2014 wird als das Jahr in die Geschichte eingehen, in dem die
Schwachstellen Namen bekamen. Vorher gab es bereits Namen für
Schadsoftware, aber für Schwachstellen haben die sich erst dieses Jahr
wirklich durchgesetzt. Die Schwachstelle von Welt kommt heute nicht mehr
ohne Namen aus. Jedenfalls nicht, wenn sie ernst genommen werden will.
Kennen Sie den Unterschied zwischen CVE-2014-6271 und Shellshock? Nicht?
Dabei gibt es einen ganz gewaltigen: CVE-2014-6271 hätte es nie in die
allgemeinen Medien geschafft, Shellshock ist das dagegen mit Leichtigkeit
gelungen. Dabei ist es ein und dieselbe Schwachstelle. Werbung ist eben
alles. Im Jahr 2014 auch für Schwachstellen.
Aber fangen wir vorne an. Die erste "berühmte" Schwachstelle war der im
April vorgestellte Heartbleed-Bug in OpenSSL. Aber schon davor gab es
Schwachstellen mit Namen. Jedenfalls irgendwie:
2014 wurden mit
BadUSB
und der angeblich beim
Laden über USB
den Strom spendenden Rechner mit Schadsoftware infizierenden E-Zigarette
zwei neue kritische Angriffe auf/über USB gemeldet. Das schreit nach
einem Überblick über die bisher bekannten Angriffe und
Schwachstellen. Bitte sehr, hier ist er:
Hinweis:
Ich habe den Artikel im Laufe des Jahres 2015 ab und zu aktualisiert.
Ende des Hinweis
Es ist bald Weihnachten, und bis dahin ist noch einiges zu tun. Und damit
meine ich nicht die üblichen Aufgaben wie "Im letzten Moment die
Geschenke kaufen" und "Am 23.12. Lebensmittelvorräte für
die nächsten 4 Wochen einkaufen, weil die Geschäfte ja 2 Tage zu
sind", sondern einige Aufgaben rund um die IT (die natürlich auch
außerhalb der Weihnachtszeit nicht vergessen werden dürfen, aber
im allgemeinen Trubel gehen sie jetzt schnell unter):
Der
Poodle-Angriff
auf SSL/TLS besteht bekanntlich aus zwei Schritten: Zuerst wird ein
Downgrade auf SSL 3.0 erzwungen, dann eine Schwachstelle im Protokoll
für einen Padding-Oracle-Angriff ausgenutzt. Weshalb der Angriff ja
auch "Padding Oracle On Downgraded Legacy Encryption" oder eben
kurz Poodle genannt wird. Die Schwachstelle konnte ganz einfach behoben
werden, indem das sowieso veraltete SSLv3 nicht mehr verwendet wurde. Mit
TLS 1.x stehen ja sichere Alternativen zur Verfügung. Dachte man
zumindest.
Adam Langley hat nun
herausgefunden,
dass auch manche TLS-Implementierungen für den Padding-Oracle-Angriff
anfällig sind. Besonders unangenehm dabei: Unter anderem sind die
Load-Balancer der Hersteller F5 und A10 Networks betroffen, und die werden
von etlichen großen Websites verwendet. Laut Ivan Ristic sind rund 10%
aller Server von der neuen Schwachstelle
betroffen.
Im
Entwickler Magazin 1.15
ist ein Artikel über die Angriffe auf SSL/TLS und deren
Implementierungen im Jahr 2014 erschienen. Denn mit Heartbleed (OpenSSL),
Poodle (SSL/TLS), dem Triple-Handshake-Angriff (TLS), der
GOTO-FAIL-Schwachstelle (Mac OS X, iOS) und BERserk (NSS Library)
waren die 2014 ganz schön gebeutelt.
Sowohl Microsoft als auch Adobe hatten am 9. Dezember ihren Patchday. Und
während Microsoft diesmal keine bereits für Angriffe genutzten
Schwachstellen patchen musste, gab es von Adobe ein Update für den
Flash Player, mit dem unter anderem eine bereits ausgenutzte Schwachstelle
behoben wird.
Insgesamt wurden 14 bereits für Angriffe genutzte Schwachstellen
behoben,
dazu kommen die von Microsoft als kritisch eingestufte
Privilegieneskalation in Kerberos sowie
zwei reine 0-Day-Schwachstellen, für die es bisher keine Exploits
gibt.
Verglichen
mit 2013
sind wir dieses Jahr also bisher glimpflich davon gekommen, letztes Jahr
gab es 21 0-Day-Exploits. Wobei so ein Vergleich natürlich ziemlich
nutzlos ist, aber warum soll man nicht mal die 0-Day-Exploits pro Jahr
vergleichen, wenn man auch Regen, Schnee oder Sonnenschein vergleicht?
Oh Schreck, es gibt eine 0-Day-Schwachstelle im IE. Panik!1!ELF
Das ist alles total übertrieben. Wieso? Weil es "nur" eine
0-Day-Schwachstelle
ist, es gibt bisher keinen Exploit dafür. Also: Kein Grund zur Panik.
Denn wenn Sie wegen der einen Schwachstelle schon in Panik ausbrechen, was
machen Sie denn dann wegen der womöglich zig hundert noch gar nicht
entdeckten Schwachstellen? Die könnten jederzeit entdeckt werden, und
je nachdem ob der Entdecker Sicherheitsforscher oder Cyberkrimineller ist
wird sie dann an Microsoft gemeldet oder mit einem 0-Day-Exploit
ausgenutzt. Also: Es gibt wirklich keinen Grund zur Panik!
In dieser Folge geht es ein (vorerst) letztes Mal um die Vorträge
zu SCADA-Systemen und Industriesteuerungen auf den Sicherheitskonferenzen
"Black Hat" und "Hack in the Box".
Den Vortrag von Lucas Apa und Carlos Mario Penagos auf der
Black Hat USA 2013 über Schwachstellen in und Angriffen auf die
drahtlose Kommunikation der Industriesteuerungen habe
ichdannmehrereFolgengewidmet,
da ich auf diese Themen später noch mal zurückkommen werde.
Danach ging es dann um den letzten Vortrag zum Thema auf der
Black Hat USA 2013
und dem einzigen Vortrag von der
Black Hat Asia 2014.
Die nächste Konferenz in 2014 war die
"Hack in the Box" Amsterdam,
und dann kam schon die vorerst letzte Konferenz in dieser Reihe an
dieselbe, die Black Hat USA 2014, um die es auch in dieser Folge noch
einmal geht.