Archiv des Autors: Marketing Alps

Pwn2Own Miami – Bringt ICS in den Wettbewerb

Originalbeitrag von Brian Gorenc

Der Pwn2Own-Wettbwerb in Vancouver hat sich in den letzten 12 Jahren immer weiter entwickelt – von der Entdeckung von Sicherheitslücken in Web Browsern bis zu solchen in Virtualisierungssoftware und Unternehmensanwendungen. 2012 kamen Mobilgeräte als Ziel hinzu, und in ein paar Wochen wird es auch um den Versuch der Kompromittierung von drahtlosen Routern, Webkameras und Smart TVs gehen. Im Januar (21. – 23.) 2020 geht Pwn2Own wieder einen Schritt weiter und startet einen dritten Wettbewerb auf der S4 conference in Miami South Beach. Es geht um Industrial Control Systems (ICS) und die dazu gehörigen Protokolle. Ziel der Wettbewerbs ist es, die Plattformen zu härten, indem die entdeckten Schwachstellen verantwortungsvoll offengelegt werden, sodass die Hersteller möglichst schnell Patches dafür zur Verfügung stellen können.
Der Wettbewerb umfasst fünf Kategorien:

– Control Server

– OPC Unified Architecture (OPC UA) Server

– DNP3 Gateway

– Human Machine Interface (HMI) / Operator Workstation

– Engineering Workstation Software (EWS)

Innerhalb einer Kategorie sind mehrere Preise für das Auffinden von Schwachstellen in den Produkten ausgeschrieben. Die Aufgabe ist es zu versuchen, in die exponierten Netzwerkdienste des Ziels vom Laptop des Teilnehmers innerhalb des Wettbewerbsnetzwerks einzudringen.

Kann der Teilnehmer aus der Ferne Code ausführen, so erhält er einen Zusatzbonus für Continuation. Ermöglicht es die Exploit-Payload dem betroffenen Netzwerkdienst/Prozess, den normalen Betrieb nach erfolgreicher Ausnutzung fortzusetzen, erhält der Teilnehmer zusätzliche 5.000 $ und fünf weitere Master of Pwn-Punkte. Dies gilt für nahezu alle Kategorien.

Kategorie: Control Server

Diese Kategorie umfasst Server-Lösungen, die Konnektivität, Monitoring und Kontrolle über verteilte Programmable Logic Controller (PLC)- und andere Feldsysteme bieten. Diese werden oft aufgrund ihrer niedrigeren Kosten öfter als ein DCS eingesetzt und sind auch an Standorten mit einer Vielzahl von Protokollen und Produkten anzutreffen. Ein Angreifer, der einen Kontrollserver übernimmt, könnte den Prozess beliebig verändern und wäre in den Aktivitäten nur durch seine Engineering- und Automatisierungsfähigkeiten eingeschränkt. Zu den Zielen in dieser Kategorie gehören die Steuerungsserver von Iconics und Inductive Automation.

Kategorie: OPC Unified Architecture (OPC UA) Server

Die OPC Unified Architecture (UA) ist eine plattformunabhängige, service-orientierte Architektur, die die gesamte Funktionalität der individuellen OPC Classic-Spezifikationen in ein erweiterbares Framework integriert. OPC UA dient als universelles Übersetzerprotokoll in der ICS-Welt. Es wird von nahezu allen ICS-Produkten für das Versenden von Daten zwischen verteilten Systemen genutzt. OPC UA soll sicherer sein als der Vorgänger DCOM, und seine Beliebtheit nimmt zu. Im Wettbewerb gibt es zwei Produkte: den Unified Automation ANSI C Demo Server und den OPC Foundation OPC UA .NET Standard.

Kategorie: DNP3 Gateway

DNP3 ist ein Set von Kommunikationsprotokollen, die zwischen verschiedenen Komponenten in ICS-Systemen eingesetzt werden. Zur Verfügung steht das Triangle Microworks SCADA Data Gateway. Gelingt es, das Data Gateway zu kompromittieren, könnte dies ein Startpunkt für andere Angriffe innerhalb des ICS darstellen, oder gar das Energiemanagement-System (EMS) stören.

Kategorie: Human Machine Interface (HMI) / Operator Workstation

Das HMI verbindet den Betreiber (Operator) eines ICS mit den verschiedenen Hardware-Komponenten. Wenn ein Angreifer ein HMI übernimmt, so kann er auch verhindern, dass der Betreiber Prozessprobleme im ICS früh genug sieht.

Zur Verfügung steht das Rockwell Automation FactoryTalk View SE und das Schneider Electric EcoStruxure Operator Terminal Expert.

Engineering Workstation Software (EWS)

Ähnlich dem HMI liefert auch die Engineering Workstation Software (EWS) ein lohnendes Ziel für Angreifer. Sie kommuniziert und kann primäre Steuergeräte wie PLCs direkt konfigurieren und kann auch rollenbasierte Mechanismen konfigurieren. Hier geht es um Rockwell Automation Studio 5000 als Zielprodukt.

Master of Pwn

Natürlich wird auch hier ein Master of Pwn gekürt. Dieser bekommt eine coole Trophäe und zusätzliche 65.000 ZDI Punkte. Einzelheiten zu den Regeln bietet der Originalbeitrag und die Regeln für Pwn2Own Miami 2020.

Für die Registration kontaktieren Sie bitte zdi@trendmicro.com.

Angriffe und Bedrohungen für eSports

Originalartikel von Mayra Rosario Fuentes und Fernando Mercês

eSports hat sich von einem Randgebiet der Unterhaltung in eine hoch lukrative Industrie gewandelt. Steigende Werbeeinnahmen und Sponsoring sorgen für mehr Turniere und damit auch für einen zunehmenden Preistopf. Diese Entwicklung weckt aber auch bei Cyberkriminellen Begehrlichkeiten. Betrugsmittel und Hacks gibt es in Untergrundmärkten in Hülle und Fülle, und sie richten sich an Spieler, die nach einem unfairen Vorteil in Turnieren suchen. Kriminelle Gruppen sind auch dafür bekannt, Distributed Denial of Service (DDoS) und Ransomware-Angriffe, Zero-Day-Exploits, Datendiebstähle und gezielte Malware gewinnbringend einzusetzen. Trend Micro geht davon aus, dass in den nächsten drei Jahren noch mehr Bedrohungen die florierende eSports-Industrie ins Visier nehmen werden. Vor allem vier Bedrohungen erwarten die Sicherheitsforscher in naher Zukunft.

Hardware Hacks

Betrug in eSports-Wettkämpfen ist nicht auf Software-Hacks beschränkt, denn auch die in den Turnieren verwendete Hardware lässt sich manipulieren. Viele professionelle Turniere erlauben es den Spielern, ihre eigene Hardware mitzubringen, so etwa eine Maus und Tastatur – bekannt für Hack-Möglichkeiten. Vor einem Jahr wurde beispielsweise ein Team in einem 15 Mio. $-Turnier disqualifiziert, nachdem die Jury einen der Spieler mit einer programmierbaren Maus erwischt hatte.

Andere Methoden sollen Mechanismen zur Erkennung von Betrug umgehen. So wurde 2018 beispielsweise „Ra1f“ beim Einsatz eines augeklügelten Hardware-Betrugs für Counter-Strike erwischt: Global Offensive konnte die ESEA Anti-Betrugstechnik umgehen. Die technischen Einzelheiten dazu lesen Sie im Originalbeitrag.

Bild 1. PCI Express-Ausrüstung wird für den Betrug genutzt

Bei der Recherche im Untergrund nach erhältlichen Hardware-Hacks fanden die Forscher Hacks, die einen Arduino- oder einen Rubber Ducky USB erforderten. Beide Geräte sind für legitime Zwecke im Einsatz und im Handel leicht erhältlich. Untergrundhändler aber bieten die Hardware mit zusätzlicher Betrugssoftware an, oder auch so modifiziert, dass sie der Entdeckung entgehen können. Eine Website offerierte diese angepasste Hardware für 500 $ aufwärts.

DDoS-Angriffe

DDoS-Angriffe können zu schwerwiegenden Verzögerungen führen, ein kritisches Problem in Wettbewerben, in denen Treffer im Millisekundenbereich über Gewinn und Verlust entscheiden können. Ein DDoS-Angriff kann Reputationsschäden in einem Turnier verursachen oder als Spieltaktik verwendet werden. Ein weiteres Ziel könnte auch Erpressung sein, wobei die Kriminellen Geld von Veranstaltern verlangen, um die Störung zu stoppen.

Für diese Angriffe gibt es bereits eine Vielfalt an Angeboten im Untergrund, so etwa DDoS-Tools, bezahlte Services und sogar Schutzofferten vor DDoS.

Bild 2. Werbung für einen DDoS service in einem Untergrundforum

Da diese Spiele meist live stattfinden, könnten eSports-Organisatoren unter Druck geraten und auf cyberkriminelle Forderungen eingehen, um Störungen zu verhindern oder abzustellen.

Angreifbare Game-Server

Server werden ein beliebtes Ziel für Hacker werden, sind sie doch der Einfallsweg für Spieleunterbrechung und Informationsdiebstahl. Die Sicherheitsforscher scannten mithilfe von Shodan nach Servern für eSports, einschließlich solcher, die von privaten Organisationen und Spielern betriebenen: Sie fanden 219.981 zugängliche Server (bis 25. Juli, 2019).

Server sind von Natur aus online und damit verschiedenen Risiken ausgesetzt. Über Shodan können Cyberkriminelle einfach eine quelloffene, intelligente Suche in verschiedenen geografischen Regionen, Organisationen, über Geräte, Services usw. hinweg durchführen. Die von Shodan gesammelten Software- und Firmware-Informationen helfen, nicht gepatchte Sicherheitslücken in zugänglichen Cyber-Posten zu finden. Interessierte finden eine Aufstellung von Schwachstellen im Originalbeitrag.

Gezielte Malware

Es gab bereits Vorfälle, bei denen Spieler Ziel von Ransomware wurden. 2018 griffen Cyberkriminelle Spieler mit Ransomware an und forderten sie auf, PlayerUnknown’s Battlegrounds (PUBG) zu spielen, um ihre Dateien zu entsperren. Diese Art von Aktivitäten wird zunehmen, weil Turniere und Spieler immer mehr im Rampenlicht stehen und damit zu attraktiven Zielen werden. Die Kriminellen zielen meist auf beliebte Spiele wie Fortnite und Counterstrike und wollen da valide Konten übernehmen, die sie dann im Untergrund anbieten. „Elite“-Konten, also die im Ranking am höchsten stehenden, sind natürlich teurer.

Bild 3. CS:GO-Konten mit „The Global Elite“-Rang kosten 99$

Außerdem kompromittieren die Kriminellen Konten, um Zugriff auf Kreditkartendaten zu erlangen und In-Game-Waren für den Wiederverkauf zu erwerben. Die Forscher gehen davon aus, dass Hacker berühmte Social Media-Accounts bekannter Twitch- und YouTube-Spieler kompromittieren, entweder um Lösegeld zu verlangen oder um sie als Plattform für die Verbreitung einer Botschaft zu nutzen. Cyberkriminelle werden nach Konten mit mehreren Millionen Follower suchen und gezielte Phishing-Angriffe und Malware einsetzen, um diese Konten zu übernehmen.

Sicherheitsempfehlungen

Die eSports-Industrie wird mit der gleichen Art und Schwere von Cyberangriffen zu kämpfen haben, wie die Gaming-Community es bereits tut – allerdings in größerem Umfang. Dies sind Bedrohungen, denen alle an eSports beteiligten Unternehmen ausgesetzt sind. Eine solche Gefährdung kann zu Identitätsdiebstahl, finanziellem Verlust und sogar zu Reputationsschäden führen.

Alle Parteien müssen sich der Online-Sicherheit besser bewusst sein und sicherstellen, dass Profile und Konten sicher aufbewahrt werden. Unternehmen müssen ihr Wissen um die Bedrohungslandschaft von eSports umfassend vertiefen und geeignete Sicherheitslösungen für anspruchsvolle Cyberangriffe bereitstellen.

Die eSports-Industrie ist jedoch nicht unvorbereitet. Gaming-Firmen und Organisatoren suchen ständig, neue Betrugstechniken und -Tools zu erkennen, und bereits jetzt sind zahlreiche Anti-Betrugsdienste verfügbar, die speziell auf den Schutz von eSports und Spielewettbewerben ausgerichtet sind. Weitere Informationen zu den Bedrohungen für eSports finden Sie im Bericht „Cheats, Hacks, and Cyberattacks: Threats to the Esports Industry in 2019 and Beyond”.

Trend Micro und Cloud Conformity gehen fehlerhafte Konfigurationen an

Trend Micro hat sich von Anbeginn der Erfolgsgeschichte der Cloud mit deren Sicherheit beschäftigt. Über Partnerschaften mit Public Cloud Providern liefert der japanische Hersteller über die Deep Security-Plattform eine umfassende Palette an Schutzmöglichkeiten für die unterschiedlichen Umgebungen, von Containern bis zu virtuellen und Cloud-Workloads. Trend Micro ist aber auch bewusst, dass eine der größten Herausforderungen für die Sicherheit von Clouds fehlerhafte Konfigurationen sind. Das ist der Grund, warum Trend Micro Cloud Conformity übernommen hat, einen Anbieter von Cloud Security Posture Management (CSPM), der Fähigkeiten für die Lösung genau dieses Problems mitbringt.

Deep Security

Deep Security ist laut IDC seit zehn Jahren das führende Server-Sicherheitsprodukt bezüglich der  Marktanteile. Die Lösung bietet von einer einzigen Plattform aus automatisierten Schutz über physische, virtuelle und Cloud-Server hinweg und zusätzlich für Container. Deep Security lässt sich zudem eng mit Microsoft Azure, Amazon Web Services und anderen Plattformen integrieren und ist damit optimal für hybride Cloud-Umgebungen geeignet. Zu den Schlüsselfähigkeiten gehören Intrusion Prevention, Anwendungskontrolle, Integritäts-Monitoring, Anti-Malware sowie Sandbox- und Verhaltensanalysen.

Herausforderungen

Doch Cloud-Anwender stehen auch vor anderen Herausforderungen. So stellen Analysten fest, dass an mehr als 90% der Cloud-Sicherheitsvorfälle die Anwender schuld sein werden – und fehlerhafte Konfigurationen von Cloud-Systemen sind der Hauptfaktor. Fast wöchentlich gibt es Berichte über ungesicherte und öffentlich zugängliche Datenspeicher, und das wegen menschlichen Versagens. Unternehmen mit klingenden Namen wie Verizon und FedEx mussten mit den Folgen solcher Unzulänglichkeiten umgehen. Derartige Sicherheitsfehler erlauben es Hackern, kritische Unternehmens- und Kundendaten zu stehlen, die Eigentümer zu erpressen, oder gar zu versuchen, Skimming Code auf die Firmen-Websites hochzuladen.

Um auch dieser Herausforderung die Stirn bieten zu können, hat Trend Micro Cloud Conformity übernommen. Einige Schätzungen gehen davon aus, dass CSPM Cloud-Sicherheitsvorfälle im Zusammenhang mit fehlerhaften Konfigurationen um bis zu 80% mindern kann. Das ist ein überzeugender Beweis für den Wert des Cloud Conformity-Angebots mit kontinuierlichem Monitoring, Warnungen und Wiederherstellung von AWS- und Azure-Umgebungen von einer einzigen Plattform aus.

Die Could Sicherheit Lösung von Cloud Conformity ist bei Trend Micro ab sofort verfügbar.