www.CERT.at - Spezielles

Special Report: Erfahrungswerte aus den Webserver‐Sicherheitsvorfällen von 2011

2011-12-19T15:06:20Z

Special Report: Erfahrungswerte aus den Webserver‐Sicherheitsvorfällen von 2011

22. November 2011

Zusammenfassung

Im Sommer und Herbst 2011 kam es zu diversen Einbrüchen bei bekannten Webseiten in Österreich. Es wurden sensible Daten kopiert und auszugsweise veröffentlicht, was zu einem erheblichen materiellen und auch immateriellen Schaden geführt hat. Das Team von CERT/GovCERT und Fachleute des BVT waren an der Vorfallsbehandlung und Analyse aktiv beteiligt. Dabei stellte sich heraus, dass eine Reihe von Fehlern in der Betriebsführung diese Einbrüche begünstigt hatte.

Gemeinsam wurde daher ein Erfahrungsbericht erstellt, der jetzt auch in einer öffentlichen Version vorliegt.

Dieses Dokument basiert auf den bei diesen Einsätzen gesammelten Erfahrungen und will diese Lehren an alle Betreiber von Webservern in Österreich weitergeben, damit diese die Sicherheit ihrer Infrastruktur verbessern können. Die hier vorliegende Liste mit Empfehlungen ist kein umfassendes Handbuch und erhebt keinen Anspruch auf Vollständigkeit. Für eine erschöpfende Behandlung des Themas Sicherheit von Onlinediensten siehe etwa https://www.sicherheitshandbuch.gv.at/ oder andere entsprechende Fachliteratur.

Die im Bericht enthaltene Punkte sind daher primär als Denkanstoß und als Checkliste für Sofortmaßnahmen zu sehen, damit aus den Fehlern dieses Jahres gelernt werden kann und so weitere Einbrüche vermieden werden können.

Informationsquelle(n):

Erfahrungsbericht
http://www.cert.at/static/downloads/specials/20111122-cert.at-report-websicherheit-public.pdf

Special Report: Einbruch bei DigiNotar

2011-11-04T09:12:06Z

Special Report: Einbruch bei DigiNotar

8. September 2011

Zusammenfassung

Anfang September wurde bekannt, dass ein Angreifer in die niederländische Certification Authority (CA) "DigiNotar" eingebrochen hatte und sich unbefugt Zertifikate für diverse Domains (u.A. google.com) ausgestellt hatte. Diese wurden für Abhörangriffe auf Iranische Bürger benutzt.

Die betroffenen CAs wurden inzwischen von einigen Browser- und Betriebssystemherstellern aus deren Systemen gestrichen, dadurch werden auch legitime Zertifikate von DigiNotar nicht mehr als gültig anerkannt.

Da Zertifikate von DigiNotar in den Niederlanden für die staatlichen Public-Key-Infrastructure benutzt werden, hat dieser Angriff ernste Folgen für die dortige IT-Infrastruktur.

Der vorliegende Bericht von CERT.at dokumentiert den Vorfall, untersucht die Auswirkungen auf Österreich und zeigt auf, welche Lehren daraus für die Zukunft gezogen werden können.

Informationsquelle(n):

CERT.at Zwischenbericht zum Einbruch bei DigiNotar
http://www.cert.at/static/downloads/specials/CERT.at_report_DigiNotar_Breach_public.pdf
Factsheets von GOVCERT.NL
https://www.govcert.nl/english/service-provision/knowledge-and-publications/factsheets
Timeline (SANS Storm Center)
https://isc.sans.edu/diary.html?date=2011-09-01

Special Report: Erkennung von Stuxnet

2010-10-29T15:36:01Z

Special Report: Erkennung von Stuxnet

27. September 2010

Zusammenfassung

Aktuell kursiert Schadsoftware, die die Manipulation von industriellen Steuerungsanlagen der Marke Siemens SIMATIC zum Ziel hat. Die aktuelle Schadsoftware ("Malware") verbreitet sich über mehrere Schwachstellen in Microsoft Windows und infiziert, über die zur Steuerung und Programmierung der Anlagen (SIMATIC, WinCC, PCS7) verwendeten Windows PCs, die industriellen Anlagen selbst. Die Auswirkungen können von Industriespionage, über sicherheitsrelevante Fehlfunktionen in den Steuerungssystemen bis zu Systemausfällen führen. Es sind daher entsprechende Maßnahmen zur Erkennung von Infektionen und Absicherung der Anlagen zu treffen.

Der Hersteller Siemens stellt eine Anleitung zur Kontrolle und Bereinigung der Systeme zur Verfügung.

Der vorliegende Bericht von CERT.at zeigt auf, wie man lokal und mittels Netzwerkmonitoring feststellen kann, ob potentiell eine Infektion im eigenen Unternehmen stattgefunden hat.

Ergänzend hat Ikarus einen informativen und detaillierten Bericht über Stuxnet verfasst.

Informationsquelle(n):

CERT.at Bericht zur Erkennung von Stuxnet
http://www.cert.at/static/downloads/specials/stuxnet-report_public.pdf
Siemens Informationsseite zu Stuxnet (englisch)
http://support.automation.siemens.com/WW/llisapi.dll?func=cslib.csinfo&lang=en&objid=43876783&caller=view
Ikarus Report zu Stuxnet (lesenswert!)
http://www.ikarus.at/de/business/community/blog/index.html?blog=/blog/2010-10/2010_10_08_stuxnet_kurzbericht.html&action=detail

Status zu Conficker und 1. April 2009

2009-04-03T11:11:47Z

Status zu Conficker und 1. April 2009

31. März 2009

Anlässlich der Aufmerksamkeit, die das Thema Conficker/Downadup und 1. April momentan in den Medien erfährt, hat CERT.at hier die wichtigsten Fragen&Antworten zusammengefasst.

Was passiert am 1. April 2009?

Basierend auf verschiedenen technischen Analysen wurde herausgefunden, dass Systeme, die mit dem aktuellen Conficker-Wurm infiziert sind, versuchen werden, über einen neuen Algorithmus Code aus dem Internet nachzuladen. Bisher wurden keine anderen Hinweise auf Aktivitäten des Wurms, die den 1. April betreffen, gefunden.

Wird es am 1. April 2009 eine neue Version des Conficker-Wurms geben?

Es ist durchaus möglich, dass Systeme, die vom aktuellen Conficker-Wurm befallen sind, am 1. April neuen Code über den neuen Domainnamen-Algorithmus nachladen werden. Diese Systeme konnten aber auch schon bisher über eine Peer-to-Peer - Methode von den Wurm-Autoren mit neuem Code versorgt werden.

Sollte die Öffentlichkeit besorgt sein?

Nein, die Öffentlichkeit sollte nicht besorgt sein. Die meisten Privatbenutzer sind bereits durch die automatische Installation des Microsoft-Patches MS08-067 vor dem Wurm geschützt.

Wie kann ich herausfinden, ob mein PC befallen ist, und was soll ich dann tun?

Unter http://www.confickerworkinggroup.org/wiki/pmwiki.php?n=ANY.RepairTools (englisch) befindet sich eine Liste an Tools, mit denen befallene Systeme erkannt und gegebenenfalls gesäubert werden können.
Auch Microsoft bietet via http://safety.live.com/ Möglichkeiten zur Analyse/Entfernung.

Diese Seiten sind aber gerade von befallenen Systemem aus oft nicht erreichbar.

Ist das Entfernungs-Tool XYZ geeignet, um befallene Systeme zu erkennen und zu reparieren?

Wir warnen ausdrücklich vor sogenannten "Trittbrettfahrern", die momentan versuchen, mit falschen Entfernungs-Tools noch mehr PCs unter ihre Kontrolle zu bringen, und ersuchen, nur die von der Conficker Working Group oder anderen seriösen Institutionen empfohlenen Entfernungs-Tools zu verwenden.

Empfehlungen

Wir empfehlen, dass Benutzer, die automatische Updates noch nicht aktiviert haben, dies tun, und sicherstellen, dass die installierte Sicherheitssoftware (Firewall, Anti-Viren-Software) immer auf aktuellem Stand ist, vgl. auch http://www.microsoft.com/germany/athome/security/viruses/conficker.mspx.

Firmen wird empfohlen, sicherzustellen, dass der Microsoft-Patch MS08-067 auf allen System installiert ist, von Conficker (egal welcher Version) befallene Systeme zu säubern, die Signaturen der Anti-Viren-Software aktuell zu halten und zusätzliche Sicherheitsmassnahmen - wie zB von Microsoft in http://technet.microsoft.com/de-de/security/dd452420(en-us).aspx (englisch) vorgeschlagen - zu evaluieren.

Informationsquelle(n):

Wikipedia-Eintrag zu Conficker
http://de.wikipedia.org/wiki/Conficker
Liste von Repair Tools (englisch)
http://www.confickerworkinggroup.org/wiki/pmwiki.php?n=ANY.RepairTools