WannaCry im Sog von DoublePulsar

Geplant war es einen anderen Beitrag im Blog online zu stellen, aber die aktuellen Ereignisse zu ignorieren geht natürlich auch nicht. Daher haben wir uns entschlossen das Thema passend zu den aktuellen Ereignissen zu ändern. Der ursprüngliche Beitrag mit dem Thema eMail als Kommunikationsplattform im Unternehmen ist für den nächsten Monat geplant.

Jetzt ist es passiert und zwar mit Ansage! Primär sind natürlich diejenigen schuldig, die den Schadcode entwickelt haben um damit Geld von den Opfern zu erpressen. Genauso Schuld sind aber auch die “Sicherheitsdienste”, die die Lücke verschwiegen haben, Microsoft und sein Patch Management, die Unternehmen, die veraltete oder nicht aktualisierte Systeme einsetzen und zum Schluss der Anwender selbst. Schuld haben an dem aktuellen Zustand der globalen IT Infrastruktur alle. Wichtig ist es jetzt aber aus den Fehlern endlich mal zu lernen, diese objektiv und sachlich zu betrachten und dann vor allem auch Konsequenzen daraus zu ziehen und natürlich entsprechende Maßnahmen ergreifen und diese zeitnah umzusetzen. Aber jetzt erst einmal der Reihe nach:

Die Sicherheitsdienste eines Staates sollen den Staat selbst, die Verfassung und natürlich die eigenen Bürger schützen. Das Verschweigen einer solch gravierenden Sicherheitslücke in dem meistgenutzten Betriebssystem – wobei jetzt auch nachweislich Menschenleben gefährdet wurden – zeigt nur zu deutlich wie sie ihrer Aufgabe „gerecht“ werden. Da stimmen die Prioritäten nicht mehr, man lässt sein eigenes Land völlig ungeschützt, nimmt Schäden der ganzen Infrastruktur des eigenen Landes in Kauf und das nur für den vermeintlich eigenen Vorteil andere Systeme hacken zu können? Vor allem wer sagt denn, dass nicht Dritte auch auf die Lücke hätten kommen können. Was wäre denn dann gewesen? So gesehen stimmt bei den Diensten grundsätzlich gar nichts mehr und dann sollen deren Befugnisse noch immer weiter ausgebaut werden? Die Begründungen der Politik sind beliebig austauschbar, ob Kinderpornographie, organisiertes Verbrechen, Terrorismus, schwerste Straftaten usw. suchen sie sich einfach etwas aus, es passt oberflächlich in jeder Argumentation. Dazu zählt genauso die schwachsinnige Idee Verschlüsselung zu schwächen oder gar mit Hintertüren zu versehen. Wie gut sich die Schlüssel oder Hintertüren unter Verschluss halten lassen, haben die Shadow Brokers der ganzen Welt aufgezeigt. Als würde es die wirklichen Kriminellen, Terroristen oder “feindliche” Sicherheitsdienste anderer Staaten interessieren, dass diese Zugänge nur den jeweiligen Dienst des eigenen Staates vorbehalten sind. Im Gegenteil, die reiben sich die Hände, in Anbetracht solcher Sollbruchstellen. All diejenigen, die diese Hintertüren und Sollbruchstellen fordern, sind einfach nur dumm und blauäugig, wenn sie wirklich glauben, dass andere diese Schwachstellen nicht für sich ausnutzen würden. Die grundlegende Ausrichtung der Sicherheitsdienste und vor allem deren Einstellung sollte hinterfragt und auch angepasst werden. Dies gilt auch für die Politik, IT Sicherheitsgesetze auf den Weg bringen und auf der anderen Seite ganz bewusst die komplette IT Infrastruktur des eigenen Landes so verwundbar dastehen zu lassen. Dabei ist es völlig egal, ob bewusst oder unbewusst, alleine durch die mangelnden Vorgaben oder Überwachung der eigenen Dienste sind hier große Fehler gemacht worden. Daher eine ganz klare Mitschuld von den Diensten und der Politik an dieser Cyber Attacke. Die aktuellen Forderungen aus der Politik sind ebenso unverschämt wie peinlich. Die eigenen Dienste nicht kontrollieren zu können und sich jetzt noch hinzustellen und eine Ausweitung der IT Sicherheitsgesetze und eine Meldepflicht zu fordern. Dies soll wahrscheinlich nur von den eigenen Versäumnissen und dem Unvermögen in der Vergangenheit ablenken.

Kommen wir zu Microsoft, die ebenfalls einen großen Teil der Schuld an dem Ausmaß tragen. Das Patch Management von Microsoft ist gelinde gesagt schlichtweg eine Frechheit, unabhängig von den anderen Bemühungen was die Sicherheit der Systeme angeht. Angefangen damit, wie lange Microsoft braucht Patches zu liefern, ihren albernen Patch Day, der Qualität der Patches und nicht zuletzt das Volumen der Patches selbst. Daran ändert auch nichts, für XP noch einen Patch nachzureichen. Die Folgen dieses Patch Miss-Management von Microsoft sind sehr weitreichend. Alleine die Größe der Patches macht für die IT Abteilung ein zeitnahes Ausrollen sehr schwierig oder oft so gut wie unmöglich. Dann sind da noch die Abhängigkeiten der Anwendungen und die Freigabe der Patches durch deren Hersteller und nicht zuletzt die oft mangelnde Qualität der Patches und die damit verbundenen Folgen. Daher müssen IT Abteilung selbst unter großen Aufwand Tests durchführen, ob denn zum Beispiel noch nach den Patches alles funktioniert und die eigenen Anwender arbeiten können. Oft haben die IT Abteilungen nur die Wahl Not gegen Elend. Installiert man die Patches nicht, ist man angreifbar, installiert man sie doch, funktionieren die Systeme nicht mehr so wie sie sollen und bei Drittanbietersoftware bekommt man im Anschluss daran keinen Support, da der Patch nicht freigegeben war oder ist. Alles in allem hat dadurch Microsoft eine entsprechend große Mitschuld  an dem IST-Zustand des Patch-Managements.

Wer jetzt als Unternehmen, IT Abteilung oder Anwender meint die Schuld bei den Anderen zu sehen, der irrt genauso. Nicht weniger Schuld tragen die in letzte Konsequenz diejenigen, die für den IT Betrieb oder die IT Infrastruktur selbst verantwortlich sind. Auch wenn die Rahmenbedingungen in Sachen Patches sehr viel Potential nach oben haben, entbindet es keines Falls davon hier nicht im ausreichendem Maße tätig zu werden. Ganz vorne steht auch die Frage, warum sind noch so viele XP und Windows 2003 Server Systeme in Betrieb und online, obwohl es hierfür schon sehr lange keine Patches mehr gibt? Wenn es spezielle Systeme sind, die noch zwingend auf XP/2003 aufsetzen, dann müssen diese abgeschottet vom ganzen Rest der IT betrieben werden. Alle dementsprechend angeführten Gründe, warum das nicht der Fall ist, sind in letzte Konsequenz auch nur Ausreden. So lange nichts passiert entstehen auch keine Kosten, nur wenn etwas was passiert und hier ist die Frage nicht ob, sondern wann, dann ist der Schaden immens und mit aller Wahrscheinlichkeit deutlich über den Kosten aktuelle Systeme zu verwenden oder das Netz entsprechend zu segmentieren. Gibt es keine Alternative zu einem XP System oder einem System welches nicht mit Patches versorgt werden kann, wie es zum Beispiel bei Produktionsanlagen der Fall sein kann, so hat dieses Systemen nichts im allgemeinen Netzwerk verloren. Es muss in ein eigenes Segment mit ganz restriktiver oder im Besten Fall völlig unterbundener direkter Kommunikation. Notfalls müssen gehärtete Schnittstellensysteme her. Aber eine direkte Verbindung darf es einfach nicht geben oder wir haben genau dass, was jetzt passiert ist.

Die Monokultur durch Microsoft Systeme hat auch einen Anteil an der ganzen Misere, denn die macht es erst möglich, dass eine Sicherheitslücke so Flächendeckend mit dem aufgezeigten Ausmaß möglich ist und dann auch auftritt. Hier muss ebenfalls ein Umdenken stattfinden und alternative Anwendungen und Systeme müssen immer mit in den Denkprozess aufgenommen werden. Selbst wenn der andere Weg vielleicht auf den ersten Blick weniger einfach erscheint, gerade bei solchen Attacken zeigt es sich, warum der andere Weg, doch der bessere gewesen wäre. Linux und OpenSource ist natürlich nicht das Allheilmittel, aber der andere Ansatz, das andere Patch Management und eben nicht die Monokultur verringern die Angriffsfläche und erhöhen die Komplexität für einen Angriff selbst und das kann dann den Unterschied ausmachen. Im Kielwasser von WannaCry hat sich eine Lücke in Samba offenbart, die erst jetzt entdeckt wurde. Veröffentlich wurde die Lücke am 25.5. um kurz vor 18 Uhr lokaler Zeit. So gut wie alle Distributionen stellten zu diesem Zeitpunkt schon aktualisierte Pakete bereit. Das gleiche gilt für FreeNAS, wo auch entsprechende Updates zur Verfügung stehen. Andere Hersteller von NAS Systemen haben teilweise noch keine Updates bereitgestellt. Die gilt auch für die vielen IoT Systeme und sonstigen Embedded Devices. Dieses Beispiel zeigt aber wie schnell unter Linux Patches bereitgestellt werden können. Vor allem muss man hier nicht auf einen Patch-Day warten. Es zeigt aber auch, dass einige Hersteller gerne OpenSource nutzen, aber selbst kein wirklich gutes Patch-Management haben. Dies sollte bei der Auswahl der Systeme berücksichtigt werden. Die Pflege der Software auf den Systemen ist noch wichtiger als die Systeme selbst. Dann im Fall des Falles ist schnelle Hilfe nur das was wirklich zählt.

 

Die grundsätzlichen Konsequenzen müssen jetzt ein Hinterfragen der eignen IT Sicherheit sein, um endlich die bekannten Lücken zu schließen. Folgende Fragen sollten Sie sich jetzt unbedingt stellen:

  • Sind die Netze ausreichend Segmentiert und entsprechend abgeschottet und wird der Datenaustausch zwischen ihnen kontrolliert?
  • Sind alle vernetzen Systeme ausreichend geschützt und sind vor allem die zur Verfügung stehenden Patches installiert?
  • Ist das eigene Patch-Management so aufgestellt, dass man auch schnell reagieren kann?
  • Bietet die Firewall am Perimeter alle Funktionen nach dem Stand der Technik, um die Kommunikation zum Internet hin entsprechend zu prüfen und zu überwachen?
    Wird ggf. eine zweite Linie benötigt, um schnell mehr Schutz zu erreichen um dann in Ruhe auf eine angepasste Lösung umzustellen?
    Wichtig: Wird C&C und TOR Kommunikation erkannt und unterbunden?
  • Habe ich überhaupt noch den Überblick was gerade alles in meinem Netz passiert oder wird es nicht Zeit für eine SIEM und oder Monitoring Lösung?
  • Wie gut gesichert sind meine FileShares, gibt es hier bessere Ansätze als die klassische Freigabe mit Windows oder NAS Systemen.
  • Funktionieren meine Backups und sind diese vor unbefugten Zugriffen geschützt?
  • Ist der Einsatz einer AV Software noch der richtige Weg oder benötige ich einen anderen Ansatz?
  • eMail ist das größte Einfallstor in das Netzwerk, ist hier der Schutz ausreichend?
  • Basiert mein Patch Management noch auf den richtigen organisatorischen Prozessen?