Auch in dieser Folge geht es weiter um die Vorträge zu SCADA-Systemen und
Industriesteuerungen auf den Sicherheitskonferenzen “Black Hat” und “Hack
in the Box”.
Den Anfang machten die Vorträge von den Konferenzen in den Jahren
2010/2011,
2011,
2012,
im
März,
April
und
August 2013.
Dem Vortrag von Lucas Apa und Carlos Mario Penagos auf der
Black Hat USA 2013 über Schwachstellen in und Angriffen auf die
drahtlose Kommunikation der Industriesteuerungen habe ich
dann
gleich
fünf
Folgen
gewidmet,
da ich auf diese Themen später noch mal zurückkommen
werde.
Danach ging es dann um den letzten Vortrag zum Thema auf der
Black Hat USA 2013
und dem einzigen Vortrag von der
Black Hat Asia 2014.
Und schon kommen wir zur nächsten Konferenz und damit langsam auch zum
Ende dieser Reihe, die doch etwas umfangreicher geworden ist als eigentlich
geplant. Aber mit der Sicherheit von SCADA-Systemen und
Industriesteuerungen ist es leider nicht so besonders gut bestellt.
Mai 2014 – “Hack in the Box” Amsterdam
“SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 2” vollständig lesen
Da mir die Zeit heute etwas knapp geworden ist gibt es mal wieder nur jede
Menge Links und ganz wenige Kommentare.
Neues zu den aktuelle 0-Day-Exploits
“Links, jede Menge Links. Und ganz wenig Kommentare.” vollständig lesen
Microsoft
warnt
vor einem 0-Day-Exploit (dem insgesamt
12.
in diesem Jahr), der über präparierte PowerPoint-Dateien eine
Schwachstelle in OLE ausnutzt, um Code auszuführen. Das klingt
bekannt? Genau, so eine ähnliche Schwachstelle wurde gerade erst am
Oktober-Patchday
behoben.
Aber allem Anschein nach nicht gut genug.
Die Frage ist nur, ob der neue Exploit nicht einfach nur ein neuer Angriffsvektor
ist und am Patchday nicht die eigentliche Schwachstelle, sondern nur ein anderer
Angriffsvektor behoben wurde. Denn den neuen Exploit gab es anscheinend
schon, bevor der Patch veröffentlicht wurde. Und wie kann ein Exploit
einen Patch umgehen, den es bei seiner Entwicklung noch gar nicht gab?
21.10.: Microsoft meldet einen 0-Day-Exploit
“Neuer 0-Day-Exploit für Windows umgeht(?) Patch” vollständig lesen
Es gibt Neues zu den von Microsofts am Oktober-Patchday behobenen
0-Day-Schwachstellen, es wurde besonders bösartige Werbung entdeckt,
und dann gibt es da noch ein paar widersprüchliche Meldungen.
Ach so, und was die Nutzung von Fake-Facebookprofilen durch die Polizei
betrifft, über die ich
vorige Woche
geschrieben habe: Die findet man bei Facebook
gar nicht witzig.
Und hat prompt dem Chef der für den Identitätsdiebstahl
verantwortlichen Drug Enforcement Administration (DEA) einen
offenen Brief
geschrieben. Facebook hält die Ausrede, dass das Opfer des
Identitätsdiebstahls ja indirekt zugestimmt hat, als sie ihr Handy
durchsuchen ließ um Daten für die Strafverfolgung zu finden, nicht
für besonders stichhaltig. Und weil man bei Facebook wohl selbst
weiß, dass sowieso fast niemand Nutzungsbedingungen liest, gibt es
auch noch eine Auflistung der Punkte, gegen die die Polizisten
verstoßen haben.
Neues zu Microsofts aktuellen 0-Day-Schwachstellen
“Neues zu den 0-Day-Exploits, besonders bösartige Werbung und mehr” vollständig lesen
Im
Entwickler Magazin 6.14
ist ein Artikel über Angriffe auf Embedded Systems in Autos,
Flugzeugen und Schiffen erschienen. Der Artikel ist sogar das Titelthema!
Denn Computer lassen sich nicht nur angreifen, wenn sie auf dem
Schreibtisch oder im Rechenzentrum stehen, sondern auch wenn sie in Autos,
Flugzeugen oder Schiffen eingebaut sind. Und weil theoretischen Angriffen,
die auf Konferenzen vorgestellt wird, ja immer der Hauch des “Ach, das
ist nur Schwarzmalerei, das wird ja nie passieren” anhängt, geht
es gleich mit einem praktischen Beispiel los: Ein Drittel der
Autodiebstähle in London sind laut dem britischem Innenministerium
inzwischen IT-basiert [1]. Die Diebe nutzen dafür unter anderen
spezielle Geräte, mit denen sie den Code des Autoschlüssels
ausspähen, während der vom Fahrer benutzt wird [2].
“Drucksache: Entwickler Magazin 6.2014 – Angriffe auf Embedded Systems in Autos, Flugzeugen und Schiffen” vollständig lesen
SSL und sein Nachfolger TLS dienen dazu, Daten sicher zwischen zwei
Rechnern zu übertragen. Die häufigsten Einsatzzwecke sind der
sicher Zugriff auf Websites über HTTPS und die sichere
Übertragung von E-Mails zwischen Client und Server.
Für das Protokoll SSLv3 wurde nun ein Poodle genannter neuer Angriff
vorgestellt. Eigentlich wird SSLv3 längst nicht mehr benötigt,
kann aber als Fallback-Lösung genutzt werden. Bei einem
Poodle-Angriff provoziert der Angreifer (der Zugriff auf alle Daten der
Verbindung haben muss) erst den Rückfall auf SSLv3 und kann danach
aufgrund einer Schwachstelle in SSLv3 Teile der verschlüsselten Daten,
zum Beispiel Session-Cookies, entschlüsseln.
SSLv3 ist 18 Jahre alt und schon öfter durch Schwachstellen
aufgefallen. Spätestens jetzt sollte jeder aufhören, es zu
verwenden. Hinweise dazu sowohl für Clients als auch für Server
finden Sie am Ende des Texts.
So funktioniert der Poodle-Angriff
“Poodle – SSLv3 gefährdet Ihre Daten!” vollständig lesen
Der 14. Oktober war Microsofts monatlicher Patchday, und gleichzeitig eine
Art 0-Day-Patchday. Denn es wurden sage und schreibe 6 0-Day-Schwachstellen
behoben:
- Je eine Schwachstelle im OLE Package Manager und im Kernel erlauben
die Ausführung beliebigen Codes aus der Ferne und werden bereits
im Rahmen vereinzelter, gezielter Angriffe ausgenutzt. Die Anzahl
dieser 0-Exploits in 2014 ist damit auf
11
gestiegen.
- Eine Schwachstelle im Kernel erlaubt eine lokale Privilegieneskalation
und wird ebenfalls bereits im Rahmen von Angriffen ausgenutzt,
- ebenso wie eine Schwachstelle im Internet Explorer, die zum Ausbruch
aus der Sandbox genutzt wird.
- Für eine Privilegieneskalation im Message Queuing Service wurde
zwar ein Exploit veröffentlicht, bisher haben sich die Angreifer
dafür aber nicht interessiert, ebenso wenig wie für eine
- öffentlich gemeldete XSS-Schwachstelle im Microsoft ASP.NET Model
View Controller (MVC).
CVE-2014-4114 (“Sandworm”) – Codeausführung über präparierte Office-Dateien
“Microsofts 0-Day-Schwachstellen, Ausgabe Oktober 2014, oder: 6 auf einen Streich” vollständig lesen
Mit Schadsoftware für Point-of-Sale-Systeme und Geldautomaten wollen
die Cyberkriminellen ans Geld der Opfer, die Polizei in den USA gibt sich
bisher mit Identitätsdiebstahl zufrieden.
“Exotische” Schädlinge wollen ans Geld
“Cyberkriminelle klauen Geld, die Polizei in den USA Identitäten” vollständig lesen
Im
windows.developer 11.2014
ist ein Artikel über Schädlinge jenseits von Windows erschienen.
Viren, Würmer, Trojaner, seit einigen Jahren vor allem
Drive-by-Infektionen – Windows und davor MS-DOS waren schon immer das
beliebteste Ziel der Cyberkriminellen. Aber auch abseits des
Windows-Desktops droht Gefahr. Eigentlich war der Text als Überblick
über eher harmlose “Exoten” geplant. Inzwischen sieht die Lage leider
gar nicht mehr so lustig aus und uns allen droht auch von einigen der
“Exoten” Gefahr. Um zwei davon geht es daher in diesem Artikel:
SynoLocker, einer Ransomware für Synology-NAS-Systeme, und BackOff,
einer Spyware speziell für Point-of-Sale-Systeme, der die bei der
Bezahlung anfallenden Kreditkarten-Daten ausspäht, bevor sie von der
PoS-Software geschützt werden kann.
“Drucksache: windows.developer Magazin 11.2014 – Exotisches Ungeziefer” vollständig lesen
BadUSB klingt erst mal wie eine Anspielung auf BadBIOS, und diesen
“Superschädling” nimmt ja wohl kaum noch jemand ernst. In sofern ist
der Name vielleicht schlecht gewählt. Andererseits ist dieser Name
Programm, denn jedes USB-Gerät kann ein bösartiges USB-Gerät
werden, also “BadUSB”. Und angesichts von BadUSB klingt BadBIOS
plötzlich zumindest was den USB-Teil betrifft gar nicht mehr so
unglaublich wie zuvor.
tl;dr: Die Firmware eines handelsüblichen USB-Sticks kann so
manipuliert werden, dass darüber Schadsoftware auf jeden Rechner
installiert wird, an den der Stick angesteckt wird. Das könnte zum
Beispiel ein Wurm zur Verbreitung nutzen. Der bisher veröffentlichte
Code erlaubt aber nur schon seit langen mit spezieller Hardware
mögliche Angriffe mit normalen USB-Sticks durchzuführen. Es
besteht also noch kein Grund zur Panik!
BadUSB – Jedes USB-Gerät ist potentiell bösartig!
“BadUSB – Ein Angriff, der dringend ernst genommen werden sollte” vollständig lesen
Bei
entwickler.press
ist mein E-Book über die Sicherheit von Android erschienen:
"Android Security – Von Fake-Apps, Trojanern und Spy Phones".
Es gibt einen Überblick über die aktuelle Sicherheitslage von Android:
Welche Angriffe und Schadsoftware gibt es, und was haben die
Sicherheitsforscher zu Android veröffentlich? Ein eigenes Kapitel ist den
Spyhones gewidmet.
Kapitel 1: Android im Visier der Cyberkriminellen
“Neues eBook: Android Security – Von Fake-Apps, Trojanern und Spy Phones” vollständig lesen
Werbung ist wichtig, auch Angriffe, Schwachstellen und allgemein Gefahren
brauchen Marketing, damit sie bekannt werden. Das kann man gut machen, wie
im Fall von BadUSB (mehr dazu am Donnerstag). Oder schlecht, wie im Fall
eines Mac-Botnets rund um “iWorm”. Oder auch pfiffig, wie in
diesem Fall:
Lesen Sie eigentlich das ganze Kleingedruckte, das einem die Websites,
öffentlichen WLAN und was es sonst noch so gibt anzeigen? Die AGB,
Nutzungsbedingungen, “Terms of Service”, …? Nicht? Na, hoffentlich haben
Sie dann nicht schon irgend jemanden
ihr erstgeborenes Kind
versprochen!
Marketing und ein Botnet aus 17.000 Macs. Oder 18.000?
“iWorm – Ein Schädling, über den man das wichtigste nicht weiß. Oder ein Marketinggag?” vollständig lesen
Die ShellShock-Schwachstelle in der Bash wird inzwischen auch für
Angriffe auf NAS-Systeme genutzt. Außerdem wurden Details zu den
beiden von Michal Zalewski entdeckten Schwachstellen veröffentlicht.
Eine davon erlaubt mit ShellShock vergleichbare Angriffe auf Systeme, die
nur gegen die ursprüngliche Schwachstelle gepatcht wurden.
Was bisher geschah:
Die ShellShock genannte Schwachstelle in der Unix-Shell Bash wurde am
24. September
veröffentlicht. Am
25. September
wurden die ersten Angriffe über die Schwachstelle entdeckt.
Am
26. September
setzte das Internet Storm Center die Alarmstufe auf Gelb herauf. Am
27. September
wurden weitere Angriffe und eine neue kritische Schwachstelle gemeldet.
Der 28. September war ein Sonntag, da haben wohl alle erst mal eine Pause
gemacht, es gibt lediglich eine
Meldung
von Trend Micro über einen neuen Angriff in China: Bei einer
“financial institution” wurden Systeminformationen ausgespäht.
Am
29. September
nahmen die Angriffe weiter zu, und es wurden weitere angreifbare Systeme
entdeckt. Am 30. September war es mal wieder ruhig.
tl;dr:
“Nebenan”
gibt es eine kompakte Zusammenfassung der wichtigsten Informationen.
1. Oktober – Angriffe auf NAS-Systeme
“ShellShock – Chronologie und Details: Tag 8 – Der 1. Oktober 2014” vollständig lesen
In diesem Text finden Sie alle Informationen über die Angriffe auf/über
die ShellShock-Schwachstelle im Überblick.
tl;dr: Eine Schwachstelle in der Unix-Shell Bash erlaubt Angreifern
das Ausführen beliebiger Befehle über das Internet. Und das wird
weidlich ausgenutzt.
“Nebenan”
gibt es eine kompakte Zusammenfassung der wichtigsten Informationen.
25. September – Die ersten Angriffe finden statt
“ShellShock – Die Angriffe” vollständig lesen
In diesem Text finden Sie alle Informationen zur ursprünglichen
ShellShock-Schwachstelle und den danach entdeckten weiteren Schwachstellen
sowie allen Angriffsvektoren für die ShellShock-Schwachstelle im
Überblick (Vorsicht, dieser Text ist lang, ShellShock hat es in sich).
tl;dr: Eine Schwachstelle in der Unix-Shell Bash erlaubt Angreifern
das Ausführen beliebiger Befehle über das Internet.
“Nebenan”
gibt es eine kompakte Zusammenfassung der wichtigsten Informationen.
Die Schwachstellen rund um ShellShock
“ShellShock – Die Schwachstellen und Angriffsvektoren” vollständig lesen
