Schlagwort-Archive: Sicherheitsbedrohungen

Neue Sicherheitslücken bedeuten nicht zwangsläufig neue Probleme

von Richard Werner, Business Consultant

Wieder sind zwei neue Sicherheitslücken aufgetaucht, die betroffene Nutzer und Unternehmen vor Herausforderungen stellen werden. Diesmal sind die Microsoft-Browser Edge und Internet Explorer betroffen. Es handelt sich dabei um so genannte Zero Days, denn zum Zeitpunkt der Veröffentlichung war vom Hersteller noch kein Patch verfügbar. Diese Situation kennt nur Verlierer.

Die Situation wäre möglicherweise vermeidbar gewesen, folgt man den Auskünften des Sicherheitsforschers, der diese Lücken entdeckt hat: Er behauptet, Microsoft bereits zehn Monate vor der Veröffentlichung über seine Ergebnisse informiert zu haben. Nun ist der Anbieter eigentlich nicht dafür bekannt, solche Hinweise zu ignorieren. Die Erfahrung zeigt vielmehr, dass dessen Prozesse daraufhin optimiert sind, in solchen Fällen schnell und akkurat zu reagieren. Eine solche Verzögerung mag deshalb durchaus unbeabsichtigt oder zufällig entstanden sein. Das Resultat ist aber leider eine „Lose-Lose-Lose-Situation“.

Lose-Lose-Lose-Situation
Auf der einen Seite steht ein junger Sicherheitsforscher, der sich gezwungen sieht, seine Ergebnisse zu veröffentlichen. Da Millionen Nutzer davon betroffen sind und zu erwarten ist, dass innerhalb der nächsten Wochen bereits Angriffe auf diese Schwachstellen folgen werden, wird er wohl wenig Dank ernten.

Der zweite Verlierer ist Microsoft. Das Unternehmen ist nun gezwungen zu reagieren und erklärt der Öffentlichkeit entweder, warum kein Einschreiten notwendig ist (aus unserer Sicht eher unwahrscheinlich), oder stopft schnellstmöglich diese Lücke. Ein Image-Schaden und deutlicher Mehraufwand werden dabei auf jeden Fall die Folge sein.

Der dritte Verlierer – vermutlich der einzige, auf den es wirklich ankommt – sind die Nutzer. Wahrscheinlich werden sie demnächst einen Patch als Notfallmaßnahme erhalten, den sie sofort installieren müssen. Wir können nur hoffen, dass dem Hersteller genügend Zeit für eine vernünftige Qualitätssicherung bleibt. Zwangsläufig aber wird es ungemütlich, denn Cyberkriminelle haben durch die Offenlegung leider eine Blaupause dafür erhalten, wie sie angreifen können, und haben damit potenziell einen mehrtägigen Vorsprung. Besonders fatal ist, dass die allermeisten Menschen vermutlich überhaupt nichts von dieser Diskussion mitbekommen und solchen Angriffen komplett unvorbereitet gegenüberstehen.

Weiße Märkte
Ironischerweise vollzieht sich dieser Vorfall ziemlich genau zwei Wochen nach Abschluss des weltweit größten Hacking-Wettbewerbs Pwn2Own. Dieser wird von der Trend Micro Zero Day Initiative organisiert, dem weltweit ersten und größten herstellerunabhängigen sogenannten Weißen Markt. Auch hier geht es um Sicherheitslücken und Sicherheitsforscher stellen ihr Können unter Beweis. Und auch hier ist ihnen die Aufmerksamkeit der Szene für einen solchen Hack gewiss. Im Unterschied zu dem genannten Fall werden bei Pwn2Own allerdings für solche Hacks Preisgelder bis hin zu sechsstelligen Beträgen gezahlt. Außerdem sind betroffene Hersteller teilweise mit eigenen Entwicklungsressourcen vor Ort, um die Schwachstellen direkt zu beheben. Nur in den allerseltensten Fällen ignoriert ein Anbieter bei Pwn2Own entdeckte Sicherheitslücken. Dafür gibt es festgelegte Prozesse für eine verantwortungsvolle Veröffentlichung.

Lose-Lose-Lose wird zu Win-Win-Win
Die Weißen Märkte wurden geschaffen, um solche Sicherheitslücken verantwortungsvoll zu schließen. Davon profitieren alle: Die Internetgemeinde wird in der Regel ohne große Verzögerung geschützt. Zudem gibt es keinen Vorlauf für Cyberkriminelle, um einen Zero Day auszunutzen. Auch dem betroffenen Anbieter bleibt in der Regel ein angemessener Zeitraum für die Qualitätssicherung. Durch die 13-jährige Zusammenarbeit mit Herstellern werden ein „versehentliches Übersehen“ oder der Kontakt zu den falschen Ansprechpartnern praktisch ausgeschlossen. Letztendlich profitiert auch der Sicherheitsforscher durch mehr Prestige und ein durchaus nennenswertes Preisgeld. Pwn2Own und ähnliche Veranstaltungen existieren, damit solche unkoordinierten Veröffentlichungen nicht mehr notwendig sind. Schließlich wollen wir alle sichere Software – aber vor allem wollen wir in diesem Zusammenhang gelöste Probleme und nicht nur gute Ratschläge.

Wasser- und Energiewirtschaft im Visier des cyberkriminellen Untergrunds

Bei der Erforschung von angreifbaren kritischen Infrastrukturen in der Wasser- und Energiewirtschaft fanden die Experten von Trend Micro eine Reihe von exponierten Industrial Control Systems (ICS) sowie Human Machine Interfaces (HMIs). Sie analysierten auch das Risiko für diese Systeme, vor allem angesichts des aktiven Interesses der verschiedenen cyberkriminellen Gruppen im Untergrund daran. Beweis dafür, wie real die Gefahr ist, war der Angriff auf das ukrainische Stromnetz 2015. Es gibt verschiedene Einträge in den Untergrundforen, die sich mit dem Thema befassen – je nach Motivation des Verfassers.

Zum Teil stammen die Beiträge zu ICS/SCADA in der Infrastruktur für Wasser- und Energiewirtschaft von Personen, die mehr Informationen zu Proofs of Concept (POCs), Schwachstellen und Exploits haben wollen – ein gefährliches Wissen in den falschen Händen. Interessanterweise gibt es aber auch Interessenten an kostenlosem SCADA-Wissen, die diesen Weg den Kosten professioneller Schulungen vorziehen. Andere wiederum geben die Gründe für ihr Interesse nicht preis. Weitere Konversationen in den Foren sind aktionsbezogener und kreisen um Ideen für mögliche Gewinne aus ICS/SCADA-Systemen. Auch werden Posts zu Bug Bounty-Programmen von Unternehmen neu gepostet.

Schon die Tatsache, dass diese Gespräche im Untergrund stattfinden, zeigt, dass für Unternehmen bei der Verbesserung der Sicherheit Eile geboten ist. Angesichts der Tatsache, dass die Recherche exponierte Systeme in kleinen und mittleren Unternehmen gefunden hatte, sollte auch ein Hinweis darauf sein, dass Unternehmen jeglicher Größe in allen Bereichen Ziel von Angriffen werden können.

Weitere Einsichten zu exponierten CI HMIs sowie eine detaillierte Darstellung der Bedrohungsakteure liefert das Whitepaper „Exposed and Vulnerable Critical Infrastructure: Water and Energy Industries“.

Kryptowährungs-Malware wird im Untergrund angeboten

Originalbeitrag von Fernando Mercês, Senior Threat Researcher

Kryptowährungen geraten immer wieder in den Schlagzeilen, und manche Regierungen arbeiten an der Regulierung der daran beteiligten Transaktionen. Andere wiederum möchten die damit verbundenen Mining-Aktivitäten insgesamt stoppen. Cyberkriminelle sind sehr rege am Kryptowährungs-Mining beteiligt. Ihre Tätigkeiten reichen vom Missbrauch der Graphics Processing Units (GPUs) der Verbraucher-Geräte bis zu dem der Mobilgeräte. Mittlerweile gibt es auch im cyberkriminellen Untergrund so viele Kryptowährungs-Malware-Angebote, dass es auch Kriminellen schwer fallen muss zu entscheiden, welches das Beste ist. Kryptomalware hat ein klares Ziel, und zwar aus Kryptowährungstransaktionen Profit zu schlagen. Dies lässt sich über zwei verschiedene Methoden erreichen: Diebstahl von Kryptowährung und wiederholtes Mining auf den Geräten der Opfer (ohne dass diese es mitbekommen), auch Cryptojacking genannt.

Weiterlesen

IDC MarketScape für weltweite E-Mail Security führt Trend Micro als „Leader“

Originalbeitrag von Wendy Moore

Das Marktforschungsinstitut IDC hat Trend Micro im „IDC MarketScape: Worldwide Email Security 2016 Vendor Assessment“ (Dezember 2016).als „Leader“ eingestuft.

Weiterlesen →

CLOUDSEC: Was Unternehmen unter den Nägeln brennt

Cloudsecbanner-624x238

Update der Speakerliste – weiter unten

Grundsätzlich geht es in der Informationssicherheit darum, die Kontrolle zurückzugewinnen sowie die Ordnung in einer chaotischen Welt wiederherzustellen. Darüber hinaus ist auch Belastbarkeit, Hartnäckigkeit und Standfestigkeit gefragt. All dies lässt sich allein nicht erreichen. Trend Micros eintägige Konferenz CLOUDSEC im September ist dicht gepackt mit Best Practice-Ratschlägen von CISOs, Sicherheitsexperten, Journalisten und anderen Fachleuten, die dazu beitragen können, im eigenen Unternehmen bessere Entscheidungen zu treffen.
Weiterlesen

Standardsicherheit gibt es nicht!

Originalartikel von Richard Werner, Business Consultant, von blog.trendmicro.de

Es ist einfach und verlockend. In vielen Programmen gibt es den Knopf „Sicherheit gleich mit installieren“ oder so ähnlich. Klar, für den Kunden ist das einfacher. Ein Punkt weniger, um den er sich Gedanken machen muss. Auch für den Anbieter ist das vorteilhaft. Schliesslich setzt man abgestimmte Lösungen ein und hat so ein stimmiges, attraktives Gesamtkonzept. Ein Problem entsteht daraus nur, wenn aus dem Produkt eine den Markt dominierende Lösung wird. Dann nämlich wird die eingesetzte Sicherheit zum Standard – das wäre, als würde jedes Haus der Welt mit der gleichen Schliessanlage ausgestattet. Ein Paradies für Einbrecher…
Weiterlesen

Crypto-Ransomware JIGSAW chattet mit dem „Kunden“

Originalartikel von Trend Micro

Ransomeware04-200x200

Kundenservice ist Teil jedes gut laufenden Geschäfts. Daher nimmt es nicht Wunder, dass sich sogar Crypto-Ransomware-Anbieter Möglichkeiten überlegen, den Zahlungsprozess für das Lösungsgeld zu vereinfachen. Die Neuerung, die mit der neuen JIGSAW-Variante kommt, besteht darin, mit dem Nutzer über Chat zu kommunizieren, anstatt Dark Web-Sites zu verwenden.

Weiterlesen