zurück zur Übersicht

Remember, remember, the End of September!

Wie sieht es bei Ihnen im Unternehmen in Sachen Incident Detection & Response aus?So könnte man das berühmte Zitat von Guy Fawkes umdichten. Zumal, wenn man sich die Security News Feeds der letzten Wochen anschaut. Da gab es in der Tat einiges, was den Schweiß auf die Stirn eines jeden CISOs treten und hinterfragen lässt, wie es denn im eigene Unternehmen um das Thema Incident Detection & Response bestellt ist.

LoJax BIOS Rootkit

Die Theorie, Schadsoftware im BIOS von Computern zu verankern, um sie für Antivirensoftware unsichtbar zu machen, existiert schon sehr lange. Nun aber wurde ein solcher Schädling in freier Wildbahn entdeckt. LoJax ist ein Rootkit, das die Fähigkeit besitzt Schadmodule in den SPI-Flashspeicher (Serial Peripheral Interface) zu schreiben, der die UEFI Firmware (Unified Extensible Firmware Interface), den Nachfolger des traditionellen BIOS, beinhaltet. Damit ist das Rootkit in der Lage, den Rechner immer neu zu infizieren. Und das, bevor das Betriebssystem gebootet und zusätzliche Schutzsoftware gestartet wird. So überlebt die Schadsoftware nicht nur eine Neuinstallation des Betriebssystems, sonder auch eine Löschung oder gar den Austausch der Festplatte. Nur erneutes Beschreiben des SPI mit der korrekten UEFI Firmware  oder der Austauch des Mainboards helfen, um den hartnäckigen Eindringling wieder loszuwerden. Solche Fähigkeiten führten natürlich zu einem enormen Medienecho. LoJax wurde schnell zum Supervirus hochstilisierte. Das BSI, das Bundesamt für Sicherheit in der Informationstechnik, sah sich sogar genötigt, dazu eine Stellungnahme abzugeben, um klar zu stellen, dass man diese Einschätzung nicht teile. Denn schutzlos ist man dem Schädling nicht ausgeliefert. Bevor er sich so tief im System einnisten kann, muss der Angreifer bereits die Kontrolle über das System übernommen haben. Regelmäßiges und zeitnahes Einspielen von Patches und Installation einer zuverlässigen Endpoint Protection Software zum Schutz vor Schadsoftware helfen auch hier, um nicht zum Opfer zu werden. Im konkreten Fall von LoJax hilft auch die Aktivierung von Secure Boot im UEFI Bios. Denn damit lädt man nur noch Firmware mit gültiger Signatur und die besitzt die Schadsoftware nicht. Leider verursacht Secure Boot einige Probleme, wenn Linux als Betriebssystem verwendet werden soll.

Facebook Data Breach betrifft 90 Millionen Nutzer

Auch der Social Media Primus Facebook hatte im September ordentlich zu leiden. Durch Anomalien im Traffic-Verhalten wurde Facebook auf den Angriff aufmerksam. Dabei führte die Kombination von drei Schwachstellen zur Kompromittierung der Access Token von 50 Millionen Nutzern. Access Tokens dienen zur Authentisierung des Nutzers, zum Beispiel beim Zugriff über Mobile Apps, damit dieser nicht jedes Mal das Passwortes eingeben muss. Der Konzern zog daraufhin die Notbremse, deaktivierte die verantwortlichen Funktionen in seiner Plattform und invalidierte die kompromittierten Access Tokens und die von 40 Millionen weiteren Nutzern gleich mit. Betroffene Nutzer mussten sich daraufhin neu einloggen. Fatal ist dabei, dass der Data Breach nicht nur Facebook betrifft. Da Facebook als sog. Identity Provider auch für den Login auf andere Angebote verwendet werden kann, können diese ebenfalls von der Kompromittierung  betroffen sein, auch wenn es laut Facebook bis dato keine Indizien dafür gibt, dass die Angreifer die gestohlenen Access Tokens für den Zugriff auf sog. 3rd Party Apps benutzt haben. Dem Nutzer bleibt nur übrig, die Augen für etwaige Unregelmäßigkeiten in seinem Account offen zu halten. Außerdem sollte er dringend prüfen, welche Apps eigentlich mit Facebook verbunden sind, denn auf diese hätten die Angreifer, zumindest theoretisch, bis zur erfolgten Invalidierung der Token Zugriff gehabt.

Pwned on Arrival durch Hardware Implants

Für Aufsehen sorgte auch ein Bericht von Bloomberg zum Thema Supply Chain Compromise. Der Veröffentlichung zufolge entdeckte Amazon bereits 2015 bei den Vorbereitungen zur Übernahme von  Elemental, einem Anbieter von Video-Streaming-Lösungen, einen Chip auf den Mainboards der Server des Unternehmens, der da nicht hingehörte. Die Server stammten von Super Micro Computer Inc., einem Rechenzentrumsausrüster, mit dem in der Vergangenheit auch Apple und allerlei andere US-Konzerne zusammengearbeitet haben. Die Server stammten angeblich aus China. Laut Bloomberg ermöglicht der Chip Remote-Zugriff über einen getarnten Netzwerkkanal. Wenngleich die betroffenen Unternehmen eilig dementierten und die Korrektheit des Berichtes niemand belegen kann, so gibt er dennoch dem Albtraum eines jeden CISOs ein Gesicht. Die Absicherung der Lieferketten (Supply Chains)  beginnt in vielen Unternehmen gerade erst in den Fokus zu rücken. In der Automobilindustrie versucht man beispielsweise mit einer einheitlichen Zertifizierung (TISAX) das Problem anzugehen, um ein durchgängiges Informationssicherheitsmanagement zu erreichen. Doch die Erkennung von Hardware Implants ist beliebig schwierig, wie dieses unbelegte Beispiel zeigt: Hier wurden POS-Terminals während der Fertigung mit zusätzlicher Hardware versehen, die es erlaubt, die Kreditkartendaten drahtlos auszulesen.

Fazit

Diese prominenten Beispiele zeigen, dass der Fantasie der Angreifer keine Grenzen gesetzt sind. Daher ist es zwingend angeraten, die „What if“-Frage zu stellen und geeignete Maßnahmen für den Ernstfall festzulegen. Auf das Prinzip Hoffnung zu setzen, reicht keinesfalls aus. Ohne geeignete Maßnahmen zur Angriffserkennung und entsprechende Incident-Response-Planung hätte Facebook beispielsweise den Vorfall weder erkennen, noch darauf adäquat reagieren können.


Bild ©: GettyImages-473158924-weerapatkiatdumrong

 

Schreibe einen Kommentar

Wir nehmen Datenschutz ernst! Deshalb informieren wir Sie, was mit Ihren Daten geschieht:

  • Daten aus Formularen und Webseiten-Tracking können von uns zur Analyse gespeichert werden
  • Die Daten können zur Optimierung der Webseite ausgewertet werden. Das ermöglicht es uns, besser zu verstehen, wo das Interesse unserer Besucher liegt. Wir benutzen primär Hubspot für dieses Tracking (mehr dazu finden Sie in der Erklärung auf unserer Datenschutzseite, siehe unten)
  • Wir geben Ihre Daten nicht an Dritte weiter. Im Rahmen von Veranstaltungen, an denen Sie teilnehmen möchten, kann es nötig sein, dass Ihre Daten an Vertragspartner übermittelt werden.
  • Sie haben jederzeit ein Recht auf die Herausgabe, Berichtigung oder Löschung persönlicher Daten.
  • Sie können Ihre Einwilligung, mit uns in Kontakt zu treten, jederzeit mit sofortiger Wirkung widerrufen.

Weitere Details dazu, was wir mit den Daten tun und nicht tun finden Sie auf unserer Datenschutzseite, oder schreiben Sie mich bei Fragen direkt an!

Felix Möckel
Data Protection Officer