Gedanken zum aktuellen Security-Thema „Regin“

[lizenzdoc 198]

 

Einige reden über die „Morgendämmerung“ der Security und somit über das „Begreifen der Firmen“ der Möglichkeiten und dem Realisieren,
dass Techniken und Vorgehensweisen in Science-Fiction-Filmen keine unterhaltsamen TV-Couch-Geschichten sind …
Andere sehen aber schon das Thema im Stadium des „Abendrot“ … und sehen resignierend schon den digitalen Untergang auf uns zukommend …

 

Aktuellste Vorkommnisse > Spionage-Software „Regin“ …

Quelle: http://www.FR-Online.de/digital/spionage-software-cyber-attacke-auf-das-kanzleramt,1472406,29443008.html  v. 29.12.2014:

Offenbar schon vor Monaten wurde der private Computer einer Mitarbeiterin der Europaabteilung mit dem hochgefährlichen Trojaner „Regin“ infiziert. Einem Bericht der „Bild“-Zeitung zufolge hatte die Referentin nach Feierabend an ihrem privaten Notebook ein Redemanuskript bearbeitet. Als sie den USB-Stick mit dem Text in ihren Dienstcomputer steckte, sei das Spionagetool entdeckt worden.

Die IT-Sicherheitsfirma Symantec hatte Ende November erstmals über den hochkomplexen Trojaner berichtet.
Demnach kann Regin auf infizierten Rechnern Screenshots machen, den Mauszeiger steuern, Passwörter stehlen,
den Datenverkehr überwachen und gelöschte Dateien wiederherstellen.

 

Wer jetzt mal ehrlich nachdenkt, der müssts leider zugeben, genau so läuft es doch auch in der eigenen Firma ab…oder?

 

Interessant ist, dass es keine direkte Attacke auf den Dienst-Computer gab, sondern der wohl viel einfachere Weg
über den privaten Mitarbeiter-Computer gewählt wurde (woher wussten  „die Bösen“, dass unter dieser privaten IP-Adresse sich der private Computer dieser Mitarbeiterin „versteckt“?
Und hätte sich die Dame auch das Dokument einfach per E-Mail auf Ihren privaten Account zuschicken können,
oder hätte Sie sich auch via privaten Laptop einfach ins Dienst-Netzwerk einloggen können, oder, oder, oder?

 

Falsche und naive Fragen meinerseits? Naja … Ich sehe das bekannte Hase/Igel-Spiel im Security-Bereich …

 

Mitarbeiter und somit Menschen sind halt unberechenbar und oft genial verdreht kreativ, oder?
Geliebte Gedankenstützen für Login-Daten waren mal die „gelben Post-IT“ am Monitor/am Arbeitsplatz, moderner/bequemer ist nun,
diese Daten als „Besondere Kontakte“ im Smartphone zu verstecken
… hat man ja immer 24x7 „am Mann/an der Frau“ … und ist ja sicherlich sicher, oder?

 

Wie kann man die Firma vor so viel Kreativität und der Bedrohung schützen?
Regelmäßige Mitarbeiterbelehrungen?
Das Thema „Bring Your Own Device (BYOD)“ überdenken/planen?
Vorsorglich alle privaten Mitarbeiter-Computer mit ins firmeneigene Security-Konzept einbinden+ausstatten?
Ausbau der USB-Schnittstellen am Firmen-Computer (wieder zurück zu Kabeln bei Maus und Tastatur?)?
W-LAN und Bluetooth verbieten/verhindern?
Remote-Zugriffe auf den Firmen-Account verbieten/verhindern?
Monitoring-Tools nutzen, um endlich mal zu wissen, wer schaufelt welche Daten(-Mengen) wohin? Also das
Thema: „Big-Data-Lost“. Wie und wann sollte/muss man dann den Betriebsrat in diese Vorhaben einbinden?

Und … Wer hat schon ein extern geprüftes Security-Konzept auf dem Tisch liegen???
Das Jahr 2015 wird wohl in der IT nicht langweiliger, oder?

 

Wünsche allen einen sicheren Rutsch in Jahr 2015 !

VG, Franz

[zahni 521]

Irgendwas ist merkwürdig an der Sache. Ich unterstelle mal, dass der Bund sich vernünftige Admins leistet, die schon mal was von GPO (Applocker, usw.) gehört haben.

Der Umgang mit USB-Sticks ist durchaus schwierig. Hier muss man sich gegenüber den Anwendern durchsetzen. Wer will das bei Mutti schon machen?

Private Geräte zu Verseuchen ist daher einfacher und ein Ziel für Nachrichtendienste. Das der Virus auf den Stick gelangte, stufe ich als Versehen oder als Bug ein.

Das musste auffallen, nachdem sogar Symantec das Ding erkennt.

 

Nun ist die IT-Abteilung im Bund gefragt. Private Geräte dürfen nicht mehr direkt in Kontakt mit kritischen Daten kommen.

 

Für mich ist das wieder ein gutes Beispiel, wie Dinge nicht umgesetzt werden dürfen. Ich rede mir hier oft den Mund fusselig und werde angegrinst.

[lizenzdoc 198]

ja, komisch :)
scheinbar sind da welche aus Ihren Träumen aufgeweckt worden ...

 

Seit dem ich nun im Thema Security Fuß fasse, wundere ich mich immer mehr über die "Unbekümmertheit" vieler.

 

Begrifflichkeiten,
wie VIV = Vertraulichkeit, Integrität, Verfügbarkeit

und dasselbe netterweise auf englisch
wie CIA = Confidentiality, Integrity, Availability

waren mir sicherlich bekannt, jetzt sehe ich diese aber unter ganz anderer Priorität.

 

Daten-Klau ist das eine, ich sehe eins noch gefährlicher als Bedrohung von Firmen:
Eindringen ins Netzwerk, Zugang zu digital bereitgestellten Mixturen/Rezepte in Datenbanken

und dann das "leicht etwas Verändern" dieser Produktions-Grund-Daten für z.B. Medikamente, etc.
(jeder darf da mal über seine eigenen Produktionen nachdenken ...)

 

Welche "Schäden" in welcher €-Höhe werden oder könnten somit entstehen?
Wann stellt man fest, da stimmt was nicht ...
Wann kommt man drauf, dass die Werte in der DB nicht mehr stimmen ..
Macht keinen Spaß, herauszufinden, wann wurden die Werte verändert ...

 

Für die sich sicher fühlenden "anderen" ...
Was wäre z.B. bei einem Versicherungsunternehmen, wenn "ein Böser" die Berechnungsformel für
irgendein digitalem Versicherungsformular so bei den Faktoren  leicht verändert,

dass anschließend eine zu hohe (falsche) Deckungssumme
oder eine (falsche) zu niedrigkalkulierte Prämie dabei dauernd heraus kommt?

Jeder für sich darf gerne definieren, wo es seiner Firma am meisten "weh tut" = was sind seine "Kronjuwelen"?

Nicht entdeckte Daten-Manipulation (Daten-Integrität) find ich persönlich als nachhaltig schädlichste Bedrohung einer Firma.

 

Aber ich lerne ja noch fleißig weiter ... :)

 

VG, Franz

bearbeitet 30. Dezember 2014 von lizenzdoc

[Dunkelmann 96]

Nun ist die IT-Abteilung im Bund gefragt. Private Geräte dürfen nicht mehr direkt in Kontakt mit kritischen Daten kommen.

 

Für mich ist das wieder ein gutes Beispiel, wie Dinge nicht umgesetzt werden dürfen. Ich rede mir hier oft den Mund fusselig und werde angegrinst.

Als erstes ist die Organisation gefragt. Die muss zunächst die Parameter definieren und die notwendigen Ressourcen in Form von Budget und ggf. Personal zur Umsetzung und Erzwingung der Richtlinien bereitstellen.

Das setzt natürlich voraus, dass es überhaupt ein Problembewustsein gibt.

 

Bei Kaufleuten lässt sich ganz gut oder auch nur über den Geldbeutel argumentieren. Abstrakte Szenarien führen meiner Erfahrung nach selten zum Erfolg.

Dafür liefern die Studien von Ponemon einiges Material. (wie alle Studen natürlich mit Vorsicht zu genießen)

http://www.ponemon.org/library/2013-cost-of-data-breach-global-analysis

Für 2011 gibt es sogar eine Studie für Deutschland:

http://www.ponemon.org/library/2011-cost-of-data-breach-germany

[DavidS 11]

Hallo Franz,

 

IT-Security rückt endlich mehr in den Vordergrund, auch wenn das Thema für viele Personen weiterhin abstrakt bleibt.

 

Interessant im Heise Forum zu lesen, laut einem Forumsteilnehmer ist die Benutzung von USB Sticks im Kanzleramt untersagt bzw. wird technisch blockiert, aaaaaber wie so häufig gibt es eine VIP Gruppe die über eine Freischaltung verfügt und bekanntlich ist ein Netzwerk als Ganzes nur so sicher wie sein schwächstes Glied in der Kette ;-)

[lizenzdoc 198]

Hi,
interessant, wie wieder die Regeln umgangen werden.

 

Achja, IT würde viel mehr Spaß machen, wenn es diese "komischen USER" nicht geben würde :)

 

VG, Franz

[s_sonnen 20]

Hi und guten Morgen.

 

's ist halt doch wie's fast immer is': 's Problem sitzt 40 cm vor'm Bildschirm. Und wo's jemanden gibt der was verbietet gibt's auch immer den einen oder anderen der sich's selber erlaubt, ... und das, kraft seiner Position, auch tut.

Ich möcht' mir gar keine Gedanken drüber machen wie hoch die Erfolge beim "social engineering" eigentlich sind, da graust mir gar fürchterlich.

 

ciao und trotzdem noch 'nen angenehmen Dienstag

M.

[lefg 276]

Ob die Mitarbeiterin wirklich die Regeln umgangen hat?, Wären diese Regeln auf ihrem Dienstrechner oder ihr Benutzerprofil gesetzt, dann wäre der USBPort deaktiviert gewesen. So hat der Virenschutz gemacht was er machen soll, er hat den Schädling erkannt und hat ihn blockiert.

 

Die Privatrechner der MA in das Schutzkonzept der Firma oder der Behörde einzubinden, es ist schon wert, näher darüber nachzudenken. Man sähe es wie ein Vorfeld, ein Glacies. Und ein so einbezogener Rechner nähme auch keine fremden Sticks mehr an, nur von der Firma bereitgestellte, vorbehandelte. Solch ein Heimrechner müsste aber auch familienfreundlich bleiben. Ob das aber realiesierbar wäre? Einmal die Kosten, ob es wohl sonst noch ernste rechtiiche Argumnete dagegen gibt? Ob das nicht ausufert auf das gesamte Heimnetzwerk? Lizenzkosten und Wartungskosten?

 

Ohne diese Leute vor dem Bildschirm hätten viele von uns nicht ihren spassigen Job, machten irgendwas anderes, einige brieten vielleicht Burger. Ich bin ganz zufreiden mit den Usern und Kunden, stellen sie mich doch immer wieder vor neue Herausforderungen und spülen das Geld in meine Tasche.

bearbeitet 30. Dezember 2014 von lefg

[Dunkelmann 96]

Achja, IT würde viel mehr Spaß machen, wenn es diese "komischen USER" nicht geben würde :)

Leider erwirtschaften die User das Gehalt der IT bzw. das Honorar der Dienstleister - das Leben und die IT Sicherheit sind voller Kompromisse :)

 

Off-Topic:

... und ohne die keinen und großen Ungeschicklichkeiten mancher Anwender hätte man in der IT sehr viel weniger zu lachen

[NeMiX 76]

Daten-Klau ist das eine, ich sehe eins noch gefährlicher als Bedrohung von Firmen:

Eindringen ins Netzwerk, Zugang zu digital bereitgestellten Mixturen/Rezepte in Datenbanken

und dann das "leicht etwas Verändern" dieser Produktions-Grund-Daten für z.B. Medikamente, etc.

(jeder darf da mal über seine eigenen Produktionen nachdenken ...)

 

 

Schau dir mal die Scada Strangelove Beiträge vom 30C3 und 31C3 dazu an, dann wird einem anders, dass ist alles schon machbar.

Selber live miterlebt, das der Scada Zugang direkt am Router hang der einen normalen T-Com 6MBit DSL Anschluss besaß. Bei einem Audit ist das natürlich direkt aufgefallen, Argumentation des Servicepartners "das machen wir immer so"....

[lizenzdoc 198]

Hi,

 

"Leider erwirtschaften die User das Gehalt der IT bzw. das Honorar der Dienstleister"

 

Ich sehe es als "Zweckgemeinschaft" > Ohne User keine Einnahmen, aber ohne IT keine User-Einnahmen möglich !
Also mal das (IT-)Licht nicht unter den Scheffel stellen :)

 

@NeMiX; dann lag ich ja mit meinen Gedanken/Fantasien nahe an der realität, oder?

 

VG, Franz
... und einen angenehmen Rutsch ins Jahr 2015 !

[Pitti259 15]

Hallo allerseits,

 

wie setze ich als Sicherheitsberater das Thema USB bei Kunden um? Die USB-Anschlüsse werden per Software für Speichermedien o.ä. grundsätzlich gesperrt, bzw. nur Tastaturen und Mäuse werden erlaubt (zum Keyboard-Virus komme ich noch). Für dienstliche Zwecke wird ein ausreichende Anzahl von hardwareverschlüsselten Sticks angeschafft, welche dann jeweils auf definierten Rechnern verwendet werden können. Jeder, der einen Stick benötigt, bekommt auch einen (sind weniger als man denkt...). Ein paar Ausnahmen für dienstliche Kameras etc. gibts auch immer.

 

Das Thema mit den auf dem Parkplatz gefundenen Sticks und der Speicherung von Firmendaten auf ungesicherten Werbegeschenken etc. ist damit vom Tisch.

 

Hätte sich hierdurch der Vorfall im Kanzleramt verhindern lassen? Nein! Dann wäre Regin eben über einen hardwareverschlüsselten, für den Rechner freigeschalteten Stick reingekommen. Oder per E-Mail. Oder durch Download vom WebDav.

 

Private Geräte in die Sicherheitsstrukturen einzubinden, funktioniert aus meiner Erfahrung heraus nicht. Würdet ihr euch von eurem Arbeitgeber den Umgang mit euren privaten Geräten vorschreiben lassen?

 

Nein, es funktioniert nur so, dass Mitarbeiter dienstliche Daten nur auf dienstlichen Geräten bearbeiten dürfen. Und für die dienstliche Umgebung muss eine am Schutzbedarf der Informationen angemessene Sicherheitsstrategie gefahren werden. Desweiteren benötigen wir Sensibilisierung, Sensibilisierung und Sensibilisierung der Mitarbeiter. Und daran mangelt es am meisten.

 

Kurz zum Keyboard-Virus, entgegen der Medien-Meinung ist das Thema nicht neu! Bisher wurden meist Mäuse mit einer Zusatzhardware versehen, die sich beim Anstecken als Maus plus Tastatur anmeldet und über Tastatureingaben dann einen Trojaner im Rechner installiert, oder sonstigen Blödsinn anstellt. Es gibt inzwischen einige kleine Progrämmchen, die beim Anmelden einer Tastatur nachfragen, bevor die Tastatur akzeptiert wird. Nach der Möglichkeit eine größere Anzahl von Rechnern möglichst automatisiert zu schützen suche ich noch.

 

So, Silvester kann kommen, für das nächste Jahr sehe ich viel Arbeit für mich als Sicherheitsfuzzy,

 

Ein frohes, erfolgreiches und virenarmes 2015 wünsche ich euch allen.

  Pitti

[NorbertFe 1.799]

Warum sollte man hardwareverschlüsselte USB Sticks dafür nutzen? Da wär ja Bitlocker wahrscheinlich sicherer. Nachdem man mal gesehen hat, wie schnell sich so eine Hardwareverschlüsselung aushebeln läßt, wenn man es drauf anlegt. Und dann dafür auch noch ne Menge Kohle zahlen. ;)

[NeMiX 76]

Private Geräte in die Sicherheitsstrukturen einzubinden, funktioniert aus meiner Erfahrung heraus nicht. Würdet ihr euch von eurem Arbeitgeber den Umgang mit euren privaten Geräten vorschreiben lassen?

 

Nein, es funktioniert nur so, dass Mitarbeiter dienstliche Daten nur auf dienstlichen Geräten bearbeiten dürfen. Und für die dienstliche Umgebung muss eine am Schutzbedarf der Informationen angemessene Sicherheitsstrategie gefahren werden. Desweiteren benötigen wir Sensibilisierung, Sensibilisierung und Sensibilisierung der Mitarbeiter. Und daran mangelt es am meisten.

 

 

Ich hab schon einige sehr gute BYOD Konzepte im Einsatz erlebt und bin mir sicher das man in diesem Bereich mit vernünftigen Policies und einem ausgesuchten Userkreis viel erreichen kann.

Da fällt für mich nicht Sekretärin Ließchen Müller drunter, aber IT affine Mitarbeiter kann man durch passendes Training m.M. nach sehr gut in diesem Bereich einsetzen. Vorteil als Unternehmen ist dann die zentrale Struktur (es läuft ja meistens eh auf TerminalServer oder VDI hinaus) und das ich mich nicht um die Endgeräte kümmern muss. Die kommen per IPSec/SSL in ein abgekapseltes VLAN ohne Verkehr zu anderen Clients zu erlauben und dürfen nur auf die Zentrale Infrastruktur zugreifen, sobald Sie per VPN drin sind. Sowas hält dann auch einem PCI Audit stand, muss aber gut geplant werden und ob das dann Kosten spart wage ich zu bezweifeln.

bearbeitet 31. Dezember 2014 von NeMiX

[Pitti259 15]

Warum sollte man hardwareverschlüsselte USB Sticks dafür nutzen? Da wär ja Bitlocker wahrscheinlich sicherer. Nachdem man mal gesehen hat, wie schnell sich so eine Hardwareverschlüsselung aushebeln läßt, wenn man es drauf anlegt. Und dann dafür auch noch ne Menge Kohle zahlen. ;)

 

Wo hast Du die Informationen zum Aushebeln der Hardwareverschlüsselung her? Ein mit Harz vergossener Stick, der beim öffnen kaputt geht ist meiner Ansicht nach hinreichend sicher. Man muss nicht unbedingt die Hochsicherheits-Sticks für staatliche Verschlusssachen verwenden. Diese sind dann aber richtig sicher. Allerdings vom handling her wieder problematisch.

 

Und da ist der eigentliche Punkt. Natürlich kann ich auf jedem billigen Speichermedium meine Daten in verschlüsselter Form sicher ablegen. Dies bedeutet aber für den User, dass er sich damit auskennen muss und dies auch wirklich tun muss. Ja okay, ich kann auf den Rechnern eine entsprechende Software einrichten welche grundsätzlich alle nach außen gehenden Dateien verschlüsselt. Auch ein guter Weg, wenn die Geschäftsleitung diesen mitgeht.

 

Mit Bitlocker habe ich mich ehrlich gesagt noch nicht wirklich auseinander gesetzt. Kann ich damit verschlüsselte Daten auf einem Stick speichern und auf einem anderen, nicht der CA zugehörigem Rechner z.B. per Passwort entschlüsseln?