Web-Sicherheit

Januar 3, 2012

750 Unternehmen von RSA-Hack betroffen

Filed under: Allgemein — sebastiankuebeck @ 12:18
Tags: , , , ,

Ende Oktober letzten Jahres wurde eine Liste von Organisationen, die durch den Einbruchs bei RSA Security im März 2011 in Mitleidenschaft gezogen worden sind, dem US-Kongress vorgelegt.

Offenbar konnten die Einbrecher mithilfe der Informationen, die sie bei dem Hackerangriff auf RSA Security erbeutet hatten, genügend Informationen über das Sicherheitssystem SecureID sammeln, um damit in die Computersysteme namhafter Kunden von RSA Security einzubrechen (Details zu diesem Angriff findet der interessierte Leser unter anderem hier).

Der Sicherheitsanalyst Brian Krebs veröffentlichte daraufhin diese Liste auf seinem Blog. Unter den Organisationen befinden sich unter anderem 100 Unternehmen der Fortune 500. Auch zahlreiche Europäische Organisationen befinden sich unter den Betroffenen. Am Ende der Liste befindet sich eine Verteilung der IP-Adressen, welche von den Angreifern auf den gehackten Systemen zurückgelassen wurden. Die überwiegende Mehrheit stammt dabei aus der Region Peking.

Oktober 12, 2011

RSA offenbar von zwei unterschiedlichen Hackergruppen gehackt

Filed under: Allgemein — sebastiankuebeck @ 13:15
Tags: , , , ,

Wie es aussieht, waren an dem Einbruch bei RSA Security im März zwei unabhängige Hackergruppen beteiligt, die bei diesem Angriff zusammengearbeitet haben. Das behauptete zumindest Thomas Heiser, seines Zeichens „RSA Security President“ in seiner Keynote auf der diesjährigen RSA Konferenz in London am Dienstag. Beide seien den Behörden bekannt, aber sie hätten noch nie zuvor zusammengearbeitet, so Heiser.

Art Coviello, Chairman von RSA Security ist der Ansicht, dass ein Staat hinter dem Angriff stehen müsse. Ziel dieses Angriffs sei es gewesen, bei Kunden von RSA Security (beispielsweise beim Rüstungskonzern Lockheed-Martin) im großen Stil Industriespionage zu betreiben.

Das RSA Security versucht, die Angreifer als Superhacker darzustellen, gegen deren Angriffe es nach dem gegenwärtigen Stand der Technik unmöglich gewesen sei, sich wirksam zu verteidigen, ist verständlich, denn es soll von der Frage abgelenkt werden, wie es den Einbrechern gelang, von einem infizierten PC aus an die Schlüssel der SecurID-Tokens zu kommen. Schließlich muss man kein Sicherheitsexperte sein, um zu wissen, dass man heutzutage immer damit rechnen muss, dass Computer von Schadsoftware befallen werden und dass man sich davor nie zu hundert Prozent schützen kann.

Sicherheitsbewusste Hersteller von Sicherheitslösungen verwahren daher ihre Schlüssel in speziell abgesicherten Systemen (HSMs), die nicht mit dem restlichen IT-Netzwerk verbunden sind. Das bietet zwar auch keinen hundertprozentigen Schutz, macht aber Einbrüche ungleich schwieriger (entsprechende physische und organisatorische Maßnahmen wie richtiges Schlüsselmanagement etc. etc. vorausgesetzt).

Hartnäckigen Gerüchten zufolge sollen die Schlüssel auf einem Rechner eines Entwicklers gefunden worden sein. Sollte dies zutreffen, deutet das auf äußerst laxe Sicherheitspraktiken bei RSA Security hin und es ist anzunehmen, dass „vorsichtigere“ Einbrecher bereits zuvor Zugang zu diese Schlüsseln bekommen haben – beispielsweise mithilfe von „traditionelle“ Spionagetechniken.

Was aber wirklich bedenklich ist, ist das Kunden wie Lockheed-Martin RSA Security offenbar blind vertrauten haben und niemand etwa darauf bestand, die Schlüssel selbst zu verwalten. Das ist irgendwie so, als würde das Pentagon die Codes für die Nuklearwaffen im Kaffeehaus um die Ecke hinterlegen. Hoffentlich machen die das nicht wirklich so…

August 19, 2011

Laut Adobe wurden keine Flash-Player-Lücken unterschlagen

Filed under: Allgemein — sebastiankuebeck @ 09:56
Tags: , , , , , ,

Vor einer Woche behauptete der Sicherheitsspezialist Tavis Ormandy will 400 Sicherheitslücken in Adobes Flash-Player gefunden haben. Daraufhin kritisierte er Adobe dafür, die Lücken zwar geschlossen zu haben, ihn (Ormandy) aber nicht im offiziellen Fehlerbericht erwähnt zu haben.
Nun nimmt Brad Arkin, Sicherheitsbeauftragter von Adobe in einem Blog-Post zu den Vorwürfen Stellung. Laut Arkin hätten sich die 400 Schwachstellen auf insgesamt 104 Fehler reduzieren lassen. Da die Fehler im Zuge der Kooperation mit Google aufgedeckt worden sind, würden sie als interne Fehler behandelt und daher nicht extra ausgewiesen. Adobe hat den Bericht nun aktualisiert, in dem alle Fehler zusammengefasst werden und hat Ormandy explizit an erster Stelle genannt.

Damit hat Adobe auch indirekt zugegeben, die Software niemals selber mit Fuzzing-Werkzeugen getestet zu haben, obwohl diese Technik schon seit Jahren von Hackern und Autoren von Schadsoftware intensiv genutzt wird. So wurde beispielsweise in das Sicherheitsunternehmen RSA Security unter Ausnutzung einer Schwachstelle im Flash-Player eingebrochen. Die Angreifer stahlen dabei die Schlüssel des populären Authentifizierungssystems SecurID und verwendeten diese um bei Lockheed-Martin und anderen US-Rüstungsunternehmen einzubrechen. Schlussendlich musste RSA Security 40 Millionen SecureID-Tokens austauschen.

August 6, 2011

Einbruch bei RSA ging offenbar von China aus

Filed under: Allgemein — sebastiankuebeck @ 14:17
Tags: , , , ,

Dieser, auf CSO Online veröffentlichen Artikel zitiert Joe Stewart, Leiter der Abteilung  Malware Research bei Dell SecureWorks, der behauptet, der Einbuch bei RSA Security (inzwischen Teil von EMC) sei von China aus durchgeführt worden.

Irgendwann im letzten Jahr öffnete ein unvorsichtiger Mitarbeiter von RSA Security eine E-Mail, die vom firmeneigenen Spamfilter als Spam markiert wurde. In der E-Mail befand sich ein Excel-Sheet, welches seinerseits eine Flash-Animation enthielt, die mit Schadcode infiziert war. Dieser Schadcode nutze eine damals noch ungepatchte Lücke in Adobe’s Flash-Player um in den Computer des Mitarbeiters einzudringen. Dies öffnete den Angreiferen offenbar ein Tor zu den wertvollsten Daten, die RSA Security verwahrte, nämlich zu den Schlüsseln von zig Millionen SecurID-Tokens. Mit diesen Schlüsseln gelangten die Angreifer dann offenbar in die Netzwerke bekannter US-amerikanischer Rüstungsunternehmen wie Lockheed Martin. Daraufhin sah sich RSA Security gezwungen, über 40 Millionen im Einsatz befindliche SecurID-Tokens auszutauschen, konnte sich allerdings erst nach deri Monaten dazu durchringen, wodurch dem Unternehmen auf der Black-Hat-Konferenz der „Pwnie“ in der Kategorie „lahmste Herstellerreaktion“ verliehen wurde.

Laut Joe Steward ist diese Schlussfolgerung das Ergebnis aus seiner Arbeit an einem Projekt, indem er 60 verschiedene Familien von Schadsoftware klassifizieren sollte. Bei dieser Schadsoftware handelte es sich um keine gewöhnlichen Computerviren sondern um Software, die speziell für Spionageangriffe erstellt wurde. Diese Spionageangriffe werden häufig als  Advanced Persistent Threat (APT). Dieser begriff hat unterschiedliche Bedeutungen aber für Steward handelt es sich dabei um Spionageaktivitäten, die gegen Regierungen und die Industrie gerichtet sind.

Zwei Schadprogramme, von denen man weiß, dass sie im Zuges des Einbruchs bei RSA Security verwendet wurden, basieren auf dem bekannten Hackerwerkzeug „HTran“, dass den Ort des Steuerungsservers eines Botnets verschleiern kann. Ein solcher Steuerungsserver wird vom Angreifer betrieben und dient als Steuerungszentrale für die verteilte Schadsoftware, der letztlich auch alle erbeuteten Daten einsammelt.

Wenn sich der Schadcode im Computer des Opfers einnistet, leitet HTran eingehende Verbindungen an den verborgenen Steuerungsserver weiter. HTran wurde ursprünglich von einem bekannten chinesischen Hacker der sich selbst „lion“ nennt, programmiert. Lion wird nachgesagt, die „Honker Union of China“ – eine patriotische Hackergruppe in China gegründet zu haben.

HTran dient an sich dazu, die IP-Adresse des Steuerungsservers zu verbergen, allerdings gelang es Steward laut eigenen Angaben Fehlermeldungen von HTran auf den gehackten Computern zu finden und diese Enthielten IP-Adressen der Steuerungsserver. Stewart analysierte die Daten des RSA-Einbruchs, die ihm vom CERT zur Verfügung gestellt wurden und stellte laut eigenen Angaben fest,  dass zwei der MTran-Komponenten Netzwerkverkehr an ein paar chinesische Netzwerke weiterleiteten.  Es handelt sich dabei offenbar um zwei ISPs aus Beking und Shanghai, darunter China Unicom, einem staatlichen Telekommunikationsunternehmen.

Im Bericht von Dell SecureWorks ist zu lesen: „Es ist keine Überraschung dass Hacker, die ein chinesisches Hackerwerkzeug verwenden von IP-Adressen aus China operieren. Die meisten gefundenen IP-Adressen gehören großen ISPs, was Nachforschungen ohne die Unterstützung chinesischer Behörden schwierig bis unmöglich macht.“

SecureWorks veröffentlicht nicht nur einen Bericht indem Details über die Analysen enthüllt werden, sondern auch Signatiren für das bekannte Intrusion Detection System Snort, mit denen diese Schadsoftware identifiziert und blockiert werden können sollen. Der Einbruch bei RSA hat sich für die Mutterfirma EMC inzwischen als zeimlich kostspielig erwiesen, denn die Folgekosten haben sich laut Angaben von EMC auf 66 Millionen Dollar angehäuft.

Inzwischen hat ein anderes Sicherheitsunternehmen, nämlich McAfee, in einem Bericht mit dem Titel „Operation Shady RAT“ (Operation zwielichtige Ratte) mehr als 70 Firmen und Regierungen bezichtigt, seit 2006 Opfer von computergestützten Spionageangriffen (neudeutsch Cyber-Angriffen) geworden zu sein, ohne konkrete Quellen zu nennen.

Verwunderlich ist das alles natürlich nur für Leute, die glauben, dass sich alle Spione aus dem kalten Krieg inzwischen damit begnügen, ihre Kleingärten zu pflegen. Tatsächlich haben sich die schon zu Zeiten des Zerfalls der Staaten des warschauer Paktes hoffnungslos aufgeblähten Geheimdienste schnell die Wirtschaftsspionage als neues, einträgliches Betätigungsfeld ausgesucht  – natürlich ohne ihre bisherigen Spionagetätigkeiten zu vernachlässigen. Manche Geheimdienste wurden sogar von ihren Regierungen offiziell damit beauftragt, einheimische Firmen vor Industriespionage zu schützen und der eigenen Wirtschaft durch ihre Tätigkeit „Vorteile“ auf dem Weltmarkt zu verschaffen. Das sich diese Geheimdienste vermehrt das Internet für ihre Tätigkeiten suchen liegt wahrscheinlich an den geringeren Kosten und der hohen Effektivität im Verhältnis zur „traditionellen“ Spionagetätigkeit. Es ändern sich also wahrscheinlich nur die Methoden, nicht aber der Umfang der Spionagetätigkeit. Ebenso naiv ist es natürlich zu glauben, dass nur China diese Art „Informationsbeschaffung“ einsetzt.

Update: RSA gibt übrigens wieder Sicherheitstipps
Laut diesem kürzlich veröffentlichten Dokument müsse sich der Schtz vor APT auf die wichtigsten Bereiche konzentrieren, auf die „Kronjuwelen“, lautet einer der Ratschläge. Angreifer am Eindringen zu hindern, sei nicht immer möglich. Sie möglichst frühzeitig zu entdecken und die Folgen des Angriffs möglichst gering zu halten – das definiere den Erfolg der APT-Abwehr.

Angreifer am Eindringen zu hindern ist also nicht immer möglich? Nein, darauf wäre jetzt nun wirklich niemand gekommen…

Update 12.10.2011: RSA offenbar von zwei unterschiedlichen Hackergruppen gehackt

Juni 8, 2011

RSA tauscht 40 Millionen SecurID-Tokens aus

Filed under: Allgemein — sebastiankuebeck @ 07:41
Tags: , , , , ,

Das Sicherheitsunternehmen RSA Security geht nun doch davon aus, dass bei dem Einbruch im März Informationen entwendet  wurden, mit denen das 2-Faktor-Authentifizierungsverfahren SecurID umgangen werden kann. Offenbar haben die Einbrecher diese Informationen bereits genutzt, um das US-Rüstungsunternehmen Lockheed Martin erfolgreich anzugreifen. Wie aus einem offenen Brief von RSAs Chairman Arthur W. Coviello hervorgeht, zieht RSA Security die Notbremse und tauscht nun 40 Millionen SecurID-Tokens aus.

Besorgniserregend hierbei ist, dass SecurID zu den wichtigsten Authentifizierungsverfahren in besonders kritischen Bereichen wie dem Bankwesen, dem Gesundheitswesen, der Energieversorgung, dem öffentlichen Bereich und dem Militär zählt. Das liegt daran, dass sich dieses Verfahren auf der einen Seite relativ einfach in bestehende Infrastrukturen einbinden ließ und auf der anderen Seite doch ein deutlich höheres Maß an Sicherheit als die Passwortautentifizierung bot. Letzteres galt zumindest so lange, als es Angreifern nicht möglich war, die Zahlencodes, die der Token anzeigt, vorherzusagen. Unglücklicherweise ist genau das passiert und damit stehen nun zahlreiche Unternehmen und Behörden vor einem praktisch unlösbaren Problem, denn was sollen sie unternehmen, bis RSA die Tokens tatsächlich austauscht?

Das Authentifizierungsverfahren zu verbannen ist in den meisten Fällen keine praktikable Lösung, da es in vielen Fällen Jahre dauern kann, alle Systeme umzurüsten. Es würde damit erheblich länger dauern, ein neues Authentifizierungsverfahren einzuführen, als auf die neuen Tokens zu warten. Auf der anderen Seite sind betroffene Organisationen in der Zeit, bis die Tokens ausgetauscht sind, ganz besonders verwundbar. Radikale Maßnahmen wie besonders sensible Computer vom übrigen Firmennetz abzukoppeln, gehen in den meisten Fällen mit einer erheblichen Einschränkung der Geschäftstätigkeit einher, weshalb das auch keine Lösung ist.

Das Grundproblem ist nach wie vor, dass bei der IT-Sicherheit viel zu lange weggesehen wurde. Schließlich hat es für Adobe & Co (der Einbruch bei RSA wurde durch eine Schwachstelle in Adobes Flash-Player-Plugin erst möglich) nach wie vor keine wie auch immer gearteten Konsequenzen, wenn sie verwundbare Software ausliefern und Sicherheitsaktualisierungen monate- oder jahrelang hinauszögern.

Gleichzeitig – und das ist das Hauptproblem – haben wir uns inzwischen der vernetzten IT auf Gedeih und Verderb ausgeliefert, wobei sich bei den meisten Systemen keiner wirklich Gedanken über die Sicherheit gemacht hat. So ist das Hacken inzwischen zu einem Milliardengeschäft und zum bevorzugten Mittel zur Informationsbeschaffung von Geheimdiensten geworden.

Meiner Meinung nach wird es daher früher oder später zwangsläufig zu einer „Entnetzung“ in kritischen Bereichen kommen, also zu einer Gegenbewegung zu der gegenwärtigen bedenkenlosen Vernetzungswut, bei der jegliche Sicherheitsprobleme einfach ignoriert werden. Bis es soweit ist, wird es allerdings noch sehr viel schlimmer werden. Sehr viel schlimmer. Erst dann wird der Leidensdruck groß genug, dass die Entnetzung allgemein akzeptiert wird.

Anfang des 22. Jahrhunderts wird man wohl auf unsere Zeit zurückblicken und sich wundern, wie naiv die Menschen mit vernetzter Informationstechnologie am Anfang des 21. Jahrhunderts umgegengen sind, genauso wie wir uns heute wundern, wie naiv Leute am Anfang des 20. Jahrhunderts mit der Radioaktivität umgegangen sind. Es gab damals beispielsweise radioaktive Zahnpasta und Gefäße, mit denen man das Trinkwasser verstrahlen konnte, damit es „gesünder“ würde…

Diese radioaktive Zahncreme wurde zwischen 1945 und 1950 verkauft…

April 5, 2011

Flash Player war schuld an Einbruch bei RSA

Filed under: Allgemein — sebastiankuebeck @ 06:59
Tags: , , ,

Ein E-Mail-Attachement mit einem manipulierten Excel-Spreadsheet, welches eine Zero-Day-Schwachstelle in Adobes Flash ausnützte, um einen Trojaner auf dem PC eines Mitarbeiters zu installieren, war also schuld am Einbruch bei RSA. Die E-Mail wurde zwar vom Spamfilter in die Quarantäne verschoben, doch hat sie ein unvorsichtiger Mitarbeiter doch geöffnet und sich so mit dem Trojaner infiziert.

Zero-Day-Schwachstellen sind solche, die dem Hersteller noch nicht bekannt sind und für die es keinen Patch gibt. Virenscanner erkennen Angriffe auf diese Schwachstellen erst, wenn sie dafür eine Signatur angefertigt haben und diese über den Update-Mechanismus des Virusscanners verteilt haben. Bist letzteres der Fall ist, hat man praktisch keine Möglichkeit, sich vor dem Angriff wirksam zu schützen. Klar hätte der Mitarbeiter das Attachement nicht öffnen müssen, aber Mitarbeiter sind Menschen und Fehler passieren.

Letztendlich hilft nur die Einsicht, dass es keine perfekte Sicherheit gibt und dass man kritische Infrastruktur nur schützen kann, wenn man eine tiefgreifende Verteidigung zur Verfügung hat, wie das in Kapitel 4 meines Buches beschrieben ist. Eine tiefgreifende Verteidigung bietet auch dann noch Schutz, wenn ein oder mehrere Verteidigungsmechanismen versagen. Sicherheitsbewusste Unternehmen sind für Sicherheitsvorfälle vorbereitet und wissen auch wie man Auswirkungen derselben eindämmt.

Graz um 1600. Tiefgreifende Verteidigung bis ins 19. Jahrhundert: Wer die Stadtmauer überwand
musste auch noch die Festung am Schlossberg erobern, um Graz wirklich einzunehmen.
Das gelang erst Napoleon, indem er im Friedensvertrag von Schönbrunn (1809) durchsetzte,
dass die Burg zerstört wurde.

März 23, 2011

Sicherheitsunternehmen RSA Security gehackt

Filed under: Allgemein — sebastiankuebeck @ 08:27
Tags: , , , ,

Nachdem vor einiger Zeit das Sicherheitsunternehmen HBGary Ziel von Hackerangriffen war, hat es nun RSA Security erwischt. Im Gegensatz zu HBGary ist RSA allerdings keine lokale Größe sondern das wahrscheinlich bekannteste IT-Sicherheitsunternehmen überhaupt. Laut Angaben des Unternehmens handelte es sich um eine Serie von äußerst ausgeklügelten Angriffen, die offenbar das Ziel hatten, Informationen über das Produkt SecurID zu erhalten.

Der SecurID-Token generiert alle paar Sekunden eine Zufallszahl. Zur
Anmelden gibt man einfach diese Zahl zusammen mit einer Geheimzahl,
die man sich merken muss, an. Da keine Hardwareverbindung zwischen
Computer und Token nötig ist, lässt sich dieses Verfahren einfach in die
bestehende IT-Infrastruktur integrieren.

SecurID ist wahrscheinlich eines der populärsten Verfahren zur Umsetzung von Zwei-Faktor-Authentifizierung. Angeblich sind 40 Millionen dieser Geräte im Umlauf und würde es den Einbrechern gelungen sein, die Zahlen, die dieses Gerät produziert, vorherzusagen, hätten logischerweise alle Kunden von RSA, die dieses Produkt verwenden, ein massives Problem.

Laut dem anerkannten Sicherheitsexperten Bruce Schneier ist allerdings zur Zeit nicht klar, was genau passiert ist und welche Informationen entwendet wurden, deshalb kann man zu diesem Zeitpunkt noch nicht sagen, ob bestehende Geräte nun unsicher sind, oder nicht.  Würde es zum Schlimmsten kommen und die Angreifer könnten die Zahlen aller Geräte vorhersagen, hat RSA keine möglichkeit, die Software auf diesen Geräten auszutauschen, da diese Versiegelt sind und Firmware-Updates nicht vorgesehen sind. Bliebe RSA nur noch der Weg, alle Geräte auszutauschen, was eine enorme wirtschaftliche Belastung für das Unternehmen darstellen würde. Der Schaden ist ohnehin jetzt schon hoch, das das Unternehmen seinen Ruf als Vorzeigeunternehmen in Sachen Sicherheit erst einmal los ist.

Dieser Vorfall zeigt einmal mehr, dass es selbst den besten Sicherheitsexperten nicht möglich ist, ihre IT wirksam abzusichern. Warum das nicht möglich ist, hat Bruce Schneier kürzlich in einem Interview erklärt:

Es gibt einfach zu viele Angriffsmöglichkeiten gegen heutige IT-Systeme und wenn jemand wirklich bereit ist, unbegrenzt Zeit und Geld zu investieren, um in die IT-Systeme eines Unternehmens einzudringen, wird er irgendwann Erfolg haben.

Wir haben uns mit dieser Realität bei der physischen Sicherheit längst abgefunden und gehen laufend Kompromisse zwischen Kosten und Aufwand auf der einen und Sicherheit auf der anderen Seite ein. Bei der Informationssicherheit verhält es sich nicht anders. Die Möglichkeiten, IT-Systeme abzusichern, sind nun einmal begrenzt und daran können auch die besten Sicherheitsexperten der Welt nichts ändern.

Update vom 8.6.2011

Der schlimms mögliche Fall ist offenbar tatsächlich eingetreten: die Hacker benutzten die geklauten Informationen, um beim Rüstungskonzern Lokheed Martin einzubrechen. Nun sieht sich RSA Security gezwungen, 40 Millionen SecureID-Tokens auszutauschen.

Bloggen auf WordPress.com.