Was tun gegen gezielte Angriffe?

Geschrieben von Sebastian Klipper am 27. Januar 2010. Berichten Sie über diesen Beitrag via Twitter oder Xing.

Anhand dreier Schwachstellen habe ich in meinem Blog in letzter Zeit den Weg über die folgenden vier Schritte beschrieben:

  1. Eine Schwachstelle wird bekannt
  2. Eine Schwachstelle wird “in the wild” durch Angreifer genutzt
  3. Ein Work-Around wird bereit gestellt
  4. Ein Patch schließt die Schwachstelle

Die Schwachstellen, um die es ging, betrafen die folgenden drei Produkte:

  1. Adobe Acrobat und Acrobat Reader
    15.12.: Gezielte Angriffe: Adobe Reader and Acrobat 9.2
    17.12.: Weitere Hinweise zur Adobe 0-Day-Schwachstelle
    22.12.: Erster größerer Angriff auf Adobe Reader und Acrobat Schwachstelle
    07.01.: Wie Adobe auf die aktuelle Schwachstelle (CVE-2009-4324) reagierte
    08.01.: Neuer Angriff auf PDF-Schwachstelle (CVE-2009-4324)
    11.01.: Pre-Notification – Security Update for Adobe Reader and Acrobat
    16.01.: Adobe gepatcht – Neue Runde mit IE
  2. Microsoft Internet Explorer
    15.01.: Cyber-War gegen Rechtsanwälte
    16.01.: Adobe gepatcht – Neue Runde mit IE
    18.01.: IE-Exploit für Metasploit-Framework
    19.01.: IE Workaround: Microsoft reagiert
    21.01.: IE-Lücke soll noch heute gepatcht werden
  3. D-Link Router
    10.01.: D-Link Super-GAU
    19.01.: D-Link-Router-Schwachstelle: Media Alert

Diese Meldungen in meinem Blog betreffen dabei nur die letzten fünf Wochen und nur drei Schwachstellen in gängigen Produkten. Der Sicherheitsdienstleister Secunia hat im selben Zeitraum über mehr als 1.000 Schwachstellen in Advisories berichtet! All diese Schwachstellen können (grob gesagt) für drei Kategorien von Angriffen eingesetzt werden:

  1. Angriffe gezielt auf die Schwachstelle, die nur zufällig ein bestimmtes Opfer treffen (z.B.: Viren, Trojaner, Würmer)
  2. Massen-Angriffe via Internet (z.B.: Bot-Nets)
  3. Gezielte Angriffe auf ein bestimmtes Opfer (tailored to the mission)

Vor allem Kategorie 3 (15.01.: Cyber-War gegen Rechtsanwälte) ist nicht ganz so einfach zu handhaben. Wirklich neu ist diese Bedrohung allerdings auch nicht.

“What is brand new is the fact that a number of large companies have voluntarily gone public with the fact that they were victims to a targeted attack. And this is the most important lesson: targeted attacks do exist and happen to a number of industries besides the usual ones like credit card processors and e-commerce shops”, schreibt Dino Dai Zovi in seinem Blog.

Normale Verteidigungstrategien versagen bei dieser Art von Angriffen gänzlich: Die Hersteller liefern keine Updates für die Schwachstellen, die Antiviren- und Intrusion-Detection-Anbieter haben keine passenden Signaturen für die Angriffe und die Masse an Unternehmens-Makros, PDF-Formularen usw. verhindert es, dass man von eben auf gleich zu einem alternativen Produkt greifen kann, ohne erhebliche Einbußen im operativen Geschäft hinnehmen zu müssen. Schnell kann der wirtschaftliche Schaden, der durch den Workaround entsteht, größer sein, als der Schaden des tatsächlichen Angriffs. Wenn das Problem aber gar kein neues ist, warum haben wir dann Schwierigkeiten damit?

Die Begründung liegt in der Security-Entwicklung der letzten Jahre. Die Sicherheitsarchitekturen sind so aufgebaut, dass sie ineinander greifen, und sich gegenseitig sichern. Die Einrichtung von Firewalls, DMZs, Virenscannern etc. hatte zum Ziel, ein feines Netz zu spannen, in dem es nie möglich ist, dass ein einziger Angriffsvektor die halbe Organisation lahmlegt.

Dino Dai Zovi schreibt dazu: “Thanks to rich Internet client applications, it now only requires one client-side exploit to get into your organization. Ideally, it should require around three or four: a remote code execution exploit, a sandbox escape or integrity level escalation exploit, and finally a local privilege escalation exploit in order to be able to install and hide a remote access backdoor on the system.”

Diese Sichtweise kann man nur unterstreichen, denn der Trend hält an: Webbasierte Anwendungen werden immer wichtiger. Ich schreibe ja sogar diesen Beitrag in meinem Browser ;-) Internet weg – Blog weg! Sollten also doch die älteren Kollegen der Papier-Generation Recht haben, die beharrlich jede Webseite ausdrucken, die von Interesse sein könnte?

Gelegentlich taucht die Frage auf, wen die Schuld trifft? Sind es vielleicht die, die Details zu den Schwachstellen öffentlich machen? Im Fall der Schwachstelle im Internet Explorer kann das nicht sein. Microsoft wusste zwar bereits seit August von der Schwachstelle, in der Öffentlichkeit wurde sie jedoch erst durch die gezielten Angriffe u.a. auf Google bekannt. Von den über tausend Schwachstellen über die Secunia in Advisories berichtet hatte sind einige schon ziemlich alt. Erst durch die Veröffentlichung entsteht bei den Herstellern der Druck, sie zu schließen.

“Es ist alles im Kriege sehr einfach, aber das Einfachste ist schwierig.” Clausewitz, Vom Kriege.

Was also tun gegen gezielte Angriffe? Die Antwort ist ebenso einfach wie schwierig. Einfach, weil sie leicht ausgesprochen ist und schwierig, weil sie umgesetzt werden muss. Sie lautet: Schaffung eines leistungsfähigen Vulnerability Managements und Konzentration auf den Risikofaktor Mensch als Bestandteil der Geschäftsprozesse. Dies gilt umso mehr, weil sich client-seitige Bedrohungen und menschliches Fehlverhalten potenzieren. Die eigentliche Kunst dabei ist es, die richtigen Fragen zu stellen. Zunächst sind sind das solche Fragen, die den Geschäftszweck betreffen. Daher ist Information Security eine Management-Aufgabe:

  • Welche Schwachstellen wirken sich wie auf die geschäftskritischen Prozesse aus?
  • In welchen Browsern mit welchen Erweiterungen laufen die webbasierten Anwendungen?
  • Welche Prozesse sind unweigerlich an eine Anwendung gebunden?
  • Wie weit ist mit dem Engagement jedes einzelnen Mitarbeiters zu rechnen?
  • etc.

Erst im zweiten Schritt kann es um die richtigen technischen Lösungen gehen. Das wirkliche Problem sind ja nicht die Schwachstellen, sondern die Prozesse, die durch ihre Ausnutzung gefährdet sind. Wenn eine Schwachstelle keine Auswirkungen hat, gibt es auch keinen Grund sich wegen ihrer Gedanken zu machen. Eine Schwachstelle in einem Content Management System, durch die sich angemeldete Benutzer Zugriff auf interne Daten verschaffen können, ist nur dann ein Problem, wenn diese Nutzer das nicht ohnehin schon konnten.

Dino Dai Zovis Tipp dazu ist leider etwas stark auf die Technik ausgerichtet, ohne nach den Prozessen zu fragen: “Take this time to review which exploit mitigations such as DEP and ASLR are enabled in your web browser based on your operating system, browser release, and web plugins. Take ‘/NoExecute=AlwaysOn’ for a spin in your boot.ini and see what (if anything) breaks. Use this opportunity to get buy-in for placing users’ Internet-enabled workstations onto DMZ-like subnets where you can closely monitor data going in and out. Give developers remote desktop access to VMs on a separate development network for working on your products (they will be happy as long as you give the VMs more RAM than their workstations so their builds are quicker). Give everyone access to an external Wi-Fi network to use with their personal Internet-enabled devices. Get started implementing some internal network segmentation. Never let a good crisis go to waste.”

Start und Ende dieser Art von Security Management sind die Geschäftsprozesse. Diese Sichtweise stellt Security-Experten allerdings vor das Problem, sich folgende Frage stellen zu müssen: “Womit verdient mein Unternehmen eigentlich sein Geld und welchen Zwängen unterliegt dieses Geschäft?” Dadurch rutschen sie in eine Moderatoren-Rolle zwischen Firmeninteressen und technischen Sachverhalten, die ein hohes Maß an sozialer Kompetenz erfordert. Überlegen Sie sich bitte selbst, ob etwa ein Informatik-Studium oder jahrelanges Programmieren und Administrieren ausreichend auf diese Herausforderung vorbereiten? So traurig es sein mag, gezielten Angriffen kommt man nur mit einer gezielten Abwehrstrategie bei. Um diese zu entwickeln, muss man nach den Stellen in der Organisation suchen, die besonders verwundbar sind.

“Ex falso sequitur quodlibet” – aus Falschem folgt Beliebiges.

Wenn man diese verwundbaren Stellen nicht kennt, wird man der Gefahr nicht Herr. Wenn ein mittelalterlicher Ritter nicht weiß, welche Stellen seines Körpers besonders verwundbar sind, hilft es ihm auch nicht zu wissen, welche Stellen der Rüstung nicht die stabilsten sind. Den Körper eines Unternehmens bilden die Prozesse und die IT-Sicherheitsmaßnahmen sind nur die Rüstung. Wer sich bei der Abwehr von gezielten Angriffen auf die Rüstung konzentriert, dem droht das gleiche Schicksal wie dem altertümlichen Sagenheld Achilles, dessen rechte Ferse seine einzig verwundbare Stelle war. Auch Siegfried aus der Nibelungensage erging es nicht anders. Auf seinem Rücken hatte er eine einzige verwundbare Stelle, durch die er von Hagen mit einem Speer getötet wurde. Für Google und Co. war diese verwundbare Stelle im Körper nicht etwa der Internet Explorer. Der Internet Explorer war nur die Lücke in der Rüstung.

Kategorie: Szene, Verteidigung.
Tags: , , , , .

Hinterlassen Sie einen Kommetar

Mit dem Absenden Ihres Kommentars willigen Sie ein, dass der angegebene Name, die E-Mail-Adresse und die IP-Adresse, die Ihrem Internetanschluss aktuell zugewiesen ist, von mir im Zusammenhang mit Ihrem Kommentar gespeichert werden. Die E-Mail-Adresse und die IP-Adresse werden natürlich nicht veröffentlicht oder sonst weitergegeben. Mehr hierzu in der Datenschutzerklärung.