Schlagwort-Archive: Cyper-Kriminalität

Warum die Erforschung von Sicherheitslücken richtig und wichtig ist

Originalbeitrag von Raimund Genes, CTO

Vor wenigen Tagen veröffentlichte Oracles Chief Security Officer Mary Ann Davidson einen Blogeintrag, der beschrieb, warum man aufhören sollte, nach Sicherheitslücken in Software-Produkten zu suchen. Was bei der IT-Sicherheits-Community selbstverständlich nicht gut ankam – kurze Zeit später wurde der Blogeintrag vom Netz genommen, zusammen mit einem Statement des Unternehmens, dass der Eintrag „nicht unsere Ansichten oder unser Verhältnis zu unseren Kunden widerspiegelt.“

Sicherheit durch Nichtwissen („security through obscurity“) funktioniert nicht. Doch genau das ist es, was Davidson im Hinblick auf Sicherheitslücken letzten Endes propagiert hat. Andererseits… sie könnte nicht ganz Unrecht gehabt haben – wenn es dabei um Menschen gegangen wäre, die Sicherheitslücken suchen, um sie dann zu verkaufen oder um sie in Angriffs-Code zu verwenden (wie die Zero-Day-Sicherheitslücke, die wir vor kurzem als Bestandteil von „Pawn Storm“ fanden.)

Weiterlesen

„Linsanity“ führt zu gerichteten Malware Attacken

Cyberkriminielle stürzen sich bewusst auf Medienereignisse um Ihre Schadsoftware zu verbreiten – so wie letztens beim Tod von Whitney Housten. Seit neustem nutzen Sie die Popularität von Jeremy Linn aus. Als Köder dient diesmal ein Dokument mit Informationen über seinen Werdegang.

Hacktivist-Verhaftungen sind gut, doch schützen sie die Unternehmensnetzwerke nicht

Originalartikel von Paul Ferguson, Senior Threat Researcher

Die Verhaftungen im Lulzsec-Umfeld haben im Internet großen Wirbel ausgelöst. Natürlich ist es großartig zu sehen, dass diejenigen, die das Gesetz brechen, zur Rechenschaft gezogen werden, doch hinter dem Phänomen der zunehmenden Hacktivist-Angriffe stecken tiefer liegende Probleme. Diese Verhaftungen ändern nichts an der Ziellinie der Hacktivist-Angriffe – sie werden weitergehen und vermutlich sogar eskalieren.

Warum? Sie haben weiterhin die Möglichkeit dazu. Daher ist es von größerer Bedeutung, es den Hacktivisten nicht so einfach zu machen, die Netzwerke der Organisationen zu hacken.

Diese Hacktivisten sind zum Großteil nicht wirklich “professionelle Kriminelle”. Die wirklichen Cyberkriminellen befinden sich immer noch irgendwo in Osteuropa oder China (und sonst irgendwo). Und sie veröffentlichen ihre gestohlenen Daten nicht auf Pastebin oder kündigen die Datenbeute auf Twitter an. Auch ist es sehr unwahrscheinlich, dass die Gesetzeshüter in den meisten Fällen diese professionellen Kriminellen identifizieren, geschweige denn verhaften und verurteilen können.

Wichtiger ist es, dass Unternehmen sich darüber im Klaren sind, dass die Kriminellen die mangelhafte Haltung Sicherheit gegenüber für ihre Zwecke ausnützen, das fehlende Sicherheitsbewusstsein und schlechte Betriebspraktiken bezüglich nicht autorisierten Zugriffs auf das geistige Eigentum, persönliche Informationen, Kontrollsysteme, Kreditkartendaten und andere wertvolle Daten in der Organisation.

Für die Lösung des Problems bedarf es eines ganzheitlichen Ansatzes. Es gibt eine Vielzahl an Netzwerk- und Datenschutzmaßnahmen, mit denen Unternehmen weiterhin versuchen können, das Blatt zu ihren Gunsten zu wenden. Der ganzheitliche Ansatz verlangt eine stetige Überprüfung der Sicherheit – einen so genannten OODA-Loop (Observe, Orient, Decide, Act), um zu einer „optimalen situationsbedingten Awareness“ zu kommen. Genanntes Referenzmodell hat einen großen Vorteil: Es zwingt zu einer konstanten Sicherheitshaltung, -beobachtung, zu stetigen Maßnahmen und Nachbesserungen. In einem ersten Schritt muss eine Organisation verstehen, wie das eigene Netzwerk aussieht, die Assets ihrem Wert entsprechend richtig segmentieren und schützen, um den dann Verkehr konstant zu schützen und zu überwachen.

„Vertrauen Sie uns einfach“

Original Artikel von Andy Dancer (Chief Technology Officer, Trend Micro)

Jeden Tag gibt es neue Schlagzeilen zu Social Networking, Cloud-Computing und Software-as-a-Service (SaaS). All diese schnell wachsenden Bereiche haben eines gemeinsam: Sie basieren auf der Datenübertragung von privaten Computern in das Internet, das heißt in die Öffentlichkeit. Theoretisch schützen die jeweiligen Service Provider diese Daten – schließlich gelten die Hoster als Experten in ihrem Bereich. Doch nur in den seltensten Fällen handelt es sich bei diesem Bereich um Datensicherheit. Daraus ergeben sich Konsequenzen, die wohlbedacht sein wollen.

Sicherheitsexperten rufen Google und andere Betreiber dazu auf, SSL zu verwenden, um alle mit ihren Services verknüpften Interaktionen zu schützen. Ich bin ebenfalls der Meinung, dass es sich dabei um eine Mindestmaßnahme handelt, der sich jeder verpflichten sollte. Aber in meinen Augen ist das nicht weitreichend genug! Viele Cloud-Provider distanzieren sich in ihrem Kleingedruckten von dieser Verantwortung – siehe die EC2-Lizenzvereinbarung von Amazon. Oft sind Provider auch nicht willens, Auskunft darüber zu geben, wie sie ihre Kunden schützen, sondern handeln getreu dem Motto „Vertrauen Sie uns einfach“. Salesforce.com beispielsweise benutzt bei der Erläuterung seiner Sicherheitsmaßnahmen eine Reihe hohler Phrasen; auf harte Fakten können Unternehmen, die diese zu Audit-Zwecken benötigen, aber lange warten. Network World argumentiert, dass die Durchsetzung von PCI in einer von einem Service Provider bereitgestellten Umgebung schwierig bis unmöglich ist… Und in der Welt des Social Networking geht die Diskussion darüber, wem die hochgeladenen Daten gehören, in die nächste Runde.

Aber kommen wir zurück zum Titel: Reicht die Aussage „Vertrauen Sie uns einfach“ wirklich aus, um private Daten in der Öffentlichkeit des Internets zu schützen? Definitiv nicht!

Bevor persönliche Daten im Internet als hinreichend sicher gelten können, müssen einige Bedingungen erfüllt sein:

  1. Cloud-Provider müssen die Sicherheit als Wettbewerbsgrundlage sehen – nicht die Kosten.
    Im Augenblick geht es beim Cloud Computing darum, wie viel die Kunden für ihr Geld bekommen, d. h. wie viel Speicherplatz oder Bandbreite und wie viele CPU-Zyklen. Doch mit der Entwicklung des Marktes und dem immer größeren Wettbewerbsdruck bei immer geringeren Gewinnspannen müssen die Anbieter versuchen, ihren Kunden zusätzliche Services anzubieten, um sich von der Konkurrenz abzuheben. Die Sicherheit wird dabei ein wichtiger Faktor sein. In nächster Zeit können wir damit rechnen, dass den Kunden vertragliche Zusagen, Strafklauseln und detaillierte Sicherheitsmodelle angeboten werden.
  2. Die IT-Community muss Wege finden, dem Dateneigentümer den Datenschutz zu überlassen und ihm trotzdem die Nutzung aller Vorteile, die das Internet bietet, zu gewährleisten.
    Wenn die Daten von großer Bedeutung für ihren Eigentümer sind, müssen wir ihm (Einzelperson oder Unternehmen) ermöglichen, den Schutz seiner Daten selbst in die Hand zu nehmen – ohne Einbußen bei der Internet-Nutzung. Machen Sie sich auf eine Welle neuer Produkte gefasst, die auf eine Erweiterung des Schutzes (auf privat genutzte wie auch unternehmenseigene Internet-Computer) abzielen, auf die wir alle gewartet haben. Gehen Sie davon aus, dass Cloud-Provider ihre APIs für Dritte öffnen werden, damit diese die fehlenden Komponenten einbauen können und somit die Services noch attraktiver für Kunden werden.

Wir von Trend Micro nennen das „Schutz FÜR das Internet“. Sie können sicher sein, dass Sie in den nächsten Monaten noch öfter darüber lesen werden!

Warum werden Cloud-Computing-Services nicht wie ein Service geschützt?

Original Artikel von Justin Foster (Software Architect, Trend Micro)

Angebote zu webbasierter Sicherheit als ein Service werden aufgrund der Vorteile des Verteilungsmodells immer beliebter. Sicherheit als ein Service ermöglicht durch Echtzeit-Updates und Feedback von Benutzern eine sehr schnelle Bereitstellung, Kostensenkungen und verbesserte Sicherheit.

Mit der explosionsartigen Zunahme des öffentlichen Cloud-Computings ist es an der Zeit, die Techniken, die wir für die Sicherheit AUS der Cloud einsetzen, nun auch zum Schutz FÜR die Cloud verwenden.

In Umgebungen der public Clouds, wie z. B. Amazon Web Services (AWS), bieten Instanzen von Elastic Compute Cloud (EC2) nur eine Firewall als Service. Es liegt am Kunden, alle Schwachstellen des Betriebssystems und der auf der virtuellen Maschine ausgeführten Anwendungen zu schließen. Das regelmäßige Patching kann die Angriffsflächen reduzieren, reicht aber nicht als einzige Maßnahme aus, um eine sichere Umgebung zu gewährleisten. Die einzige zurzeit brauchbare Option zur Stärkung des Sicherheitsprofils ist, dass der Kunde Host-basierte Steuerelemente verteilt und verwaltet. Host-basierte Agenten können Anti-Malware, IDS/IPS, WAF, DLP, Integritätsüberwachung und andere Funktionen bereitstellen, doch liegt es am Endbenutzer, diese Gegenmaßnahmen zu erwerben, zu verteilen, zu konfigurieren und zu überwachen.

Dies ist eine Chance für Service Provider: Sie können Sicherheit als einen Service zum Schutz der Instanzen anbieten, die ihre Kunden erzeugen. Mit der Einführung hochwertiger Pay-per-Use-Sicherheitsservices könnten Kunden die Gegenmaßnahmen auswählen, die sie je nach Funktion benötigen. Es bedarf dann einfach nur der Aktivierung in einer Check Box, um ihre virtuellen Maschinen nach Malware durchsuchen zu lassen.

Während dies eine natürliche Weiterentwicklung zu sein scheint, setzt sich Sicherheit als ein Service im Bereich Infrastructure-as-a-Service (IaaS) nur langsam durch. Dies liegt teilweise an der erforderlichen Architektur. Um die Unabhängigkeit der Plattform sowie die Flexibilität der Umgebung zu bewahren und virtualisierungsspezifische Themen wie Rollback zu lösen, sollten die Sicherheitsservices transparent außerhalb der virtuellen Maschine bereitgestellt werden (Platform-as-a-Service- und SaaS-Angebote unterliegen nicht dieser Einschränkung, da der Service Provider das Betriebssystem verwaltet).

Externe Sicherheit hat sich bereits in Sicherheit als ein Service zum Schutz AUS der Cloud bewährt, beispielsweise E-Mail-Gateways zum Filtern von Spam und Malware. Es ist nicht gängige Praxis, externe Sicherheit FÜR virtuelle Maschinen bei Cloud Providern bereitzustellen, aber es ist heute möglich – und zwar mit virtuellen Gateways oder virtuellen Appliances, die Hypervisor-Sicherheits-APIs einsetzen, um den Prozessor, den Arbeitsspeicher, das Netzwerk und den Speicher der virtuellen Maschinen zu überprüfen. Was Virtualisierungsplattformen angeht, so ist VMware hier mit VMsafe führend bei der Bereitstellung von Sicherheits-APIs. Service Providern, die andere Virtualisierungstechnologien einsetzen, stehen mittlerweile jedoch auch andere Optionen zur Verfügung.

Damit Sicherheit als ein Service auch brauchbar ist, muss Benutzerfreundlichkeit oberste Priorität haben. Bei AWS allein werden JEDEN TAG schätzungsweise 50.000 neue Instanzen hinzugefügt. Um den Anforderungen, den Preisvorstellungen, dem Ausmaß an Selbstbedienungsfunktionen und der Fachkenntnis der Benutzerbasis gerecht zu werden, müssen die Sicherheitslösungen einfach zu verwalten sein. Die aktuelle Konfiguration von Firewall-ACLs in heutigen IaaS-Angeboten der public Cloud ist ein perfektes Beispiel für die erforderliche Einfachheit. Während einige Sicherheitsservices nur sehr wenig Konfiguration erfordern (wie z. B. Anti-Malware), ist bei anderen seit jeher mehr Konfigurationsaufwand nötig. Um Erfolg zu haben, müssen die Sicherheitsservices so weit wie möglich rationalisiert und automatisiert werden. Das kann bedeuten, dass Hypervisor-Sicherheits-APIs verwendet werden, um den Inhalt der virtuellen Maschinen zu überprüfen und sie gemäß der auf ihr ausgeführten Arbeitslast zu konfigurieren.

Diese Anforderungen sind eine ganz besondere Herausforderung für Anbieter von Sicherheitssoftware, die schnell bedarfsgerechte, Mehrmandanten-fähige Lösungen bereitstellen müssen. Die Anbieter müssen sich auch mit dem Mangel an Standards für die Integration mit den Service Providern auseinandersetzen, eine Herausforderung, die erst im Lauf der Zeit durch das Erstellen gemeinsamer Sicherheits-APIs bewältigt werden kann. Für Service Provider bedeutet Sicherheit als ein Service eine zusätzliche Einnahmequelle und Wertsteigerung ihrer Services. Höchstwahrscheinlich werden die Lösungen zunächst von kleineren Service Providern angeboten, um sich von der Konkurrenz abzuheben. Es gibt jedoch genug Marktchancen, so dass auch die dominierenden Provider zwangsläufig nachziehen werden.

Unter Verwendung des dynamisch bereitgestellten, externen Pay-per-Use-Sicherheitsmodells, das bei webbasierten Services zum Schutz AUS der Cloud sehr gängig ist, macht Cloud-Computing zum Schutz FÜR die Cloud absolut Sinn. Endbenutzer haben Zugriff auf die von ihnen benötigten Sicherheitsservices, ohne selbst Zeit und Aufwand zu investieren, und erhalten Sicherheit, die genau so dynamisch ist wie die von ihnen verwendeten webbasierten Services.