Auf den Spuren des Endpoints

Firewall und Perimeter ist nicht alles

Mit der Bezeichnung IT Sicherheit oder auch IT Security verbindet man zumeist den Perimeterschutz. Sofort fallen einem Begriffe wie Firewall, Proxy und Netzwerk ein. Diese Termini sind nach wie vor gültig, reichen jedoch nicht aus um IT Sicherheit als ganzes zu erfassen.  Selbst auf einer Firewall integrierter Virenschutz und sowie Deep Packet Inspection bieten nicht ausreichend Schutz. Begründet wird dies durch die ebenfalls stetige Weiterentwicklung der Aggressoren. Die heutige Bedrohungslage ist gänzlich anders, als sie es vor einigen Jahren gewesen ist. Mit ausgeklügelten Angriffsvektoren entstehen für eine IT Abteilung neue Herausforderungen, denn Angriffe werden häufig am Perimeter vorbei geschleust und erreichen so ihr Ziel auf dem Endpoint.

Was geschieht auf dem Endpoint?

Zunächst soll ein einfaches Beispiel angeführt werden. Eine E-Mail landet mit einem infizierten Anhang im Postfach eines Benutzers. Im Konkreten zielt die angehängte PDF Datei darauf ab, eine Schwachstelle einer älteren Adobe Acrobat Readers Version zu infiltrieren. Die wenig kontinuierliche Updatepolitik von Unternehmen, welche in der Regel nur Windows Updates sehr strikt umsetzten, führt dazu, dass anderweitige Software oftmals übersehen wird und somit angreifbar wird.

Malwareentwickler fassen häufig folgende Software ins Auge:

  • Java
  • Flash
  • Acrobat Reader

Die Komplexität und Größe jedes, seit Jahren auf dem Markt befindlichen, Softwarequellcodes steigt konstant und wird dadurch immer schwieriger wartbar. Zeitdruck und stets neu auftretende Schwachstellen in Software bilden einen unaufhörlichen Kreislauf, welcher zur Folge hat, dass immer mehr neue Lücken im Programmcode existieren. Umso wichtiger ist es jedwede, auch nicht zum Betriebssystem gehörige, Software auf dem neuesten Stand zu halten.

Warum ist das wichtig?

Betrachtet man nun den Anstieg der entdeckten Schwachstellen beim Acrobat Reader wird schnell deutlich, wie viele Wege Angreifer verwenden können, um beispielsweise schädlichen Code einzuschleusen.

Im folgenden Link sind die aktuellen Schwachstellen aufgelistet: http://www.cvedetails.com/product/497/Adobe-Acrobat-Reader.html?vendor_id=53

Allein, um fremden Programmcode einzubringen, konnten Angreifer im letzten Jahr 35 unterschiedliche Wege verwenden. Ein Klassiker der vergangenen IT Jahrzehnten, ist ebenfalls anzutreffen: Der Bufferoverlow. Er war 2014 beim Acrobat Reader mit 17 möglichen Angriffswegen auszulösen, was wiederum die Ausführung fremden Programmcodes zur Folge hatte.

Schädlicher Programmcode kann beispielsweise die Installation einer Remote Software bewirken, die einem Angreifer Informationen und Zugriffsrechte auf einen entfernten Rechner verleiht, im Allgemeinen auch unter dem weitverbreiteten Begriff Trojaner bekannt.

Wie kann ich das Problem angehen?

Sich vor diesen Angriffen zu schützen, sollte essentieller Bestandteil jeder Firmenpolitik werden. Die meisten Versuche eines Übergriffs können durch mehrstufige Sicherheitskonzepte blockiert werden. Immer wieder gelingt es dennoch, E-Mails mit verdächtigem Anhang in Unternehmen einzuschleusen, welche z.B. durch das Öffnen einer Rechnung_Nr378472.xlsx.exe Datei durch einen ahnungslosen Benutzer, zur Gefahr wird. Um derartige unbekannte Schädlinge zu erkennen, bedarf es deutlich größeren Aufwand als es ein Antivirus Programm liefern kann.

Zur Erkennung solcher Angriffe müssen im Vorfeld Dateien und Anhänge über ein sogenanntes Sandboxing Verfahren analysiert werden. Auf dem Markt gibt es deutliche Unterschiede zwischen den einzelnen Herstellern. Essentiell hierbei ist, dass nicht ausschließlich eine dynamische Analyse der Binärdaten erfolgt, sondern auch eine statische, welche Beide vor dem Erreichen der Daten am Endpoint durchgeführt werden müssen.

Tiefere Analysen

Die dynamische Analyse ist bei Malwareentwicklern bereits bekannt und wird durch ein Wartezeitintervall im Programmcode der Software überwunden. Das Verfahren als solches darf nur einen kurzen Augenblick benötigen, da die Daten schnellstsmöglich am Endpoint ankommen müssen.

Mittels automatischer, statischer Analyse lässt sich Malware, ohne die schädliche Software ausführen zu müssen, in kurzer Zeit untersuchen. Hierbei werden spezielle Entpackungsprogramme eingesetzt, die versuchen eine mögliche Kodierung rückgängig zu machen. Im Anschluss wird der disassemblierte Maschinencode auf Muster und Eigenschaften untersucht. Eine derartige Überprüfung wird zum Beispiel auf folgendem Blog dargestellt: http://fumalwareanalysis.blogspot.de/p/malware-analysis-tutorials-reverse.htm

Konkrete Lösungen

Im konkreten Fall des Herstellers Intel Security, ehemals McAfee, lässt sich die Appliance Advanced Threat Defense (ATD) exakt für diesen Zweck einsetzen. Um die sogenannten Zero Day Angriffe abzuwehren, werden Dateien dort dynamisch, aber auch statisch analysiert. Somit ergibt sich eine signifikante Steigerung der Erkennungsrate noch unbekannter Malware.

Ebenfalls erschienen auf http://blog.raber-maercker.de/

Fileserver Übersicht

Wenn der Fileserver zur Schatzkammer wird

Über Firewalls und eine oder mehrere DMZ’s sichert sich bereits jedes Unternehmen mehr oder weniger gut ab. Ein Angreifer hat es, auf den ersten Blick, dadurch wesentlich schwerer sich im internen Netzwerk ein zu nisten. Angriffe folgen allerdings nicht sehr oft über die Firewall, sondern über andere Wege wie Social Engineering oder Drive-By Downloads. Das alles übertrifft der Insider in vielen Fällen maßlos, denn er hat Zugriff auf den Fileserver.

Hier befinden sich Informationen, die wichtiger nicht sein könnten: Projektberichte, Kreditkarten Informationen, Forecast Daten, Angebote, Preise und vielleicht sogar HR Daten. All das ist nun in größter Gefahr, trotz des sorgsam erstellten Berechtigungskonzepts und der strikten Einhaltung von Berechtigungsprozessen durch Mitarbeiter und IT Abteilungen. Am Ende ist die richtige Berechtigung für einen internen Angreifer gesetzt und die Daten werden kopiert, gelöscht, verschoben.

File Server Audit

Einiges lässt sich nicht verhindern, da niemand die Absichten eines Angreifers im Vorfeld kennt. Zumindest eine schnelle Reaktion und ein vernünftiges Auditing lassen den Angreifer kurzer Hand identifizieren. Vielleicht noch bevor er das Unternehmen verlässt. Dies wird mittels einer praktikablen Software, dem Netwrix File Server Auditor, sehr einfach implementiert. Unter anderem werden folgende Aktionen mitprotokolliert:

  • Dateien werden …
    • verschoben
    • gelöscht
    • hinzugefügt
  • Dateien werden …
    • erfolgreich/nicht erfolgreich geöffnet
    • erfolgreich/nicht erfolgreich modifiziert

Von essentiellem Wert ist, dass auch Informationen mitgeschrieben werden wie der Benutzer, oder der Rechnername, von welchem die Aktion durchgeführt worden ist.

Echtzeit Benachrichtigung

Ein Protokoll über die durchgeführten Aktionen auf Fileservern durch zu führen ist für manche Zwecke ausreichend. Wesentlich interessanter könnten Benachrichtigungen in Echtzeit sein. Netwrix liefert hier die Möglichkeit ganz gezielte Events per Echtzeit an Administratoren zu versenden. Ob per E-Mail oder SMS, sobald eine Datei auf dem Fileserver gelöscht wird, erzeugt dieser beispielsweise ein Event mit der Event-ID 4660.

Eine mögliche Lösung

Netwrix kann diesen Event erfassen und sofort in Aktion treten. Unzählige weitere Filtermöglichkeiten werden ebenfalls angeboten, dass beispielsweise bestimmte Benutzer beim Löschen überwacht werden. Allumfassend lassen sich sämtliche Windowssysteme auf diese Weise mit Netwrix überwachen, da Server, ebenso wie Clients unter Windows ein Eventlog Repository haben, dass mit wertvollen Informationen gefüllt sein kann.

Ebenfalls erschienen auf http://blog.raber-maercker.de

Kryptos Skulptur auf dem CIA Gelände

Warum ist Kryptographie so wichtig?

Schon vor mehr als 2000 Jahren mussten große Imperatoren ihre Armeen effizient befehligen. Gerade Caesar hatte eine Anspruchsvolle Aufgabe vor sich, denn das römische Reich wuchs und wuchs unaufhörlich. Gleichzeitig mussten Befehle und Strategien ohne Telefon und Internet weite Strecken hinter sich legen, um das Ziel zu erreichen. Jeder Bote konnte eine potentielle Gefahr darstellen, denn niemand wusste genau, wer ein Spion sein könnte. Überfälle auf Boten konnten ebenso wichtige, militärische Informationen in feindliche Hände fallen lassen. So musste eine Möglichkeit geschaffen werden, die Information auf dem Transportweg zu schützen.

Antike Methoden – Skytale und Caesar Chiffre

Das Skytale  war eines der ersten kryptographischen Systeme und bediente sich einer simplen Methode. Um einen Holzstab wurde ein beschreibbares Medium streifenförmig umwickelt. Im Anschluss bot das umwickelte Medium die Möglichkeit eine Botschaft zu notieren. Die darauf befindlichen Informationen wirken sehr chaotisch, betrachtet man das Band vom Stab abgerollt. Um die Daten zu Entschlüsseln, muss ein Empfänger den Stab mit dem exakt gleichen Radius/Durchmesser besitzen. Hat er dies nicht, können die Informationen nicht korrekt wieder gegeben werden.

Caesar hingegen bediente sich des Alphabets und einer Zahl, die den Verschiebungskoeffizienten darstellt. Bei einer Verschiebung um 3 wird beispielsweise aus A ein C und aus einem C ein E. Sicher ist diese Variante heute nicht mehr, denn es gibt exakt 26 mögliche Varianten der Verschlüsselung und somit auch lediglich 26 “Schlüssel”. Diese sind in Windeseile durchprobiert.

Die Gegenwart

Heute sind die Ansprüche an die Kryptographie bei weitem höher und werden von nahezu jedem Menschen weltweit täglich verwendet. Zum größten Teil ohne, dass dies bemerkt wird. Folgende Tätigkeiten bewirken im Hintergrund die Verwendung von komplexen und weniger komplexen kryptographischen Vorgängen:

  • Geld am Bankautomaten abheben
  • Online einkaufen
  • E-Mails abrufen und versenden
  • Instant Messaging (Whatsapp & Co.)
  • Social Media Aktivitäten
  • Online Banking

Dahinter verbergen sich Unmengen an Know-How aus dem Bereich der Kryptographie, denn ohne die Entwicklungen von Alan Turing, Whitfield Diffie, Martin Hellman, Ralph Merkle, Adi Shamir, Ronald L. Rivest und Leonard Adleman, um nur wenige zu nennen, wären gerade Geldtransaktionen, so wie sie heute tagtäglich geschehen, nicht sicher möglich.

Was ist RSA und AES?

RSA (Rivest, Adleman, Shamir) wurde entwickelt, um sichere Kommunikation über einen unsicheren Kanal zu ermöglichen, aber noch viel wichtiger: Mit RSA lässt sich über einen unsicheren Kanal, ein Schlüsselaustausch durchführen, denn die reine Verschülsselung mit RSA ist sehr langsam, aber möglich. So arbeiten also in vielen Bereichen unseres Lebens mehrere Kryptosysteme gemeinsam.

AES hingegen basiert darauf, dass ein sicherer Schlüsselaustausch im Vorfeld stattfindet. Ist dies geschehen kann sehr performant verschlüsselt werden. AES gilt aktuell als ungebrochen trotz vieler Bemühungen Lücken zu finden. Somit bietet sich für RSA und AES eine sehr praktische Mischung zur sicheren und performanten Verschlüsselung. Im Detail wird es sehr mathematisch, was den Rahmen dieses Beitrages sprengen würde. Schematisch allerdings lässt sich der Vorgang ganz einfach darstellen.

Verschlüsselung mit RSA

Vorbereitung: Der Sender einer Nachricht wird i. d. R. Alice genannt, während der Empfänger als Bob bezeichnet wird. RSA ist ein asymmetrisches Kryptographieverfahren. Es basiert nicht darauf, dass ein gemeinsamer Schlüssel gefunden wird sondern darauf, dass jeder Kommunikationsteilnehmer ein Schlüsselpaar generiert und damit sicher kommunizieren kann.

  • Alice erstellt ein Schlüsselpaar (Öffentlicher Schlüssel und privater Schlüssel).
  • Alice sendet Bob ihren öffentlichen RSA Schlüssel.
  • Alice verschlüsselt ihre Nachricht mit dem privaten Schlüssel, den nur sie kennt und sendet die Nachricht an Bob.
  • Bob erhält die Nachricht und entschlüsselt die Botschaft mit Alice’s öffentlichem Schlüssel.

Wird die Botschaft von einem Angreifer abgefangen, kann diese nicht entschlüsselt werden, da nur Alice den privaten Schlüssel hat. Auch mit dem ihm bekannten öffentlichem Schlüssel wird der Angreifer kein Glück haben.

Es gibt viele weitere Möglichkeiten zu verschlüsseln. Die Methodiken werden als Protokolle bezeichnet. SSL bzw. TLS beispielsweise ist ein Protokoll, dass beschreibt wie mit RSA, AES und vielen anderen Kryptosystemen, sinnvolle Kommunikation aufgebaut werden kann.

Verschlüsselung mit AES

Im Gegenzug zu RSA ist AES ein symmetrisches Kryptographieverfahren. Es geht davon aus, dass ein Schlüssel bereits vor der Kommunikation auf einem sicheren Kanal ausgetauscht worden ist. Symmetrische Verfahren verschlüsseln Blockweise oder als Datenstrom. Jede Nachricht wird bei der blockweisen Verschlüsselung in beispielsweise 128 oder 256 Bit lange Blöcke aufgetrennt und jeder Block wird einzeln verschlüsselt.

AES ist verhältnismäßig komplex, weswegen hier nicht weiter auf Details eingegangen wird (Detaillierte comichafte Beschreibung). Daten werden bei AES häufig in Tabellen verarbeitet. Eine Übersicht zu den verwendeten Techniken:

Fazit

Seien es Bankgeschäfte, Einkäufe, Online-Bezahldienste wie Paypal oder der sichere Login auf einer Social Media Seite, im privaten Umfeld findet die Kryptographie eine sehr weit verbreitete Nutzung. Aber auch in der Geschäftswelt gibt es VPN Tunnel, die einen Außendienstmitarbeiter über sein Notebook sicher mit der Firma verbinden, oder ganze Firmenstandorte.

Eine Auflockerung oder Verbot der Kryptographie wäre das Ende der heutigen modernen Welt. Überweisungen müssten wieder mit einem Papier zur Bank gebracht werden. Einkaufen bei Onlineshops, Bezahlen mit PayPal, E-Mails und vieles weitere wird unmöglich. Denn wo keine Kryptographie Daten beschützt, sind kriminelle sofort am Werk und manipulieren die Datenströme für ihre Zwecke.

Bildquelle: Elonka – Lizenz: CC BY-SA 3.0