www.CERT.at - Spezielles

Special Report: Der Spamhaus/CloudFlare/Stophaus Denial of Service Angriff

2013-04-09T08:37:59Z

Special Report: Der Spamhaus/CloudFlare/Stophaus Denial of Service Angriff

8. April 2013

Über den Denial-of-Service Angriff auf Spamhaus war in den Medien in den letzten Wochen viel zu lesen. Auch für CERT.at als nationales CERT von Österreich war das eine interessante Zeit.

Wir wollen in dem jetzt vorliegenden Bericht die Fakten zusammenfassen und vor allem darstellen, welche Lehren Österreich aus diesem Vorfall ziehen sollte.

Der österreichische Kaiser soll, nachdem er von den Vorgängen im Paris der französischen Revolution erfahren hat, angeordnet haben in der Wiener Innenstadt die Kopfsteinpflaster durch größere Steinplatten zu ersetzen. Er wollte nicht, dass das Material für Angriffe sprichwörtlich auf Strasse liegt. Die gleiche Situation haben wir auch hier: Aktuell haben uns die Angriffe nicht getroffen, aber wir haben gelernt, wie viele Plastersteine (hier jetzt "offene rekursive Nameserver") in unseren Netzen herumliegen.

Wir sollten diese dringend wegräumen.

Zusammenfassung

In der zweiten Märzhälfte 2013 kam es zu einer Serie von heftigen Denial-of-Service Angriffen auf "Spamhaus", einem Anbieter von Anti-Spam Blocklisten. In manchen Medien wurde dieser als Gefahr für die Stabilität des Internets beschrieben.

Das war weit übertrieben: weder war die Angriffsmethode neu, noch war die Angriffsstärke um Größenordnungen höher als das bisher gesehene. Die Kollateralschäden für unbeteiligte Dritte blieben auf wenige Punkte im Netz beschränkt: die überwiegende Mehrheit der Internet-Nutzer blieb von dem Ereignis völlig unberührt.

Sowohl die Angreifer als auch die Verteidiger haben während des Angriffs ihre Strategien flexibel an die Reaktion des Gegners angepasst, letztlich war aber die gut eingespielte Kooperation der Betriebsführungsteams der Netzbetreiber erfolgreich und diese konnten die Attacken gemeinsam abwehren. CERT.at als das österreichische nationale CERT ist in diese globale Zusammenarbeit eingebunden.

Dennoch hat der Angriff einige Probleme aufgedeckt, die behoben werden sollten:

Fehler in der Absicherung der Internet-Basisinfrastruktur (Filter in Routing-Protokollen, Control-Plane Protection, …)
Mangelnder Schutz gegen das Einspeisen von gefälschten IP-Paketen
Fehlkonfiguration bei Nameservern, die sich dadurch als Angriffs-Verstärker ausnutzen lassen

Informationsquelle(n):

Report
http://www.cert.at/static/downloads/specials/20130408-cert.at-report-ddos.pdf

Special Report: "Hacktivism" - Vorbereitung auf den Ernstfall

2013-03-20T11:05:16Z

Special Report: "Hacktivism" - Vorbereitung auf den Ernstfall

29. März 2012

Die Sicherheitslage in Österreich kann aktuell als angespannt bezeichnet werden. AnonAustria hat angekündigt gegen die Einführung Vorratsdatenspeicherung mittels Netz-Aktivismus vorzugehen. Hierbei ist dezidiert mit Hackingangriffen unterschiedlicher Ausprägungen zu rechnen.

CERT.at bietet hiermit eine Zusammenstellung einiger nützlicher Tipps zur kurzfristigen Vorbereitung sowie Reaktion für alle potentiell gefährdeten und betroffenen Organisationen. Diese Liste erhebt keinerlei Anspruch auf Vollständigkeit.

Wichtig: Dieser Leitfaden enthält primär Empfehlungen hinsichtlich der Reaktion auf Angriffe die mediale Breitenwirksamkeit und demonstrative Absichten als Hintergrund haben. Solch geartete Angriffe sind auch unter den Begriffen "Netz-Aktivismus" und "Hacktivism" bekannt.

Know your enemy!

Erst wenn eine Organisation verstanden hat, aus welchen Motiven heraus sie Opfer werden könnte oder bereits geworden ist, kann sie sich entsprechend richtig vorbereiten und/oder im Ernstfall korrekt reagieren.

Was ist das Ziel von "Netz-Aktivismus"?

Netz-Aktivismus ist eine moderne Form der Demonstration. Vermeintlich ungehörte Meinungen sollen durch Erregung von öffentlicher Aufmerksamkeit mit entsprechendem Nachdruck kundgetan werden.

Dabei zeigt die Vergangenheit, dass nahezu jedes Mittel recht scheint - zumindest, solange sich ein Bezug zur eigentlichen Botschaft herstellen lässt.

Der wichtigste Aspekt hinter derartigen Angriffen ist demnach die öffentliche Wirkung. Dieses Bewusstsein ist für die richtige Bewältigung solcher Vorfälle maßgeblich entscheidend: der Schwerpunkt liegt auf der Öffentlichkeitsarbeit.

Neben den ebenso wichtigen technischen Agenden entscheiden die öffentlichen Statements über die für die betroffene Organisation positive oder negative Bewältigung eines etwaigen Angriffs.

Ich bin gefährdet. Was kann ich tun? Wie kann ich mich vorbereiten?

Eine erfolgreiche Bewältigung eines bereits eingetretenen Ernstfalles steht und fällt mit den entsprechend getroffenen Vorkehrungen. Hierzu sei erwähnt, dass dieser Leitfaden nicht mehr nur von einer fiktiven Bedrohung ausgeht, sondern von dem Szenario, dass ein Angriff gerade bevorsteht. Etwaige langfristige technische Sicherheitsvorkehrungen sind somit nicht mehr umsetzbar.

"Hau-Ruck"-Aktionen

Kurzschlussreaktionen sind fehl am Platz. Ungetestete Maßnahmen zum Beheben bereits bekannter Schwachstellen stellen dann eventuell erst recht die Ursache für Systemprobleme dar. Sämtliche Maßnahmen müssen auch in diesem Fall durchdacht, getestet und geprüft werden.

Erreichbarkeit

Ein Ernstfall - "ich wurde gehackt!" - ist für die meisten Betroffenen ein Schockerlebnis. Es ist essentiell zu wissen, WER für WAS zuständig ist und WIE und WO handlungsfähige Personen erreicht werden können.

Dies betrifft in erster Linie folgende Aufgabenbereiche:

Treffen unternehmensrelevanter Entscheidungen
Kontakt zu Kollateral-Geschädigten (Kunden, Geschäftspartner)
Kontakt zur Presse
Prüfung auf rechtliche Konsequenzen und Pflichten
Technische Schadensbegrenzung

Organisationen mit einem existierenden Krisenmanagement sollten dies hinsichtlich der Brauchbarkeit bei IT-Sicherheitsvorfällen überprüfen und gegebenenfalls adaptieren.

Backups

Immer wenn ungewollte Datenveränderungen auftreten, wird der Ruf nach Backups laut. Selbiger verstummt aber recht schnell bzw. ändert sich in einen Aufschrei der Empörung, sollten diese beispielsweise

veraltet
beschädigt
nicht zugreifbar
nicht (vollständig) vorhanden

sein.

Stellungnahme

Die vergangenen Ereignisse zeigten nachhaltig, dass Vertuschung nicht hilfreich ist. Gerade im Kontext von Netz-Aktivismus, kann der Versuch, etwas zu verschweigen, sehr rasch aus einer "kleinen Meldung" ein PR-Desaster entstehen lassen.

Eine transparente Stellungnahme, mit entsprechend realistischer und konstruktiver Betrachtungsweise, kann bereits initial die gröbsten Wogen glätten.

Tatsächlich könnte es sogar eine Überlegung wert sein, als Erster an die Öffentlichkeit zu gehen - sozusagen ein "medialer Erstschlag". Dies kann dem Angreifer weiteren Wind aus den Segeln nehmen und man hat zudem gewisse Kontrolle, auf welche Art und Weise der Vorfall in der Öffentlichkeit bekannt wird.

Falschmeldungen können in Extremfällen sogar zu weiteren Angriffen führen.

In dieser Hinsicht kann es durchaus Sinn machen, eine entsprechende Stellungnahme bereits im Vorfeld auszuarbeiten. Im Ernstfall kann man sich dann auf eine fertig vorbereitete und durchdachte Stellungnahme verlassen. Diese muss danach nur mehr adaptiert werden, was den Stressfaktor wesentlich reduziert. Somit macht es (je nach Organisation) Sinn, eine oder auch mehrere der folgenden Stellungnahmen, nach Adressaten (Stakeholdern) unterschieden, vorzubereiten:

Mitarbeiter
Presse
Kunden
Geschäftspartner
Datenschutzkommission
...

Erhöhte Sensibilisierung

Wenn abzusehen ist, dass in naher Zukunft Angriffsversuche bevorstehen, kann es durchaus Sinn machen, entsprechende Monitoring-Systeme wie Logging, IDS, IPS, maximale Anzahl an Login-Fehlversuchen ... wo möglich temporär in einen sensibleren oder auch "gesprächigeren" Modus zu versetzen. Insbesondere letzteres kann eine eventuell angestrebte Beweissicherung deutlich unterstützen und aufwerten.

Rechtliche Folgen

Sollte es bei einer eventuellen Attacke nicht "bloß" bei einem der "Klassiker", wie die Veränderung der Website (Defacement) oder einem Denial of Service (DOS) bleiben, sondern auch sensible Daten abhanden gekommen sein, so kann das durchaus rechtliche Konsequenzen haben. Laut österreichischem Datenschutzgesetz besteht eine Informationspflicht der betroffenen Personen bei Verlust der Vertraulichkeit. Entsprechende Abklärung bereits im Vorfeld, wie hier die rechtlichen Verpflichtungen aussehen erleichtert es im Ernstfall die hierfür vorgegebenen Prozesse einzuhalten.

Ich bin Opfer. Was kann ich tun? Wie soll ich mich verhalten?

Keep cool!

Von Anfang an Marketing/PR und Technik einbinden
Problem nicht gleich zu Beginn herunterspielen
- Nichts ist peinlicher, als Zug um Zug in der Presse immer größere Probleme eingestehen zu müssen
Keine Zahlen nennen, die nicht gesichert sind
- Wenn überhaupt
Bestehen eines Problems nicht verleugnen
Keine Zeitspannen nennen, die nicht gesichert sind

Auf gar keinen Fall sollten Sie sich zu aus dem ersten Schock resultierenden Kurzschlusshandlungen hinreißen lassen.

Dazu gehören zum Beispiel folgende:

Server vom Stromnetz nehmen
Ad-hoc-Presseaussagen
Presseaussagen mit unklaren Daten

Solche überhasteten Aktionen können sehr rasch zum Verlust von Beweisen wie auch zu eventuell noch viel größeren Kollateralschäden führen.

Aktualität der gefundenen Hinweise

Handelt es sich wirklich um einen aktuellen Angriff oder wurden nur Spuren einer alten Attacke aufgestöbert?

Unsere Erfahrungen zeigen, dass Systeme oftmals Spuren von bereits vor geraumer Zeit stattgefundenen Einbrüchen/Einbruchsversuchen aufweisen.

Professionelle Hilfe - CERT.at kontaktieren

Generell empfiehlt es sich, CERT.at bei IT-Sicherheitsvorfällen aller Art, vor allem im Bereich der kritischen Infrastrukturen, zu kontaktieren (bzw. GovCERT.gv.at falls der Vorfall mit einer Behörde oder Organisation der öffentlichen Hand in Verbindung steht).

CERT.at hilft bei der Bewältigung von Vorfällen im IT-Security-Bereich durch entsprechende Vermittlung an Behörden, Branchen sowie Organisationen bzw. in speziellen Fällen durch Task Forces vor-Ort weiter.

Weiters überprüft CERT.at inwiefern eventuell auch noch Dritte betroffen sein könnten und schickt in einem solchen Fall entsprechende Warnungen und weiterführende Informationen aus.

CERT.at nimmt bei größeren Ereignissen die Rolle der Informationsdrehscheibe und Koordinationsstelle war. Ziel ist die Schadensprävention bzw. Schadensminimierung und eine bestmögliche, effiziente Abwicklung.

Vertraulichkeit: CERT.at behandelt generell jegliche übermittelte Information als vertraulich, und wird diese nicht ohne Zustimmung weitergeben, ausser dies ist implizit zur Bearbeitung eines Vorfalls nötig, siehe auch http://cert.at/about/scope/scope.html.

Externe Hilfe

Betroffene Organisationen sollten sich frühzeitig an den IT-Dienstleister Ihres Vertrauens wenden. Weiters gibt es am österreichischen Markt auch eine Vielzahl an spezialisierten IT-Sicherheits-Dienstleistern, die mit ihrer Erfahrung bei der erfolgreichen und richtigen Bewältigung professionelle Unterstützung leisten können.

Mediale Stellungnahme

Jede mediale Stellungnahme - ob vorbereitet oder nicht - sollte auf jeden Fall von Marketing/PR und Technik vor Veröffentlichung geprüt werden.
Je nachdem, wie die Organisation positioniert ist, wird früher oder später eine solche auch aktiv von den Medien eingefordert werden.

Wir verweisen an dieser Stelle noch einmal explizit auf das Konzept eines "medialen Erstschlages" ... siehe oben.

Einschalten der Exekutive

Falls der Verdacht besteht, dass der Einbruch in Zusammenhang mit Anonymous/AnonAstria steht, ersucht das in diesem Zusammenhang ermittelnde BVT (Bundesamt für Verfassungsschutz und Terrorismusbekämpfung) um Meldung an post@bvt.gv.at.

Wurde in ein IT-System wie auch immer geartet eingebrochen und eventuell sogar Daten verändert und/oder gestohlen, so kann es sich hierbei durchaus um eine strafrechtlich relevante Tat handeln. Im Zweifelsfall empfehlen wir eine Abklärung mit der Exekutive - das Bundesministerium für Inneres (BMI) hat hierfür eine Erstanlaufstelle (und zwar nicht wie angegeben "nur" für Internetbetrug) eingerichtet. Nähere Informationen hierzu finden Sie unter
http://www.bmi.gv.at/cms/BK/meldestellen/internetkrimina/start.aspx.

Gerne stellen wir auch als CERT.at den Kontakt zu entsprechenden Behörden her.

Rechtliche Konsequenzen und Pflichten der betroffenen Organisation

Wie bereits bei den Vorbereitungsmaßnahmen erwähnt, können Einbrüche auch rechtliche Konsequenzen für die betroffene Institution selbst haben und mit gesetzlichen Pflichten einhergehen. Als Beispiel hierfür ist der Verlust von persönlichen Daten der Kunden und die daraus resultierende Informationspflicht zu nennen (Datenschutzgesetz).

Special Report: Erfahrungswerte aus den Webserver‐Sicherheitsvorfällen von 2011

2013-03-20T11:05:16Z

Special Report: Erfahrungswerte aus den Webserver‐Sicherheitsvorfällen von 2011

22. November 2011

Zusammenfassung

Im Sommer und Herbst 2011 kam es zu diversen Einbrüchen bei bekannten Webseiten in Österreich. Es wurden sensible Daten kopiert und auszugsweise veröffentlicht, was zu einem erheblichen materiellen und auch immateriellen Schaden geführt hat. Das Team von CERT/GovCERT und Fachleute des BVT waren an der Vorfallsbehandlung und Analyse aktiv beteiligt. Dabei stellte sich heraus, dass eine Reihe von Fehlern in der Betriebsführung diese Einbrüche begünstigt hatte.

Gemeinsam wurde daher ein Erfahrungsbericht erstellt, der jetzt auch in einer öffentlichen Version vorliegt.

Dieses Dokument basiert auf den bei diesen Einsätzen gesammelten Erfahrungen und will diese Lehren an alle Betreiber von Webservern in Österreich weitergeben, damit diese die Sicherheit ihrer Infrastruktur verbessern können. Die hier vorliegende Liste mit Empfehlungen ist kein umfassendes Handbuch und erhebt keinen Anspruch auf Vollständigkeit. Für eine erschöpfende Behandlung des Themas Sicherheit von Onlinediensten siehe etwa https://www.sicherheitshandbuch.gv.at/ oder andere entsprechende Fachliteratur.

Die im Bericht enthaltene Punkte sind daher primär als Denkanstoß und als Checkliste für Sofortmaßnahmen zu sehen, damit aus den Fehlern dieses Jahres gelernt werden kann und so weitere Einbrüche vermieden werden können.

Informationsquelle(n):

Erfahrungsbericht
http://www.cert.at/static/downloads/specials/20111122-cert.at-report-websicherheit-public.pdf

Special Report: Einbruch bei DigiNotar

2013-03-20T11:05:16Z

Special Report: Einbruch bei DigiNotar

8. September 2011

Zusammenfassung

Anfang September wurde bekannt, dass ein Angreifer in die niederländische Certification Authority (CA) "DigiNotar" eingebrochen hatte und sich unbefugt Zertifikate für diverse Domains (u.A. google.com) ausgestellt hatte. Diese wurden für Abhörangriffe auf Iranische Bürger benutzt.

Die betroffenen CAs wurden inzwischen von einigen Browser- und Betriebssystemherstellern aus deren Systemen gestrichen, dadurch werden auch legitime Zertifikate von DigiNotar nicht mehr als gültig anerkannt.

Da Zertifikate von DigiNotar in den Niederlanden für die staatlichen Public-Key-Infrastructure benutzt werden, hat dieser Angriff ernste Folgen für die dortige IT-Infrastruktur.

Der vorliegende Bericht von CERT.at dokumentiert den Vorfall, untersucht die Auswirkungen auf Österreich und zeigt auf, welche Lehren daraus für die Zukunft gezogen werden können.

Informationsquelle(n):

CERT.at Zwischenbericht zum Einbruch bei DigiNotar
http://www.cert.at/static/downloads/specials/CERT.at_report_DigiNotar_Breach_public.pdf
Factsheets von GOVCERT.NL
https://www.govcert.nl/english/service-provision/knowledge-and-publications/factsheets
Timeline (SANS Storm Center)
https://isc.sans.edu/diary.html?date=2011-09-01

Special Report: Erkennung von Stuxnet

2013-03-20T11:05:16Z

Special Report: Erkennung von Stuxnet

27. September 2010

Zusammenfassung

Aktuell kursiert Schadsoftware, die die Manipulation von industriellen Steuerungsanlagen der Marke Siemens SIMATIC zum Ziel hat. Die aktuelle Schadsoftware ("Malware") verbreitet sich über mehrere Schwachstellen in Microsoft Windows und infiziert, über die zur Steuerung und Programmierung der Anlagen (SIMATIC, WinCC, PCS7) verwendeten Windows PCs, die industriellen Anlagen selbst. Die Auswirkungen können von Industriespionage, über sicherheitsrelevante Fehlfunktionen in den Steuerungssystemen bis zu Systemausfällen führen. Es sind daher entsprechende Maßnahmen zur Erkennung von Infektionen und Absicherung der Anlagen zu treffen.

Der Hersteller Siemens stellt eine Anleitung zur Kontrolle und Bereinigung der Systeme zur Verfügung.

Der vorliegende Bericht von CERT.at zeigt auf, wie man lokal und mittels Netzwerkmonitoring feststellen kann, ob potentiell eine Infektion im eigenen Unternehmen stattgefunden hat.

Ergänzend hat Ikarus einen informativen und detaillierten Bericht über Stuxnet verfasst.

Informationsquelle(n):

CERT.at Bericht zur Erkennung von Stuxnet
http://www.cert.at/static/downloads/specials/stuxnet-report_public.pdf
Siemens Informationsseite zu Stuxnet (englisch)
http://support.automation.siemens.com/WW/llisapi.dll?func=cslib.csinfo&lang=en&objid=43876783&caller=view
Ikarus Report zu Stuxnet (lesenswert!)
http://www.ikarus.at/de/business/community/blog/index.html?blog=/blog/2010-10/2010_10_08_stuxnet_kurzbericht.html&action=detail

Status zu Conficker und 1. April 2009

2013-03-20T11:05:16Z

Status zu Conficker und 1. April 2009

31. März 2009

Anlässlich der Aufmerksamkeit, die das Thema Conficker/Downadup und 1. April momentan in den Medien erfährt, hat CERT.at hier die wichtigsten Fragen&Antworten zusammengefasst.

Was passiert am 1. April 2009?

Basierend auf verschiedenen technischen Analysen wurde herausgefunden, dass Systeme, die mit dem aktuellen Conficker-Wurm infiziert sind, versuchen werden, über einen neuen Algorithmus Code aus dem Internet nachzuladen. Bisher wurden keine anderen Hinweise auf Aktivitäten des Wurms, die den 1. April betreffen, gefunden.

Wird es am 1. April 2009 eine neue Version des Conficker-Wurms geben?

Es ist durchaus möglich, dass Systeme, die vom aktuellen Conficker-Wurm befallen sind, am 1. April neuen Code über den neuen Domainnamen-Algorithmus nachladen werden. Diese Systeme konnten aber auch schon bisher über eine Peer-to-Peer - Methode von den Wurm-Autoren mit neuem Code versorgt werden.

Sollte die Öffentlichkeit besorgt sein?

Nein, die Öffentlichkeit sollte nicht besorgt sein. Die meisten Privatbenutzer sind bereits durch die automatische Installation des Microsoft-Patches MS08-067 vor dem Wurm geschützt.

Wie kann ich herausfinden, ob mein PC befallen ist, und was soll ich dann tun?

Unter http://www.confickerworkinggroup.org/wiki/pmwiki.php?n=ANY.RepairTools (englisch) befindet sich eine Liste an Tools, mit denen befallene Systeme erkannt und gegebenenfalls gesäubert werden können.
Auch Microsoft bietet via http://safety.live.com/ Möglichkeiten zur Analyse/Entfernung.

Diese Seiten sind aber gerade von befallenen Systemem aus oft nicht erreichbar.

Ist das Entfernungs-Tool XYZ geeignet, um befallene Systeme zu erkennen und zu reparieren?

Wir warnen ausdrücklich vor sogenannten "Trittbrettfahrern", die momentan versuchen, mit falschen Entfernungs-Tools noch mehr PCs unter ihre Kontrolle zu bringen, und ersuchen, nur die von der Conficker Working Group oder anderen seriösen Institutionen empfohlenen Entfernungs-Tools zu verwenden.

Empfehlungen

Wir empfehlen, dass Benutzer, die automatische Updates noch nicht aktiviert haben, dies tun, und sicherstellen, dass die installierte Sicherheitssoftware (Firewall, Anti-Viren-Software) immer auf aktuellem Stand ist, vgl. auch http://www.microsoft.com/germany/athome/security/viruses/conficker.mspx.

Firmen wird empfohlen, sicherzustellen, dass der Microsoft-Patch MS08-067 auf allen System installiert ist, von Conficker (egal welcher Version) befallene Systeme zu säubern, die Signaturen der Anti-Viren-Software aktuell zu halten und zusätzliche Sicherheitsmassnahmen - wie zB von Microsoft in http://technet.microsoft.com/de-de/security/dd452420(en-us).aspx (englisch) vorgeschlagen - zu evaluieren.

Informationsquelle(n):

Wikipedia-Eintrag zu Conficker
http://de.wikipedia.org/wiki/Conficker
Liste von Repair Tools (englisch)
http://www.confickerworkinggroup.org/wiki/pmwiki.php?n=ANY.RepairTools