HiSolutions Cybersecurity Digest November 2022 veröffentlicht

Compliance-Bingo und Checklisten-Fetisch? Die Suche nach nachhaltiger Security

Hundertprozentige Security gibt es nicht, wie wir alle wissen. Daher macht es wenig Sinn, Vorfälle zu zählen, um den Erfolg eines Security-Programms zu bewerten. Woher weiß ich aber sonst, ob ich auf dem richtigen Weg bin?

Eine gleichzeitig schwammige und konkrete Antwort darauf, was umzusetzen ist, gibt der Begriff „Stand der Technik“. Zwar gibt es keine objektiven harten Vorgaben in Bezug auf Ziele, Tools oder Technologien, wenn ich allerdings etwa meine, ohne Authentifizierung oder Backup auszukommen, sollte ich gute Argumente haben, wenn etwas anbrennt.

Das kann so weit gehen, dass Konzerne viele Security-Funktionen im Wesentlichen deswegen im Einsatz haben, um sich moralisch abzusichern, falls etwas schiefgeht: „Erst wenn du den Gartner Hype Cycle einmal rauf- und runtergekauft hast, sind du und dein Job auf der sicheren Seite.“

Darüber hinaus stellt sich aber auch die Frage, wie die Umsetzung geschehen soll, also welche Qualität und Intensität ausreichend ist. Das Zauberwort hier ist „Sorgfaltspflicht“ (Englisch „Due Diligence“) – und die sollte ich im Notfall nachweisen können.

Um auch langfristig in Bezug auf die Security voranzukommen, innerhalb einer Organisation wie auch gesamtgesellschaftlich, braucht es allerdings noch ein drittes Prinzip: Das Ganze kann nicht funktionieren, wenn wir dauerhaft technische Schulden anhäufen. Zwar wissen wir heute nicht, welche kritischen Schwachstellen in nächster Zeit auftauchen. Aber solange wir immer mehr technische Altlasten sammeln, wächst das Risiko, dass uns eine davon kalt erwischt.

https://www.heise.de/meinung/Kommentar-Angriffe-lassen-sich-nicht-vermeiden-uebernehmt-die-Verantwortung-7328918.html

Ein Post-Quäntchen für alle: Erstes Postquantenverfahren im Großeinsatz

Noch immer ist nicht geklärt, wann Quantencomputer einen Großteil der heute verwendeten Kryptografie obsolet machen. Sehr wahrscheinlich ist, dass wir unsere Algorithmen und Verfahren mittelfristig austauschen müssen, um nicht von der „Kryptokalypse“ überrascht zu werden.

Bisher hat es nur viele kleinere und einige wenige größere Experimente gegeben, um Post-Quanten-Kryptografie (PQC) in freier Wildbahn zu testen. Diese waren jedoch alle zeitlich begrenzt.

Mit der Beendigung der dritten Runde im Standardisierungsprozess des NIST im Juli hatten allerdings bei einigen großen Anbietern fieberhafte Arbeiten eingesetzt, erste „quantensichere“ Produkte und Dienstleistungen auf den Markt zu bringen.

Cloudflare etwa bietet ab heute standardmäßig ein aktiviertes hybrides PQC Key Agreement in TLS 1.3 an. Die dort ausgehandelten Schlüssel werden sowohl durch ein neues quantensicheres Verfahren als auch durch ein klassisches Verfahren geschützt, falls der PQC-Algorithmus doch zuerst gebrochen werden sollte.

Auch IBM, Google und AWS sind dabei, erste hybride Komponenten in ihren Angeboten einzuführen.

https://blog.cloudflare.com/post-quantum-for-all/

Caught in the Act of Product Security: EU Cyber Resilience Act

Berichtigung: In unserem letzten Digest hatten wir berichtet, der EU Cyber Resilience Act sei noch durch die Mitgliedstaaten in nationales Recht umzusetzen. Tatsächlich treten seine Vorschriften nach Verabschiedung durch Rat und Parlament unmittelbar in Kraft. Wirtschaftsteilnehmer und Mitgliedstaaten haben dann zwei Jahre Zeit, sich auf die neuen Anforderungen einzustellen. Die Meldepflicht für aktiv ausgenutzte Schwachstellen und Vorfälle soll sogar schon nach einem Jahr gelten.

https://research.hisolutions.com/2022/10/caught-in-the-act-of-product-security-eu-cyber-resilience-act/

Keine Faulheit vor-schützen: Fault Tolerance in der Cloud

„Fault Tolerance“, also Ausfallsicherheit auch beim Versagen einer definierten Anzahl beliebiger Komponenten, ist ein Schlagwort, das schnell gesagt und versprochen ist. Dabei steigt die Komplexität, welche Abhängigkeiten und Pfade zu beachten sind, bei großen verteilten Systemen schnell sprunghaft an.

Gerade Cloud-Anbieter müssen Redundanzen auf sehr vielen Ebenen vorhalten, um das Gesamtsystem in einer Vielzahl von Fehlerzuständen funktionsfähig zu halten. Aber auch Cloud-Kunden können vieles falsch machen in der Architektur und Konfiguration und sich so unnötige „Single Points of Failure“ bauen.

Amazon Web Services hat nun in einem 30-seitigen Whitepaper, das etwas technisch als „AWS Fault Isolation Boundaries" betitelt ist, dargelegt, auf welche Arten welche Layer von AWS in sich zusammenfallen können, und welche architektonischen Ansätze dagegen helfen können.

https://docs.aws.amazon.com/whitepapers/latest/aws-fault-isolation-boundaries/abstract-and-introduction.html

Kobold-Streik & Co. – Jahrmarkt der C2-Frameworks

Command-and-Control-Frameworks haben sich längst zu einem zentralen Bestandteil des Werkzeugkastens für Security-Assessments entwickelt. Diese Tools dienen dazu, bei Pentests oder Red Teaming Zugriff auf kompromittierte Maschinen zu halten, zu steuern und weiter auszunutzen.

Vom Marketing her auf „Adversary Emulation“ zielend, also das gutartige Simulieren böser Angreifer, werden die Frameworks auch in vielen echten Angriffen verwendet. Ob für die Verteidigung oder zur Detektion – es lohnt sich, die Tools zu kennen.

Die beliebte Seite „The C2 Matrix“ stellt die verschiedenen Frameworks mit ihren Fähigkeiten sowie Vor- und Nachteilen gegenüber.

https://www.thec2matrix.com/

Protoproll: BGP schwächt andere Protokolle

IT-Sicherheitsforschung bezieht sich häufig auf Protokolle der Anwendungs- oder vielleicht noch der Transportschicht. Seltener gibt es neue Forschung zu Angriffen auf der Netzwerkschicht oder darunter. Und ein Buch mit sieben Siegeln stellen für viele die Protokolle dar, die das Internet an sich zusammenhalten – allen voran BGP, das Border Gateway Protocol. Dieses organisiert das Routing zwischen den verschiedenen autonomen Systemen, aus denen das Internet besteht.

Dass BGP an sich Schwachstellen hat und angreifbar ist, ist seit Langem bekannt und wird immer wieder mal zum Thema, wenn Routen zeitweise bösartig umgeleitet werden. Ein tieferliegendes Problem hat jedoch bisher zu wenig Beachtung erfahren: Durch Missbrauch von BGP und seiner Schwachstellen können Sicherheitsgarantien anderer Protokollschichten ausgehebelt werden.

Ein aktueller Report der Broadband Internet Technical Advisory Group beschreibt detailliert, welche Angriffsvektoren auf BGP existieren und wie BGP eingesetzt werden kann, um insbesondere HTTPS zu hintergehen.

https://www.bitag.org/documents/BITAG_Routing_Security.pdf

Ransom Wer? Von Cyberangriffen betroffene Unternehmen 2022

Jedes Jahr steigt die Anzahl der Organisationen, die von einer Ransomware-Attacke oder einem ähnlich ernsten Cyberangriff betroffen sind – und es ist schwer, den Überblick zu behalten, zumal die Dunkelziffer hoch ist.

Für 2022 hat die Online-Zeitschrift CSO den Versuch unternommen, die bekannten Fälle zusammenzutragen.

Die stetig aktualisierte Liste umfasst bereits über 60 Einträge allein deutscher Unternehmen.

https://www.csoonline.com/de/a/diese-unternehmen-hat-s-schon-erwischt,3674038

Dümmetrisch: Ransomware patzt beim Verschlüsseln

Auch bei der Entwicklung von Schadsoftware wird nur mit Wasser gekocht und mit dem Fachkräftemangel gekämpft. Insbesondere bei der Nutzung von Kryptografie – bei Ransomware prinzipbedingt ein Kernbestandteil der Funktionalität – ist es leicht, sich selbst in den Fuß zu schießen.

Besonders schön versemmelt hat es eine Malware, die den Mitarbeitenden des Schweizer Unternehmens Compass Security vor die Flinte kam: Die Verschlüsselung wurde nicht nur mit dem symmetrischen Verfahren AES vorgenommen. Zusätzlich war der Entschlüsselungsschlüssel, der identisch zum Verschlüsselungsschlüssel ist, aus der für den jeweiligen Angriff generierten „Attack ID“ direkt ableitbar. Damit wurde die Entschlüsselung, nachdem das Prinzip einmal durchschaut war, zur trivialen Aufgabe.

https://blog.compass-security.com/2022/11/a-symmetric-cipher-ransomware-yes/

Fediverse

Während Twitter auch als virtuelles Austausch-Forum über Informationssicherheit unter der Übernahme durch Elon Musk ächzt und einen Massenexodus von Usern erleidet, sammeln sich Mitglieder der Cybersecurity-Community auf anderen Plattformen. Viele große und kleine „Thought Leaders“ sind nun auf dem dezentralen Microblogging-Dienst Mastodon zu finden, etwa auf der Instanz infosec.social. Grundsätzlich kann aber ein Account auf jeder Instanz angelegt werden, da diese in der Regel miteinander föderiert sind.

Hier eine Kurzanleitung zu Mastodon: https://hopidd.de/mastodon

 

Know-how to binge

Auf unserem YouTube-Kanal finden sich neben den Aufzeichnungen der Vorträge aus unserem Format „Know-how to go“ auch eine Reihe von „One minute stories“ mit persönlichen Einblicken in das Arbeiten bei HiSolutions.

https://www.youtube.com/channel/UCpDelESps419dxeSgn3vLRQ

 

Der nächste HiSolutions Cybersecurity Digest erscheint Ende Januar 2023

Jetzt abonnieren!

Lesen Sie hier auch alle HiSolutions Cybersecurity Digests der letzten Monate.

Kontaktieren Sie uns gern mit Rückfragen und Anregungen!

Jetzt teilen: