Liebe Leserinnen, liebe Leser,
wollen Sie wissen, wenn es eine Sicherheitslücke bei Ihnen gibt? Der Weg dahin kann schwierig sein. Im Top Thema schauen wir uns daher die Fallstricke des Coordinated Vulnerability Disclosures (CVD) – auch Responsible Disclosure genannt – an und greifen den Faden auch bei einigen der anderen Themen dieser Ausgabe wieder auf:
Wir wünschen Ihnen viel Spaß beim Lesen. Wie immer ist Ihr Feedback herzlich willkommen.
Mit besten Grüßen
Jörg Schneider
Im letzten Monat gab es verschiedene Meldungen über den Umgang mit Sicherheitslücken, die von Externen gefunden wurden. Grundsätzlich ist es immer gut, wenn Menschen, die Sicherheitslücken finden, diese nicht für sich behalten oder gar meistbietend an Angreifergruppen verkaufen.
In der Theorie gibt es für die Meldewege und die Reaktion inzwischen einen ISO-Standard sowie Empfehlungen des BSI und der Allianz für Cybersecurity. In der Praxis hakt es gern mal, wie ein paar aktuelle Fälle zeigen.
Wenn es um Sicherheitslücken geht, sind immer mindestens die folgenden Parteien involviert: Der Entdecker der Lücke, der Hersteller des betroffenen Systems und diejenigen, die das System einsetzen. Dazu können noch Wiederverkäufer, Vermittler wie ein CERT und weitere Parteien kommen. Um sicherzugehen, dass man tatsächlich über die gleiche Lücke spricht, hat man daher 1999 angefangen, Sicherheitslücken mit einer CVE-Nummer zu versehen. In diesem Zusammenhang wird meist auch die amerikanische Lückendatenbank NVD (National Vulnerability Database) erwähnt. Datenbanken wie diese, die zu den CVE-Nummern die passenden Metadaten, Risikobewertungen und Links zusammentragen, gibt es mehrere. Die NVD ist jedoch häufig die erste Wahl und wird auch von vielen Programmen als Datenbasis verwendet. Wir haben in den letzten Jahren bereits deutliche Verzögerungen bei der Vergabe von CVE-Nummern erlebt. Das ist aber nichts im Vergleich zu den Verzögerungen in der NVD, die ab Februar 2024 kaum noch neue Beiträge veröffentlicht hat. Im Mai wurde nach Protesten vom Betreiber ein Dienstleister beauftragt, um den Rückstau abzuarbeiten.
In der Beziehung zwischen Entdecker der Lücke und Hersteller werden nicht selten dem Entdecker böse Absichten unterstellt und gelegentlich auch zivil- oder strafrechtliche Schritte angedroht. Im Zuge des aktuellen Sicherheitsvorfalls bei der CDU verwiesen daher auch mehrere Forschende auf einen älteren Vorfall bei der Wahlkampf-App der CDU, bei dem die Entdeckerin Lilith Wittmann von der CDU angezeigt wurde. Mehrere Forschende und der CCC hatten daraufhin angekündigt, keine Sicherheitslücken mehr an die Partei zu melden. Ob der aktuelle Vorfall andernfalls früher hätte erkannt oder gar vermieden werden können, ist offen, aber der Fall zeigt sehr deutlich den Konflikt, in dem die Entdeckenden sich befinden. Der Koalitionsvertrag sieht bereits eine Verbesserung der rechtlichen Lage vor. Auf die Umsetzung wurde von mehreren Seiten in den letzten Wochen gedrängt.
Offizielle Bug-Bounty-Programme, also strukturierte Angebote der Hersteller, für gemeldete Sicherheitslücken Geld auszuzahlen, sind ebenso eine Möglichkeit, dem Ganzen einen rechtlichen Rahmen zu geben. Während einige Entdecker diese Programme als gute Gelegenheit für ein Einkommen sehen, wehren sich andere dagegen, in solch ein Programm gedrängt zu werden. Sie sehen sich durch die Vertragsbedingungen, vor allem durch die Verschwiegenheitsklauseln, zu stark eingeschränkt. Außerdem schwingt hierbei das Misstrauen aufseiten des Entdeckers mit, dass das Bug Bounty eher ein Schweigegeld ist und der Hersteller die Problembehebung anschließend beliebig hinauszögern kann.
Aber auch die Entdecker agieren nicht immer verantwortungsvoll. Ein drastisches Beispiel erlebte die Kryptobörse Kraken. Eine Gruppe meldete erst über das bestehende Bug-Bounty-Programm eine Lücke, um diese kurz danach selbst auszunutzen und sich fast 3 Millionen Dollar auszuzahlen. Das Geld wollten sie nur dann zurückzahlen, wenn sie eine angemessene Aufwandsentschädigung erhielten. Unsere Kunden berichten auch von Fällen, bei denen sich vorgebliche Sicherheitsforschende melden, die angeblich identifizierte Lücken und die Details nur gegen Vorauszahlungen preisgeben. Einige Ransomware-Gruppen nennen ihre Lösegeldforderung jetzt sogar „Pentest with Post Payment“.
Insgesamt ist das „richtige“ Lückenmelden ein komplexes Feld, das aber sehr zentral für das Risikomanagement ist.
Wie sollte man es machen?
NVD – aktueller Status: https://nvd.nist.gov/general/news/nvd-program-transition-announcement
Rechtliche Situation in Deutschland
Unverantwortliche Entdecker:
Passend zum Top-Thema schauen wir uns jetzt eine ungewollte Veröffentlichung an, die passenderweise über die legendäre Full-Disclosure-Mailingliste bekannt gemacht wurde.
Ausgangspunkt war ein Forumsbeitrag, in dem mutmaßlich ein Microsoft-Mitarbeitender über einen Absturz berichtete und einen Crashdump anhängte. Crashdumps sind sehr hilfreich, um Abstürze zu rekonstruieren. Da man im Fehlerfall nicht weiß, was der Auslöser war, werden in den Crashdumps in der Regel recht großzügig Ausschnitte aus dem Hauptspeicher und andere Zustandsinformationen abgespeichert. Mit dieser Menge an Informationen kann ein Entwickelnder nicht nur den Zustand des Programms selbst, sondern auch mögliche Wechselwirkungen einsehen.
In diesem Fall wurde der Crashdump auf einem Entwickler-PC erstellt, auf dem auch mit Microsofts DRM-Lösung PlayReady gearbeitet wurde. Die notwendigen Konfigurationen und Quelldateien waren also vorhanden und – da kürzlich damit gearbeitet wurde – auch so geladen, dass sie im Crashdump mitgeliefert wurden. Der Crashdump enthielt damit alles Nötige, um den Kopierschutz selbst zu übersetzen. Da solche DRM-Lösungen das Brechen des Kopierschutzes primär durch Verschleierungen verzögern, war das ein schwerer Verlust.
Dass diese Daten sich so leicht rekonstruieren ließen, war dem Fragenden vermutlich nicht bewusst, obwohl die Forumsregeln explizit auf das Risiko hinweisen. Doch man braucht nicht erst auf solch technische Datenformate wie Crashdumps schauen – Ähnliches passiert auch regelmäßig mit Änderungsinformationen in Word-Dokumenten oder, wie letztes Jahr publik wurde, bei unvollständig abgeschnittenen Bildern.
https://seclists.org/fulldisclosure/2024/Jun/7
https://research.hisolutions.com/2023/04/cropocalypse-wenn-wegschneiden-nicht-wegschneiden-ist/
Ein erschreckendes Beispiel für einen KI-Fehler gab es kürzlich in Kanada. Ein Mann hatte Probleme mit dem Übertragen seiner Facebook-App auf ein neues Telefon und suchte nach Hilfe. Facebook bietet dort keinen telefonischen Support an, aber er fand trotzdem eine angebliche Facebook-Nummer. Wie in allen Awareness-Trainings immer gelehrt wird, wollte er die Nummer aber zuerst verifizieren. Also fragte er den Meta-AI-Chatbot und dieser bestätigte die Echtheit der Nummer. So rief er vertrauensvoll dort an. Das Resultat: Die Betrüger brachten ihn dazu, ihnen Zugriff auf sein Handy zu gewähren, und konnten so auf seine Kosten PayPal-Guthaben und Bitcoins erwerben.
"Beispiele wie diese zeigen uns, dass sich mittlerweile beim Einsatz von KI-Tools ganz neue Sicherheitsdimensionen ergeben. Die bekannten Begriffe „Safety“ und „Security“ müssen für den Einsatz von KI erweitert werden. Gerade bei der KI-Safety geht es nicht nur um klassische Maschinen, die Menschen körperlich wehtun können, sondern auch um andere negative Auswirkungen der KI auf die Gesellschaft und die Menschen.
Mein Kollege Constantin Kirsch hat diese Aspekte in einem neuen Blogpost ausführlich dargelegt.
https://research.hisolutions.com/2024/06/ai-security-und-ai-safety/
https://www.cbc.ca/news/canada/manitoba/facebook-customer-support-scam-1.7219581
Ein Cyberschaden kann viele Auswirkungen haben. Zwei ungewöhnliche Reaktionen möchte ich Ihnen kurz vorstellen.
Fangen wir mit einer negativen Auswirkung an: Nach einem Vorfall wollte eine betroffene Firma den Schaden bei ihrer Versicherung geltend machen. Diese stellte dabei fest, dass beim Abschluss der Versicherung ein Risikofragebogen falsch ausgefüllt wurde, und bestritt daher die Gültigkeit des Vertrags. Das Landgericht Kiel gab jetzt der Versicherung recht. Im konkreten Fall gab es aber eine große Diskrepanz zwischen einem ohne Nachfrage und Recherche angekreuzten „Ja, wir machen Updates“ und der tatsächlichen Praxis. In anderen Fällen, in denen beispielsweise fehlende Patches nicht direkt mit dem Vorfall im Zusammenhang standen, wurde zugunsten der Versicherten geurteilt.
Es kann jedoch auch ungewöhnliche positive Auswirkungen geben: Der Radiosender DONAU 3 FM wurde Opfer eines Ransomware-Angriffs und bekam jetzt eine Auszeichnung in diesem Zusammenhang. Die Bayerische Landeszentrale für neue Medien vergab ihren Hörfunkpreis 2024 in der Kategorie Moderation an das Team, das während der Schadensbeseitigung den Radiobetrieb aufrechterhielt. Dass ein Notbetrieb häufig kreative Lösungen erfordert, erleben wir auch bei den von uns begleiteten Vorfällen. Beim Radiosender wurde auf den vorbereiteten Notfallprozess zurückgegriffen und auf CD-Player und analoges Mischpult umgestellt – und was es nicht auf CD gab, wurde von den Moderatoren live gesungen.
Zu nicht-zahlenden und zahlenden Versicherungen
Zum prämierten Radiosender
Bei unseren Einsätzen, in denen wir Kunden bei Sicherheitsvorfällen begleiten, erfahren wir auch viel über typische Vorgehensweisen von Angreifenden. Diese sogenannte Threat Intelligence kann sehr hilfreich sein, wenn wir bei weiteren Vorfällen auf die gleiche Angreifergruppe oder die gleichen Angriffstools stoßen. Um die Datenbasis für die Threat Intelligence zu vergrößern, tauschen wir uns auch mit Partnern aus.
Nun gehen wir noch einen Schritt weiter und veröffentlichen anonymisierte Erkenntnisse zu besonders häufigen Vorfällen auch in unserem Blog. Die Beiträge richten sich an Vorfallexpertinnen und -experten, die ähnliche Spuren gefunden haben und dann mit unserer Analyse weitere Anhaltspunkte erhalten, in welche Richtung sich eine vertiefende Suche lohnt. Sie sollen auch den Abgleich mit eigenen Erfahrungen anderer Teams ermöglichen.
Den Anfang macht unser Beitrag zum Fernsteuerungstool (remote access tool, RAT) CSHARP-STREAMER.
https://research.hisolutions.com/2024/06/how-to-detect-the-modular-rat-csharp-streamer/
Forschende der TU Graz haben einen spannenden Aufbau entwickelt, um herauszufinden, auf welchen Webseiten ein Nutzer surft. Dafür reicht ihnen ein offener Browser-Tab, in dem ein Bild sehr langsam vor sich hin lädt.
Das Szenario setzt voraus, dass der Angreifende es geschafft hat, das Opfer auf eine Webseite zu locken, und dass diese Seite in einem Browser-Tab weiterhin offen ist. Grundsätzlich sorgt der Browser wirksam dafür, dass ein Tab nichts von den Inhalten der anderen erfahren kann. Bei dem Angriff wird jedoch ausgenutzt, dass die Kommunikation zu den verschiedenen Webseiten durch den gemeinsam genutzten Internetzugang verläuft und sich dort die Bandbreite teilen muss. Die Forschenden haben jetzt einen Server so aufgesetzt, dass er sehr langsam ein Bild ausliefert und dabei genau beobachtet, wie schnell die Fragmente ausgeliefert werden können. Damit kann das Lastprofil des Internetzugangs des Opfers so gut rekonstruiert werden, dass typische Muster von populären Webseiten wiedererkannt werden können.
Zur besseren Veranschaulichung lohnt sich ein Blick auf die Beispielwebseite mit einer gelungenen Erläuterung und Demonstration. Außerdem haben die Forschenden die Latte für das Marketing zukünftiger Sicherheitslücken noch einmal etwas höher gehängt: Die Lücke hat nicht nur ein Logo, einen prägnanten Namen und eine Webseite, sondern auch noch ein Musikvideo.
Der nächste HiSolutions Cybersecurity Digest erscheint Mitte August 2024.
Lesen Sie hier auch alle HiSolutions Cybersecurity Digests der letzten Monate.
Kontaktieren Sie uns gern mit Rückfragen und Anregungen!