Top Thema
Abfragwürdig: Queryable Encryption wird praktikabel
Die meisten Evolutionsschritte in der Kryptographie haben nicht sofort nennenswerte Auswirkungen auf die Praxis. Schlimmstenfalls wird ein Verfahren oder ein Algorithmus durch einen neuen kryptoanalytischen Angriff unbrauchbar gemacht oder geschwächt. Aber dass neue Anwendungsfelder entstehen, geschieht nur etwa einmal im Jahrzehnt (z. B. in den 70er Jahren mit Public-Key-Kryptographie, in den 2000ern mit Blockchain oder in den 2010ern mit bestimmten quantensicheren Verfahren).
Jetzt könnte ein solcher Punkt wieder einmal erreicht sein: Mathematisch ist Queryable Encryption kein Hexenwerk. Verglichen mit ihrer großen Schwester könnte sie gar als geradezu trivial bezeichnet werden: Während homomorphe Verschlüsselung das Durchführen beliebiger Rechenoperationen auf verschlüsselten Daten ermöglicht, verspricht Queryable Encryption nur die Möglichkeit, bestimmte Operationen auszuführen, ohne die Daten zu entschlüsseln – im Wesentlichen eine (semantisch möglichst reichhaltige) Suche.
Das allein ermöglicht schon magisch klingende Anwendungsfälle: Der Cloud-Provider muss nicht mehr in unsere Daten hineinschauen. Das polizeiliche Informationssystem kann gewisse Recherchen durchführen, ohne den Inhalt der Datensätze kennenzulernen. Bestimmte bioinformatische Forschung kann auf verschlüsselten Genomen erfolgen. Die Kunst besteht jedoch darin, ein solches Kryptosystem zur Einsatzreife zu bringen.
Den Macherinnen und Machern der beliebten NoSQL-Datenbank MongoDB scheint es nun gelungen zu sein, Queryable Encryption in ihr Flaggschiff-Datenbank-Produkt Atlas einzubauen. Im aktuellen Preview ist zunächst nur die exakte Suche enthalten – das aber immerhin schon auf komplett randomisiert verschlüsselten Daten, krankte doch herkömmliche Client-Side-Verschlüsselung immer daran, dass nur deterministisch (immer gleich) verschlüsselt werden konnte, um die Daten wiederfinden zu können. Die Möglichkeit zur Suche nach Intervallen (Range) und Substrings soll in späteren Releases folgen.
Ob sich die Implementierung in MongoDB in der Praxis bewährt, wird sich erst noch zeigen. Als großer Schritt für die angewandte Kryptographie insgesamt darf das Feature aber durchaus schon gefeiert werden.
https://www.mongodb.com/blog/post/mongodb-releases-queryable-encryption-preview
Neuigkeiten
Sonnenstürme in den Wolken – Droht die Cloud-Komplexität zu eskalieren?
In nur sechs Monaten, von August 2021 bis Januar 2022, wurden acht kritische Schwachstellen bei großen Cloud-Anbietern entdeckt – davon sechs allein bei Azure und zwei bei AWS. Das ergibt zumindest die Auswertung des Security-Forschers Scott Piper, der eine umfassende Liste solcher Lücken pflegt. Da Schwachstellen in Infrastrukturen in der Regel keine CVE-Nummern erhalten und somit von den Herstellern oder den Entdeckerinnen und Entdeckern mit CVSS-Scores für die Kritikalität ausgewiesen werden, musste Piper die Einstufung dafür selbst vornehmen.
Zwar hatte "die Cloud" noch nicht ihren SolarWinds-Moment wie die Supply-Chain-Security im Dezember 2020, als über die Backdoor Solorigate/Sunburst in der Management-Software SolarWinds Orion sehr viele Firmen weltweit auf einmal akut betroffen waren. Doch zeigt die Aufstellung, dass es bereits diverse near misses gab, in denen großer Schaden hätte angerichtet werden können, wären Angreifer schneller als die Researcher gewesen.
Dass Microsofts Cloud-Dienst so stark überproportional betroffen ist, dürfte eher daran liegen, dass sich der Fokus der Sicherheitsforschung insbesondere auch auf Azure ausgeweitet hat, da sich die Plattform gerade im Business-Umfeld einen gewissen Marktanteil hat sichern können: Allein zwischen 2019 und 2021 legte Azure von 16,5 % auf 20,8 % zu, während Marktführer AWS bei rund 35 % verharrte.
www.protocol.com/enterprise/microsoft-azure-vulnerabilities-cloud-security (Beitrag offline)
No Claim to Blame: Cloud-Kunden-Fails
Übrigens patzen nicht nur die Cloud-Anbieter, sondern auch die Cloud-Kunden. Hier gibt es eine Liste von Customer-seitigen AWS-Fails zum Zweck des „blameless postmortems“ (zu Deutsch etwa Ursachenanalyse ohne Schuldzuweisung): https://github.com/ramimac/aws-customer-security-incidents
Uns blutet das Herz: Hertzbleed leakt Geheimnisse
Auch wenn es Mode geworden ist, verdienen nicht alle Schwachstellen einen albernen Namen und ein noch alberneres Logo. "Hertzbleed" hat beides – und das zurecht. So erlaubt doch diese neu entdeckte Side-Channel-Schwachstelle das Stehlen von Geheimnissen aus allen Intel- und vielen AMD-CPUs.
Hertzbleed nutzt dabei die Tatsache aus, dass moderne Prozessoren zum Performance-Gewinn ihre Taktfrequenz dynamisch hoch- oder herunterfahren. So kann über Timing-Unterschiede unter bestimmten Bedingungen etwa auf Krypto-Schlüssel zurückgeschlossen werden.
Standardmaßnahmen wie die Entwicklung von Krypto-Code als "Constant Time" helfen hier nicht, da der "Bug" ein Feature der Hardware ist. Intel und Co. planen zurzeit keinen Patch, sodass für jedes kritische Kryptosystem einzeln überprüft werden muss, ob es durch Hertzbleed angreifbar ist. Das generelle Abschalten des sogenannten Turbo Boost/Turbo Core empfiehlt sich aufgrund des empfindlichen Performance-Verlusts nicht.
ReinRaaSig : Ransomware as a Service in Azure
"Die Cloud" gilt gemeinhin als etwas Ransomware-sicherer als On-Prem-Infrastrukturen, allein schon, weil Backup und Restore häufig als native Operationen zur Verfügung stehen. Nun hat sich herausgestellt, dass bestimmte Sicherheitsfeatures der Cloud verwendet werden können, um Angreifern die erpresserische Verschlüsselung sogar zu erleichtern.
Mit Funktionen wie Auto Save lassen sich in M365 bzw. SharePoint Online eine bestimmte konfigurierbare Anzahl alter Versionen einer Datei behalten – zunächst einmal ein Sicherheitsgewinn. Und mit geeigneten Zugriffsrechten können Angreifer auch nicht direkt diese früheren Versionen manipulieren. Es genügt jedoch, wenn sie entweder eine große Anzahl verschlüsselter Versionen einer Datei erzeugen, um alle Versions-Slots zu überschreiben, oder aber das "Versionslimit" auf 1 setzen – dann genügen zwei Speichervorgänge, um alle unverschlüsselten Kopien zu tilgen.
Microsoft beteuert zwar, auch "überschriebene" Versionen seien innerhalb von 14 Tagen mithilfe des Supports wiederherstellbar, dies konnte jedoch in der Praxis nicht bestätigt werden.
https://securityaffairs.co/wordpress/132353/hacking/microsoft-365-feature-ransomware.html
Elasticheimsuch: NoSQL-Datenbanken geransomed
Ransomware muss nicht unbedingt Clients oder Infrastrukturen befallen. Datenbanken können auch direkt heimgesucht werden, so wie im Fall von mindestens 1.200 Elasticsearch-Instanzen. Angreifer hatten über eine unsichere Konfiguration der Authentifizierung die Daten durch Erpresserbriefe ersetzt.
Elasticsearch ist nicht die erste „next generation“-Datenbank, die auf solche Weise heimgesucht wird. 2020 stellten Sicherheitsforschende fest, dass in ca. der Hälfte der damals exponierten MongoDB-Instanzen ebenfalls der Inhalt durch eine ähnliche Ransom-Note ersetzt worden war.
https://www.secureworks.com/blog/unsecured-elasticsearch-data-replaced-with-ransom-note
Angriff erkannt, Angriff gebannt? KRITIS-Orientierungshilfe zur Angriffserkennung
Nachdem das IT-Sicherheitsgesetz 2.0 insbesondere beim Thema Angriffserkennung den betroffenen Unternehmen neue Anforderungen bescherte, hat nun das BSI die einschlägige "Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung" als Community Draft veröffentlicht.
Sie beschreibt Anforderungen an KRITIS- und Energieanlagen-Betreiber sowie prüfende Stellen.
Der Community Draft kann noch bis zum 8. Juli 2022 kommentiert werden.
Community Draft: https://www.bsi.bund.de/DE/Service-Navi/Presse/Alle-Meldungen-News/Meldungen/Orientierungshilfe_Angriffserkennung_220613.html
Darstellung des Inhalts: https://www.openkritis.de/massnahmen/angriffserkennung_kritis_siem_soc.html#orientierungshilfe
Kein LAPSus: LAPS wird nativ auf Windows
Die bei auf Security bedachten Admins beliebte Local Administrator Password Solution (LAPS) von Microsoft musste bisher als zusätzliches Dienstprogramm installiert werden. Mit der neuen Windows 11 Preview wird LAPS nun zum nativen Bestandteil des Betriebssystems. LAPS macht es deutlich leichter, die lokalen Account-Passwörter auf domänenverbundenen Computern sicher zu verwalten. Die Ausweitung auf Azure AD ist ebenfalls bereits angekündigt.
Lesetipps
Abhängig
Der „Dependency Graph“ beschreibt alle unsere Abhängigkeiten – zumindest was unsere Software betrifft.
https://docs.github.com/en/code-security/supply-chain-security/understanding-your-software-supply-chain/about-the-dependency-graph
Wissbegierig
Nick Jones, Cloud Security Specialist bei WithSecure (bis vor Kurzem als F-Secure Business bekannt) weiß, welches Wissen sein Feld benötigt.
https://www.nojones.net/posts/breaking-into-cloudsec
Eingebettet
Cory Doctorow kennt alle Tricks, mit denen Backdoors in KI-Modelle eingeschleust werden können.
https://doctorow.medium.com/undetectable-backdoors-for-machine-learning-models-8df33d92da30
Der nächste HiSolutions Cybersecurity Digest erscheint nach der Sommerpause Ende August 2022.
Lesen Sie hier auch alle HiSolutions Cybersecurity Digests der letzten Monate.
Kontaktieren Sie uns gern mit Rückfragen und Anregungen!