HiSolutions Cybersecurity Digest Juni 2024

 

SYN, liebe Leserin, lieber Leser,

kommt Ihnen die ungewöhnliche Begrüßung bekannt vor? Wenn man sich mit Computernetzwerken beschäftigt, stolpert man irgendwann auch über den Drei-Wege-Handshake von TCP. Und dieses TCP hatte im Mai Geburtstag – also feiern wir mit im Top-Thema.

Die Themen dieser Ausgabe sind:

  • Happy Birthday SYN, ACK!
  • Was ist echt? Was ist falsch?
  • DORA kommt und BAIT geht
  • BMI veröffentlicht Security-Scanner als Open Source
  • Mehr Bänder, mehr Back-ups!
  • Wenn der Dienstleister des Dienstleisters die Daten verliert
  • Seitenkanal des Monats: Laser, die auf Bits schießen

Wir wünschen Ihnen viel Spaß beim Lesen. Wie immer ist Ihr Feedback herzlich willkommen. Aber schicken Sie uns auch gern ein kurzes „SYN ACK“, wenn wir mit unseren Themen noch synchron sind.

Mit besten Grüßen
Jörg Schneider

Happy Birthday SYN, ACK!

Vor mehr als 50 Jahren fanden sich die ersten Computer zu Netzwerken zusammen. Damit kam auch schnell der Wunsch auf, die Grenzen dieser Netzwerke zu überschreiten und zwischen Netzwerken kommunizieren zu können – das Internetworking war erfunden. Wie immer in Pionierzeiten gab es viele verschiedene Ansätze. Die heute in Lehrbüchern so harmonisch nebeneinander dargestellten Ansätze des ISO-OSI-Schichtenmodells und von TCP/IP sind die wohl bekanntesten Konkurrenten jener Zeit. Sie führten sogar zu den transatlantischen „Protocol Wars“, die defacto von TCP/IP gewonnen wurden.

Als erstes Lebenszeichen von TCP/IP kann man die Mai-Ausgabe der „IEEE Transactions on Communications“ im Jahr 1974 annehmen, in der die beiden Protokolle und ihr Zusammenspiel in einem Artikel von Vinton Cerf und Robert Kahn eingeführt wurden. Daher feierte die IEEE auch jetzt am 19. Mai und nannte die Festivität ganz unbescheiden „den 50. Geburtstag des Internets“.

Wie in der Wissenschaft üblich, war aber nicht alles komplett neu oder bereits einsatzbereit, sondern basierte teilweise auf Vorarbeiten von Kollegen und wurde dann weiter verfeinert. So findet sich in dem Artikel bereits eine Skizze für den Handshake zum Verbindungsstart. Der ikonische Drei-Wege-Handshake mit „SYN, SYN ACK, ACK“ wurde aber erst kurz danach von Ray Tomlinson ergänzt, damals noch mit leicht erratbaren, zeitbasierten Initialwerten für die Sequenznummern, die dann später durch Zufallszahlen ersetzen wurden. Und so ist das Protokoll nicht nur robust gegen Ausfälle (das Ziel der frühen Internetworker), sondern auch heute noch gut gewappnet gegen Angreifer, die sich in die Verbindung einschleichen wollen.

Ein weiterer Vorteil der Schichtenmodelle ist, dass der Programmierer die Details der unteren Schichten nicht kennen muss, und dass sich die Protokollschichten um die gesamte Unbill komplexer Netzwerke kümmern. Das hat sicher auch dazu beigetragen, dass schnell viele TCP/IP-basierte Anwendungen entstanden und heute noch entstehen. Zu viel Abstraktion kann aber auch hinderlich sein. Daher wechselte das Protokollschwergewicht HTTP gerade vom Geburtstagkind TCP zum neueren QUIC als Grundlage – unter anderem, um mehr Einfluss auf die Flusskontrolle zu haben und den Verbindungsaufbau zu beschleunigen.

Video der Geburtstagsfeier: https://ieeetv.ieee.org/video/our-virtual-celebration-of-50-years-of-the-internet-an-ieee-milestone-event

Der ursprüngliche Artikel von 1974, leider nur über gut sortierte wissenschaftliche Bibliotheken lesbar: https://ieeexplore.ieee.org/document/1092259

Öffentlicher RFC, etwas später im Jahr 1974 veröffentlicht: https://datatracker.ietf.org/doc/html/rfc675

 

Was ist echt? Was ist falsch?

Die folgende Geschichte klingt erst mal wenig passend für unseren Digest: Bei eBay wurde der Firmenausweis der Apple-Mitarbeiterin Nummer 10 zum Verkauf angeboten. Der Zugang zum heutigen Hauptsitz Apple Park ist damit wohl kaum möglich, aber für Sammler sind solche Originale sehr wertvoll. Aber stand dort wirklich ein Original zum Verkauf? Cabel Sasser, der sich öfter mit der Aufdeckung von gefälschten Erinnerungsstücken beschäftigt, stellte sich und später auch dem Verkäufer diese Frage. 

Vermutlich ahnen Sie schon die Antwort, daher nehmen wir uns ein Artefakt der Unterhaltung heraus: eine deutsche Rechnung, mit der der Verkäufer die Provenienz beweisen wollte. Werfen Sie doch mal einen Blick auf die Rechnung und zählen Sie, wie viele Dinge Ihnen auffallen, die komplett falsch sind oder die Sie so nicht auf einer Rechnung des DRK erwarten würden. Da kommt einiges zusammen, aber lassen Sie uns gleich noch den Spieß umdrehen: Wie viele der Fehler haben Sie schon auf einer regulären privaten oder beruflichen Rechnung gesehen? Sicherlich nicht so geballt wie hier, aber einzeln passiert das schon mal. 

Die Erkennung von gefälschten Nachrichten und Rechnungen bleibt ein schwieriges Feld – womit wir wieder bei unserem Thema Sicherheit und Prävention von Phishing und CEO-Fraud sind. Vielleicht können Sie besagte Rechnung auch gut als Aufhänger für die nächste Diskussion zur Awareness nutzen.

Zum Bild der gefälschten Rechnung: https://cabel.com/2024/05/16/the-forged-apple-employee-badge/#jp-carousel-4219

Der Blogartikel mit mehr Kontext und der Auflösung: https://cabel.com/2024/05/16/the-forged-apple-employee-badge/

 

DORA kommt und BAIT geht

Regulatorische Vorgaben zum Umgang mit IT-Risiken helfen, branchenweit ein gleiches Mindestmaß herbeizuführen. Aber dabei kann auch schnell ein „Zuviel“ an konkurrierenden Vorgaben entstehen. Daher ging ein Aufatmen durch die Finanzbranche, als die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) in ihrem Juni-Rundschreiben ankündigte, dass mit dem Inkrafttreten der europäischen DORA-Verordnung Anfang nächsten Jahres die bisherigen Regeln der BAIT auslaufen.

Wer bisher bereits die nationalen Regeln der BaFin umgesetzt hat, setzt damit auch schon einen guten Teil der DORA-Anforderungen um. Aber es gibt Abweichungen im Detail und gänzlich neue Themen. Im Bereich des Outsourcings gibt es beispielsweise neue Anforderungen an das Notfallmanagement der Dienstleister und zu Exit-Strategien, falls es bei einem Dienstleister zu Problemen kommen sollte. Auch die Vorgaben zu Schulungen und Übungen sind strenger als zuvor. Was unsere Kollegen bei Kunden auch beobachten, ist die Unsicherheit darüber, wie einzelne Regeln konkret ausgelegt werden sollen. Es ist also noch einiges zu tun, um bis zum Inkrafttreten am 17.01.2025 alles umgesetzt zu haben. HiSolutions begleitet Sie gerne dabei, Ihre Sicherheitsdisziplinen auf das DORA-Level zu heben und effizient miteinander zu verzahnen.

Informationen zu DORA: https://www.bafin.de/DE/Aufsicht/DORA/DORA_node.html

Juni-Rundschreiben der BaFin: https://www.bafin.de/SharedDocs/Downloads/DE/Rundschreiben/dl_2024-05-29_MaRisk_Anschreiben_an_die_Verbaende_pdf_BA.pdf

Zum DORA-Beratungsangebot von HiSolutions: https://www.hisolutions.com/dora

 

BMI veröffentlicht Security Scanner als Open Source

Durch die Veröffentlichung eines Security Scanners als Open-Source-Software möchte das Bundesinnenministerium (BMI) Dienstleistungen nach dem Gesetz zur Verbesserung des Onlinezugangs zu Verwaltungsleistungen (Onlinezugangsgesetz, OZG) in Zukunft sicherer machen.

Mit dem „Best Practice Scanner“ zielt das BMI auch darauf ab, für das Thema Sicherheit in der Verwaltung insgesamt die Werbetrommel zu rühren, etwa durch „Self Checks“ der teilnehmenden Behörden.

Hervorgegangen ist der Scanner aus der verwaltungsinternen „OZG-Security-Challenge 2023“ für OZG-Dienstverantwortliche. Im Mittelpunkt stand dabei ein Schnelltest, der den Umsetzungsgrad von sechs ausgewählten IT-Sicherheitsmaßnahmen auf den eingegebenen Webseiten analysierte.

Der Test sollte Potenziale zur Stärkung der IT-Sicherheit aufzeigen und bot Hilfestellungen zur Umsetzung an. Leicht zugängliche Angebote sowie begleitende Workshops und Sprechstunden zur Implementierung von sechs besonders relevanten IT-Sicherheitsmaßnahmen waren ebenfalls Schwerpunkt der Challenge, die die IT-Sicherheit der OZG-Dienste nachhaltig verbessern sollen.

Der Schnelltest kann einen vollständigen Web-Check und tiefgründige Audits nicht ersetzen, aber gut als erster Indikator für leicht zu lösende Themen dienen.

OZG-Scanner: https://gitlab.opencode.de/bmi/ozg-rahmenarchitektur/ozgsec/ozgsec-best-practice-scanner

Mehr zu der Challenge: https://www.digitale-verwaltung.de/SharedDocs/kurzmeldungen/Webs/DV/DE/2024/05_ozg_security_challenge.html

 

Mehr Bänder, mehr Back-ups!

Das Ende der Magnetbänder wurde schon aus verschiedenen Gründen angekündigt – seien es Virtual Tape Librarys oder Cloud-Back-ups. Ungeachtet dessen spielen sie weiter ihre Vorteile beim Back-up aus, und dazu passt die beruhigende Nachricht des LTO-Konsortiums: 2023 vertrieben die drei Hersteller dieses Bandtyps in Summe mehr Bandkapazität als je zuvor. Gerade bei Offline-Back-ups, die in Zeiten von Ransomware für Firmen überlebenswichtig sind, und bei der Archivierung können die Bänder punkten. 

Ein Band der aktuellen Generation LTO-9 kann komprimiert 45 TB fassen und mit 1 GBit/s beschrieben werden. Und dazu kann man es leicht auswerfen und sicher verwahren.

https://www.lto.org/2024/05/lto-tape-capacity-shipments-achieve-significant-growth-amid-explosive-data-generation/

 

Wenn der Dienstleister des Dienstleisters die Daten verliert

Wenn man sich als Veranstalter auf seine Veranstaltung konzentrieren will, übergibt man den Ticketverkauf an einen Dienstleister. Und schon kann man die Sorgen mit verschiedenen Zahlungsdienstleistern, einer möglichen Überlast zum Vorverkaufsstart und der Absicherung der persönlichen Daten der Besucher den Profis überlassen. Einer der Großen in diesem Geschäft ist TicketMaster: Dort wollte man einen Teil der IT auch den Profis überlassen und hat daher Dienste vom Cloud-Anbieter Snowflake genutzt. 

Im Ergebnis bietet jetzt die Angreifergruppe Shinyhunters die Daten von 560 Millionen Ticketmaster-Kunden feil – also den Besuchern der Veranstalter, die genau diese Sorge loswerden wollten. Da mehrere Snowflake-Kunden gleichzeitig betroffen sind, vermuten einige, dass die Angreifer sich Zugriff auf den Cloud-Dienstleister selbst verschafft haben. Der bestätigt die Vorfälle, sieht die Ursache aber nicht bei sich, sondern eher bei seinen Kunden. Laut Snowflake sollen die Zugangsdaten zu Snowflake-Diensten den Kunden anderweitig gestohlen worden seien.

Wie auch immer der genaue Ablauf war: Am Ende müssen sich nun doch die Veranstalter um das digitale Wohl ihrer Besucher sorgen.

https://www.golem.de/news/nicht-nur-ticketmaster-datenlecks-bei-mehreren-kunden-des-gleichen-cloudanbieters-2406-185640.html

 

Seitenkanal des Monats: Laser, die auf Bits schießen

Das BSI hat das Fraunhofer AISEC gebeten, sich das Signaturverfahren XMSS (eXtended Merkle Signature Scheme) anzuschauen – und zwar im Wortsinn „unter dem Mikroskop“. Dieses Verfahren ist gut gegen mögliche zukünftige Angriffe mithilfe von Quantencomputern gewappnet und bietet sich auch an, um die Integrität der Firmware von IoT-Geräten zu sichern. Im konkreten Anwendungsfall ist aber ein direkter Angriff auf das Gerät auch sehr wahrscheinlich – schließlich sind die Geräte außerhalb von gesicherten Rechenzentren verbaut und lassen sich stehlen. 

Die Frage lautete also, wie sich dieses Signaturverfahren gegen Angreifer wehren kann, die physischen Zugriff auf das Gerät haben. Um das herauszufinden, nahmen sich die Fraunhofer-Forscher Mikroskop und Laser, um die entscheidenden Bits zu kippen, damit eine gefälschte Signatur als rechtmäßig durchgeht. Das hat auch grundsätzlich geklappt, aber für die Risikoabwägung ist auch wichtig, wie kompliziert der Angriff ist und wie sicher er funktioniert. In der BSI-Studie sind die Schritte beschrieben, wie die Forscher den Prozessor präpariert haben, durch Beobachtungen das Speicherlayout auf dem Chip nachvollzogen haben, die physischen Koordinaten einer Speicheradresse herausgefunden haben, den richtigen Zeitpunkt durch von außen beobachtbare Signale bestimmt haben und dann einen 1.600-ns-Laserimpuls zur richtigen Zeit auf die richtige Stelle gefeuert haben. In 50 bis 80 Prozent der Versuche brachte das den gewünschten Erfolg. In der Studie für das BSI sind die Schritte detailliert beschrieben, wobei auch dort hinter jedem kurzen Satz eine längere Experimentierserie steckt.

BSI-Studie mit dem technischen Ablauf:  https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Publications/Studies/LFI_Attack_XMSS/LFI_Attack_XMMS.pdf

Artikel mit mehr mathematischen Details: https://eprint.iacr.org/2023/1572.pdf

 

 

HiSolutions Know-how to go: NIS2 – Was nun? | 19.06.2024 | Berlin

NIS2 soll ab Mitte Oktober 2024 in Deutschland ca. 30.000 Einrichtungen aus den Bereichen Energie, Gesundheitswesen, Öffentliche Verwaltung, Weltraum, Abwasser, Verwaltung von IKT-Diensten, Abfallwirtschaft, Digitale Infrastruktur und Digitale Dienste, Forschungseinrichtungen, Apotheken, Maschinenbau und Produktion, Herstellung und Handel mit chemischen Stoffen und vielen mehr mit Anforderungen für die Cybersicherheit adressieren. Dazu gehören die Cybersicherheit in IT und OT sowie in der Lieferkette, aber auch Billigungs-, Überwachungs- und Schulungspflichten für die Geschäftsleitungen.

In unserem Wissensfrühstück geben unsere Spezialisten einen Überblick zu NIS2, und wie man den Anforderungen begegnen kann.

Die Teilnahme an unserem Wissensfrühstück ist kostenfrei.

Weitere Infos + Anmeldung: https://www.hisolutions.com/knowhow

 

Vorfall-Experte des Cyber-Sicherheitsnetzwerks (CSN) des BSI | 09.-11.07.2024 - HiSolutions, remote

In dieser Schulung lernen die Teilnehmenden das Themenfeld der Bewältigung von IT-Sicherheitsvorfällen kennen und werden befähigt, schnell und effektiv zu reagieren. Das Training vermittelt dazu die notwendigen Kenntnisse und Fertigkeiten, unter anderem die Aufgaben und Tätigkeit des Vorfall-Experten und das Vorgehen bei der Vorfall-Behandlung. Nach Abschluss der Aufbauschulung können die Teilnehmer die Prüfung zur Personenzertifizierung bei dem Cyber-Sicherheitsnetzwerk durchführen und eine Zertifizierung zum Vorfall-Experten erlangen.

Die Inhalte richten sich konform am BSI-Curriculum aus.

Weitere Infos + Anmeldung: https://www.hisolutions.com/security-consulting/academy#c5601

 

Der nächste HiSolutions Cybersecurity Digest erscheint Mitte Juli 2024.

Jetzt abonnieren!

Lesen Sie hier auch alle HiSolutions Cybersecurity Digests der letzten Monate.

Kontaktieren Sie uns gern mit Rückfragen und Anregungen!

Jetzt teilen: