Auch in dieser Folge geht es weiter um die Vorträge zu SCADA-Systemen und
Industriesteuerungen auf den Sicherheitskonferenzen "Black Hat" und "Hack
in the Box".
Den Anfang machten die Vorträge von den Konferenzen in den Jahren
2010/2011,
2011,
2012,
im
März,
April
und
August 2013.
Dem Vortrag von Lucas Apa und Carlos Mario Penagos auf der
Black Hat USA 2013 über Schwachstellen in und Angriffen auf die
drahtlose Kommunikation der Industriesteuerungen habe ich
danngleichfünfFolgengewidmet,
da ich auf diese Themen später noch mal zurückkommen
werde.
Danach ging es dann um den letzten Vortrag zum Thema auf der
Black Hat USA 2013
und dem einzigen Vortrag von der
Black Hat Asia 2014.
Und schon kommen wir zur nächsten Konferenz und damit langsam auch zum
Ende dieser Reihe, die doch etwas umfangreicher geworden ist als eigentlich
geplant. Aber mit der Sicherheit von SCADA-Systemen und
Industriesteuerungen ist es leider nicht so besonders gut bestellt.
Microsoft
warnt
vor einem 0-Day-Exploit (dem insgesamt
12.
in diesem Jahr), der über präparierte PowerPoint-Dateien eine
Schwachstelle in OLE ausnutzt, um Code auszuführen. Das klingt
bekannt? Genau, so eine ähnliche Schwachstelle wurde gerade erst am
Oktober-Patchday
behoben.
Aber allem Anschein nach nicht gut genug.
Die Frage ist nur, ob der neue Exploit nicht einfach nur ein neuer Angriffsvektor
ist und am Patchday nicht die eigentliche Schwachstelle, sondern nur ein anderer
Angriffsvektor behoben wurde. Denn den neuen Exploit gab es anscheinend
schon, bevor der Patch veröffentlicht wurde. Und wie kann ein Exploit
einen Patch umgehen, den es bei seiner Entwicklung noch gar nicht gab?
Es gibt Neues zu den von Microsofts am Oktober-Patchday behobenen
0-Day-Schwachstellen, es wurde besonders bösartige Werbung entdeckt,
und dann gibt es da noch ein paar widersprüchliche Meldungen.
Ach so, und was die Nutzung von Fake-Facebookprofilen durch die Polizei
betrifft, über die ich
vorige Woche
geschrieben habe: Die findet man bei Facebook
gar nicht witzig.
Und hat prompt dem Chef der für den Identitätsdiebstahl
verantwortlichen Drug Enforcement Administration (DEA) einen
offenen Brief
geschrieben. Facebook hält die Ausrede, dass das Opfer des
Identitätsdiebstahls ja indirekt zugestimmt hat, als sie ihr Handy
durchsuchen ließ um Daten für die Strafverfolgung zu finden, nicht
für besonders stichhaltig. Und weil man bei Facebook wohl selbst
weiß, dass sowieso fast niemand Nutzungsbedingungen liest, gibt es
auch noch eine Auflistung der Punkte, gegen die die Polizisten
verstoßen haben.
Neues zu Microsofts aktuellen 0-Day-Schwachstellen
Im
Entwickler Magazin 6.14
ist ein Artikel über Angriffe auf Embedded Systems in Autos,
Flugzeugen und Schiffen erschienen. Der Artikel ist sogar das Titelthema!
Denn Computer lassen sich nicht nur angreifen, wenn sie auf dem
Schreibtisch oder im Rechenzentrum stehen, sondern auch wenn sie in Autos,
Flugzeugen oder Schiffen eingebaut sind. Und weil theoretischen Angriffen,
die auf Konferenzen vorgestellt wird, ja immer der Hauch des "Ach, das
ist nur Schwarzmalerei, das wird ja nie passieren" anhängt, geht
es gleich mit einem praktischen Beispiel los: Ein Drittel der
Autodiebstähle in London sind laut dem britischem Innenministerium
inzwischen IT-basiert [1]. Die Diebe nutzen dafür unter anderen
spezielle Geräte, mit denen sie den Code des Autoschlüssels
ausspähen, während der vom Fahrer benutzt wird [2].
SSL und sein Nachfolger TLS dienen dazu, Daten sicher zwischen zwei
Rechnern zu übertragen. Die häufigsten Einsatzzwecke sind der
sicher Zugriff auf Websites über HTTPS und die sichere
Übertragung von E-Mails zwischen Client und Server.
Für das Protokoll SSLv3 wurde nun ein Poodle genannter neuer Angriff
vorgestellt. Eigentlich wird SSLv3 längst nicht mehr benötigt,
kann aber als Fallback-Lösung genutzt werden. Bei einem
Poodle-Angriff provoziert der Angreifer (der Zugriff auf alle Daten der
Verbindung haben muss) erst den Rückfall auf SSLv3 und kann danach
aufgrund einer Schwachstelle in SSLv3 Teile der verschlüsselten Daten,
zum Beispiel Session-Cookies, entschlüsseln.
SSLv3 ist 18 Jahre alt und schon öfter durch Schwachstellen
aufgefallen. Spätestens jetzt sollte jeder aufhören, es zu
verwenden. Hinweise dazu sowohl für Clients als auch für Server
finden Sie am Ende des Texts.
Der 14. Oktober war Microsofts monatlicher Patchday, und gleichzeitig eine
Art 0-Day-Patchday. Denn es wurden sage und schreibe 6 0-Day-Schwachstellen
behoben:
Je eine Schwachstelle im OLE Package Manager und im Kernel erlauben
die Ausführung beliebigen Codes aus der Ferne und werden bereits
im Rahmen vereinzelter, gezielter Angriffe ausgenutzt. Die Anzahl
dieser 0-Exploits in 2014 ist damit auf
11
gestiegen.
Eine Schwachstelle im Kernel erlaubt eine lokale Privilegieneskalation
und wird ebenfalls bereits im Rahmen von Angriffen ausgenutzt,
ebenso wie eine Schwachstelle im Internet Explorer, die zum Ausbruch
aus der Sandbox genutzt wird.
Für eine Privilegieneskalation im Message Queuing Service wurde
zwar ein Exploit veröffentlicht, bisher haben sich die Angreifer
dafür aber nicht interessiert, ebenso wenig wie für eine
öffentlich gemeldete XSS-Schwachstelle im Microsoft ASP.NET Model
View Controller (MVC).
CVE-2014-4114 ("Sandworm") - Codeausführung über präparierte Office-Dateien
Mit Schadsoftware für Point-of-Sale-Systeme und Geldautomaten wollen
die Cyberkriminellen ans Geld der Opfer, die Polizei in den USA gibt sich
bisher mit Identitätsdiebstahl zufrieden.
Viren, Würmer, Trojaner, seit einigen Jahren vor allem
Drive-by-Infektionen - Windows und davor MS-DOS waren schon immer das
beliebteste Ziel der Cyberkriminellen. Aber auch abseits des
Windows-Desktops droht Gefahr. Eigentlich war der Text als Überblick
über eher harmlose "Exoten" geplant. Inzwischen sieht die Lage leider
gar nicht mehr so lustig aus und uns allen droht auch von einigen der
"Exoten" Gefahr. Um zwei davon geht es daher in diesem Artikel:
SynoLocker, einer Ransomware für Synology-NAS-Systeme, und BackOff,
einer Spyware speziell für Point-of-Sale-Systeme, der die bei der
Bezahlung anfallenden Kreditkarten-Daten ausspäht, bevor sie von der
PoS-Software geschützt werden kann.
BadUSB klingt erst mal wie eine Anspielung auf BadBIOS, und diesen
"Superschädling" nimmt ja wohl kaum noch jemand ernst. In sofern ist
der Name vielleicht schlecht gewählt. Andererseits ist dieser Name
Programm, denn jedes USB-Gerät kann ein bösartiges USB-Gerät
werden, also "BadUSB". Und angesichts von BadUSB klingt BadBIOS
plötzlich zumindest was den USB-Teil betrifft gar nicht mehr so
unglaublich wie zuvor.
tl;dr: Die Firmware eines handelsüblichen USB-Sticks kann so
manipuliert werden, dass darüber Schadsoftware auf jeden Rechner
installiert wird, an den der Stick angesteckt wird. Das könnte zum
Beispiel ein Wurm zur Verbreitung nutzen. Der bisher veröffentlichte
Code erlaubt aber nur schon seit langen mit spezieller Hardware
mögliche Angriffe mit normalen USB-Sticks durchzuführen. Es
besteht also noch kein Grund zur Panik!