheistversorgung usw.) die IT-Sicherheit erhöhen, um diese Bereich gegen Cyberangriffe zu härten. Leider verschiebt der Gesetzentwurf die genaue Definition der Kritischen Infrastruktur in eine Verordnung (§ 2 Abs. 10 Nr. 2 des BSIG-E), die wahrscheinlich erst nach dem Inkfrattreten des Gesetzes vorgelegt werden wird.

Die Kompetenzen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) als zentrale Meldestelle für IT-Sicherheitsvorfälle wird ausgebaut. Für die Meldepflicht zeigen sich in der Wirtschaft erhebliche Bedenken. Der Gesetzgeber täte gut daran hier einen "Rückkanal" zu eröffnen. Wer Vorfälle meldet, erwirbt auch einen Anspruch auf Lagebilder und Erkenntnisse, die auf Grund seiner Meldungen enstanden sind.

Unternehmen sollen Ansprechpartner als Kontaktstelle bei Sicherheitsproblemen (§8b Abs. 3 BSIG-E) schaffen. Dies ist extrem sinnvoll, wie jeder, der schon mal einem Unternehmen einen Sicherheitsvorfall mitteilen wollte, bestätigen kann.

Das BSI erhält auch das Recht Software zu untersuchen und Sicherheitslücken zu veröffentlichen (§7a BSIG-E).

Die Betreiber kritsicher Infrastukturen müssen angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse treffen und sich entsprechend auditiren lassen (§8a BSIG-E).

Die Sicherheit der privaten IT der Bundesbürger soll auch erhöht werden. Denn die Diensteanbiter (Provider) sollen die Nutzer darüber informieren, wenn Störungen von den Datenverrabeitungssystemen der Nutzer ausgehen. Soweit möglich sollen die Provider die Nutzer auf angemessene, wirk same und zugängliche technische Mittel hinzuweisen, mit denen die Nutzer diese Störungen erkennen und beseitigen können (§109a Abs. 4 TKG-E).

Update vom 6.2.2015

In der 930. Sitzung am 6.2.2015 hat der Bundesrat eine Stellungnahme zum IT-Sicherheitgesetz beschlossen. Die Synopse (v4) zum IT-Sicherheitsgesetz wurde entsprechend aktuallisiert.

Die Vorwürfe mit dem IT-Sicherheitsgesetz würde eine kleine Vorratsdatenspeicherung durch die Hintertür eingeführt, hat der BUndesrat aufgegriffen und gesagt: "Gemäß § 100 Absatz 1 TKG-E sollen Telekommunikationsanbieter die erweiterten Befugnisse erhalten, Nutzungsdaten 'zum Erkennen, Eingrenzen und Beseitigen von Störungen sowie von Missbrauch seiner für Zwecke seines Telemedienangebots genutzten technischen Einrichtungen' zu erheben und zu verwenden. Bei der damit eingeführten Speicherbefugnis handelt es sich im Kern um eine weitreichende Vorratsdatenspeicherung, für die unter anderem das Bundesverfassungsgericht und der Europäische Gerichtshof enge Grenzen gesetzt haben. Die im Gesetzentwurf vorgesehene Speicherung von Informationen führt im Kern zu keiner Verbesserung der Informationssicherheit, sondern könnte zu einer weiteren Gefahrenquelle werden."

IT-Sicherheit nervt ...

Dienstag 30 September 2014   Kategorien: Awareness, IT-Sicherheit, Physische Sicherheit   von Rainer W. Gerling

Haben Sie auch schon einmal Ihren Haustürschlüssel in der Wohnung vergessen? Das ist sehr ärgerlich und der Schlüsseldienst kostet richtig viel Geld. Was haben Sie daraus für Konsequenzen gezogen? Sie achten mehr auf Ihren Schlüssel. Den Gedanken das Schloss auszubauen, damit ein vergessener Schlüssel keinen Stress mehr macht, den haben Sie nicht gehabt; oder zumindest ganz schnell wieder verworfen. Der Schutz Ihrer Wohnung ist Ihnen wichtig. Und auf die Sicherheitsmaßnahme "Schloss" wollen Sie nicht verzichten, auch wenn es manchmal Nerven und Geld kostet.

Wenn Sie allerdings Ihr Passwort vergessen haben oder ein System Sie ausgesperrt hat, weil Sie einmal zu oft ein falsches Passwort eingegeben haben, dann kommt ganz schnell die Forderung nach einer Abschaffung der IT-Sicherheitsmaßnahme, weil sie nervt.

Der Schutz der Daten auf Ihrem privaten oder dienstlichen Rechner hat für Sie offensichtlich einen anderen Stellenwert, als der Schutz Ihrer Wohnung.

IT-Sicherheits-Maßnahmen sollen die Daten und Informationen – unabhängig davon, ob es Ihre eigenen oder fremde Daten sind, die auf den Rechnern gespeichert sind – schützen, genauso wie das Schloss in Ihrer Wohnungstür Ihren Besitz schützt. Während die Notwendigkeit des Schlosses eingesehen wird, fehlt es in der virtuellen Welt noch an der Erkenntnis, dass die virtuellen Schlösser auch notwendig sind. Auch wenn Sie manchmal Stress verursachen und nerven.