Kategorie-Archiv: Virtualisierung

„Crisis“ für virtuelle Maschinen

Hinterlassen Sie eine Antwort

Originalartikel von Christopher Daniel So, Threat Response Engineer  und Warren Wu, Director, Product Group Management Datacenter Business Unit

Die Sicherheitsspezialisten von Trend Micro sind auf Angriffe des Schädlings Crisis/MORCUT auf virtuelle Maschinen in VMware-Umgebungen gestoßen. Ende Juli war der Backdoor-Schädling schon einmal aktiv gewesen, doch da hatte er sich Mac OSX-Systeme als Ziel ausgewählt. Dieses Mal jedoch fanden die Experten Crisis/MORCUT in mobilen Windows-Umgebungen und interessanterweise auf virtuellen Festplatten.

Der Schädling infiziert so genannte Type 2 Hypervisor-Umgebungen. Hierbei wird der Hypervisor über ein Standard-Betriebssystem (Windows/Linux) installiert und hostet mehrere virtuelle Maschinen. Die Malware kompromittiert zuerst das Host-Betriebssystem, sucht nach VMDK-Dateien und instanziiert dann wahrscheinlich die VM, die er mit derselben Infektion wie den Host kompromittiert.

Wie der Schädling in die Systeme kommt, ist noch nicht ganz geklärt. Den Anfang scheint jedoch ein Download eines schädlichen Java-Applets (JAVA_AGENT.NTW) gemacht zu haben. Das Applet ist mit zwei Dateien verbunden: mac – der Hintertür-Schädling OSX_MORCUT.A und win – ein Wurm WORM_MORCUT.A. Die win-Datei wird in einem Windows-Betriebssystem ausgeführt und legt dann einige Komponenten ab (Einzelheiten gibt es hier).

Eine erste Analyse ergab, dass WORM_MORCUT.A sich über USB-Geräte und VMware virtuelle Festplatten verbreiten kann. Der Wurm nutzt die Komponente TROJ_MORCUT.A des Gerätetreibers, um sich auf virtuellen Festplatten einzuhängen. Diese Fähigkeit lässt den Schluss zu, der Schädling verbreite sich aggressiv, doch es gibt derzeit nicht ganz 100 Infektionen mit WORM_MORCUT.A und TROJ_MORCUT.A.

Eine Infektion für Type 2 Hypervisor-Szenarien kann über aktuelle Antimalware-Lösungen wie Trend Micro Deep Security oder Trend Micro OfficeScan verhindert werden. Damit sind die virtuellen Maschinen sicher. Des weiteren sollte der Zugang zu VMDK eingeschränkt werden. Zwar richten sich die Angriffe von Crisis nur auf gehostete Hypervisor nicht auf das Datacenter, dennoch ist eine solche Maßnahme grundsätzlich wichtig. Jeder, der auf die VMDK-Dateien in einem Dateisystem zugreifen kann, hat die Möglichkeit, viel Schaden auf den virtuellen Festplatten und VMs anzurichten.

Virtualisierung soll BYOD-Sorgen vertreiben

1 Antwort

Originalartikel auf “Simply Security” von Trend Micro

Unternehmen, die das Konzept Bring-your-own Device (BYOD) in die Wirklichkeit umsetzen wollen, müssen sich unweigerlich mit Mobile Device Management, Kostenfragen, Funktionalität und Sicherheit auseinandersetzen. Ein neuer Report von Zenprise analysiert diesbezügliche Strategien.

Als Hauptvorteil des Konzepts wird die Tatsache genannt, dass Manager statt eine Menge Geräte anzuschaffen, Ressourcen sparen können und dennoch die Produktivität erhalten, welche Mobilität bietet. Gerade kleine Unternehmen können davon profitieren, denn es wäre für diese Firmen viel zu kostenspielig, jeden Mitarbeiter mit einem neuen Smartphone oder Tablet auszustatten. BYOD hat das Potenzial für Kostenersparnis, ist aber mitnichten kostenlos zu haben, denn IT-Teams müssen häufig robuste neue Lösungen kaufen, um die Netzwerke und Daten des Unternehmens abzusichern.

“Unsere Analyse hat gezeigt, dass Unternehmen, deren Mitarbeiter persönliche Mobilgeräte für ihre Arbeit nutzen, in erster Linie um ihre Sicherheit und einen möglichen Produktivitätsabfall fürchten“, erläutert Ahmed Datoo von Zenprise. Die Analysten gehen aber davon aus, dass sich das mobile Datenmanagement weiterentwickelt und damit dann diese Sorgen überflüssig werden.

Um sicherzustellen, dass die Mitarbeiter ihre Geräte während der Arbeit auch produktiv nutzen, haben IT-Manager die zur Verfügung stehenden Anwendungen und Browser strengen Regeln unterworfen. Die Schwarzen Listen für bestimmte mobile Apps sind etwa doppelt so beliebt wie die Weißen Listen, so Zenprise. Facebook, Dropbox und das Spiel Angry Bird fanden sich auf den meisten Blacklists, während Citrix, Adobe und Xora die Hauptbestände in den Apps-Bibliotheken stellten.

Zenprise fand auch heraus, dass die Verbreitung von iOS-, Android- und Windows-Geräten im Rahmen von BYOD-Programmen sich leicht von den Zahlen der generellen Verkäufe unterschieden.

Laut comScore war Google im Dezember auf dem US-Markt mit 47,3 Prozent Smartphone-Abonnenten Marktführer, gefolgt von Apple (30 Prozent), RIM (16 Prozent) und Microsoft (5 Prozent). Zenprise stellte fest, dass iOS-Geräte bei BYOD mit 57 Prozent die Nase vorn hat, Android liegt mit 33 Prozent an zweiter und Windows mit zehn Prozent an dritter Stelle.

Die Analysten untersuchten auch die von den Unternehmen eingesetzten Datensicherheits- und Zugangskontrollrichtlinien und Mechanismen. Auch wenn immer mehr Unternehmen mit der Einführung von Cloud-basierten Mobile Device Management-Lösungen vielleicht zu viel des Guten tun, so muss dennoch die große Mehrheit der Organisationen an den Grundlagen arbeiten, so der Report. Lediglich 29 Prozent der BYOD-Pläne enthielten einen verpflichtenden Kennwortschutz für alle Geräte und nur ein Drittel hatten Richtlinien für VPNs vorgesehen.

Viele Sicherheitsforscher haben in letzter Zeit auf das Sicherheitspotenzial von Virtualisierung hingewiesen. Laut Rick Robinson von InfoBoom denkt die US-Regierung über eine Technologie „ähnlich der Desktop-Virtualisierung“ für das Management von mobilen Geräten nach. Dabei geht es im Wesentlichen um Datensicherheit, die dadurch erreicht wird, dass die Smartphone-Schnittstellen in zwei getrennte Systeme aufgeteilt werden – eines für die Arbeit und eines für den privaten Gebrauch. „Das Programm wird Android-Smartphones mit zwei unabhängigen Betriebssystemen liefern. Das eine, für den persönlichen Gebrauch, wird vom Nutzer verwaltet, das andere wird von der Behörde gemanagt“, erläutert Robinson.

Der Unterschied zur traditionellen Desktop-Virtualisierung wird darin bestehen, dass die beiden Systeme nicht miteinander kommunizieren können. Dadurch könnte die für den Nutzer zugängliche Funktionalität zwar eingeschränkt werden, so Robinson, doch IT-Manager können zumindest nachts gut schlafen. Geht ein Smartphone verloren, wird gestohlen oder gehackt, können die Administratoren die Daten aus dem Behörden-kontrollierten System „säubern“, ohne die persönlichen Daten und Anwendungen zu löschen oder zu beeinträchtigen.

Trotzdem gibt es noch genügend Gründe, um Desktop-Virtualisierung auch in Mobile Device Management-Plänen für wichtig zu erachten. Eine Umfrage von Virtual Computer hat ergeben, dass zwar Desktop-Virtualisierung aus Sicherheits- und Mobilitätsgründen für viele von Interesse ist, doch 58 Prozent sehen hohe Infrastrukturkosten als Hürde und 57 Prozent machen sich um die Performance Sorgen.

2011: Das Jahr der Dateneinbrüche

Hinterlassen Sie eine Antwort

Originalartikel von Det Caraig, Technical Communications

Das Jahr 2011 brachte sowohl Herausforderungen als auch Erfolge nicht nur für Trend Micro, sondern auch für die anderen Sicherheitsanbieter und die behördlichen Mitstreiter im Kampf gegen Cyberkriminalität. 2011 wurde, wie von unseren Sicherheitsforschern vorhergesehen, zum „Jahr der Dateneinbrüche“. Weltweit wurden Unternehmen Opfer von gezielten Einbruchsangriffen und erlitten hohe Datenverluste, der neuen digitalen Währung.
Als Vorbereitung auf das kommende Jahr lohnt es sich, einen Blick auf die von Trend Micro getätigten Vorhersagen zu werfen und auf das, was tatsächlich eingetreten ist.

  • Es wird mehr zielgerichtete Angriffe und Cyberspionage geben. Wie prognostiziert, wurden weltweit einige Unternehmen Opfer von zielgerichteten Angriffen, die sie teuer zu stehen kamen. RSA und Sony PlayStation – zwei der größten Angriffsziele 2011 – verloren Millionen Kundendaten und mussten Riesensummen aufbringen, um den Schaden zu beheben.
  • Es wird mehr Angriffe auf mobile Geräte geben. Der enorme Anstieg der Android-Malware hat die Reife der mobilen Bedrohungslandschaft begünstigt. Mit Trojanern infizierte und andere Arten von bösartigen Android-Apps haben nicht nur die App Stores von Drittanbietern verseucht, sondern auch den Android Market selbst. Die prominentesten Schädlingsfamilien 2011 waren RuFraud- und DroidDreamLight-Varianten.
  • Ausgeklügelte Malware-Kampagnen werden zunehmen. Cyberkriminelle haben weltweit Nutzer von sozialen Netzwerken mit noch mehr Aufsehen erregenden Spam- und Betrugsangriffen sowie innovativen Tools über Social Engineering überrollt. Diese Attacken haben Tausende von Nutzern ihre vertraulichen Daten und sogar die persönlichen Informationen gekostet.
  • Die Ausnutzung von Sicherheitslücken und Exploits wird weitergehen. Obwohl die Zahl der ausgenützten Sicherheitslücken, über die berichtet wurde, rückläufig war, haben die Kriminellen weiter eine ganze Reihe von Exploit-Angriffen gestartet. Die drei am häufigsten ausgenützten Sicherheitslücken — VE-2011-3402, CVE-2011-3544 und CVE-2011-3414 – betrafen Produkte von drei der Top fünf Anbieter, nämlich Microsoft, Oracle und Adobe.
  • Es wird neue Infektionen mit alter Malware geben und der kriminelle Untergrund wird sich konsolidieren. Traditionelle Bedrohungen haben auch 2011 Nutzer großen Schaden zugefügt. Als Mittel, um an Daten, Geld oder Identitäten heranzukommen, nutzen sie neue und bessere Werkzeuge und infizieren damit die Systeme und Geräte unwissender Nutzer.

Die Sicherheitsforscher haben zwar Hacktivismus für 2011 nicht prognostiziert, doch es gab eine ganze Reihe an Masseninfektionen durch AntiSec- und LulzSec-Angriffe. Hacktivistengruppen waren bei ihren Angriffen unter anderem auch politisch motiviert.
Doch insgesamt war 2011 kein so schlechtes Jahr, denn es gab auch Erfolge im Kampf gegen Cyberkriminalität. In enger Zusammenarbeit mit Partnern und den Behörden stand Trend Micro an vorderster Front in der Aktion „Operation Ghost Click“, bei der der bislang größte cyberkriminelle Ring ausgeschaltet wurde.
Weitere Einzelheiten zu den Sicherheitsvorfällen im vergangenen Jahr finden sich im Report “A Look Back at 2011: Information Is Currency”.

Amazons Verschlüsselungsfunktion greift zu kurz: Verwaltung muss in die Hände des Benutzers

Hinterlassen Sie eine Antwort

Originalartikel Udo Schneider, Solution Architect

Quelle: flickr

Viele Medien bekundeten ihre Zustimmung für die Ankündigung von AWS‘ (Amazon Webservices) Verschlüsselungsfunktion für S3 (Simple Storage Services). Dabei werden Daten in den S3 Buckets optional verschlüsselt abgelegt. Die Daten werden mittels SSE (Server Side Encryption) auf Seiten des Servers verschlüsselt. Hierbei übernimmt Amazon die gesamte Schlüsselverwaltung automatisch. Der Nutzer braucht nur noch beim Hochladen der Daten zu entscheiden, ob sie verschlüsselt abgelegt werden sollen.

Verschlüsselung ist sicherlich sinnvoll, denn bei einem unberechtigten Zugriff auf die (physikalischen) Platten, auf denen die S3 Daten liegen, kann niemand die Daten verwenden. Doch schützt diese Funktion nicht vor dem Entwenden der Daten, sofern sie über dafür gedachte Kanäle passieren (e.g. Zugriff via https). Da die Ver-/Entschlüsselung transparent auf dem Server passiert, kann jeder, der die Rechte oder Zugangsdaten (berechtigter- oder unberechtigterweise) besitzt, diese Daten von S3 /ent/schlüsselt herunterladen.

Deshalb geht Trend Micro mit Secure Cloud einen anderen Weg und fügt weitere Security-Mechanismen für Kontrolle des Benutzers hinzu.

  • Trennung von Schlüsselverwaltung und Ressourcen: Die Schlüsselverwaltung ist getrennt von den verschlüsselten Ressourcen. Ein potenzieller Angreifer kann also mit den Daten allein nichts anfangen — Er benötigt (unberechtigen) Zugriff auf zwei disjunkte Systeme.
  • Schlüsselverwaltung/-generierung befindet sich unter Kontrolle des Nutzers: Gibt dieser die Keys nicht frei, so können die Daten nicht entschlüsselt werden.
  •  Richtlinienbasierte Identitäts- und Integritätsüberprüfung: S3 ist ein reiner Storage Dienst. SecureCloud geht weiter und adressiert (u.a.) auch Amazon EC2/EBS (Elastic Block Store). In diesem Kontext gilt es, nicht nur Daten zu schützen, sondern auch Instanzen/VMs, die auf diese zugreifen. SecureCloud kann also auch die Identität (etwa Lokation/Rechenzentrum) und Integrität (Welche Netzwerkdienste sind konfiguriert?) mit in die Entscheidung, ob Schlüssel bereitgestellt werden, einbeziehen.

Im Gegensatz zu S3 SSE geht das Trend Micro-Produkt viel weiter und bezieht deutlich mehr Risiken ein. Dies soll aber nicht heißen, dass S3 SSE nichts taugt. Jedes Feature, dass die Sicherheit erhöht, verbessert die Gesamtsicherheit des Systems. Zumal in diesem Fall die zusätzliche Verschlüsselung „nichts kostet“ – weder preislich noch in Form von User Ressourcen.

 

Die schlechten Vorsätze fürs neue Jahr

Hinterlassen Sie eine Antwort


Cyberkriminelle können sich 2011 auf ein sehr profitables Jahr freuen – angesichts des zunehmenden Einsatzes mobiler Geräte und der steigenden Zahl von Betriebssystemen im Unternehmenseinsatz. Verstärkt kommen auch Social-Engineering-Taktiken zum Einsatz: Anwender werden immer mehr personalisierten Attacken ausgesetzt sein, wobei die Angriffe subtiler und die Website-Infektionen „von der Stange“ abnehmen werden. Hauptquelle bleibt das Internet. Untersuchungen der Virenanalysten von Trend Micro ergaben, dass sich mehr als 80 Prozent der gängigsten Malware über das Web verbreiten und so auf die Systeme der Benutzer gelangen (Quelle: Untersuchungen der TrendLabs, des globalen Netzwerks aus Forschungs- und Support-Zentren von Trend Micro, zwischen April und September 2010).

Noch sind dank der Vielfalt mobiler Geräte nicht viele Angriffe darauf zu verzeichnen. Aber da die Marktanteile neuer Plattformen steigen, wird die Malware-Industrie auf der Suche nach Sicherheitslücken und Designfehlern in den neuen Systemen ihre Angriffe darauf konzentrieren. So gibt es beispielsweise bereits ein Proof-of-Concept für Android, auch sind erfolgreiche Angriffe auf Google Android zu erwarten. Generell lässt sich feststellen, dass es innerhalb der Szene eine weitere Konsolidierung geben wird, denn Gruppen werden sich zusammenschließen oder ihre Kräfte bündeln, während die öffentliche Aufmerksamkeit für Cyber-Attacken wachsen wird.

Cloud Computing und Virtualisierung bieten viele Vorteile und sorgen für erhebliche Kostensenkungen. Doch weil dadurch Server nach außerhalb der traditionellen Sicherheitsperimeter verlagert werden, steigen die Risiken. Es bieten sich mehr Angriffsflächen für Cyberkriminelle, und auch die Sicherheitsanforderungen an Cloud-Service-Provider steigen. Die Experten von Trend Micro erwarten für das kommende Jahr einen Anstieg bei Proof-Of-Concept-Angriffen auf Cloud-Infrastrukturen und virtuelle Systeme. Angesichts des Aufbrechens der Desktop-Monokultur werden Cyberkriminelle Angriffe auf die in der Cloud vorherrschende Monokultur starten, um herauszufinden, wie sie diese erfolgreich infiltrieren und für ihre Zwecke missbrauchen können.

Social Engineering und damit das Ausnützen menschlicher Gutgläubigkeit im Unternehmen, um an vertrauliche Informationen zu kommen, wird auch 2011 eine große Rolle bei der Verbreitung von Bedrohungen spielen. Nach Einschätzung der Experten von Trend Micro wird es im kommenden Jahr eine Zunahme an personalisierten Attacken mithilfe solcher Taktiken geben. Das heißt, die Angriffe werden subtiler, während die Website-Infektionen „von der Stange“ und die zum Anklicken verleitenden infizierten Webseiten weniger werden.

Angesichts der Browser-Vielfalt und der immer bewusster agierenden Anwender, die beispielsweise die NoScript-Option in Firefox nutzen, sind einige der herkömmlichen Angriffsvektoren nicht mehr so effektiv für die Malware-Industrie, beispielsweise Sicherheitslücken im Browser oder die Infiltration von Web-Servern. Aus diesem Grund nutzen Cyberkriminelle immer mehr Social-Engineering-Tricks und verleiten die Benutzer dazu, etwas „Sinnvolles“ herunterzuladen. So lassen sich sogar vollständig gepatchte und gesicherte Systeme infiltrieren, warnen die Experten von Trend Micro.

Immer mehr geraten auch mittelständische Unternehmen ins Fadenkreuz der Cyberkriminellen. Diese bedienen sich dabei illegaler Toolkits, deren Verbreitung im Jahr 2010 geradezu explosionsartig zunahm. Sie machen es leichter, bestimmte Unternehmensarten anzugreifen. So galten die Angriffe mit ZeuS aus dem gerade abgelaufenen Jahr in erster Linie kleinen Unternehmen. Derartig zielgerichtete und an die jeweiligen Bedingungen angepasste Angriffe werden aller Voraussicht nach weiter zunehmen und dabei immer raffinierter werden, wobei sowohl bekannte Markenunternehmen als auch wichtige Infrastrukturen Ziel sein könnten. Auch die Sicherheitsanbieter selbst werden 2011 sehr wahrscheinlich Ziel von Angriffen werden, um so Verwirrung und Unsicherheit unter den Nutzern zu stiften.