« März 2015 | Blog | Januar 2015 »

Was haben Superfish und Bluecoat gemeinsam?

Samstag 21 Februar 2015   Kategorien: IT-Sicherheit   von Rainer W. Gerling

In sicherhheitskritischen Unternehmen ist es nicht unüblich, dass der Webverkehr an der Firewall auf Schadsoftware untersucht wird. Damit dies auch bei SSL-Verbindungen funktioniert, muss diese SSL-Verbindung mit einem Man-in-the Middle (MITM)-Angriff aufgebrochen werden. Hierzu gibt es spezielle Hardware z.B. von der Firma Bluecoat (Anmerkung: Die Fa. Bluecoat hat mit der Adware nichts zu tun. Sie ist ein führender Anbieter von Sicherheits-Appliances).

Wie funktioniert das? Die Box nimmte die SSL-Verbindung an und gibt sich gegenüber dem Server als Client aus. Damit können die Daten aus dem SSL-Strom entpackt und analysiert werden. Damit beim Benutzer auch der erwartete SSL-Datenstrom ankommt, müssen die Daten neu verschlüsselt werden. Ansonsten würde der Nutzer die Verbindung für unsicher halten. Da die Box den privaten Schlüssel des Servers nicht kennt, muss sie einen eigenen Schlüssel nehmen. Dieser ist aber von keiner gänigen CA bestätigt. Würde eine seriöse CA auch nicht tun, da diese für alle Domains gültig sein muss. Deshalb stellt die Box quasi als CA für jede auftretende Domain on the fly ein neues Zertifikat aus.

Anderfalls käme es zu einem Zertifikatsfehler, wie ihn jeder schon mal gesehen hat. Deshalb muss auf den Clienten-Rechnern das Zertifikat dieser Pseudo-CA in den Speicher für die vertrauenswürdigen Zertifizierungsstellen gebracht werden. In einem Unternehmen mit gemanagten Rechnern ist das kein Problem.

In einem Unternhemen, wo es entsprechende Sicherheitsanforderungen gibt, ist dies auch kein Problem, wenn dies entsprechend transparent (z.B. durch eine Betriebsvereinbarung gereglt) gemacht wird.

Was hat dies mit alles mit der Adware Superfish zu tun? Offensichtlich funktioniert sie genauso. Nur das das alles in Software auf dem lokalen Rechner geschieht. Damit die Bilder in SSL-Verbindungen analysiert werden können, um die passende Werbung einzublenden, muss der SSL-Datenstrom mit einem MITM-Angriff aufgebrochen werden. Und das Bedürfnis kontextbezogene Werbung einzublenden steht sicher nicht auf einer Stufe mit den IT-Sicherheitsinteressen eines Unternehmens, das im SSL-Datenstrom nach Malware sucht.

Und dann sieht man auch die "Notwendigkeit", in der Software den privaten Schlüssel zu hinterlegen und die Superfish-CA in den Zertifikatspeicher einzutragen.

Moziilla, Microsoft und andere müssen diese Superfish-CA ganz schnell auf ihre jeweiligen Blacklists setzen. Wie das geht wurde ja schon mehrfach geübt.

Das Sicherhietsrisko dieser Software durch das Zertifikat ist groß, da der private Schlüssel und das Passwort bereits im Internet stehen.

Das Kommunikationsgeheimnis ist (un)verletzlich

Freitag 20 Februar 2015   Kategorien: Awareness, IT-Sicherheit, Politik, Verschlüsselung   von Rainer W. Gerling

In den Verfassungen aller demokratischer Staaten ist die Unverletzlichkeit des Kommunikationsgeheimnisses festgeschrieben (in Deutschland z.B. konkret als Brief-, Post und Fernmeldegeheimnis). Es werden dann noch Feinheiten unterschieden, ob das Kommunikationsgeheimnis für alle Menschen (z.B. in Deutschland) oder nur für die eigenen Bürger (z.B. in den USA) gilt.

In der „guten alten Zeit“ waren dies organisatorische Regeln. Der Staat garantierte das Kommunikationsgeheimnis durch Gesetze, konnte es aber selber jederzeit durchbrechen. Als die Post in Deutschland noch als staatliches Unternehmen die komplette Kommunikation abwickelte, war das unproblematisch: der Beamte der Sicherheitsbehörde ging zu dem Beamten des Kommunikationsunternehmens und gut war's. Die Kommunikationsüberwachung fand innerhalb von oder zwischen Behörden statt.

Mit dem Aufkommen von guter Verschlüsselung (z.B. Pretty Good Privacy, Encryption for the Masses) konnte endlich ein Bürger seine Kommunikation mit eigenen technischen Mittel schützen und er war nicht mehr auf die organisatorischen Regeln des Staates angewiesen. Und plötzlich waren sich Regierungen dieser Welt einig, so was das aber nicht gemeint mit dem Kommunikationsgeheimnis. Die Krypto-Debatte war geboren. Unter Innenminister Kanther war die erste große Runde in Deutschland. David Cameron hat im Januar 2014 die derzeit letzte Runde in Europa eröffnet.

Die heute verfügbaren Krypto-Algorithmen sind so gut, dass auch potente Dienste wie die NSA diese nicht ohne weiteres brechen können. Deshalb müssen die Dienste ausweichen. Wenn die Schlüssel bekannt sind, muss man die Algorithmen nicht knacken. Wie kommt man an den Schlüssel? Man „bittet“ jemanden, der ihn hat, ihn herauszugeben. Man sorgt dafür, dass nur Schlüssel generiert werden, die man kennt (d.h. man beeinflusst die Generierung der Zufallszahlen, aus denen die Schlüssel erzeugt werden). Man nimmt sich die Schlüssel einfach bei jemanden, der sie hat.

Gerade auch letzteres wird, wie wir heute wieder lernen mussten, intensiv gemacht. Ob eine Firma wie RSA, die geheimen Schlüssel aller Einmal-Passwort-Token (SecureID) speichert (Warum eigentlich?) oder ob man bei Chip(karten)-Herstellern einbricht, um sich die Schlüssel zu nehmen, wird letztendlich dann glücklicherweise doch bekannt.

Wir brauchen deutlich mehr asymmetrische Verschlüsselung mit dezentraler Erzeugung der Schlüsselpaare, so dass man die geheimen Schlüssel nicht gesammelt an einer Stelle abgreifen kann. Insofern ist der neue Personalausweis (nPA) ein guter Schritt. Er wird ohne Schlüsselpaar ausgeliefert und das Schlüsselpaar wird erst bei mir erstellt. Aber die Zertifizierer zieren sich noch das Verfahren zu unterstützen. Nur die Bundesdruckerei macht einen vorsichtigen Pilot-Test (sign-me).

ENISA stellt die Cyber-Bedrohungslandschaft 2014 vor

Donnerstag 19 Februar 2015   Kategorien: IT-Sicherheit   von Rainer W. Gerling

Der Bericht der "European Union Agency for Network and Information Security" (ENISA) zur Bedrohungslandschaft 2014 (ETL 2014) ist der dritte Jahresbericht in Folge, der die wichtigsten Cyber-Bedrohungen und die 2014 stattgefundene Entwicklung zusammenfasst und analysiert. Der ETL 2014 trägt zur Erreichung der in der Cyber-Security-Strategie für die EU formulierten Ziele bei und betont die Bedeutung der Bedrohungsanalyse und die Identifizierung der neuen Trends in der Cyber-Sicherheit.

2014 waren bei den wichtigsten Bedrohungen größere Veränderungen zu beobachten: eine erhöhte Komplexität der Attacken, erfolgreiche Angriffe auf wesentliche Sicherheitsfunktionen des Internets, jedoch auch erfolgreiche, international koordinierte Operationen durch Strafverfolgungsbehörden und Sicherheitsunternehmen. Viele der Veränderungen im Bereich Cyber-Bedrohungen sind exakt dieser Koordination und der Mobilisierung der Cyber-Community zu verdanken. Jedoch gibt es Hinweise darauf, dass die künftigen Cyber-Bedrohungslandschaften eine hohe Dynamik beibehalten werden.

Tabelle 2 aus dem Bericht zeigt die 15 TOP-Bedrohungen und Ihre Veränderung gegenüber dem Jahr 2013.

Der Bericht entält in Kapitel 5 interessante Informationen zu den Angriffsvektoren, die anfängliche Informationen dazu liefern, „wie“ ein Cyber-Angriff stattfindet. Dabei wird auf "Targeted attacks", "Drive-by-attacks", "watering hole attacks" und "Advanced persistent threat (APT)" näher eingegangen. Sehr schön ist, dass der Bericht zahlreiche Links auf weiterführende Informationen enthält.

Insgesamt ein lesenswertes Dokument.

Die beiden ersten Reports:

Ich habe gewonnen ...

Donnerstag 19 Februar 2015   Kategorien: Awareness, IT-Sicherheit   von Rainer W. Gerling

„In der letzten Lotterie des FBI habe ich 20 Millionen Dollar gewonnen. Ich habe zwar nicht gewusst, dass das FBI Lotterien veranstaltet, ich habe auch nicht teilgenommen ... aber ich habe gewonnen. Ich muss nur noch auf diesen komischen Link in der Mail klicken, um meinen fetten Gewinn zu kassieren.“

Klingt gut! Klingt zu gut, um wahr zu sein. Ist auch nicht wahr. Wenn etwas zu gut klingt um wahr zu sein, dann ist es auch nicht wahr. Es soll nur der Gier-Schalter im Gehirn eingeschaltet werden. Und der schaltet gleichzeitig das Denken und damit die Vorsicht aus.

„Angeblich ermittelt das BKA gegen mich wg. MP3-Download. Werde ich jetzt verhaftet? Nochmal Glück gehabt, denn gegen Zahlung von 50 Euro über einen anonymen Zahlungsdienstleister kann ich mich frei kaufen. Und den Zahlungscode muss ich an eine E-Mail-Adresse in ein dubioses Land schicken. Da habe ich ja nochmal Glück gehabt.“

Deutsche Polizeibehörden schicken immer noch Papierpost. Aber über den Schock soll der Panik-Schalter umgelegt werden und der funktioniert genauso wie der Gier-Schalter.

Die IT-Abteilung Ihres Arbeitgerbers oder Ihr Provider verschicken E-Mails, dass Ihr Postfach voll oder Ihr Passwort abgelaufen ist, niemals aus dubiosen Ländern, sondern immer von Absender-Adressen aus dem Unternehmen.

Denken Sie nach. Und löschen Sie solche E-Mails. Wenn Sie sich nicht sicher sind, fragen Sie lieber die Experten.

Phishing – so der Fachausdruck für derartige Mails – ist eine boomende, kriminelle Industrie. Virenscanner bieten einen unverzichtbaren Grundschutz, aber es bleibt ein Restrisiko und dafür benötigen Sie Ihren gesunden Menschenverstand. Seien Sie kritisch.

Klickt man auf einen Link in einer sogenannten Phishing-Mail, startet der Browser und öffnet eine Web-Seite. Diese fragt meist dreist nach Benutzernamen und Passworten sowie weiteren Informationen wie z.B. Banking-TANs. Spätestens hier sollte man innehalten und merken, dass etwas nicht stimmt. Kritischer sind Seiten, die wie dem Nutzer bekannte Portale aussehen. Hier gibt dann mancher sein Passwort ein, da die gefälschte Eingabemaske aussieht, wie die Bekannte.

Hat man Pech, geschieht beim Klick auf den Link außer dem Browserstart vermeintlich nichts. Dies sind die gefährlichen Seiten, da heimlich eine Schadsoftware auf Ihrem Rechner installiert wird. Auch beim Öffnen eines zip-, pdf oder Word-Anhangs einer Phishing-Mail wird eine Schadsoftware installiert.

Eine „beliebte“ Funktion dieser Schadsoftware ist das Ausspähen von Benutzernamen und Passworten. Die Account-Daten können dann zum weiteren Versand von Phishing-E-Mails, Zugriff auf andere Benutzerberechtigungen (viele verwenden überall dasselbe Passwort), oder dem Eröffnen von Benutzerkonten bei Diensteistern verwendet werden.

Gelangt der Angreifer in Ihren eBay Account, kann er unter Ihrem Namen Waren verkaufen. Wird Ihr Mail-Account für den Versand von SPAM missbraucht, so kann Ihr Arbeitgeber vielleicht tagelang nur eingeschränkt E-Mails verschicken, da der Mail-Server Ihres Arbeitgebers auf einer schwarzen Liste gelandet ist.

Da letztlich das Ziel ist, ohne viel Arbeit an Geld zu kommen, wird auch immer wieder versucht in Ihr Internetbanking manipulativ einzugreifen. Es gibt viele Leute, die auf diese Art schon Geld verloren haben.

Hier mal ein konkretes Beispiel für die Folgen eines Klicks:Ein Kollege in einer Uni klickt auf den Link und gibt seine Daten ein. Er fühlte sich unter Druck gestetzt und wollte sich schnell wieder freischalten lassen und hat deshlab seine Mailadresse und sein Passwort preisgegeben. Im Laufe der folgenden Nacht gab es dann sieben Anmeldungen aus Ägypten und Nigeria beim Webmail-Server der Uni. Dabei wurden 379 Mails verfasst, einige davon mit sehr vielen Adressen im BCC-Feld. Das führte zu 129.836 versendeten Mails und 39.418 abgelehnten Mails, die dann als Unzutsellbarkeitsbenachrichtungen im Posteingang des Nutzers waren. (Dank an Max B. für die konkreten Zahlen)

Die Technische Universität München bietet zum Thema "Phishing" einen netten kleinen Phishing Selbstlerntest an. Haben Sie alle Mails richtig klassifiziert?

Endlich Online

Montag 16 Februar 2015   Kategorien: IT-Sicherheit   von Rainer W. Gerling

IT-Sicherheit wird von Tag zu Tag wichtiger und fordert uns heraus. Viele Nachrichten erscheinen zu dem Thema und mich juckt es oft in den Fingern diese Nachrichten zu kommentieren oder mit einer anderen Sichtweise zu ergänzen. Das ist bisher immer nur im kleinen Kreis und typischwerwiese mündlich passiert. Und es gab oft den Kommentar, warum schreibst Du das nicht auf. Meistens ist es zu wenig, um daraus einen Artikel für eine Zeitschrift zu machen.

Hieraus enstand dann irgendwann die Idee ein Blog zu machen. Und jetzt ist es soweit: das Blog ist online. Ein paar Beiträge enstanden zu Testzwecken während der Implementierung. Ich habe sie nicht gelöscht; aber das Erstelldatum ist geblieben.

Dieses Blog soll meine Web-Seite nicht ersetzen, sondern ergänzen. Awareness, interessante Gadgets, IT-Sicherheit, physische Sicherheit, Spionage(abwehr) und interessante Tipps sollen die Themenbereiche sein.

Mit einem simplen Desktop-Blog "Thingamablog" und dem CSS Framework "YAML 4", das ich auch schon für meine Webseite benutze, ist dies eine einfache - aber ausreichende - technische Lösung.

MongoDB: der GAU

Dienstag 10 Februar 2015   Kategorien: IT-Sicherheit   von Rainer W. Gerling

Drei Cybersicherheit-Studenten der Universität des Saarlandes endeckten eine Sicherheitslücke und arbeiteten sie mit Wissenschaftlern des CISPA auf. Mehrere Zehntausend unzulänglich konfigurierte Instanzen der Datenbank MongoDB standen offen im Netz. Damit war im Extremfall der Zugriff auch auf mehere Millionen personenbezogene Datensätze möglich. Kundendaten oder Live-Daten von Webshops mit Kreditkarten Informationen lagen frei zugänglich im Netz.Technische Details und Hintergrundinformationen finden sich hier. Die Firma hinter der MangoDB legt Wert auf die Feststellung, dass es sich nicht um eine Sicherheitslücke in der Software ahndelt, sondern um einen Konfigurationsfehelr der Anwender. Eine offene Frage ist, wie deutlich die Installationsanleitung auf die Gefahr der fehlerhaften Konfiguration hinweist.

Mittlerweile hat die Fa. MongoDB, Inc. detaillierte "Sicherheits-Empfehlungen für MongoDB" in Netz gestellt. Einen direkten ins Auge fallenden Link auf der Homepage sucht man allerdings vergeblich.

Per Default-Installation einer beliebten Installationsvariante wird eine MongoDB so aufgesetzt, dass sie nur auf dem virtuellen Netzwer-Interface "localhost (127.0.0.1)" auf Verbindungen wartet. Alle Zugriffe erfolgen lokal und um die IT-Sicherheit muss man sich vermeintlcih keine großen Gedanken machen. Löscht man in der Konfigurationsdatei diesen Eintrag, wartet die Datenbank auf allen Netzwerk-Interfaces auf Verbindungen. Ändert man die IP-Adresse auf eine offizille im Internet erreichbare Adresse, ändert sich nicht automatisch der Schutz des Zugriffs mit. Dies muss zuätzlich konfiguriert werden.

Dies wäre immer noch kein Problem, wenn einen Instanz der MongoDB hinter einer Firewall, die alle Zugriffe auf die Datenbank blockt, betrieben würdr. Dies war aber offensichtlich nicht immer der Fall.

Ein weiteres Szenario ist aber weitaus gefährlicher: Der Betrieb der Datenbank bei einem Dienstleister in der Cloud. Dann muss beim Dienstleister der Zugriff auf die Datenbank auf die IP-Adressen der Anwendung, die die Datenbank nutzt, beschränkt werden. Zusätzlcih sollte per VPN-Verbindung die Abhörbarkeit der Kommunikation abgestellt werden.

Alles dies (total einfach) sind effektive Massnahmen, die ohne Passowrtschutz der Datenbank auskommen. Sie wurden aber in knapp 40.000 Fällen nicht beachtet. Kann ein Administrator nur noch eine Anleitung abarbeiten ohne wirklich zu verstehen, was er da tut? Und versteht er dann auch nicht, wie sich dies auf die IT-Infrastruktur des Unternehmens auswirkt?

Seit 2004 sammelt die Shadow Server Foundation "Daten aus der dunkleren Seite des Internet". Unter der Rubrik "Protocols That Should not be Exposed" wird jetzt (seit dem 13.2.15) auch regelmäßig nach den Ports der MongoDB gescannt. Nach REDIS (seit 21.1.15) und MemCached (seit 23.1.15) wird schon etwas länger gescannt.