- Details
- Geschrieben von Joel Peretz
- Kategorie: IT Security
- Zugriffe: 10505
Sicherheitsrelevante Software Tools in kritischen Infrastrukturen
Schutz vor Bedrohungen: Die Rolle sicherheitsrelevanter Softwaretools in kritischen Infrastrukturen - Einsatz von neuesten und innovativsten Software-Releases
Theme: Schwachstellen; Exploits
Digitalisierung bedeutet, Aufgaben leichter und häufig auf eine bisher nicht mögliche Weise zu erledigen. Dies ist wirtschaftlich und befriedigend. Was früher unmöglich war oder nur mit erheblichem Aufwand und vielen Mitarbeitern bewältigt werden konnte, lässt sich jetzt mit einem Smartphone auslösen. Daten abrufen, Prozesse starten, Einkäufe tätigen und die Kommunikation von praktisch überall aus durchführen und verwalten – das klingt auf den ersten Blick vorteilhaft und verlockend. Dennoch birgt die Digitalisierung erhebliche Gefahren und Nachteile.
Einerseits entwickelt sich die digitale Welt sehr schnell, insbesondere bei fortgeschrittenen Technologien und Forschungsbereichen wie Künstliche Intelligenz, Robotik, Machine Learning und Cloud Computing. Andererseits nehmen die Herausforderungen in Bezug auf die Integration von sich ständig weiterentwickelnden Technologien zu, und die IT-Fachkräfte weltweit müssen sich rasant weiterentwickeln. Das Management und die Geschäftsführung sind überzeugt, dass der Einsatz dieser Technologien für das Unternehmen von Bedeutung ist oder sein kann. Die Termine können nicht so geplant werden, dass auf die Reife neuer Technologien und Software gewartet wird. Es ist ungewiss, wann sie überhaupt vollständig einsatzbereit sind.
Außerdem können bösartige Hacker und schädliche Software mittlerweile Schwachstellen ausnutzen, um Schaden anzurichten. Oft wird dabei ein wichtiges Prinzip 'vergessen', eine Art Faustregel, die schwer zu befolgen ist: Niemals die allerneueste Version von irgendetwas einsetzen, sei es Verwaltungssoftware, Entwicklungswerkzeug, Server oder Ähnliches. Es schließt nicht aus, dass es in seltenen Fällen dennoch erforderlich sein kann, etwa wenn ein Fix für einen Treiber benötigt wird oder wenn Software in der Entwicklung nicht downgraded werden kann. Es gibt verschiedene Szenarien, die man sich vorstellen könnte, aber im Allgemeinen weiß man, dass es nicht ratsam ist und daher der Faustregel widerspricht.
Gerade bei kritischen Infrastrukturen trägt das Ganze eine immense Bedeutung, man kann sogar sagen, eine noch größere Bedeutung. Es stimmt zwar, dass es keine hundertprozentige Sicherheit gibt, aber nichts dagegen zu unternehmen, wäre fatal. Niemand bestreitet, dass Sicherheit in IT-Systemen unabdingbar ist. Bei älteren Versionen von Softwarekomponenten bedeutet es nicht automatisch, dass keine weiteren Schwachstellen vorhanden sind, auch wenn bereits bekannte Schwachstellen, sogenannte Exploits, entdeckt und gepatcht wurden.
Es wäre naiv anzunehmen, dass alle Schwachstellen, selbst wenn sie entdeckt wurden, auch kommuniziert wurden – sei es von bösartigen Akteuren oder möglicherweise sogar von Mitarbeitern von Unternehmen, die beauftragt wurden, Schwachstellen zu finden. Natürlich genießen Erstere einen höheren Grad an Glaubwürdigkeit und Vertrauen, aber in allen Lebensbereichen hat sich gezeigt, dass dies allein nicht ausreicht. Das Mindeste, was man tun kann, ist zu vermeiden, was so gut wie sicher ist: dass in brandneuer Software Schwachstellen gefunden werden. Und es ist besser, wenn dies von den wohlwollenden Teilnehmern in der Gesellschaft geschieht.
Angriffe und Folgen
Nun, hier kommen wir ins Dilemma. Wenn die IT allgegenwärtig ist, insbesondere in kritischen Infrastrukturen eines Landes und in der Wirtschaft, verspüren viele Interessenten das Bedürfnis, ihren Einfluss geltend zu machen. Ein Land kann sich nicht schutzlos und schwach den Gefahren stellen, und ein Unternehmen ebenso wenig. Doch sowohl ein Land als auch ein Unternehmen verfolgen ihre eigene Politik. Angefangen bei der Bewertung der Sachlage, der Auswertung der Schäden auf der sofortigen, mittel- und langfristigen Zeitskala bis hin zum Wettbewerb und der Positionierung im internationalen und lokalen Markt – welche Auswirkungen kann es haben, wenn der Sicherheitsschutz durchbrochen ist?
Zunächst könnte dies auf Schwachstellen im Management hinweisen. Es würde möglicherweise bedeuten, dass das Management oder Politiker es versäumt haben, sich rechtzeitig auf dem Laufenden zu halten und über Entwicklungen im Bereich oder sogar über die Gefährdungslage informiert zu sein. Zudem wird die Verunsicherung in der Bevölkerung oder bei Konsumenten stark steigen, was zu wirtschaftlichem Vertrauensverlust führen kann. Dies könnte auch einen allgemeinen Vertrauensverlustprozess auslösen, der erhebliche Schwierigkeiten bei der Ausweitung der Digitalisierung und der Einführung schriftlicher Computersysteme, die möglicherweise notwendig und sinnvoll sind, mit sich bringen kann. Was man nicht weiß, führt zu Irritationen. So zu tun, als ob alles in Ordnung ist und die Gefahren nicht so hoch sind, wird auf lange Sicht nicht von Nutzen sein. Schließlich wissen die Angreifer mehr als der durchschnittliche Bürger, und das Problem ist, sie können überall physisch ihren Sitz haben. Ein Angreifer kann in einigen Fällen, wenn auch nicht immer, sogar im Ausland auf einem anderen Kontinent sitzen und nach einer Dusche und einem Abendessen bequem einen Angriff starten. Die Verfolgung von Profis ist sehr erschwert, manchmal sogar unmöglich oder wenig erfolgversprechend.
Wir kommen nun zu den Software-Werkzeugen oder Frameworks, mit denen Programme erstellt werden. Man kann sich das vorstellen wie den Bau einer Tür aus Stahl mit einem sicheren Schloss, das nicht durchbohrt werden kann, auch nicht mit spezieller Ausrüstung. Stellen Sie sich jedoch vor, dass trotz dieser Sicherheitsvorkehrungen ein Fehler gemacht wird, indem man fertige Türen produziert und jedem Kunden zwei Schlüssel aushändigt. Einer für die eigene gekaufte Tür und der andere ein Master-Schlüssel für alle anderen Türen. In der Realität wäre es schwer vorstellbar, dass dies mit physischen Schlüsseln passiert. Was aber, wenn nur ein Schlüssel ausgegeben wird und der andere maschinell im letzten Moment von der Maschine hinzugefügt wird? Nun, das wäre ebenfalls eher unwahrscheinlich.
Jetzt nehmen Sie an, es wurde im Design der Schlüssel ein Fehler gemacht und übersehen, dass die beiden Schlüssel die eigene Tür öffnen, aber wenn man sie fast bis zum Anschlag im Schlosszylinder einführt, öffnen sie jede Tür. Einige Angreifer werden genau so vorgehen: Sie werden mit Phantasie oder basierend auf Erfahrung systematisch und automatisiert alle Möglichkeiten erkunden, die bereits bei anderen Produkten bekannten Fehler sowie ähnliche oder völlig neue Angriffsmethoden. Wenn sie herausfinden, wie sie einen herkömmlichen Schlüssel für die Öffnung einer anderen Tür oder sogar aller Türen verwenden können, ist es Game Over für das System. Je nach den verfügbaren Möglichkeiten, die sie jetzt in der Hand haben, werden die Schäden oder Manipulationen im System entsprechend aussehen.
Schwachstellen und Exploits
Bekanntlich gibt es Schwachstellen, die sogenannten Exploits, die gerade erst gefunden und gemeldet wurden. Zero-Day-Exploits sind jene, die gerade erst entdeckt wurden. Stimmt das? Nicht unbedingt. Der Begriff "Zero Day" bedeutet im besten Fall, dass sie gemeldet und bekannt gemacht wurden. Schwachstellen sind oft erst Jahre nach ihrer Entdeckung gemeldet worden. Wenn sie nicht gemeldet werden, bleiben sie vielleicht bis heute unbekannt. Es gibt sogenannte "Bugs Bounty"-Enthusiasten, die nach Fehlern oder Schwächen in der Konstruktion von Software suchen. Wenn sie fündig werden, melden sie es. Und wenn nicht? Es gibt auch Mitarbeiter in Unternehmen, die nach Verfehlungen in Treibern oder API-Schnittstellen suchen. Werden sie es melden, wenn sie fündig werden? Klar, sagen wir, und vielleicht behalten wir es für uns. Kriminelle oder andere mit schlechten Absichten würden, wenn sie etwas finden, jedoch sofort an die Öffentlichkeit gehen und dabei entkommen, oder? Bestimmt nicht.
Wir sehen, dass die Anzahl der Möglichkeiten und der Schwierigkeitsgrad beim Schutz von Systemen sehr unterschiedlich sind. Was ist also die genaue Relevanz zu unserem Thema hier, denn die meisten davon wissen wir bereits seit langem?
Wenn Software jeglicher Art auf den Markt kommt oder verbreitet wird, sollte man sich sehr bewusst sein, dass dies genau der gefährlichste Zeitpunkt im gesamten Lebenszyklus des Systems ist. Hier nimmt man etwas Neues in die Hand und installiert es im System. Hier könnte man selbst und eigenhändig dazu beitragen, dass Schäden entstehen. Wenn es von einer zuverlässigen Quelle wie bekannten Unternehmen stammt, sollte man sich darüber informieren, welche Maßnahmen sie ergriffen haben oder ergreifen, um ihre Software abzusichern. Ein Blick in die Vergangenheit des Unternehmens kann nicht schaden. Wenn es aus quelloffener Quelle stammt, könnte man den Quellcode manuell und automatisiert mit Tools durchforsten und nach allem suchen, was auffällig ist.
Auch wenn nichts gefunden wird, bedeutet das bei weitem nicht, dass nichts vorhanden ist. Bei manchen Softwareprodukten wie Frameworks und Werkzeugen tauchen Schwachstellen erst nach Monaten auf. Wenn diese Software nicht zum Beispiel dringende Sicherheitsupdates geliefert hat, sollte man beim Einsatz der allerneuesten Version dieser Software sehr vorsichtig sein.
Informationen zu bereits vorhandenen spezifischen Listen von Exploit-Datenbanken können bereitgestellt werden. Es ist jedoch zu beachten, dass solche Informationen sich schnell ändern können, und es ist wichtig, aktuelle und zuverlässige Quellen zu konsultieren. Sicherheitsfachleute und IT-Experten können regelmäßig aktualisierte Informationen zu Exploits und Schwachstellen von anerkannten Quellen wie dem National Vulnerability Database (NVD), dem Common Vulnerabilities and Exposures (CVE) System, dem Exploit Database (Exploit-DB), dem Metasploit Framework und anderen erhalten. In diesen Datenbanken sollte man je nach dem, wonach man sucht, fündig werden. Falls es bereits Exploits gab, kann man kreativ nach diesen Exploits suchen. Wenn es in der Vergangenheit Probleme im Bereich des Arbeitsspeichers gab, kann man im Arbeitsspeicherbereich suchen, und so weiter.
Natürlich bleibt die Gefahr, dass es etwas ganz Neues gibt, was von Tools, die es nicht kennen, nicht entdeckt werden kann.
Hier ein paar Links zu den einigen bekannten Exploits-Datenbanken.
National Vulnerability Database (NVD) https://www.nist.gov/cybersecurity
Common Vulnerabilities and Exposures (CVE) https://cve.mitre.org/
Exploit Database (Exploit-DB) https://www.exploit-db.com/
Metasploit Framework https://www.metasploit.com/
Im Folgenden sehen Sie eine Liste bekannter Zero-Day-Exploits. Es ist wichtig zu beachten, dass sie existierten, bevor sie entdeckt wurden. Dies dient lediglich als Anregung zum Nachdenken. Später werden wir auch über Exploits-GAU wie Log4Shell sprechen.
-
Stuxnet (2010): Zielte auf bestimmte Siemens-Industriesteuerungssysteme ab und wurde berühmt wegen seiner Verwendung gegen das iranische Atomprogramm.
-
Heartbleed (2014): Eine schwerwiegende Sicherheitslücke im OpenSSL-Kryptographie-Protokoll, die dazu führte, dass Angreifer vertrauliche Daten aus dem Arbeitsspeicher eines Servers extrahieren konnten.
-
WannaCry (2017): Ein Ransomware-Angriff, der auf eine Schwachstelle im Microsoft Windows-Betriebssystem abzielte und weltweit große Systeme beeinflusste.
-
Meltdown (2018): Eine Sicherheitslücke in modernen Mikroprozessoren, die es Angreifern ermöglichte, auf geschützte Bereiche des Speichers zuzugreifen.
-
SolarWinds (2020): Ein komplexer Cyberangriff, bei dem Angreifer die Softwareversorgungskette von SolarWinds infiltrierten und schädlichen Code in Software-Updates einschleusten, der von zahlreichen Organisationen verwendet wurde.
Heute habe ich mich mit neuen Exploits im SNMP-Protokoll beschäftigt, die über ein Python-Skript remote ausgenutzt werden könnten. Dieses Thema liegt jedoch nicht im Fokus des Artikels, den ich behandeln soll. Vielleicht ein anderes Mal.
Bis dahin, das sind die:
CVE-2002-0013: By flooding SNMP with a large number of GetRequest, GetNextRequest, or SetRequest packets, an attacker can use SNMPv1 to initiate a denial of service attack or obtain elevated privileges.
CVE-2002-0012: Attackers can carry out a denial of service attack or obtain elevated privileges by utilizing SNMPv1 trap handling.
Glossar
- Details
- Geschrieben von Joel Peretz
- Kategorie: IT Security
- Zugriffe: 745
Hardware Security Modules - HSMs vs. Software Vaults
Schutz auf höchstem Niveau: Ein Blick auf die Welt der Sicherheitsmodule und Software-Tresore für Ihre wertvollen Daten
Hochsicherheitsmodule (Hardware Security Modules - HSMs) gegenüber Software-Tresoren: Warum Unternehmen auf bewährte Hardware setzen sollten
In der heutigen digitalen Ära sind Daten zu einer der wertvollsten Ressourcen geworden, die Unternehmen besitzen. Mit der steigenden Bedrohung durch Cyberangriffe und Datenverletzungen stehen Unternehmen vor der Herausforderung, ihre sensiblen Informationen zu schützen. Hier kommen Sicherheitslösungen ins Spiel, und es gibt eine wichtige Frage zu klären: Sollten Unternehmen auf Hardware-Sicherheitsmodule (HSMs) oder auf Software-Tresore setzen, um ihre Daten zu schützen?
HSMs und Software-Tresore sind beide Sicherheitslösungen, die entwickelt wurden, um vertrauliche Daten zu schützen, Verschlüsselung durchzuführen und Sicherheitsrichtlinien durchzusetzen. Beide haben ihre Vor- und Nachteile, aber immer mehr Unternehmen erkennen den Wert von HSMs und entscheiden sich dafür, diese bewährte Technologie einzusetzen. In diesem Essay werden wir untersuchen, warum Unternehmen HSMs gegenüber Software-Tresoren bevorzugen sollten.
Hardware-basierte Sicherheit
Der offensichtlichste Vorteil von HSMs gegenüber Software-Tresoren ist die hardwarebasierte Sicherheit. HSMs sind speziell entwickelte physische Geräte, die in der Lage sind, kryptografische Operationen sicher und effizient durchzuführen. Sie sind gegen physische Angriffe geschützt und bieten eine robuste Abwehr gegen Manipulationsversuche. Im Gegensatz dazu laufen Software-Tresore auf herkömmlicher Hardware, die anfälliger für Angriffe ist.
Schutz vor Software-Schwachstellen
Software-Tresore sind anfällig für Software-Schwachstellen und -Exploits. Selbst wenn eine Software-Tresor-Anwendung gut entwickelt ist, kann sie von neuen Schwachstellen oder Zero-Day-Exploits bedroht sein. HSMs hingegen sind von Natur aus gegen solche Bedrohungen geschützt. Sie arbeiten auf einer viel niedrigeren Ebene des Systems und sind schwerer zu kompromittieren.
Leistung und Skalierbarkeit
HSMs bieten in der Regel eine bessere Leistung und Skalierbarkeit als Software-Tresore. Sie sind in der Lage, eine große Anzahl von Transaktionen und Anfragen pro Sekunde zu verarbeiten, ohne die Leistung zu beeinträchtigen. Dies ist entscheidend für Unternehmen, die eine hohe Arbeitslast und einen kontinuierlichen Betrieb benötigen.
Einhaltung von Sicherheitsstandards
In vielen Branchen, insbesondere in den Bereichen Finanzen, Gesundheitswesen und Regierung, gibt es strenge Sicherheitsstandards und Vorschriften, die eingehalten werden müssen. HSMs sind oft zertifiziert und konform mit diesen Standards, was Unternehmen bei der Einhaltung regulatorischer Anforderungen unterstützt.
Schlüsselverwaltung und Zugriffskontrolle
HSMs bieten eine robuste Schlüsselverwaltung und Zugriffskontrolle. Dies ermöglicht es Unternehmen, kryptografische Schlüssel sicher zu speichern und den Zugriff auf diese Schlüssel auf strenge Weise zu kontrollieren. Software-Tresore können Schwierigkeiten bei der Verwaltung von Schlüsseln und der Durchsetzung von Zugriffsrichtlinien haben.
Fazit
Während Software-Tresore in bestimmten Anwendungsfällen nützlich sein können, sollten Unternehmen ernsthaft in Betracht ziehen, auf HSMs als ihre bevorzugte Sicherheitslösung zu setzen. Die hardwarebasierte Sicherheit, der Schutz vor Software-Schwachstellen, die Leistung, die Einhaltung von Sicherheitsstandards und die robuste Schlüsselverwaltung machen HSMs zur idealen Wahl für Unternehmen, die ihre sensiblen Daten schützen müssen. In einer Zeit, in der Datensicherheit von größter Bedeutung ist, sind bewährte Lösungen wie HSMs ein wesentlicher Bestandteil jeder
- Details
- Geschrieben von Joel Peretz
- Kategorie: IT Security
- Zugriffe: 760
Die Vorteile der Cloud für Cyberangreifer: Herausforderungen und Lösungen
Wie die Cloud den Spielplatz für Cyberangreifer erweitert – und wie Unternehmen sich verteidigen können
Die Cloud-Technologie hat zweifellos eine Revolution in der Art und Weise gebracht, wie Unternehmen weltweit Daten und Anwendungen speichern, verwalten und nutzen. Die Vorteile sind offensichtlich: Skalierbarkeit, Kosteneffizienz, Flexibilität und bequemer Remote-Zugriff. Doch während Unternehmen von diesen Vorteilen profitieren, nutzen auch Cyberangreifer die Umstellung der Netze auf die Cloud, um ihre Angriffstechniken weiterzuentwickeln und sich neue Möglichkeiten zu erschließen. In diesem Essay werden wir die verschiedenen Wege erkunden, wie Cyberkriminelle von der Cloud profitieren, die Herausforderungen, die sich daraus ergeben, und mögliche Lösungen zur Stärkung der Cybersecurity in der Cloud.
I. Die Cloud als Angriffsziel
1. Ausnutzung von Cloud-Schwachstellen
Die Migration in die Cloud bietet Cyberkriminellen eine erweiterte Angriffsfläche. Sie suchen nach Schwachstellen in den Sicherheitsmaßnahmen von Cloud-Providern und Unternehmen, um Daten zu stehlen, Systeme zu kompromittieren und den Zugriff auf kritische Ressourcen zu erlangen.
2. Phishing und Social Engineering in der Cloud
Cyberangreifer nutzen Cloud-basierte Dienste für Phishing-Angriffe und Social Engineering. Sie erstellen gefälschte Cloud-Logins und verwenden diese, um sensible Informationen von Benutzern zu erlangen.
II. Cloud für Malware-Verbreitung
1. Malware in der Cloud
Cyberkriminelle nutzen die Cloud als Plattform für die Verbreitung von Malware. Sie können schädliche Dateien in Cloud-Speichern oder Anwendungen hochladen und diese dann über Links oder E-Mail-Anhänge verbreiten.
2. Botnets und DDoS-Angriffe in der Cloud
Die Cloud ermöglicht es Cyberangreifern, mächtige Botnetze aufzubauen und Distributed-Denial-of-Service (DDoS)-Angriffe durchzuführen. Durch die Skalierbarkeit der Cloud können sie massive Angriffe orchestrieren, die die Infrastruktur und Dienste von Unternehmen lahmlegen.
III. Datenlecks und Datenschutzverletzungen
1. Unsichere Konfigurationen und Datenexfiltration
Cyberangreifer nutzen unsichere Konfigurationen von Cloud-Diensten aus, um auf vertrauliche Daten zuzugreifen und diese zu exfiltrieren. Solche Vorfälle können schwerwiegende Datenschutzverletzungen zur Folge haben.
2. Insider-Bedrohungen in der Cloud
Insider-Bedrohungen sind in der Cloud besonders problematisch. Mitarbeiter oder Auftragnehmer mit Zugriff auf Cloud-Ressourcen können absichtlich oder unbeabsichtigt Daten exfiltrieren oder gefährden.
IV. Möglichkeiten zur Stärkung der Cybersecurity in der Cloud
1. Sicherheitsbewusstsein und Schulung
Unternehmen sollten ihr Sicherheitsbewusstsein schärfen und Mitarbeiter in Bezug auf Cloud-Sicherheitsbest Practices schulen. Das Erkennen von Phishing-Versuchen und verdächtigem Verhalten ist entscheidend.
2. Zero Trust Security-Modell
Das Zero Trust Security-Modell, bei dem jeder Benutzer und jede Ressource überprüft wird, ist in der Cloud-Umgebung besonders wirksam. Es minimiert das Risiko von Insider-Bedrohungen und unbefugtem Zugriff.
3. Cloud-Sicherheitslösungen
Die Implementierung von Cloud-Sicherheitslösungen wie Firewalls, Intrusion Detection Systems und Verschlüsselung ist unerlässlich. Diese Maßnahmen helfen dabei, Angriffe frühzeitig zu erkennen und zu verhindern.
Die Cloud bietet zweifellos viele Vorteile, aber sie bringt auch neue Herausforderungen für die Cybersecurity mit sich. Cyberangreifer sind schnell dabei, die Möglichkeiten der Cloud auszunutzen, um ihre Angriffstechniken zu verfeinern. Unternehmen müssen proaktiv handeln, um sich vor diesen Bedrohungen zu schützen, indem sie bewährte Sicherheitspraktiken implementieren und fortschrittliche Sicherheits