Neues zur Sicherheit von Clients
Auch in dieser Folge gibt es einen Überblick über die 2011 auf Sicherheitskonferenzen vorgestellten neuen Angriffe und mögliche Schutzmaßnahmen. Das Ziel diesmal: Client-Rechner. Konkret geht es um Macs in Zeiten der Advanced Persistent Threats, Sandboxen unter Mac OS X und Windows, Mitigations und Binary Planting.
Alex Stamos et al: Macs in the Age of the APT
Alex Stamos, Aaron Grattafiori, Tom Daniels, Paul Youn und B. J. Orvis habe sich mit "Macs in the Age of the APT" auseinandergesetzt und die Ergebnisse auf der Black Hat USA 2011 vorgestellt. Was ein "Advanced Persistent Threat" ist, weiß spätestens seit der "Operation Aurora", dem gezielten Angriff auf Google und andere Unternehmen im Winter 2009/2010, wohl fast jeder. Für die, die es bisher nicht wussten, wurde das Problem am Beispiel von Google erklärt.
Danach wurde der Ablauf eines APT-Angriffs beschrieben und dabei jeweils auf die Besonderheiten von Mac OS X hingewiesen. Z.B. das (ungerechtfertigte) Sicherheitsgefühl vieler Mac-Benutzer: Da es bisher kaum Viren etc. gibt, scheint Mac OS X vor Angriffen gut geschützt zu sein, die relativ geringe Verbreitung sorgt dafür, dass die Cyberkriminellen sich auf Windows konzentrieren, usw. - alles Argumente, die zum einen überholt sind, seitdem zumindest die Scarewareautoren den Mac entdeckt haben, zum anderen nichts mit einem APT zu tun haben. Bei einem gezielten Angriff wird die Schadsoftware für den Zielrechner entwickelt bzw. angepasst. Und wenn das ein Mac sein sollte, dann wird das Spionageprogramm eben dafür geschrieben. Das falsche Sicherheitsgefühl macht Mac-Anwender besonders empfänglich für Social Engineering und zu einem leichten Opfer der Angreifer.
Ein weiteres Problem sind die sog. Mitigations, die Angriffe über Pufferüberlaufschwachstellen erschweren sollen: Die sind teilweise in Mac OS X gar nicht implementiert bzw. nicht aktiviert. Erst mit Mac OS X Lion ändert sich das zum Besseren. Und so geht es weiter - für jeden Schritt eines APT-Angriffs werden die Schwachpunkte in Mac OS X aufgezeigt. Aber auch mögliche Schutzmaßnahmen werden erwähnt, so dass es im Fall eines Angriffs nicht unbedingt zum Schlimmsten kommen muss.
Zum Abschluss gibt es einen Vergleich der Mac- und Windows-Sicherheit in jedem Schritt. Auch die Antwort auf die Frage aller Fragen, "Should you use Macs in your Enterprise?" wird geliefert: "Bottom Line: Run your Macs as little islands on a hostile network." Aber wer arbeitet schon in einem feindlichen Netz, nicht wahr?
Dionysus Blazakis: The Apple Sandbox
Eine relativ neue Schutzmaßnahme hat Dionysus Blazakis auf der Black
Hat DC 2011 vorgestellt:
"The Apple Sandbox".
Die XNU Sandbox kapselt Programme so, dass sie keine für den normalen
Betrieb nicht benötigten Aktionen durchführen können. Z.B.
müssen ein HTML-Parser oder eine JavaScript-Engine keine neuen Prozesse
starten oder eine Datei wie /etc/passwd lesen können
(und: Ja, ich weiß, dass in dieser Datei keiner Passwörter mehr
gespeichert sind, aber sie ist nun mal ein Standardbeispiel, mit dem auch
die meisten Laien etwas anfangen können).
Dionysus Blazakis beschreibt den Aufbau, die Funktionsweise und Nutzung von Apples XNU Sandbox. Das klingt etwas überflüssig, aber da Teile der Sandbox Closed Source sind ist ein solcher Einblick durchaus nützlich. Darüber hinaus hat Dionysus Blazakis einen Decompiler für die Sandbox-Profile entwickelt, mit dem die vom System verwendeten Binärversionen der Profile in für Menschen lesbare Texte umgewandelt werden können.
Tom Keetch: Escaping From Microsoft Windows Sandboxes
Während Dionysus Blazakis beschrieben hat, wie Programme in die Sandbox hinein kommen, hat sich Tom Keetch um die Gegenrichtung gekümmert. In seinem Vortrag "Escaping From Microsoft Windows Sandboxes" auf der Black Hat Europe 2011 beschreibt er, wie Schadcode aus einer Sandbox ausbrechen kann. Konkret geht es dabei um die Sandboxen von Internet Explorer, Adobe Reader und Google Chrome unter Windows.
Nach einer Einführung in die Sandbox-Technologie in Theorie und Praxis beschreibt er Schwachstellen in den Sandbox-Implementierungen und Angriffe drauf. Sein Fazit: Sandboxen ändern die Angriffs-Landschaft, lokale Privilegieneskalation und der Ausbruch aus der Sandbox nehmen an Wichtigkeit zu. Dass es bisher wenig Schadsoftware gibt, die aus einer Sandbox ausbricht, liegt u.a. an der geringen Motivation für die Cyberkriminellen, entsprechende Schadsoftware zu entwickeln. Solange sie auch ohne den zusätzlichen Aufwand ans Ziel kommen, besteht schlicht keine Notwendigkeit, diese zusätzlichen Funktionen zu implementieren. Wenn es nötig wird, werden die Cyberkriminellen aber entsprechende Funktionen entwickeln und implementieren.
Patroklos Argyroudis und und Dimitrios Glynos: Protecting the Core
Patroklos Argyroudis und Dimitrios Glynos haben auf der Black Hat Europe 2011 verschiedene Mitigations zum Erschweren von Angriffen über Pufferüberlauf-Schwachstellen vorgestellt: "Protecting the Core: Kernel Exploitation Mitigations". Nach der ausführlichen Beschreibung der Mitigations sowohl für Kernel- als auch Userland-Speicherbereiche und den Kernel selbst wurden kurz mögliche Umgehungsstrategien aufgeführt. Bei den Systemen zeigten sich Patroklos Argyroudis und Dimitrios Glynos flexibel, die deckten alles von A bis W ab: Android, FreeBSD, iOS, Linux, Mac OS X und Windows. Der Schwerpunkt lag allerdings auf FreeBSD, Linux, Mac OS X und Windows, da iOS auf Mac OS X und Android auf Linux basiert.
Chris Valasek und Ryan Smith: Exploitation in the Modern Era
Mit "Exploitation in the Modern Era" beschäftigten sich Chris Valasek und Ryan Smith auf der Black Hat Europe 2011. Vorgestellt wurden aktuelle Angriffstechniken, die die verschiedenen Mitigations unterlaufen. Leider wurden weder Präsentation noch Whitepaper veröffentlicht, lediglich auf Prezi gibt es eine Version der Präsentation. Eine Beschreibung des Vortrags gibt es im Blog des Corelan Teams.
Mitja Kolsek: Binary Planting
Mitja Kolsek hat auf der Hack in the Box Amsterdam 2011 auf ein interessantes Problem aufmerksam gemacht: "Binary Planting – First Overlooked, Then Downplayed, Now Ignored" (Präsentation als PDF). In der Tat ist Binary Planting in letzter Zeit ziemlich aus der allgemeinen Wahrnehmung verschwunden. Und das, obwohl es immer noch Programme mit entsprechenden Schwachstellen gibt. Es werden immer noch neue betroffene Programme entdeckt, und bereits bekannte Schwachstellen werden nur zögerlich gepatcht. Die meisten Schwachstellen bleiben ungepatcht, da die betreffenden Entwickler einen Angriff für unwahrscheinlich halten. Mitja Kolsek hat demonstriert, dass das ein Irrtum ist.
Auch in der nächsten Folge geht es um Vorträge auf Sicherheitskonferenzen, zuerst weiter zum Thema "Client Security". Erst mal aber ist Weihnachten. "Zwischen den Jahren" erscheint dieses Jahr keine Folge, so dass die Fortsetzung erst im neuen Jahr erscheint.
Ich wünsche Ihnen ein Frohes Fest, einen Guten Rutsch ins neue Jahr und ein erfolgreiches Jahr 2012!
Übersicht über alle Artikel zum Thema
- Neues zur Sicherheit von Web-Clients
- Neues zur Sicherheit von Web-Clients, Teil 2
- Neues zur Sicherheit von Clients, nicht nur im Web
- Neues zur Sicherheit von Clients
- Neues zur Sicherheit von Clients, Teil 2
- Neues zur Sicherheit von Webservern und -anwendungen
- Neues zur Sicherheit von Webservern und -anwendungen, Teil 2
- Sicherheitskonferenzen 2011: Autos und Insulinpumpen im Visier
- SAP-Anwendungen dringen ins Web vor, die Angreifer nehmen die Gegenrichtung
Trackbacks
Dipl.-Inform. Carsten Eilers am : Gezielte Angriffe und Advanced Persistent Threats
Vorschau anzeigen