Sicherheitswoche 41: zensierte Forschung, gehacktes Outlook Web Access, verlorene Nutzerdaten

12 Okt 2015

Diese Ausgabe unseres Rückblicks auf die Sicherheitswoche beschäftigt sich mit Unternehmen, und wir widmen sie ROI, EBITDA, TCO, IFRS, CRM, SLA, NDA, GAAP und so weiter. Keine Angst – wie immer geht es um die wichtigsten Sicherheitsnachrichten der vergangenen Woche. Und diesmal haben sie alle irgendwie mit der IT-Sicherheit in Firmen zu tun. Es geht um gehackte Unternehmen, verlorene Daten und die Reaktion von Firmen auf Sicherheitsvorfälle.

Was ist der Unterschied zwischen der Sicherheit für Heimanwender und der Sicherheit für Firmen? Erstens freuen sich Heimanwender über relativ einfache Sicherheitslösungen, während die Firmensicherheit etwas sehr komplexes ist – das hat verschiedene Gründe, aber vor allem liegt es an der Komplexität der IT-Infrastruktur in Firmen. Zweitens müssen in Firmen auf allen Ebenen bestimmte Richtlinien angewandt werden, um den Schutz zu gewährleisten.

Doch wie gut sind Firmen, wenn es um die Sicherheit geht? Ehrlich gesagt, nicht sehr gut. Laut Gartner geben Firmen in drei Jahren 30 Prozent ihres Budgets für die Sicherheit aus. Zudem ist der alte Ansatz des rollenbasierten Zugriffs, der einmal der wichtigste Baustein der Firmensicherheit war, hoffnungslos veraltet. Heute drehen sich 90 Prozent um die Verhinderung digitaler Einbrüche und nur 10 Prozent um Entdeckung und Reaktion auf andere Bedrohungen.

Das bedeutet, dass ein Cyberkrimineller, sobald er es schafft, in die IT-Infrastruktur einzudringen, eine sehr komfortable Umgebung vorfindet, und das hat regelmäßig verheerende Folgen für das Opfer. Gartner empfiehlt daher sinnvollerweise, dieses Verhältnis der Sicherheitsmaßnahmen auf 60/40 zu ändern. So zeigte auch unser Bericht zu Carbanak, einer berüchtigten Angriffskampagne auf Banken und Finanzorganisationen, dass die Kriminellen ziemlich lange in dieser „10-Prozent-Zone“ unentdeckt blieben.

Die älteren Beiträge der Sicherheitswoche finden Sie hier.

Outlook Web App als Eintrittspunkt in die Firmeninfrastruktur

Der Artikel. Die Forschungsarbeit von Cybereason. Microsofts Stellungnahme.

Wenn jemand einen von vielen Firmen-PCs hackt, den Computer infiziert und Daten stiehlt – was würde der Hacker dadurch bekommen? Bei einem Laptop eines normalen Angestellten, könnte er wahrscheinlich ein paar arbeitsrelevante Daten und vielleicht weitere Informationen von den Dateiservern stehlen, auf die der Mitarbeiter Zugriff hat.

Viel effizienter wäre so ein Angriff aber, wenn das Ganze über den Computer eines Chefs oder Administrators laufen würde, die normalerweise höhere Rechte in der Infrastruktur haben. Der Zugriff auf einen Mail-Server würde über die E-Mails eine riesige Datenmenge kompromittieren. Ein aktueller Bericht von Cybereason zeigt, dass der Himmel Mails nicht die Grenze sind.

Wie so oft, ist der Grund nicht eine Sicherheitslücke in Outlook Web App (auch bekannt als Web Access, Exchange Web Connect und Outlook On The Web – Microsoft hat den Namen des Programms in den letzten 20 Jahren viermal geändert). Nein, die Angreifer haben (wahrscheinlich per Phishing) die Login-Daten eines Administrators gestohlen und eine schädliche (unsignierte!) DLL-Library injiziert. Damit erlangten Sie Zugriff auf die Mails UND auf das Active Directory. Damit konnten die Hacker auch von jedem Mitarbeiter Mails verschicken.

Und noch ein weiterer Schädling wurde auf dem IIS-Server gefunden, der die Verbindungen zu Webmail überwacht. Die Forschungsarbeit zeigte, dass die Täter laufend ein Auge darauf hatten, wer, wann und von wo aus sich in das Mail-Programm einloggte. Die Forscher informierten Microsoft, dass eine unsignierte Datei leicht auf einem Web-Access-Server ausgeführt werden kann, doch Microsoft sagt dazu, dass dies bei einem <em>richtig</em> konfigurierten System nicht passieren könne.

Was das bedeuten soll, ist sekundär. Einfach gesagt, haben wir bisher folgendes:

— einen Service, der standardmäßig sowohl auf das Internet, als auch auf das Intranet zugreifen kann

— schwache Sicherheit auf Seite der IT-Spezialisten (die Login-Daten wurden von einem Administrator gestohlen, nicht von einem normalen Angestellten)

— schlechte Server-Konfiguration, die eine reibungslose Installation einer Backdoor ermöglichte

— Unfähigkeit, den Einbruch schnell zu entdecken

Wir wollten den Patch gerade installieren…

Unter dem Strich haben wir eine Reihe von Problemen, die einzeln gelöst werden sollten. Interessanterweise ist die Datenintegration im Active Directory ganz ok und dieser Service ist gut geschützt (auch wenn es Beispiele gibt, bei denen genau dieser Angriffsvektor genutzt wurde). Allerdings besteht die Möglichkeit, weniger offensichtlicher Angriffsmethoden über das schwächste Glied.

Daten von 15 Millionen T-Mobile-Nutzern gestohlen

Der Artikel. Die Veröffentlichung von Experian, dem Opfer des Angriffs. T-Mobiles offizielle Stellungnahme.

Erlauben Sie mir hier eine kurze Einleitung. In den USA schließen die meisten Handy-Nutzer einen Langzeitvertrag mit einem Mobilfunkanbieter. Dazu gehört neben dem Telefon-/Internet-Tarif auch ein Gerät (Handy, Smartphone oder Tablet). Das scheint immer ganz praktisch zu sein: Man bekommt für wenig oder gar kein Geld ein neues Gerät, allerdings kann man erst nach Ablauf des Vertrags zu einem anderen Anbieter wechseln.

Vorab prüfen die Mobilfunkanbieter auch die Kreditwürdigkeit des Kunden – genau wie bei Kreditvergaben. Dazu senden die Anbieter eine Anfrage an ein örtliches Kreditbüro. Im Fall von T-Mobile war das Experian, und genau diese Firma wurde gehackt.

Laut der Bekanntmachung war der Einbruch „ein isolierter Vorfall über eine beschränkte Dauer“. Dennoch wurden dabei aber offensichtlich über zwei Jahre hinweg die Daten von 15 Millionen T-Mobile-Nutzern gestohlen. Der Fairness halber muss man sagen, dass beide Firmen das Ganze sehr offen und richtig behandelt haben. Beide haben auf ihren Webseiten eine genaue Beschreibung des Vorfalls veröffentlicht. Und allen Kunden, deren Daten gestohlen wurden, wurde ein kostenloser Kreditprüfungsdienst angeboten.

Dieser Fall zeigt gute Fortschritte bei den Prozessen nach einem solchen Einbruch – erst recht verglichen mit Fällen wie dem Target-Debakel, bei dem 40 Millionen Kreditkartendaten gestohlen wurden, die Supermarktkette sich aber nur zu einem kurzen Wir-haben-das-Problem-gelöst-Statement durchringen konnte.

Im Fall von T-Mobile sind keine Kreditkartendaten betroffen, allerdings wurden Informationen wie Namen, Adressen, Ausweisnummern usw. gestohlen. Der CEO von T-Mobile versicherte, dass die Daten „teilweise“ verschlüsselt waren – was im Grunde bedeutet, dass sie nicht sehr gut verschlüsselt waren.

Und sie sagen „unsere Daten sind verschlüsselt!“

Dieser Vorfall hat auch Auswirkungen auf die Privatsphäre. Kreditbüros wissen wahnsinnig viel über ihre Kunden und bekommen diese Daten von überall her. Zudem verkaufen sie diese Daten für viel Geld an andere Firmen, und die Käufer sind nicht immer bekannte und seriöse Firmen.

Und Experian hat nicht zum ersten Mal mit Kundendaten herumgepfuscht. Es gab unter anderem einen Fall, der nichts mit einem Einbruch zu tun hatte: Ein Vietnamese, der sich als Privatdetektiv aus Singapur ausgab, zahlte ganz legal für die Dienste von Experian und verkaufte die persönlichen Daten von 200 Millionen Amerikanern an mehrere cyberkriminelle Gruppen, die auf Identitätsdiebstahl spezialisiert sind.

Das ist erschreckend. Denn um zum Beispiel ein vergessenes Passwort bei Amazon zu ändern, muss man die Adresse, das Geburtsdatum oder die Sozialversicherungsnummer angeben – und all diese Daten werden von Firmen wie Experian gespeichert.

Und noch etwas: Diese Daten sind am verletzlichsten, wenn sie von einer Firma zu einer anderen übertragen werden – und das nur, weil die Sicherheitsrichtlinien und Sicherheitslösungen der Firmen unterschiedlich sein können.

Hersteller von Überwachungskameras blockiert Untersuchung zu Sicherheitslücke und verklagt Forscher

Der Artikel. Die wichtigsten Punkte der Forschungsarbeit.

Gianni Gnesa, Sicherheitsforscher bei der schweizerischen Firma Ptrace Security, schrieb einen Bericht für die HITB-GSEC-Konferenz in Singapur, in dem er Sicherheitslücken in Überwachungskameras behandelte. Allerdings kam es nie zur Veröffentlichung. Seine Forschungsarbeit enthielt Beispiele für Sicherheitslücken in mehreren Modellen von IP-Kameras von drei Herstellern (und wir werden nie wissen, welche das waren).

Niemand hätte gedacht, dass es so kommen würde: Gnesa schickte Berichte zu den Fehlern an die Hersteller, sprach regelmäßig mit deren Sicherheits-Teams und kündigte dann an, die Sicherheitslücken bei der Konferenz vorstellen zu wollen und wollte dafür auch die Zustimmung der Firmen haben. Doch die IT-Jungs verschwanden plötzlich und wurden durch Firmenanwälte ersetzt, die ihm sagten, er solle seine Forschungsarbeit nicht veröffentlichen, da ansonsten Konsequenzen drohen würden.

Leider ist das nicht das erste Mal und sicher auch nicht das letzte Mal, dass so etwas passiert. Der Grund dafür: Der Unterschied zwischen Black Hat und White Hat ist, zumindest mit gesundem Menschenverstand, offensichtlich (die White Hats „fügen keinen Schaden zu“) – aus rechtlicher Sicht ist das aber nicht so einfach. Ein gutes Beispiel dafür ist das Wassenaar-Abkommen – eine Vereinbarung zur „Exportkontrolle konventioneller Waffen und doppelverwendungsfähiger Güter und Technologien“.

Im Dezember 2013 nahm das Europäische Parlament auch Intrusion-Software in diese Liste auf. Die Idee des „Hacking für das größere Wohl“ ist natürlich an sich zweischneidig, doch in diesem Fall dachten die Gesetzgeber zumindest daran, dass Entwickler solcher Software (etwa das berüchtigte Hacking Team) bei der Wahl ihrer Kunden genauer aufpassen.

Allerdings definieren die Wassenaar-Regeln so ziemlich alles als „Einbruchs-Software“. Das erzeugt für die bösen Jungs keine großartigen Hindernisse, macht das Leben für die guten Jungs aber um einiges härter. Die Arbeit von Penetration-Testern würde durch die neue Regelung zum Beispiel ernsthaft gefährdet. Dadurch lehnte HP auch die Teilnahme am PWN2OWN-Hackathon in Japan ab, da es als Fall des „Exports von doppelverwendungsfähigen Gütern und Technologien“ gesehen werden könnte, wenn die HP-Forscher im Ausland eine Präsentation hielten.

Und wenn das mit Firmen bereits kompliziert ist, ist es bei der Gesetzgebung noch viel schlimmer. Die Beweggründe hinter dem Verbot der Offenlegung der Forschungsarbeit sind verständlich: Wenn man so ein Problem dadurch loswerden kann, warum sollte man diese Möglichkeit nicht nutzen? Aber wie beeinflusst das die Sicherheit der Produkte?

Ich würde nicht sagen, dass es besser ist, „alles offenzulegen“ statt „alles zu verbieten“. In manchen Fällen fällt die unverantwortliche Offenlegung kritischer Sicherheitslücken in Hard- oder Software auf die Anwender zurück. Am besten ist es, den Mittelweg zu wählen.

Was sonst noch passiert ist:

Um die Cyber-Sicherheit in Atomkraftwerken steht es sehr, sehr schlecht. Sie finden dazu auch einen Beitrag im Blog von Eugene Kaspersky. Die wichtigste Aussage ist: Wenn Sie glauben, es gebe eine Trennung zwischen kritischer Infrastruktur und dem Internet, sollten Sie darüber noch einmal nachdenken. Könnte gut sein, dass Sie falsch liegen.

Gartner sagt weiterhin die Zukunft voraus. Hier das Neueste: Bis 2018 müssen wir Maschinen entwickeln, die Maschinen verwalten, denn die manuelle Verwaltung der Geräte im Internet der Dinge wird dann unmöglich sein. Da kann ich kaum widersprechen, wenn ich daran denke, dass ich mein halbes Wochenende mit dem Versuch verbracht habe, vier Raspberry Pis zu verwalten.

Zudem könnten die Menschen dann auch mit Robo-Chefs arbeiten und Fitness-Tracker werden nicht mehr nur zur Überwachung der Fitness, sondern auch für die Kontrolle unserer alltäglichen Aktivitäten verwendet. Schöne neue Welt! Nun, das erwartet Sie nur, vorausgesetzt, Sie behalten Ihren Job, denn die am schnellsten wachsenden Firmen sollen in nur drei Jahren bereits dreimal mehr Roboter angestellt haben als Menschen.

Drohnen können gehackt werden (wer würde da widersprechen). Traditionell hat jeder neue Typ von Geräten „Kinderkrankheiten“ im Bereich der Sicherheit. In Fall von Drohnen sind es unsichere Verbindungsprotokolle, die keine Autorisierung enthalten.

Oldies:

Die Hymn-Familie

Eine Familie residenter Viren. Normalerweise infizieren sie COM- und EXE-Dateien beim Starten, Schließen, Umbenennen oder dem Ändern von Attributen. Wenn die Zahl des aktuellen Monats mit dem Tag übereinstimmt (zum Beispiel am 1. Januar (01.01.) oder 2. Februar (02.02)), zerstören die Viren einen Teil der Systeminformationen im Boot-Sektor des C-Laufwerks. Dann entschlüsseln sie ein Bild und zeigen dieses an:

Anschließend spielen sie die Nationalhymne der UdSSR, während sie gleichzeitig Bytes im Boot-Sektor auf Null setzen, die eine Anzahl von Bytes pro Sektor, eine Anzahl von Sektoren pro Cluster, eine Anzahl von FAT-Kopien usw. (insgesamt 9 Byte) haben. Sobald diese Änderungen im Boot-Sektor eines MS-DOS-Computers gemacht wurden, startet dieser nicht mehr – weder von Festplatte, noch von Diskette. Um die Informationen wiederherstellen zu können, muss man einen eigenen Mini-Launcher programmieren oder spezielle Tools verwenden. Hymn-1962 und Hymn-2144 verschlüsseln sich auch selbst.

Zitat aus „MS-DOS-Computerviren“ von Eugene Kaspersky, 1992, Seite 36. 

Hinweis: Diese Kolumne spiegelt die persönliche Meinung des Autors wider. Diese kann, muss aber nicht mit der Position von Kaspersky Lab übereinstimmen. Das ist Glücksache.