Skip to content

SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 2

Auch in dieser Folge geht es weiter um die Vorträge zu SCADA-Systemen und Industriesteuerungen auf den Sicherheitskonferenzen "Black Hat" und "Hack in the Box".

Den Anfang machten die Vorträge von den Konferenzen in den Jahren 2010/2011, 2011, 2012, im März, April und August 2013.
Dem Vortrag von Lucas Apa und Carlos Mario Penagos auf der Black Hat USA 2013 über Schwachstellen in und Angriffen auf die drahtlose Kommunikation der Industriesteuerungen habe ich dann gleich fünf Folgen gewidmet, da ich auf diese Themen später noch mal zurückkommen werde.

Danach ging es dann um den letzten Vortrag zum Thema auf der Black Hat USA 2013 und dem einzigen Vortrag von der Black Hat Asia 2014. Und schon kommen wir zur nächsten Konferenz und damit langsam auch zum Ende dieser Reihe, die doch etwas umfangreicher geworden ist als eigentlich geplant. Aber mit der Sicherheit von SCADA-Systemen und Industriesteuerungen ist es leider nicht so besonders gut bestellt.

Mai 2014 - "Hack in the Box" Amsterdam

"SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 2" vollständig lesen

Neuer 0-Day-Exploit für Windows umgeht(?) Patch

Microsoft warnt vor einem 0-Day-Exploit (dem insgesamt 12. in diesem Jahr), der über präparierte PowerPoint-Dateien eine Schwachstelle in OLE ausnutzt, um Code auszuführen. Das klingt bekannt? Genau, so eine ähnliche Schwachstelle wurde gerade erst am Oktober-Patchday behoben. Aber allem Anschein nach nicht gut genug.

Die Frage ist nur, ob der neue Exploit nicht einfach nur ein neuer Angriffsvektor ist und am Patchday nicht die eigentliche Schwachstelle, sondern nur ein anderer Angriffsvektor behoben wurde. Denn den neuen Exploit gab es anscheinend schon, bevor der Patch veröffentlicht wurde. Und wie kann ein Exploit einen Patch umgehen, den es bei seiner Entwicklung noch gar nicht gab?

21.10.: Microsoft meldet einen 0-Day-Exploit

"Neuer 0-Day-Exploit für Windows umgeht(?) Patch" vollständig lesen

Neues zu den 0-Day-Exploits, besonders bösartige Werbung und mehr

Es gibt Neues zu den von Microsofts am Oktober-Patchday behobenen 0-Day-Schwachstellen, es wurde besonders bösartige Werbung entdeckt, und dann gibt es da noch ein paar widersprüchliche Meldungen.

Ach so, und was die Nutzung von Fake-Facebookprofilen durch die Polizei betrifft, über die ich vorige Woche geschrieben habe: Die findet man bei Facebook gar nicht witzig. Und hat prompt dem Chef der für den Identitätsdiebstahl verantwortlichen Drug Enforcement Administration (DEA) einen offenen Brief geschrieben. Facebook hält die Ausrede, dass das Opfer des Identitätsdiebstahls ja indirekt zugestimmt hat, als sie ihr Handy durchsuchen ließ um Daten für die Strafverfolgung zu finden, nicht für besonders stichhaltig. Und weil man bei Facebook wohl selbst weiß, dass sowieso fast niemand Nutzungsbedingungen liest, gibt es auch noch eine Auflistung der Punkte, gegen die die Polizisten verstoßen haben.

Neues zu Microsofts aktuellen 0-Day-Schwachstellen

"Neues zu den 0-Day-Exploits, besonders bösartige Werbung und mehr" vollständig lesen

Drucksache: Entwickler Magazin 6.2014 - Angriffe auf Embedded Systems in Autos, Flugzeugen und Schiffen

Im Entwickler Magazin 6.14 ist ein Artikel über Angriffe auf Embedded Systems in Autos, Flugzeugen und Schiffen erschienen. Der Artikel ist sogar das Titelthema! :-)

Denn Computer lassen sich nicht nur angreifen, wenn sie auf dem Schreibtisch oder im Rechenzentrum stehen, sondern auch wenn sie in Autos, Flugzeugen oder Schiffen eingebaut sind. Und weil theoretischen Angriffen, die auf Konferenzen vorgestellt wird, ja immer der Hauch des "Ach, das ist nur Schwarzmalerei, das wird ja nie passieren" anhängt, geht es gleich mit einem praktischen Beispiel los: Ein Drittel der Autodiebstähle in London sind laut dem britischem Innenministerium inzwischen IT-basiert [1]. Die Diebe nutzen dafür unter anderen spezielle Geräte, mit denen sie den Code des Autoschlüssels ausspähen, während der vom Fahrer benutzt wird [2].

"Drucksache: Entwickler Magazin 6.2014 - Angriffe auf Embedded Systems in Autos, Flugzeugen und Schiffen" vollständig lesen

Poodle - SSLv3 gefährdet Ihre Daten!

SSL und sein Nachfolger TLS dienen dazu, Daten sicher zwischen zwei Rechnern zu übertragen. Die häufigsten Einsatzzwecke sind der sicher Zugriff auf Websites über HTTPS und die sichere Übertragung von E-Mails zwischen Client und Server.

Für das Protokoll SSLv3 wurde nun ein Poodle genannter neuer Angriff vorgestellt. Eigentlich wird SSLv3 längst nicht mehr benötigt, kann aber als Fallback-Lösung genutzt werden. Bei einem Poodle-Angriff provoziert der Angreifer (der Zugriff auf alle Daten der Verbindung haben muss) erst den Rückfall auf SSLv3 und kann danach aufgrund einer Schwachstelle in SSLv3 Teile der verschlüsselten Daten, zum Beispiel Session-Cookies, entschlüsseln.

SSLv3 ist 18 Jahre alt und schon öfter durch Schwachstellen aufgefallen. Spätestens jetzt sollte jeder aufhören, es zu verwenden. Hinweise dazu sowohl für Clients als auch für Server finden Sie am Ende des Texts.

So funktioniert der Poodle-Angriff

"Poodle - SSLv3 gefährdet Ihre Daten!" vollständig lesen

Microsofts 0-Day-Schwachstellen, Ausgabe Oktober 2014, oder: 6 auf einen Streich

Der 14. Oktober war Microsofts monatlicher Patchday, und gleichzeitig eine Art 0-Day-Patchday. Denn es wurden sage und schreibe 6 0-Day-Schwachstellen behoben:

  • Je eine Schwachstelle im OLE Package Manager und im Kernel erlauben die Ausführung beliebigen Codes aus der Ferne und werden bereits im Rahmen vereinzelter, gezielter Angriffe ausgenutzt. Die Anzahl dieser 0-Exploits in 2014 ist damit auf 11 gestiegen.
  • Eine Schwachstelle im Kernel erlaubt eine lokale Privilegieneskalation und wird ebenfalls bereits im Rahmen von Angriffen ausgenutzt,
  • ebenso wie eine Schwachstelle im Internet Explorer, die zum Ausbruch aus der Sandbox genutzt wird.
  • Für eine Privilegieneskalation im Message Queuing Service wurde zwar ein Exploit veröffentlicht, bisher haben sich die Angreifer dafür aber nicht interessiert, ebenso wenig wie für eine
  • öffentlich gemeldete XSS-Schwachstelle im Microsoft ASP.NET Model View Controller (MVC).

CVE-2014-4114 ("Sandworm") - Codeausführung über präparierte Office-Dateien

"Microsofts 0-Day-Schwachstellen, Ausgabe Oktober 2014, oder: 6 auf einen Streich" vollständig lesen

Drucksache: windows.developer Magazin 11.2014 - Exotisches Ungeziefer

Im windows.developer 11.2014 ist ein Artikel über Schädlinge jenseits von Windows erschienen.

Viren, Würmer, Trojaner, seit einigen Jahren vor allem Drive-by-Infektionen - Windows und davor MS-DOS waren schon immer das beliebteste Ziel der Cyberkriminellen. Aber auch abseits des Windows-Desktops droht Gefahr. Eigentlich war der Text als Überblick über eher harmlose "Exoten" geplant. Inzwischen sieht die Lage leider gar nicht mehr so lustig aus und uns allen droht auch von einigen der "Exoten" Gefahr. Um zwei davon geht es daher in diesem Artikel: SynoLocker, einer Ransomware für Synology-NAS-Systeme, und BackOff, einer Spyware speziell für Point-of-Sale-Systeme, der die bei der Bezahlung anfallenden Kreditkarten-Daten ausspäht, bevor sie von der PoS-Software geschützt werden kann.

"Drucksache: windows.developer Magazin 11.2014 - Exotisches Ungeziefer" vollständig lesen

BadUSB - Ein Angriff, der dringend ernst genommen werden sollte

BadUSB klingt erst mal wie eine Anspielung auf BadBIOS, und diesen "Superschädling" nimmt ja wohl kaum noch jemand ernst. In sofern ist der Name vielleicht schlecht gewählt. Andererseits ist dieser Name Programm, denn jedes USB-Gerät kann ein bösartiges USB-Gerät werden, also "BadUSB". Und angesichts von BadUSB klingt BadBIOS plötzlich zumindest was den USB-Teil betrifft gar nicht mehr so unglaublich wie zuvor.

tl;dr: Die Firmware eines handelsüblichen USB-Sticks kann so manipuliert werden, dass darüber Schadsoftware auf jeden Rechner installiert wird, an den der Stick angesteckt wird. Das könnte zum Beispiel ein Wurm zur Verbreitung nutzen. Der bisher veröffentlichte Code erlaubt aber nur schon seit langen mit spezieller Hardware mögliche Angriffe mit normalen USB-Sticks durchzuführen. Es besteht also noch kein Grund zur Panik!

BadUSB - Jedes USB-Gerät ist potentiell bösartig!

"BadUSB - Ein Angriff, der dringend ernst genommen werden sollte" vollständig lesen

Neues eBook: Android Security - Von Fake-Apps, Trojanern und Spy Phones

Bei entwickler.press ist mein E-Book über die Sicherheit von Android erschienen: "Android Security - Von Fake-Apps, Trojanern und Spy Phones".

Es gibt einen Überblick über die aktuelle Sicherheitslage von Android: Welche Angriffe und Schadsoftware gibt es, und was haben die Sicherheitsforscher zu Android veröffentlich? Ein eigenes Kapitel ist den Spyhones gewidmet.

Kapitel 1: Android im Visier der Cyberkriminellen

"Neues eBook: Android Security - Von Fake-Apps, Trojanern und Spy Phones" vollständig lesen

iWorm - Ein Schädling, über den man das wichtigste nicht weiß. Oder ein Marketinggag?

Werbung ist wichtig, auch Angriffe, Schwachstellen und allgemein Gefahren brauchen Marketing, damit sie bekannt werden. Das kann man gut machen, wie im Fall von BadUSB (mehr dazu am Donnerstag). Oder schlecht, wie im Fall eines Mac-Botnets rund um "iWorm". Oder auch pfiffig, wie in diesem Fall:

Lesen Sie eigentlich das ganze Kleingedruckte, das einem die Websites, öffentlichen WLAN und was es sonst noch so gibt anzeigen? Die AGB, Nutzungsbedingungen, "Terms of Service", ...? Nicht? Na, hoffentlich haben Sie dann nicht schon irgend jemanden ihr erstgeborenes Kind versprochen!

Marketing und ein Botnet aus 17.000 Macs. Oder 18.000?

"iWorm - Ein Schädling, über den man das wichtigste nicht weiß. Oder ein Marketinggag?" vollständig lesen

ShellShock - Chronologie und Details: Tag 8 - Der 1. Oktober 2014

Die ShellShock-Schwachstelle in der Bash wird inzwischen auch für Angriffe auf NAS-Systeme genutzt. Außerdem wurden Details zu den beiden von Michal Zalewski entdeckten Schwachstellen veröffentlicht. Eine davon erlaubt mit ShellShock vergleichbare Angriffe auf Systeme, die nur gegen die ursprüngliche Schwachstelle gepatcht wurden.

Was bisher geschah:
Die ShellShock genannte Schwachstelle in der Unix-Shell Bash wurde am 24. September veröffentlicht. Am 25. September wurden die ersten Angriffe über die Schwachstelle entdeckt. Am 26. September setzte das Internet Storm Center die Alarmstufe auf Gelb herauf. Am 27. September wurden weitere Angriffe und eine neue kritische Schwachstelle gemeldet. Der 28. September war ein Sonntag, da haben wohl alle erst mal eine Pause gemacht, es gibt lediglich eine Meldung von Trend Micro über einen neuen Angriff in China: Bei einer "financial institution" wurden Systeminformationen ausgespäht. Am 29. September nahmen die Angriffe weiter zu, und es wurden weitere angreifbare Systeme entdeckt. Am 30. September war es mal wieder ruhig.

tl;dr: "Nebenan" gibt es eine kompakte Zusammenfassung der wichtigsten Informationen.

1. Oktober - Angriffe auf NAS-Systeme

"ShellShock - Chronologie und Details: Tag 8 - Der 1. Oktober 2014" vollständig lesen

ShellShock - Die Angriffe

In diesem Text finden Sie alle Informationen über die Angriffe auf/über die ShellShock-Schwachstelle im Überblick.

tl;dr: Eine Schwachstelle in der Unix-Shell Bash erlaubt Angreifern das Ausführen beliebiger Befehle über das Internet. Und das wird weidlich ausgenutzt. "Nebenan" gibt es eine kompakte Zusammenfassung der wichtigsten Informationen.

25. September - Die ersten Angriffe finden statt

"ShellShock - Die Angriffe" vollständig lesen

ShellShock - Die Schwachstellen und Angriffsvektoren

In diesem Text finden Sie alle Informationen zur ursprünglichen ShellShock-Schwachstelle und den danach entdeckten weiteren Schwachstellen sowie allen Angriffsvektoren für die ShellShock-Schwachstelle im Überblick (Vorsicht, dieser Text ist lang, ShellShock hat es in sich).

tl;dr: Eine Schwachstelle in der Unix-Shell Bash erlaubt Angreifern das Ausführen beliebiger Befehle über das Internet. "Nebenan" gibt es eine kompakte Zusammenfassung der wichtigsten Informationen.

Die Schwachstellen rund um ShellShock

"ShellShock - Die Schwachstellen und Angriffsvektoren" vollständig lesen