zurück zur Übersicht

Wir müssen draußen bleiben!

NSA nutzt gezielt Schwachstellen zur ÜberwachungAuf der „Usenix Enigma Security Conference“ in San Francisco gab es einen Vortrag der etwas anderen Art. Rob Joyce, der „Chief of Tailored Access Operations“ der Hacker-Abteilung der NSA, konnte natürlich nicht von den streng geheimen Vorgängen bei der NSA berichten, hat aber einen spannenden Überblick über die häufigsten Angriffsvektoren gegeben, die sich die NSA zu Nutze macht. Wider Erwarten waren Social Engineering und Zero Day Exploits hier nicht vorne dabei.

Der Fokus der NSA liegt laut Joyce auf Designschwächen. Nicht nur bei Anwendungen und Technologie, sondern auch und vor allem in der Organisation und in Prozessen. Die heute fast unvorstellbar scheinenden  Fälle von Passwörtern, die in Klartext übertragen werden, veralteten Protokollen und in Klartext abgespeicherte Passwörter sind nach wie vor die Hauptattraktionen bei den Anwendungsschwächen.

Eine organisatorische Designschwäche bei der Allokation von Rechten entsteht, wenn Rechte nicht ordentlich voneinander getrennt werden. Administratoren haben teilweise breitflächigen Zugang zu verschiedensten Systemen. Ist hier einmal ein Zugang kompromittiert, kann eine IT-Landschaft immer tiefer durchdrungen werden.

Schwächen in Prozessen können etwa bei Outsourcing entstehen. Hier besteht bei der Art und Weise wie zum Beispiel Wartungen durchgeführt werden ein großes Potential für Angreifer, wenn Direktzugänge von Extern notwendig werden.

Im Weiteren ging Joyce darauf ein, womit man die NSA am ehesten ein Bein stellen kann. Persistentes und intelligentes Überwachen von Logs kann hier dazu führen, dass Schwachstellen möglichst schnell erkannt und geschlossen werden können. Intelligente Netzwerksniffer, das sind Abhörgeräte für Netzwerke die Anomalien im Netzwerkverkehr erkennen, sind laut Joyce ein großes Hindernis für die NSA, wenn diese korrekt verwendet werden: Die Logs müssen hier natürlich in Echtzeit ausgewertet werden und im Zweifelsfall muss ein Verfahren oder eine Anwendung bereit stehen, die auf Ungereimtheiten im Netzwerkverkehr möglichst sofort reagiert.

Um dem von Rob Joyce beschriebenen Vorgehen optimal entgegenzuwirken führt an einer Kombination aus permanentem „Penetration Testing“ in Form eines „Security Information and Event Management Systems“ (SIEM), einem intelligenten Netzwerksniffer und einer effektiven „Incident Response“ Lösung kein Weg vorbei. Diese Lösungen müssen natürlich miteinander als Einheit funktionieren und entsprechend miteinander kommunizieren.

iT-CUBE SYSTEMS kann Sie bei der Auswahl und Umsetzung solcher Lösungen, zugeschnitten auf Ihre IT-Landschaft, beraten und unterstützen.


 

Quelle:

http://www.wired.com/2016/01/nsa-hacker-chief-explains-how-to-keep-him-out-of-your-system

Bild: ©iT-CUBE SYSTEMS AG 2016

Schreibe einen Kommentar