Aufrufe
vor 3 Jahren

Netzwoche 08/2017

26 DOSSIER KOMPAKT

26 DOSSIER KOMPAKT Hacking Day 2017 In Kooperation mit Digicomp Was «Vault7» für die Business-IT bedeutet Wikileaks hat mit «Vault7» neue Dokumente über die CIA veröffentlicht. Was bedeutet das für die Unternehmens-IT und deren Sicherheit? Sie zeigen, dass es notwendiger denn je ist, die Sicherheits-, Netzwerk- und Systemarchitektur in Unternehmen sorgfältig zu planen und zu betreiben. DER AUTOR Max Moser IT-Sicherheitsberater, Modzero AG ÜBER DEN AUTOR Max Moser arbeitet in seiner 2011 gegründeten Firma Modzero AG als IT-Sicherheitsberater für grosse und mittelständische Unternehmen. Als «bezahlter Hacker» greift er im Kundenauftrag Software- und Hardwareprodukte an, um deren Sicherheit zu testen, oder unterstützt Kunden dabei, die Gesamtsicherheit ihrer Produkte zu erhöhen. Moser ist seit über 20 Jahren aktiver Teil der IT-Sicherheitsszene und bekannt für diverse innovative Sicherheitsforschungen sowie Open- Source-Projekte. Er ist Keynote-Speaker am Digicomp Hacking Day 2017. Seit Anfang März sorgen die «Vault 7»-Veröffentlichungen der Enthüllungsplattform Wikileaks für Gesprächsstoff in der IT-Branche. Bei «Vault 7» handelt es sich um tausende Dokumente der Central Intelligence Agency (CIA). Sie stammen aus den Jahren 2013 bis 2016 und stellen die bisher grösste Veröffentlichung von internen Geheimdienstdokumenten dar. Um die Auswirkungen auf die IT- Sicherheit in der Privatwirtschaft beleuchten zu können, werden hier exemplarisch einige Bereiche erläutert. Nahezu jede Plattform ist angreifbar Die Projekte «HIVE» sowie «RickBobby» scheinen beide dem Zweck zu dienen, dass sich infiltrierte Systeme selbstständig und regelmässig bei einem Control Center melden sowie einen ersten Zugang auf das infizierte Computersystem für den Geheimdienst ermöglichen. Während «RickBobby» primär für das Microsoft- Windows-Betriebssystem geschrieben wurde, unterstützt «HIVE» gemäss den Benutzerhandbüchern 1 Linux, Mikrotik und Solaris. Beide Projekte verwenden Techniken, die in der IT-Security-Branche und bei Malware-Entwicklern seit Langem bekannt sind und benutzt werden. Damit nicht genug. Die «Vault7»-Dateien weisen darauf hin, dass die CIA für viele eingebettete und mobile Geräte ebenfalls Schwachstellen einkauft, Schadcode wiederverwendet oder entsprechende Forschung und Entwicklung vorantrieb. Das Projekt «Weeping Angel» hat als Ziel, Smart-TVs mit entsprechendem Schadcode zu versehen, um Räume unbemerkt überwachen zu können. Die im Smart-TV eingebaute Kamera und das Mikrofon können aktiviert und deren Datenströme durch die Geheimdienste ausgewertet werden. Bei der Auswertung der veröffentlichten Daten stiess auch der Netzwerkkomponenten-Hersteller Cisco auf eine bisher unbekannte, kritische Sicherheitslücke, die viele seiner Netzwerkkomponenten betroffen haben soll. Die CIA konnte diese Schwachstelle dazu nutzen, Schadcode auf den Geräten auszuführen und somit die Kontrolle über das Gerät und dessen Datenflüsse zu erhalten. Die Schwachstelle ist mittlerweile vom Hersteller behoben worden, wie ein Blick auf die aktuellen Security Advisories von Cisco zeigt. Apple-Geräte bereits vor Auslieferung infiziert Android und iOS als weitverbreitete, mobile Plattformen sind ebenfalls populär in den veröffentlichten Dokumenten vertreten. Gemäss einer zusammenfassenden Liste bei Wikileaks verfügte die CIA über mindestens 14 Exploits für verschiedene Apple-iOS-Betriebssystem-Versionen 2 . Aus dieser Liste ist auch ersichtlich, dass die CIA nicht alle Exploits selbst entwickelte, sondern teilweise bei privatwirtschaftlichen Unternehmen einkaufte. Bei der Android- Plattform sieht es ähnlich aus. Laut Wikileaks verfügte die CIA über mindestens 26 verschiedene Exploits für den Angriff gegen das quelloffene Android-Betriebssystem 3 . Mit der Veröffentlichung des «Dark Matters»-Teilpakets offenbarte Wikileaks, dass die CIA mit den Projekten «NightSkies», «Sonic Screwdriver» und «DerStarke» Apples mobile Geräte sowie Computersysteme teilweise bereits im Rahmen der Lieferkette persistent infizieren konnte 4 . Komfortabel angepasste Schadcodes Wie Schadcode-Entwickler und Kriminelle muss auch die CIA ihren Code verschleiern, um zu verhindern, dass Antivirenprogramme oder andere Massnahmen den Schadcode leicht als solchen erkennen oder gar dessen Funktionsumfang einschränken. Die CIA hat diese Verschleierungsmassnahmen zusammen mit Anti-Forensik- Funktionalitäten in das «Marble Framework» eingearbeitet 5 . Zusammen mit dem Projekt «Grasshopper» 6 konnte der Geheimdienst somit komfortabel angepasste Schadcodes erzeugen, die auf das Ziel zugeschnitten waren. Die Mitarbeiter der CIA benötigen dank der Werkzeuge kein tieferes technisches Verständnis über die Ziele oder die anzuwendende Technik. Diese Projektbeschreibungen hören sich ein bisschen an wie Angebote von illegalen Botnet-Anbietern aus dem Darknet, die Schadcode-Generatoren an Dritte verkaufen, um damit kriminelle Aktionen durchzuführen. Aus IT-Sicherheitssicht bestätigen sich aus den Veröffentlichungen unter anderem einige Annahmen, die in der IT-Branche bereits seit Jahren bestehen: ·· Geheimdienste kooperieren teilweise miteinander. Das Projekt «Weeping Angel» sollen etwa der MI5 und die CIA zusammen entwickelt haben. ·· Geheimdienste verfügen schon lange Zeit über Abteilungen, die sich intensiv und fortschrittlich mit der Erforschung von Sicherheitslücken und deren Ausnutzung beschäftigen. ·· Gefundene Sicherheitslücken werden zur geheimdienstlichen und militärischen Nutzung verwertet, ohne Informationen über die Schwachstellen an die Hersteller weiterzugeben. ·· Es gibt kaum ein System, das nicht über Schwachstellen kontrolliert und manipuliert werden kann. Was bedeutet dies nun für unsere IT-Systeme? Hat es sich ausgecybert, weil sich Unternehmen und Privatpersonen nicht umfassend gegen unbekannte Schwachstellen schützen können? Wahrscheinlich nicht. Zwar sind die Veröffentlichungen beunruhigend in ihrem Ausmass, aber technisch wenig überraschend. 08 / 2017 www.netzwoche.ch © netzmedien ag

Bild: Fotolia Schwachstellen erkennen oder deren Ausnutzung relativieren In den zwei Jahrzenten, in denen ich und meine Arbeitskollegen Sicherheitsüberprüfungen durchführen, konnten wir immer wieder neue oder unbekannte Wege identifizieren, um Sicherheitsmechanismen im Kundenauftrag zu umgehen. Wir setzten uns mit den Kunden zusammen und brachten Verbesserungsvorschläge ein, um das Niveau der Gesamtsicherheit zu erhöhen. Es gibt aber immer wieder Situationen, in denen eine Beseitigung von Sicherheitsschwachstellen schwer möglich ist. Oder das Risiko einer Schwachstelle aus Kostengründen, aufgrund der Firmenhistorie oder wegen technischer Vorbedingungen akzeptiert und beibehalten werden muss. Wird eine Schwachstelle nicht behoben oder ist sie unbekannt, sollte das Ziel der IT-Sicherheit und deren Mechanismen sein, die Ausnutzung solcher Schwachstellen zu erkennen oder aber die Auswirkungen bei einer Ausnutzung zu relativieren. Um die IT-Sicherheit als Ganzes zu verbessern, sollte sichergestellt werden, dass eine solide Sicherheitsbasis besteht – unter anderem, indem Systeme aktuell gehalten und Sicherheitsupdates eingespielt werden. Gerade bei noch unbekannten Schwachstellen, sogenannten Zero-Day Exploits, ist man oft auf eine Fehlerbehebung durch die Hersteller angewiesen. Durch das Aktuellhalten der Systeme kann zumindest das Vorhandensein von bekannten und bereits behobenen Schwachstellen ausgeschlossen werden. LINKS 1 wikileaks.org/ciav7p1/cms/files/UsersGuide.pdf 2 wikileaks.org/ciav7p1/cms/page_13205587.html 3 wikileaks.org/ciav7p1/cms/page_11629096.html 4 wikileaks.org/vault7/#Dark Matter 5 wikileaks.org/vault7/#Marble Framework 6 wikileaks.org/vault7/#Grasshopper Wissen im eigenen Unternehmen aufbauen Es ist notwendiger denn je, eine durchdachte und mehrschichtig angelegte Sicherheits-, Netzwerk- und Systemarchitektur zu planen und zu betreiben, sodass der Ausfall eines Mechanismus nicht zu einem inakzeptablen Risiko wird. Erst das Zusammenspiel mehrerer Schutzmechanismen, Prozesse und Auswertungen bringt echten Mehrgewinn an Sicherheit. Hier die richtigen Mechanismen und Technologien auszuwählen, braucht Erfahrung und Wissen, das im Idealfall im eigenen Unternehmen aufgebaut wird und nicht ausschliesslich beim Integrator oder IT-Dienstleister. Nur mit möglichst gutem Verständnis über die individuelle Bedrohungslage, die eigene IT-Infrastruktur und eigenen Datenflüsse kann man auch Anomalien und Angriffe erkennen. Konsequentes Arbeiten an der Basissicherheit und dem Knowhow über die eigenen Geräte, Prozesse und Systeme sind Kernpunkte zur Mitigation von Risiken – auch für die Zukunft. Möchte man seiner Verpflichtung gegenüber dem Datenschutz seiner Kunden und Mitarbeiter gerecht werden, ist das ein Muss. Viele Betreiber von IT-Netzwerken und Unternehmen werden vielleicht der Meinung sein, dass die CIA nun nicht unbedingt hinter dem eigenen Datenschatz her ist und gezielt Netzwerke im eigenen Unternehmen penetriert. Vermutlich stimmt das, allerdings bereichert sich jeder staatliche Geheimdienst in der Regel am Wissen der IT-Sicherheits-Szene – am Wissen einer öffentlichen und grösstenteils harmlosen Hacker-Community, die ihre Forschung regelmässig auf Hacker-Kongressen veröffentlicht. Wenn sich die CIA dieses öffentliche Wissen aneignen kann, so können es auch andere – es gibt keinen Grund, anzunehmen, dass staatliche Hacker über Wissen verfügen, das andere nicht auch besitzen. Das Sammelsurium der Geheimdienste, das nun veröffentlicht wurde, zeigt praktisch, dass es grundsätzlich Personenkreise mit «Vorabinformationen» über schwerwiegende Sicherheitslücken gibt. Es zeigt, dass man sich schwer mit einem Universalrezept gegen Gefahren aus dem Internet oder dem internen Netzwerk schützen kann. Die Werkzeuge der Geheimdienste sind kein Hexenwerk. Jeder interessierte Informatikstudent kann diese Werkzeuge erfinden und herstellen. Wenn wir also in den Werkzeugkasten der Geheimdienste schauen, werfen wir effektiv einen Blick in den Werkzeugkasten eines normalen Hackers mit ein bisschen mehr Budget. Wenn Sie der Meinung sind, Ihr Sicherheitsdispositiv hält einem Angriff durch die CIA nicht Stand – dann sollten Sie darüber nachdenken, ob es allen anderen Angreifern standhalten würde. HACKING DAY 2017 Am 16. Mai wird bei Digicomp in Zürich der Hacking Day 2017 stattfinden. Thema dieser Ausgabe ist Cyber Security. Die Teilnehmer dürfen sich auf 20 Sessions mit Referaten und auf viele wertvolle Tipps und Tricks von IT- Experten freuen. Am Nachmittag bietet die Veranstaltung die Möglichkeit, in der Hands-on-Session den Titel «Switzerland’s Bug Bounty Hacker 2017» zu holen. Es winkt ein Security-Training! Weitere Infos unter: www.digicomp.ch/hackingday www.netzwoche.ch © netzmedien ag 08 / 2017

Archiv