Was macht die FortiGuard Services aus

Warum sind die FortiGuard Services der wichtigste Baustein im gesamten Portfolio von Fortinet? Den wenigsten dürfte es bewusst sein, was hinter den FortiGuard Diensten steht und wie wichtig diese zum Schutz der eigenen Infrastruktur sind.

Man nimmt es eher als selbstverständlich hin, dass Funktionen wie URL Filter, Antivirus, IPS oder Botnet Erkennung zur Verfügung stehen. Dabei sind diese Funktionen elementar für die Sicherheit der eigenen IT Infrastruktur. Natürlich spielen physische Kenndaten wie Durchsatz, Anzahl der Sessions usw. eine wichtige Rolle bei der Auswahl eines Sicherheitssystems. Zweifellos müssen diese Kenngrößen zum Einsatzzweck passen, aber die noch wichtigeren Funktionen eines Sicherheitssystems sind die im Verborgenen, wie die FortiGuard Services. Diese werden bei der Auswahl einer Firewall oder eines anderen Sicherheitssystems einfach nicht zur Beurteilung herangezogen, dabei sind diese noch viel wichtiger als die Hardware selbst.

Ganz egal um welche Zugriffe es geht, ob es um den Client geht der auf Dienste im Internet zugreift oder ob es um die Absicherung der eigenen öffentlichen Dienste geht. Der eigentliche Schutz kommt immer von den FortiGuard Services. Normale Stateful Firewall Regeln kann schon jede Hostfirewall oder eine Fritzbox. Aber diese sind doch lediglich bessere ACL’s die die Netzwerkverbindungen definieren. Wenn es um den tatsächlichen Schutz geht braucht es Funktionen, wie die FortiGuard Dienste. Denn ohne die fast Echtzeitdaten des Dienstes sind URL-, DNS-, IP-Filter zur Reputation oder ein IPS keine wirkliche Hilfe bei der Absicherung von IT Systemen.

Daher möchten wir mit diesem Artikel den Fokus auf die oft nicht beachteten Funktionen lenken, die doch so wichtig für den Schutz sind. Fortinet hat hier mehr oder weniger ein Alleinstellungsmerkmal mit seinen FortiGuard Services, denn Fortinet kauft diese Funktionen nicht zu, sondern hat ein weltweites Team, was 24×7 an 365 Tagen im Jahr an den Services arbeitet, Schadcode und Angriffe analysiert und die Daten des Dienstes stetig aktuell hält.

Ob es Signaturen für AV, IPS oder Applikationen sind oder es um URL’s oder IP’s von C&C Server für Bot‘s geht, muss Fortinet nicht warten, bis ein eingekaufter Dienste dieses zur Verfügung stellt, sondern das eigene Team kann dies viel schneller und effektiver selbst bereitstellen. Gerade dieser Vorteil kann darüber entscheiden ob man vor einer Cyber Attacke geschützt ist oder eben nicht. Die erfolgreiche Abwehr ist in vielen Fällen eine Frage von Minuten und je früher man dies durch IPS & Co. erkennen kann ist man geschützt oder eben nicht. Daher ist es so wichtig diese Qualität des Service mit zu berücksichtigen, wenn man sich für eine Firewall oder ein anderes Sicherheitsprodukt entscheidet. Mit einer solchen Entscheidung für den einen oder anderen Hersteller entscheidet man sich auch für diesen Service und bei Fortinet tut man dies eben auch im Besonderen für die FortiGuard Services. Wenn man sich für Fortinet entscheidet, entscheidet man sich auch ganz bewusst für die FortiGuard Services und dafür alles von einem Hersteller zu bekommen, statt durch wiederum einen anderen Anbieter.

Aus technischer Sicht halten wir das „Paket“ Fortinet und dies insbesondere durch die FortiGuard Services für eines der besten was derzeit auf dem Markt zur Verfügung steht. Nimmt man jetzt noch die Fähigkeiten einer Fortigate in Bereich des dynamischen Routings hinzu, wird der Vorsprung noch größer.

Prozessor Bug – Spectre und Meltdown

Aus aktuellem Anlass haben wir diese (unvollständige) Information zur Sicherheitslücke in den Prozessoren zusammengestellt. Wir werden den Artikel mit entsprechenden Updates versehen, sowie diese zur Verfügung stehen.

[Stand 23. Januar 2o18]

Wichtig!!! Intel zieht Microcode Update zurück: Heise Artikel

Grundsätzliches zur Sicherheitslücke: SpectreMeltdown und Project Zero

Betroffene Prozessoren:

Intel® Core™ i3 processor (45nm and 32nm)
Intel® Core™ i5 processor (45nm and 32nm)
Intel® Core™ i7 processor (45nm and 32nm)
Intel® Core™ M processor family (45nm and 32nm)
2nd generation Intel® Core™ processors
3rd generation Intel® Core™ processors
4th generation Intel® Core™ processors
5th generation Intel® Core™ processors
6th generation Intel® Core™ processors
7th generation Intel® Core™ processors
8th generation Intel® Core™ processors
Intel® Core™ X-series Processor Family for Intel® X99 platforms
Intel® Core™ X-series Processor Family for Intel® X299 platforms
Intel® Xeon® processor 3400 series
Intel® Xeon® processor 3600 series
Intel® Xeon® processor 5500 series
Intel® Xeon® processor 5600 series
Intel® Xeon® processor 6500 series
Intel® Xeon® processor 7500 series
Intel® Xeon® Processor E3 Family
Intel® Xeon® Processor E3 v2 Family
Intel® Xeon® Processor E3 v3 Family
Intel® Xeon® Processor E3 v4 Family
Intel® Xeon® Processor E3 v5 Family
Intel® Xeon® Processor E3 v6 Family
Intel® Xeon® Processor E5 Family
Intel® Xeon® Processor E5 v2 Family
Intel® Xeon® Processor E5 v3 Family
Intel® Xeon® Processor E5 v4 Family
Intel® Xeon® Processor E7 Family
Intel® Xeon® Processor E7 v2 Family
Intel® Xeon® Processor E7 v3 Family
Intel® Xeon® Processor E7 v4 Family
Intel® Xeon® Processor Scalable Family
Intel® Xeon Phi™ Processor 3200, 5200, 7200 Series
Intel® Atom™ Processor C Series
Intel® Atom™ Processor E Series
Intel® Atom™ Processor A Series
Intel® Atom™ Processor x3 Series
Intel® Atom™ Processor Z Series
Intel® Celeron® Processor J Series
Intel® Celeron® Processor N Series
Intel® Pentium® Processor J Series
Intel® Pentium® Processor N Series

AMD

ARM

Wichtiger Hinweis des BSI – Es wird dringend zu Updates geraten.

RedHat und VMware stellen wie auch andere schon Updates bereit. Microsoft stellt vorab einen Patch für Windows 10 bereit. Hier ist aber darauf zu achten, dass dieser mit bestimmten Versionen von AV Software zu Problemen führt. Es gibt hier dazu entsprechend Hinweise. Trendmicro hat einen KB Artikel online gestellt. Ubuntu stellt folgende Information bereit und will am 9. Januar die Updates für seine Systeme veröffentlichen.

Aktuelle Informationen zu Fortinet Produkten sind hier zu finden. Stand jetzt wird das Risiko als eher gering eingeschätzt.

Für die Browser Chrome und Firefox stehen ebenfalls aktuelle Versionen bereit, die ganz normal über die Online-Updates bezogen werden können. Microsoft hat ebenfalls aktuelle Versionen von Edge und IE bereitgestellt. Der „große“ Patch bei Chrome soll am 23. Januar kommen. Die aktuellen Updates bzw. Patches mildern aber nur die Schwachstelle ab, sie ist damit nicht behoben. Aber ein Anfang und besser als ohne diesen ersten Schutz.
Das Update für Safari kommt noch, hier die Information von Apple zur Sicherheitslücke.

Da es so gut wie alle gängigen CPU Architekturen betrifft, sind auch alle Systeme unabhängig vom Betriebssystem die auf diesen Prozessoren basieren betroffen. Aktualisieren Sie so schnell wie möglich alle Systeme mit den von der Herstellern zu Verfügung gestellten Patches und Update. Denken Sie dabei auch an NAS Systeme, RaspberryPi’s & Co usw.

Offen ist auch noch die Frage in wie weit Netzwerkkomponenten verwundbar sind, die je nach Architektur auch betroffen sein müssen.

Die Patches der Systeme haben teilweise großen Einfluss auf der Leistung. Die Angeben die verschiedenen Veröffentlichungen schwanken sehr und sind auch stark unterschiedlich wie das System genutzt wird. Redhat hat dazu ein Dokument online gestellt, bei dem im Lab verschiedene Messungen durchgeführt wurden.

Patchmanagement ist essentiell gegen Cyber Angriffe

In der IT hält sich hartnäckig der Mythos, dass AV Software das wichtigste Element zum Schutz der IT Infrastruktur ist. Nein, dass ist genau nicht der Fall. Es ist ein Element zum Schutz einer IT Infrastruktur, aber in der Hierarchie der Schutzmaßnahmen irgendwo im Mittelfeld und das hat auch seinen Grund. Patchmanagement ist präventiv das Wichtigste!

Die großen Cyber Angriffe in der jüngsten Vergangenheit haben nur durch mangelndes Patchmanagement diese Schäden anrichten können. Dazu ist das Beispiel beliebig wählbar, ob die Reederei Maersk oder die FedEx Tochter TNT Express mit bis zu 300 Millionen USD Schaden, Reckitt Benckiser mit über 110 Millionen Euro oder der noch nicht zu beziffernde Schaden des Equifax Hacks mit der Entwendung von 143 Millionen Datensätzen von Bürgern der USA, Kanada und England. Alle diese Cyber Attacken haben einen gemeinsamen Nenner: Die zur Verfügung stehenden Patches wurden nicht installiert! Bei Equifax kam zudem noch ein schlecht geschützter Admin Zugang dazu.

Diese Tatsache ist nicht nur bei diesen Cyber Angriffen der Grund des massiven Ausmaßes oder der Garant des Erfolgs der Kriminellen, sondern auch fast aller anderen erfolgreichen Cyber Angriffe. Es werden immer die Schwachstellen in der Software genutzt um Schaden bei den Opfern anzurichten. Was einem vor allem zum Nachdenken bewegen sollte, ist auch die Tatsache, dass es in so gut wie allen Fällen schon Updates zum Schließen der Sicherheitslücke gegeben hat, welche einfach nicht installiert wurden. Wer jetzt, nach all dem Wissen, immer noch nicht die Einsicht hat, dass Patchmanagement ganz oben auf der Liste der Maßnahmen steht, der sollte auf jeden Fall seine Einstellung zum Betrieb einer IT Anlage dringend überdenken. Dies gilt auch vor allem für die vielen Webseitenbetreiber die, man muss hier schon sagen ignorant sind und sich einem Patchmanagement in weiten Teilen komplett verweigern. Auch hier sollten jedem klar sein, dass Joomla, Typo3, WordPress & Co. ständiger Pflege bedürfen.

Der Betrieb einer IT Infrastruktur verursacht Betriebskosten. Das ist einfach so, denn dies ist nichts anderes als eine Produktionsanlage oder ein Fahrzeug. Vor allem unter dem Gesichtspunkt von Industrie 4.0. Hier gehört sogar die IT Infrastruktur direkt und nicht nur indirekt zur Produktion. Es ist an der Zeit die IT als das zu sehen was sie wirklich ist: Ein unternehmenskritisches Element im Gesamtgefüge eines jeden Unternehmens. Dabei spielt es keine Rolle ob Enterprise, Mittelstand, Kleinunternehmen oder Einzelkämpfer. Alle sind primär von einer funktionierenden IT abhängig. Da helfen auch nicht so Aussagen, dass es auch ohne geht, denn nein, tut es nicht. Von diesem Gedanken sollte man sich sehr schnell lösen, denn es ist ein gefährlicher Trugschluss. Alle Industrie- und auch Schwellenländer sind hochgradig von IT abhängig. Diese Tatsache muss man akzeptieren, denn das ist die Welt in der wir alle leben. Durch diese Abhängigkeit ist die Wartung und Pflege der IT Infrastruktur sehr wichtig, weil die IT grundlegend die Basis unserer modernen Welt ist.

Wie die anderen Experten auch, empfehlen wir daher dringend ein geeignetes Patchmanagement zu etablieren und vor allen die Systeme zeitnah zu aktualisieren. Das zeitnahe Installieren von Updates ist alternativlos und wenn auch als lästige Arbeit angesehen, absolut notwendig. Dazu gehört auch das Ersetzen von Systemen für die es keine Updates bzw. Patches mehr gibt. Diese müssen ausgetauscht oder vom Netzwerk getrennt werden um nicht eine Gefahr für den ganzen Rest der Infrastruktur zu sein.

Ein weiterer Grund für ein Patchmanagement ist die Eindämmung eines Cyber Angriffs. Natürlich lässt sich nicht unter allem Umständen eine Infektion durch Schadcode verhindern, aber durch geeignete Maßnahmen seine Ausbreitung eindämmen . Es war ja schließlich nur eine Frage der Zeit, bis Ransomware und Wurm in Kombination auftreten um den Schaden für die Betroffenen zu maximieren. Hätten Maersk & Co. den schon von Microsoft im März bereitgestellten Patch installiert, wäre es mit großer Wahrscheinlichkeit nicht zu solchen massiven Schäden gekommen. Auch hätte durch eine geeignete Segmentierung und ein IPS zwischen den Segmenten den Schaden verringern können. Ein IPS Muster um den SMB1 Angriff zu erkennen steht zum Beispiel bei Fortinet schon ebenso frühzeitig zur Verfügung.

Das zeitnahe installieren von Updates und Patches ist eine der primären Präventivmaßnehmen in Sachen Cyber Security. An dieser Stelle noch mal der dringende Hinweis, die IT Systeme auf einem aktuellen Stand zu halten und auch die anderen Maßnahmen für einen sicheren Betrieb der IT nicht zu vernachlässigen. Die Sicherheit hängt von vielen Faktoren ab, daher muss das Gesamtkonzept stimmen. Zudem muss das Konzept immer wieder angepasst werden. Cyber Security ist kein statisches Gebilde, es ist ein dynamischer Prozess der nie endet – ausgenommen, Sie schalten ihre IT Infrastruktur ab.

Das richtige Storage

Die Wahl des richtigen Storage ist nicht gerade trivial. So viele Dinge sind bei der aktuellen Dynamik im Storage Markt nicht vorherzusagen. Die sich ständig wandelnden Rahmenbedingungen, die aktuellen und zukünftigen Anforderungen, das Bedenken der zukünftigen Applikationen und was sonst noch alles zu berücksichtigen ist, lässt noch nicht einmal über einen Zeitraum wie den kommenden zwei Jahren eine verlässliche Aussage zu. Daher ist eine passende Strategie in Sachen Storage sehr wichtig.

Das Thema Storage an sich ist seit wenigen Jahren nicht gerade trivial. Auf dem Markt gibt es sehr viele Hersteller, von den Dinos der Branche bis hin zu den auch manchmal reinen Software Startup’s, was es nicht gerade leicht macht die richtige Wahl zu treffen. Setzt man auf klassische Spindeln, Hybride Storages oder auf reinen Flash Hardware inklusive der Wahl von klassischen, neuen RAID und nonRAID Ansätzen? Latency ist zudem das neue IOPS und auch die Frage ob FC, FCoE, iSCSI, IB oder DAS. Das Ganze wird dann durch verschiedene Featuresets der Anbieter multipliziert und SDS potenziert alles noch mal – wenn man so will, ein multidimensionales Array der Entscheidung, was es als Beschreibung ganz gut zutrifft. Das ist jetzt der eine Teil bei der Frage, welches Storage nun das richtige ist, den es zu beantworten gilt. Der andere Teil sind die Anforderungen an sich, die ja auch nicht gerade statisch daherkommen und sich am Wandel der Applikationen und Speichermengen orientieren. Die hyperkonvergenten Systeme wie Nutanix, SvSAN, VSAN, vSAN und die Storage Server u.a. von SuSE, Redhat, Microsoft oder den OpenSource Varianten packen die nächsten Dimensionen zusätzlich oben drauf. Dann kommt noch hinzu, dass man vor der Frage steht, wohin denn der Weg mit der IT überhaupt führt? An dieser Stelle wäre jetzt eine funktionierende Glaskugel für den Blick in die Zukunft wirklich sehr hilfreich. Dann wüsste man, welche Anforderungen man in der Zukunft zu bewältigen hat und vor allem, welcher Storage oder Software Hersteller in der Zukunft noch am Markt ist. Gefühlt ist es wie bei Schrödingers Katze aus der Quantenphysik, alleine durch hinsehen ändern sich die Zustände aller Rahmenbedingungen, Optionen und sonstigen Variablen. Was also tun?

Man konzentriert sich auf das jetzt, hält die Skalierbarkeit im Auge und stellt sich etwas breiter auf. Zudem beachtet man ein paar wenige Dinge. Auf dieser Basis bekommt auch in den kommenden Jahren eine zuverlässige, stabile und leistungsfähige Storage Infrastruktur. Der Ansatz zwei unterschiedliche Strategien für Anwendungen und unstrukturierte Daten zu wählen bietet sich geradezu an. Dies hat auch den Vorteil, dass damit die Tür in Sachen Hyperconverged Infrastructure (HCI) und Software Defined Storage (SDS) weiter geöffnet wird und sich somit ganz neue Möglichkeiten bieten. Trennt man durch die unterschiedlichen Strategien die unstrukturierten Daten von den Applikationen bzw. den klassischen Servern, ändern sich automatisch die Anforderungen an die Speicher der HCI Systeme. Damit eine solche Trennung Sinn macht, muss man einen steigenden Platzbedarf bei einem Startvolumen ab 30+ TB an unstrukturierten Daten haben. Erst ab dann spielen Systeme wie Quantum Xcellis ihre Vorteile aus. Hat man aber diesen Bedarf, den die meisten haben werden, dann führt fast kein Weg an einer solchen Lösung vorbei. Eine Lösung auf Xcellis mit Disk und Tapes erfüllt mehrere Anforderungen für die dort abgelegten Daten auf einmal. Zu diesen Anforderungen gehören ein mögliches Wachstum bis in den hohen Petabyte Bereich, Versionsstände der Dateien, Archivierung und Backup auf Tape, was an mehreren Standorten abgelegt werden kann. Dazu kommt der Synergieeffekt die Kosten für den Betrieb durch das Archivieren der Langzeitdaten auf Tape sehr gering zu halten. Das Xcellis System stellt SMB/CIFS, NFS und S3 zur Verfügung und lässt sich sogar logisch Partitionieren, was zum Beispiel eine Trennung von Abteilungen auf System und nicht auf Ebene des Shares möglich macht. Durch die zur Verfügung stehende S3 Schnittstelle können Webanwendungen direkt mit der Xcellis verbunden werden. Mit dem System „Store Next“ von Quantum hat man eine solide Basis für seine unstrukturierten Daten, die zudem hervorragend skaliert und die Daten durch die Bereitstellung über mindestens zwei Datacenter hochverfügbar vorhält. Hat man diesen Schritt getan, so kann man sich jetzt ganz auf die Daten für die Anwendungen konzentrieren.

Bei den Anwendungsdaten ist die Wahl nicht ganz so einfach wie bei den unstrukturierten Daten. Es gilt als erstes eine grundlegende Entscheidung zu treffen: Wird ein synchroner Spiegel der Daten benötigt oder nicht. Ist dies der Fall und werden noch weitere Funktionen wie AutoTiering oder CDP benötigt, dann ist Datacore das Mittel der Wahl. Je nach Anforderung steht eine Implementierung als HCI Lösung, physikalische Storage Server und hier mit und ohne entsprechende Erweiterung der durch den Server zur Verfügung stehenden internen Platten. Wird kein synchroner Spiegel benötigt, was sehr genau geprüft werden sollte, dann kann man auf zum Beispiel Quantum QXS4 Systeme mit der Hybrid und Q-Tiering Technik zurückgreifen. Aber noch mal der Hinweis zur Verfügbarkeit der Daten, wenn nicht ein synchroner Spiegel mit CDP zum Einsatz kommt. Zwar sollten SAN’s immer mit redundanten Controllern und Netzteilen sowie entsprechenden RAID Arrays ausgestattet sein, können diese trotzdem ausfallen. Bei einem „Totalschaden“ sind die Daten weg und man muss auf das letzte Backup zurückgreifen. Üblicher Weise verliert man mindestens einen Arbeitstag plus Zeit für die Rücksicherung. Die Wahrscheinlichkeit, dass genau in dem Moment der Defekt auftritt, wenn man ein aktuelles Backup hat und zudem in der Zeit des Backups keine Daten verändert wurden ist sehr sehr unwahrscheinlich. Dieses Glück wird einem normal nicht zu Teil. Daher muss, wenn man schon auf einen synchronen Spiegel im Storage verzichtet, die Verfügbarkeit von den Anwendungen selbst kommen. So muss man zum Beispiel entsprechende Cluster Systeme von Datenbanken, Exchange und anderen Servern aufbauen. Das funktioniert nur bis zu einem gewissen Grad, da die Komplexität durch solche Lösungen nicht kleiner wird, zumal man die Affinität dann bei den Storages beachten muss. Es kommt sehr schnell der Punkt, dass eine Hochverfügbarkeit die aus dem Storage selbst kommt die effizientere und wesentlich einfachere Lösung ist.

Jetzt steht noch die Überlegung an, reine Flash Systeme oder doch aus Gründen der Wirtschaftlichkeit auf Hybrid Systeme mit AutoTiering zu setzen. Bei den meisten Szenarien ist der Ansatz eines Hybrid System mit Tiering die bessere Wahl. Damit kombiniert man geringe Latenz und hohe IO-Werte bei gleichzeitig großer Kapazität zu vernünftigen Kosten. Der Ansatz mit zwei Strategien für die unterschiedlichen Anforderungen zu arbeiten, macht es wieder einfacher die Wahl im Bereich des Storage zu treffen. Egal wie die Wahl im Bereich des Storage aussieht, kommt jetzt noch der aller wichtigste Punkte für die eigenen Daten: Das Backup!

 

Das Backup ist die Lebensversicherung jedes Unternehmens und es müssen qualitativ sehr hochwerte Komponenten zu Einsatz kommen. Vor allem müssen diese Speichersysteme viel Platz bei gleichzeitig hoher Leistung bieten. Der Grund dafür ist ganz einfach, die Datenmengen werden immer größer und das Backup muss trotzdem in einer zum Unternehmen passenden Zeit abgeschlossen sein. Da moderne Backups mit Kompression und Deduplizierung arbeiten, ist nicht nur ein linearer Zugriff auf das Repository gefragt, sondern, um in der Sprache des Storage zu bleiben, eine hohe Performance im Random Access. Das bedeutet aber auch, dass man im ersten Schritt ein Backup-to-Disk durchführt und entsprechende Revisionsstände im Repository vorhält. Dabei sind zusätzlich zu den üblichen Tagesbackups noch Wochen-, Monats- und auch Jahres-Backups völlig normal. Das stellt einen sicheren Betrieb des Backups vor völlig neue Herausforderungen. Es gibt so genannte Bit-Kipper auf den Speichermedien, bei denen sich Daten ohne Schreiboperationen ändern. Das CERN hat mit seinen Daten dazu eine Studie durchgeführt und ist dabei zum Ergebnis gekommen, dass in einem Terrabyte Daten sich zwischen ein bis vier defekte Dateien befinden. Das hat nun zur Folge, dass das eigene Backup auf das man sich alternativlos verlassen muss, möglicherwiese defekte Inhalte hat, wenn nicht die passenden Systeme dafür eingesetzt werden. Das CERN hat nun gegenüber anderen ganz andere Volumina bei seinen Daten, was aber nichts daran ändert, dass es je Terrabyte entsprechend defekte Dateien gibt. Bei einem Textdokument erscheint vielleicht ein solcher Fehler als „Tippfehler“, bei einem Backup sieht es aber ganz anders aus, wenn man sich darauf nicht mehr verlassen kann. Das CERN setzt, um solche Defekte zu vermeiden, die ganze Forschungsergebnisse vernichten können, auf ZFS zur Speicherung seiner Daten. Das ist eine sehr gute Wahl, denn ZFS bietet für Metadaten und die Daten an sich Prüfsummen, um genau diese Fehler zu erkennen und zu korrigieren. Zudem bietet es ein Software RAID, welches so ausgelegt ist, dass selbst bei einem Ausfall im Schreibprozess die Konsistenz der Daten bzw. des Volume nicht verloren geht. Die Erfahrungen und vor allem die Erkenntnisse des CERN sollte bzw. muss man sich nun zu Nutze machen, damit die eigenen Daten des Backups auch sicher und dies ganz besonders bei langfristiger Aufbewahrung gespeichert sind.

Mit diesem Wissen und der Anforderung an ein Backup ist es sehr wichtig Systeme auszuwählen, welche die entsprechenden Sicherheiten bieten, die diese Daten benötigen. Handelsübliche NAS Systeme sind qualitativ keine schlechten Systeme, jedoch basieren viele auf Linux mit den Subsystemen md, LVM und dem häufig Dateisystem ext4. Es gibt auch NAS Systeme die auf ZFS basieren. Diese eignen sich daher schon eher für eine langfristige Aufbewahrung. Jedoch haben diese NAS Systeme alle eins gemein, dass die Hersteller nur für einen gewissen Zeitraum Support für diese Systeme in Form von Firmware Updates bieten. Die SambaCry Attacke hat aber gezeigt, wie wichtig auch für diese Systeme entsprechende Updates sind. Daher muss insbesondere für das Backup und dessen Ansprüche ein entsprechend hochwertiges Storage gewählt werden. Die Kosten spielen natürlich bei allen Überlegungen eine Rolle und wenn das aktuelle Budget einen Wechsel zu einem professionellen Backup-Storage nicht zulässt, aber die vorhandenen NAS Systeme aus dem Support sind und sogar noch gegen die SambaCry Lücke anfällig, hilft ein Blick zu möglichen Alternative auf Basis von OpenSource. Damit lässt sich ein Repostory Server aufbauen, der wieder unter „Support“ ist und auch die entsprechenden Dateisysteme mitbringt. Als Hardware genügt hier ein einfacher Storage Server mit JBOD und je nach Leistung entsprechende SSD’s für den ARC. Damit steht das Backup wieder auf einer soliden Basis und man kann ganz in Ruhe an die Planung des zukünftigen Konzepts für das Backup gehen.

Die Beachtung der 3-2-1 Regel für das Backup ist davon unabhängig und grundsätzlich zu beachten. Die Regel ist denkbar einfach, 3 Kopien der Daten, 2 Medien (Disk und Tape) und 1 Datensatz offline für den Fall der Fälle. Gerade auf dem Hintergrund der Ransomware ist das Backup die letzte Instanz die man hat.

 

Cyber Angriffswelle Petya – Wichtige Hinweise

Auf Grund der aktuellen Gefahrenlage möchten wir noch einmal ausdrücklich auf die vom BSI empfohlenen Maßnahmen hinweisen um sich gegen die aktuelle Angriffswelle zu schützen:

Das BSI rät dringend dazu, folgende Schutzmaßnahmen umzusetzen:

  • auf M.E.Doc Software angewiesene Unternehmen sollten Computersysteme, auf denen diese Software installiert ist, in separierten Netzbereichen kapseln, verstärkt überwachen und sowohl diese als auch von dort erreichbare Systeme auf zusätzliche, möglicherweise bereits stattgefundene Kompromittierungen untersuchen
  • Auf infizierten Rechnern sollten alle Passwörter geändert werden
  • infizierte Rechner sollten idealerweise neu aufgesetzt werden
  • Umsetzung einer Netzwerksegmentierung
  • Erstellen und Vorhalten von Daten-Sicherungen (Backups)
  • Überprüfung der Administratorenrechte:
    • Lokale Administratoren sollten sich nicht über das interne Netz einloggen können
    • Lokale Administratoren dürfen auf unterschiedlichen Rechnern nicht das gleiche Passwort haben
    • Idealerweise sollte der lokale Administrator deaktiviert sein
  • Einspielen aktueller Patches für Software und Betriebssysteme, insbesondere des Microsoft-Patches MS17-010
  • Aktualisierung der eingesetzten Antiviren-Programme

Das BSI empfiehlt zudem, im Zweifel externe IT-Fachkräfte zur Analyse und Bereinigung der Infektionen hinzuzuziehen.

 

Nach aktuellen Erkenntnissen des BSI ist der Cyber Angriff Petya oder auch: NotPetya, ExPetr, DiskCoder, wie der Schadcode ebenfalls bezeichnet wird größer angenommen und stellt auch für deutsche Unternehmen eine große Gefahr da. Daher möchten wir noch mal nachdrücklich auf die Maßnahmen hinweisen, die unbedingt umgesetzt werden sollten. Bei Fragen stehen wir wie gewohnt zur Verfügung oder schreiben sie direkt an unser Security Team.

WannaCry im Sog von DoublePulsar

Geplant war es einen anderen Beitrag im Blog online zu stellen, aber die aktuellen Ereignisse zu ignorieren geht natürlich auch nicht. Daher haben wir uns entschlossen das Thema passend zu den aktuellen Ereignissen zu ändern. Der ursprüngliche Beitrag mit dem Thema eMail als Kommunikationsplattform im Unternehmen ist für den nächsten Monat geplant.

Jetzt ist es passiert und zwar mit Ansage! Primär sind natürlich diejenigen schuldig, die den Schadcode entwickelt haben um damit Geld von den Opfern zu erpressen. Genauso Schuld sind aber auch die “Sicherheitsdienste”, die die Lücke verschwiegen haben, Microsoft und sein Patch Management, die Unternehmen, die veraltete oder nicht aktualisierte Systeme einsetzen und zum Schluss der Anwender selbst. Schuld haben an dem aktuellen Zustand der globalen IT Infrastruktur alle. Wichtig ist es jetzt aber aus den Fehlern endlich mal zu lernen, diese objektiv und sachlich zu betrachten und dann vor allem auch Konsequenzen daraus zu ziehen und natürlich entsprechende Maßnahmen ergreifen und diese zeitnah umzusetzen. Aber jetzt erst einmal der Reihe nach:

Die Sicherheitsdienste eines Staates sollen den Staat selbst, die Verfassung und natürlich die eigenen Bürger schützen. Das Verschweigen einer solch gravierenden Sicherheitslücke in dem meistgenutzten Betriebssystem – wobei jetzt auch nachweislich Menschenleben gefährdet wurden – zeigt nur zu deutlich wie sie ihrer Aufgabe „gerecht“ werden. Da stimmen die Prioritäten nicht mehr, man lässt sein eigenes Land völlig ungeschützt, nimmt Schäden der ganzen Infrastruktur des eigenen Landes in Kauf und das nur für den vermeintlich eigenen Vorteil andere Systeme hacken zu können? Vor allem wer sagt denn, dass nicht Dritte auch auf die Lücke hätten kommen können. Was wäre denn dann gewesen? So gesehen stimmt bei den Diensten grundsätzlich gar nichts mehr und dann sollen deren Befugnisse noch immer weiter ausgebaut werden? Die Begründungen der Politik sind beliebig austauschbar, ob Kinderpornographie, organisiertes Verbrechen, Terrorismus, schwerste Straftaten usw. suchen sie sich einfach etwas aus, es passt oberflächlich in jeder Argumentation. Dazu zählt genauso die schwachsinnige Idee Verschlüsselung zu schwächen oder gar mit Hintertüren zu versehen. Wie gut sich die Schlüssel oder Hintertüren unter Verschluss halten lassen, haben die Shadow Brokers der ganzen Welt aufgezeigt. Als würde es die wirklichen Kriminellen, Terroristen oder “feindliche” Sicherheitsdienste anderer Staaten interessieren, dass diese Zugänge nur den jeweiligen Dienst des eigenen Staates vorbehalten sind. Im Gegenteil, die reiben sich die Hände, in Anbetracht solcher Sollbruchstellen. All diejenigen, die diese Hintertüren und Sollbruchstellen fordern, sind einfach nur dumm und blauäugig, wenn sie wirklich glauben, dass andere diese Schwachstellen nicht für sich ausnutzen würden. Die grundlegende Ausrichtung der Sicherheitsdienste und vor allem deren Einstellung sollte hinterfragt und auch angepasst werden. Dies gilt auch für die Politik, IT Sicherheitsgesetze auf den Weg bringen und auf der anderen Seite ganz bewusst die komplette IT Infrastruktur des eigenen Landes so verwundbar dastehen zu lassen. Dabei ist es völlig egal, ob bewusst oder unbewusst, alleine durch die mangelnden Vorgaben oder Überwachung der eigenen Dienste sind hier große Fehler gemacht worden. Daher eine ganz klare Mitschuld von den Diensten und der Politik an dieser Cyber Attacke. Die aktuellen Forderungen aus der Politik sind ebenso unverschämt wie peinlich. Die eigenen Dienste nicht kontrollieren zu können und sich jetzt noch hinzustellen und eine Ausweitung der IT Sicherheitsgesetze und eine Meldepflicht zu fordern. Dies soll wahrscheinlich nur von den eigenen Versäumnissen und dem Unvermögen in der Vergangenheit ablenken.

Kommen wir zu Microsoft, die ebenfalls einen großen Teil der Schuld an dem Ausmaß tragen. Das Patch Management von Microsoft ist gelinde gesagt schlichtweg eine Frechheit, unabhängig von den anderen Bemühungen was die Sicherheit der Systeme angeht. Angefangen damit, wie lange Microsoft braucht Patches zu liefern, ihren albernen Patch Day, der Qualität der Patches und nicht zuletzt das Volumen der Patches selbst. Daran ändert auch nichts, für XP noch einen Patch nachzureichen. Die Folgen dieses Patch Miss-Management von Microsoft sind sehr weitreichend. Alleine die Größe der Patches macht für die IT Abteilung ein zeitnahes Ausrollen sehr schwierig oder oft so gut wie unmöglich. Dann sind da noch die Abhängigkeiten der Anwendungen und die Freigabe der Patches durch deren Hersteller und nicht zuletzt die oft mangelnde Qualität der Patches und die damit verbundenen Folgen. Daher müssen IT Abteilung selbst unter großen Aufwand Tests durchführen, ob denn zum Beispiel noch nach den Patches alles funktioniert und die eigenen Anwender arbeiten können. Oft haben die IT Abteilungen nur die Wahl Not gegen Elend. Installiert man die Patches nicht, ist man angreifbar, installiert man sie doch, funktionieren die Systeme nicht mehr so wie sie sollen und bei Drittanbietersoftware bekommt man im Anschluss daran keinen Support, da der Patch nicht freigegeben war oder ist. Alles in allem hat dadurch Microsoft eine entsprechend große Mitschuld  an dem IST-Zustand des Patch-Managements.

Wer jetzt als Unternehmen, IT Abteilung oder Anwender meint die Schuld bei den Anderen zu sehen, der irrt genauso. Nicht weniger Schuld tragen die in letzte Konsequenz diejenigen, die für den IT Betrieb oder die IT Infrastruktur selbst verantwortlich sind. Auch wenn die Rahmenbedingungen in Sachen Patches sehr viel Potential nach oben haben, entbindet es keines Falls davon hier nicht im ausreichendem Maße tätig zu werden. Ganz vorne steht auch die Frage, warum sind noch so viele XP und Windows 2003 Server Systeme in Betrieb und online, obwohl es hierfür schon sehr lange keine Patches mehr gibt? Wenn es spezielle Systeme sind, die noch zwingend auf XP/2003 aufsetzen, dann müssen diese abgeschottet vom ganzen Rest der IT betrieben werden. Alle dementsprechend angeführten Gründe, warum das nicht der Fall ist, sind in letzte Konsequenz auch nur Ausreden. So lange nichts passiert entstehen auch keine Kosten, nur wenn etwas was passiert und hier ist die Frage nicht ob, sondern wann, dann ist der Schaden immens und mit aller Wahrscheinlichkeit deutlich über den Kosten aktuelle Systeme zu verwenden oder das Netz entsprechend zu segmentieren. Gibt es keine Alternative zu einem XP System oder einem System welches nicht mit Patches versorgt werden kann, wie es zum Beispiel bei Produktionsanlagen der Fall sein kann, so hat dieses Systemen nichts im allgemeinen Netzwerk verloren. Es muss in ein eigenes Segment mit ganz restriktiver oder im Besten Fall völlig unterbundener direkter Kommunikation. Notfalls müssen gehärtete Schnittstellensysteme her. Aber eine direkte Verbindung darf es einfach nicht geben oder wir haben genau dass, was jetzt passiert ist.

Die Monokultur durch Microsoft Systeme hat auch einen Anteil an der ganzen Misere, denn die macht es erst möglich, dass eine Sicherheitslücke so Flächendeckend mit dem aufgezeigten Ausmaß möglich ist und dann auch auftritt. Hier muss ebenfalls ein Umdenken stattfinden und alternative Anwendungen und Systeme müssen immer mit in den Denkprozess aufgenommen werden. Selbst wenn der andere Weg vielleicht auf den ersten Blick weniger einfach erscheint, gerade bei solchen Attacken zeigt es sich, warum der andere Weg, doch der bessere gewesen wäre. Linux und OpenSource ist natürlich nicht das Allheilmittel, aber der andere Ansatz, das andere Patch Management und eben nicht die Monokultur verringern die Angriffsfläche und erhöhen die Komplexität für einen Angriff selbst und das kann dann den Unterschied ausmachen. Im Kielwasser von WannaCry hat sich eine Lücke in Samba offenbart, die erst jetzt entdeckt wurde. Veröffentlich wurde die Lücke am 25.5. um kurz vor 18 Uhr lokaler Zeit. So gut wie alle Distributionen stellten zu diesem Zeitpunkt schon aktualisierte Pakete bereit. Das gleiche gilt für FreeNAS, wo auch entsprechende Updates zur Verfügung stehen. Andere Hersteller von NAS Systemen haben teilweise noch keine Updates bereitgestellt. Die gilt auch für die vielen IoT Systeme und sonstigen Embedded Devices. Dieses Beispiel zeigt aber wie schnell unter Linux Patches bereitgestellt werden können. Vor allem muss man hier nicht auf einen Patch-Day warten. Es zeigt aber auch, dass einige Hersteller gerne OpenSource nutzen, aber selbst kein wirklich gutes Patch-Management haben. Dies sollte bei der Auswahl der Systeme berücksichtigt werden. Die Pflege der Software auf den Systemen ist noch wichtiger als die Systeme selbst. Dann im Fall des Falles ist schnelle Hilfe nur das was wirklich zählt.

 

Die grundsätzlichen Konsequenzen müssen jetzt ein Hinterfragen der eignen IT Sicherheit sein, um endlich die bekannten Lücken zu schließen. Folgende Fragen sollten Sie sich jetzt unbedingt stellen:

  • Sind die Netze ausreichend Segmentiert und entsprechend abgeschottet und wird der Datenaustausch zwischen ihnen kontrolliert?
  • Sind alle vernetzen Systeme ausreichend geschützt und sind vor allem die zur Verfügung stehenden Patches installiert?
  • Ist das eigene Patch-Management so aufgestellt, dass man auch schnell reagieren kann?
  • Bietet die Firewall am Perimeter alle Funktionen nach dem Stand der Technik, um die Kommunikation zum Internet hin entsprechend zu prüfen und zu überwachen?
    Wird ggf. eine zweite Linie benötigt, um schnell mehr Schutz zu erreichen um dann in Ruhe auf eine angepasste Lösung umzustellen?
    Wichtig: Wird C&C und TOR Kommunikation erkannt und unterbunden?
  • Habe ich überhaupt noch den Überblick was gerade alles in meinem Netz passiert oder wird es nicht Zeit für eine SIEM und oder Monitoring Lösung?
  • Wie gut gesichert sind meine FileShares, gibt es hier bessere Ansätze als die klassische Freigabe mit Windows oder NAS Systemen.
  • Funktionieren meine Backups und sind diese vor unbefugten Zugriffen geschützt?
  • Ist der Einsatz einer AV Software noch der richtige Weg oder benötige ich einen anderen Ansatz?
  • eMail ist das größte Einfallstor in das Netzwerk, ist hier der Schutz ausreichend?
  • Basiert mein Patch Management noch auf den richtigen organisatorischen Prozessen?

(D)DoS Angriffe

Dass das Internet of Things (IoT) noch bevor es sich richtig etabliert hat komplett kaputt ist, ist die eine Sache. Was aber noch bedenklicher ist, wie massiv doch die (D)DoS Angriffe geworden sind – und dies ist erst der Anfang.

Die (D)DoS Angriffe die zurzeit wie eine Welle oder besser wie ein Tsunami über Anbieter, Dienste und Webserver hineinbrechen sind wohl leider erst nur der Anfang. Der Breitbandausbau ist wichtig und auch zwingend notwendig. Aber dadurch steht viel Bandbreite bei eher sehr schlecht abgesicherten Systemen den Angreifern zur Verfügung. Da die Bandbreiten und die Anzahl der schlecht gesicherten Systeme immer mehr werden, ist das was wir derzeit erlebt haben nur der Anfang – es wird noch viel schlimmer.

All diejenigen die Dienste in egal welcher Form auch immer anbieten sind nun in der Plicht ihre Dienste und vor allem ihre Internetanbindungen zu schützen. Dies gilt im Besonderen, wenn diese Dienste durch das eigene lokale Rechenzentrum zur Verfügung gestellt werden. Hier gibt es für alle, die auf einen funktionierenden Internetzugang angewiesen sind Handlungsbedarf.

Um zu verstehen, wie dieser Handlungsbedarf aussieht muss man die Art der Angriffe verstehen und auch unterscheiden. Bei einer groben Einteilung gibt es zwei Arten von Angriffe. Die mit wenig Volumen und Bandbreite ganz gezielt auf Schwachstellen in der (Web-)Anwendung abzielen um diese unbrauchbar zu machen und auf der anderen Seite die Angriffe die mit massiven Volumen und Bandbreite eine Überlast verursachen um so den kompletten Betrieb zu stören. Gegen die massiven Angriffe ist man am Ende seiner Internetverbindung völlig machtlos. Denn wenn man einmal das Datenpaket hat, ist es ja schon über die Leitung gekommen und hat diese schon belastet, ganz egal ob man dann das Paket verwirft oder nicht. Der eigene Dienst ist eben nun mal der letzte in der Kette und somit bei dieser Art des Angriffs ein leichtes Opfer. Das Problem ist hierbei aber nur, dass selbst wenn man auf den Dienst zur Not verzichten kann, die komplette Internetleitung unbrauchbar ist und dadurch sämtliche Dienste und die Internetnutzung nicht mehr möglich sind. Bei einem Angriff mit wenig Volumen und Bandbreite der direkt auf die Anwendung als solches zielt, kann man natürlich auch am Ende der Leitung was unternehmen, was man natürlich auch sollte.

In Anbetracht der zwar Arten von Angriffen ergeben sich auch zwei Szenarien zum Schutz der eigenen Dienste und vor allem auch der eigenen Internetanbindung. Unabhängig von (D)DoS Angriffen muss jede Anwendung die aus dem Internet zu erreichen ist, gegen DoS, also Denial of Service Angriffe geschützt werden. Dies gilt universell und ist völlig unabhängig von den aktuellen Angriffen. Je nach Anwendung lassen sich geeignete Maßnahmen durch ADC, WAF oder auch Reverse Proxy Systeme ergreifen, die dann die eigenen Dienste vor gezielten Angriffen schützen.

Bei den Volumen und Bandbreiten Angriffen ist es ungemein schwieriger hier etwas zu tun. Vor allem geht dies in keinen Fall ohne externe Hilfe durch den ISP, Carrier oder einem externen Standort. Bei dieser Art des Angriffs geht es nur darum die unerwünschten Daten von der eigenen Leitung fern zu halten um noch handlungsfähig zu bleiben. Da für die meisten mittelständischen Unternehmen ein Ausfall von einem Dienst eher noch zu kompensieren ist, wie der Ausfall der Internetanbindung selbst, geht dieser Artikel nur auf dieses Szenario ein. Vor allem ist dieses Szenario mit noch normalen IT Budgets bezahlbar, wo hingegen im anderen Fall dies nicht mit dem Einwurf von Münzen sondern eher von sehr großen Scheinen zu realisieren ist. Auch im Hinblick darauf, dass es selbst Dienste wie Twitter es nicht geschafft haben erreichbar zu bleiben, muss man schon schweres Geschütz auffahren um sich hier passend zu schützen.

Richtet man das Szenario darauf aus, die eigene Internetanbindung frei von der zweiten Art des Angriffs zu halten, so lässt sich dies sehr einfach bewerkstelligen. Alles was man benötigt ist ein externer Standort bei dem die eigenen Dienste terminieren. Durch den Einsatz geeigneter LoadBalancer, ADC’s oder NextGen-ADC’s und vielleicht noch in Kombination mit WAF Funktion brandet erst mal dort alles an, was so aus den Weiten des Internet kommt. Der eigene Dienst und die Daten verbleiben davon unberührt im eigenen Rechenzentrum. Der entscheidende Vorteil ist hier nicht nur der Schutz der Anwendungen, sondern auch die einstellbaren Limiter für Bandbreite und Sessions die zum eigentlichen Dienst durchgelassen wird. Passend konfiguriert prallt am externen Standort alles ab und die eigene Internetanbindung bleibt weiterhin uneingeschränkt nutzbar. Kurzum das Unternehmen bleibt, wenn auch bei dem einem oder anderen Dienst etwas eingeschränkt, auf jeden Fall arbeitsfähig und online.

Als give-away bekommt man beim Einsatz des externen Standorts noch IPv6 Adressen für seine Dienste mit dazu. So bietet man ohne extra Aufwand seinen Benutzern der Dienste einen echten Dual Stack Betrieb an, ohne selbst schon IPv6 einführen zu müssen.

Wenn Sie ihre Dienste schützen wollen und Fragen zum Thema (D)DoS Schutz haben, sprechen Sie und wie gewohnt an.

Sicherheitsproblem Funktastatur

Eigentlich war ein anderer Artikel für den Monat August geplant, aber aus aktuellem Anlass hat sich dies geändert. Bastille Networks Inc. hat gezeigt, dass kabellose Tastaturen die nicht auf Basis von Bluetooth arbeiten und mit eigenen USB Funkeinheiten ausgeliefert werden, ohne größere Probleme abgehört werden können. In vielen Fällen ist die Reichweite in der die Signale noch empfangen werden können größer als gemeinhin angenommen. Das Risiko bei der Nutzung von kabellosen Tastaturen ist, gerade bei Verarbeitung von sensiblen Daten, damit entsprechend hoch. Denn alles was getippt wird, kann so zu sagen in Echtzeit als Klartext eingesehen werden. 

Der Einsatz von kabellosen Tastaturen die nicht auf Bluetooth basieren sollte spätestens jetzt kritisch hinterfragt werden. Betroffen von diesem Problem sind mindestens acht namhaften Hersteller dieser Geräte. Generell raten wir daher vom Einsatz kabelloser Tastaturen ab und hier ganz speziell beim Einsatz in sensiblen Bereichen und überall dort wo sensible bzw. personenbezogene Daten verarbeitet werden. Die Gefahr des Missbrauchs durch Dritte ist nach bekanntwerden der Schwachstelle in der Funkübertragung einfach zu groß. Auch gerade deshalb, weil das Abgreifen aller Tastatureingaben mit wenig technischen Aufwand und aus der Ferne durchgeführt werden kann. Ein Angreifer benötigt in vielen Fällen so noch nicht einmal Zugang zu den Büros bzw. zum Gebäude selbst um an die Daten zu kommen. Teilweise beträgt die Reichweite bis zu 100 Meter in der Daten noch empfangen werden können. Grundsätzlich gilt ein Verzicht auf die anfälligen Geräte, sowie Anmeldedaten dort eingegeben werden.

Dies ist nicht das erste Mal, dass kabellose Tastaturen ein Sicherheitsproblem aufweisen. In 2010 und zuletzt in 2015 konnte die Übertragung aller eingegebener Daten durch Dritte mitgelesen werden können. Jetzt ist es wieder der Fall. Dazu benötigt es noch nicht einmal teures Equipment, umgerechnet 90 Euro und die Software KeySniffer reichen aus um die Daten abzufangen. Da Millionen von kabellosen Tastaturen betroffen sind, steht dem erfolgreichen Abgreifen von Daten durch Cyber Kriminelle so gut wie nichts im Wege. Da hier die Daten direkt bei der Eingabe des Benutzers abgefangen werden, spielt es keine Rolle mehr wie gut gesichert das Netzwerk und die Kommunikation an sich ist. Bevor die Daten auf die Reise gehen, haben die Kriminellen dieses schon abgefangen und dem Missbrauch ist Tür und Tor geöffnet.

Daher an dieser Stelle noch einmal der dringende Hinweis den Einsatz von kabellosen Tastaturen kritisch zu prüfen und entsprechend zu handeln. Auch wenn sich aktuell das eingesetzt Produkt nicht in der Liste der acht Hersteller zu finden ist, so ist es hier nur eine Frage der Zeit, bis dieser auch abgehört werden kann. Es gibt keinen Standard für diese Verbindungen, jeder Hersteller kann und geht seinen eigenen Weg. Viele Hersteller greifen auf OEM Anbieter zurück und haben die Produkte gar nicht selbst entwickelt. Da auch hier so gut wie immer der Preis entscheidend ist, sparen die OEM Hersteller wo es nur möglich ist. Dies hat aber zur Folge, dass die IT Sicherheit dabei auf der Strecke bleibt und Millionen von Nutzer nun ein massives Sicherheitsproblem haben. Daher sollte im Zweifel immer auf eine kabelgebundene Tastatur zurückgegriffen werden. Kann nicht auf eine kabellose Tastatur verzichtet werden, so sollte diese per Bluetooth verbunden sein.

Zur IT Sicherheit tragen auch einfache präventive Maßnahmen bei, wie auf den Einsatz solcher kabelloser Tastaturen zu verzichten. Auch sollte man der Meinung, dass aus Fehlern gelernt wird. Aber weder bei Tastaturen noch bei Consumer Routern trifft dies zu. Immer wieder ist zu lesen, dass es Sicherheitsprobleme gibt, die es einem externen Angreifer auf sehr einfache Art und Weise es ermöglichen die Geräte zu kompromittieren. Leider wird es wohl noch schlimmer werden. Die „schöne neue Welt“ des Internet of Things (IoT) birgt mit Sicherheit noch die eine oder andere Überraschung. Das gilt auch für die Industrie 4.0.

Das verschwundene Botnet

Seit Anfang Juni ist das Necurs Botnet spurlos verschwunden. Dieses wurde für den Trojaner Locky und die Malware Dridex verwendet. Sprichwörtlich von einem Tag auf den anderen war es weg. Dabei war das Botnet eines der größten Netze die je zur Verteilung von Schadcode benutzt und mit dem Millionen Euro “erwirtschaftet” wurden.
Da keiner, natürlich bis auf die Betreiber, genaues weiß, kann über dessen Verschwinden nur spekuliert werden. Auch ist es völlig offen ob alle Opfer ihre verschlüsselten Daten je wieder freikaufen können. Die Betreiber waren sehr professionell und wussten genau was sie taten, denn alle Versuche die Kontrolle über die C&C Server zu bekommen wurden abgeblockt. Aus diesem Grund ist es fast schon mysteriös, warum das Botnet auf einmal verschwunden ist. Besonders durch den professionellen Auftritt der Hacker hinter dem Botnet, fällt es schwer eine Erklärung zu finden, warum es so plötzlich verschwunden ist und somit eröffnet sich der Weg zu Spekulationen.
Geht man vom professionellen Ansatz der Hacker Gruppe aus, so ist es eher unwahrscheinlich, dass es ein Versehen war die C&C Server abzustellen. Auch kann man nicht davon ausgehen, dass eine staatliche Organisation wie ein FBI & Co. dafür verantwortlich ist. Denn das hätte diese dann sehr medienwirksam Kund getan, da man ja gerne Erfolge vorzeigen möchte. Wenn eine gegnerische Hacker Gruppe sich dem Netz bemächtigt hätte, dann wäre der Traffic ja nicht einfach so abgeebbt. Diese konkurrierende Gruppe hätte das übernommene Netz ja schließlich für ihre Zwecke weiter benutzt. Was sollte es sonst für einen Sinn ergeben, sich die ganze Arbeit der Übernahme zu machen und dann nicht den Nutzen davon zu haben. Zumal es für eine gegnerische Gruppe gleich zwei Siege wären, den anderen was weg zu nehmen und gleichzeitig noch mehr Profit aus der Aktion zu schlagen. Wenn man dieser Argumentation folgt, dann kommt man zum möglichen Schluss, die Gruppe hat das Netz mit Absicht selbst deaktiviert.
Ein solches Vorgehen ist in der IT nicht ganz unbekannt und wird vermehrt in virtuellen Umgebungen genutzt. Hier hat man in kürzester Zeit ein paar virtuelle Maschinen für ein Proof of Concept ausgerollt. Adaptiert auf das Internet und den Schadcode mit den C&C Servern trifft das auch zu. Die Hacker kümmert es nicht Millionen von Nutzen mit dem angerichteten Schaden zurückzulassen, genau wie es einen Admin nicht kümmert die PoC VM mit einem ‘delete from disk’ wieder los zu werden, wenn sie ihren Zweck erfüllt haben. Das wiederum würde jetzt bedeuten die Ransomware Locky und der Banking Trojaner Dridex in Verbindung mit dem Botnetz waren nur ein groß angelegter Feldversuch. So konnte in der wirklichen Welt getestet werden, wie sich ein solch großes Botnetz verhält, welche Probleme es ab bestimmter Größen mit der Koordination und Verwaltung gibt. Vor allem konnte getestet werden, wie die Gegenmaßnahmen der ISP’s, Hosting Provider oder der Behörden aussehen. Ein weiteres Ergebnis war auch die Erkenntnis wie leicht sich der Schadcode verbreiten konnte und wie schlecht es im allgemeinen um die IT Sicherheit bestellt ist.
Nimmt man dies alles zusammen, dann war Locky und Direx in der Version 0.9 nur ein Testballon für das was noch kommen wird. Vor allem wird das was als Nachfolger kommt, noch heftiger. Aber es wundert auch nicht wirklich wie einfach ein solch großes Netz aufgebaut werden konnte. Es gibt viel zu viele Server im Internet die durch mangelhafte Pflege und Inkompetenz der Betreiber dies erst ermöglichen. Den kriminellen wird es viel zu einfach gemacht.
Betrachtet man hier nur Server die WWW-Dienste im Internet anbieten, muss man sich sowieso wundern, dass nicht noch viel mehr passiert. Schaut man sich hier nur die vRoot oder Root WebServer der Hosting Provider an, auf die jeder mit oder ohne Ahnung irgendwelche WebApplikationen betreibt, ergibt sich ein erschütterndes Bild. Seit Jahren ungepatchte CMS und WebShops, nicht aktualisierte Plugins, keine Patches auf den Betriebssystemen! Die Devise ist wohl eher weil’s ja auch so geht und nur “schön” aussehen muss. Dazu kommt noch keine Ahnung von Programmierung zu haben und vor allem davon wie man sicheren Code schreibt, es werden einfach Codeschnipsel, Plugin und fertige Codeblocks ergooglet und verwendet. Diese “Hauptsache es geht” Mentalität ist einfach nur dumm und ist vor allem einer der Haupgründe, warum es um die Sicherheit so schlecht bestellt ist. Ganz vorne sind da die Agenturen, die vom Papier kommen und der Meinung sind es in der digitalen Welt auch zu können. Wenn diese mal alle wüssten was sie da wirklich tun, wären allen geholfen. Dazu kommen noch die Freizeitadmins und die ganze Welt des Internet of Things (IoT), wo es schon zur großem Kunst gehört auf der Fritzbox & Co. einen Port Forward hinzubekommen. Aber nicht wissen, was es wirklich bedeutet so etwas zu konfigurieren.
Es wird in Zukunft noch viel schlimmer mit (D)DoS Attacken, Botnetzen und Cyber Angriffen insbesondere mit den ganzen Folgen von Datendiebstahl und der Manipulation von IT Systemen.