Low-Tech-Attacken: Kritische Infrastruktur schlecht gesichert
Angreifer gegen Colonial Pipeline verwendeten Standardwerkzeuge für Zugriff
 |
Registrierkasse (Foto: Alpines Museum Muenchen, Fa. Anker) |
Wien (pts012/20.05.2021/09:00) Im Mai wurde der Betreiber der US-amerikanischen Colonial Pipeline Opfer einer Ransomware-Attacke. Nach solchen Meldungen werden immer Rufe nach besserer Sicherheit und neuen Maßnahmen laut. Tatsächlich bringen Analysen dieser Attacken oft Mängel in der Grundsicherheit zutage. Oft ist es gar nicht nötig, komplizierte und ausgereifte Werkzeuge bei Zielen kritischer Infrastruktur einzusetzen. Angreifende verwenden gerne Standardwerkzeuge, die überall verfügbar sind, um nicht aufzufallen. Die fehlende Grundsicherheit macht es möglich.
Angepasste Tarnung
Bei der Verteidigung der eigenen Systeme und Netzwerke ist es erforderlich, die Eigenheiten der Infrastruktur genau zu kennen. Organisierte Gruppen, die Unternehmen angreifen, recherchieren vor dem Angriff ganz genau was am Ziel eingesetzt wird. Gemäß dieser Planungsphase werden dann auch nur Werkzeuge eingesetzt, die beim Opfer plausibel sind und damit nicht auffallen. Der Ansatz funktioniert so gut, dass die Angreifenden den Ablauf in Prozesse verpackt haben und als Dienstleistung (RaaS, Ransomware as a Service) kommerziell anbieten.
Die Lehre aus diesem Verhalten ist, Wissen im Umgang und Betrieb der eigenen Systeme aufzubauen. Alle Hersteller bieten Anleitungen zum sicheren Betrieb ihrer Produkte an. Es gibt darüber hinaus Beispielkonfigurationen und Best Practices, um leichter eigene Implementationen zu entwerfen. Bei diesem Prozess muss man unbedingt die Grenzen der eingesetzten Produkte kennen, da einige Systeme und Protokolle von Haus aus Designschwächen haben.
Die Tarnung kann man nur mit dem Wissen über die eigenen Schwächen durchbrechen. Voraussetzung ist die regelmäßige und automatisierte Beobachtung des eigenen Netzwerks. Der Ruf nach neuer Technologie und Maßnahmen ist nicht nötig, wenn die eigenen Ressourcen brach liegen und nicht zum Einsatz kommen. Die Erkennung von Anomalien in Netzwerken und auf Computersystemen ist bereits seit Jahrzehnten Forschungsgegenstand der Informatik. Es gibt verfügbare Algorithmen und einsetzbare Lösungen für diese Problemstellung.
Fehlendes Wissen als Sicherheitslücke
Informationssicherheit beruht auf dem Trennen von Bereichen, der Vergabe minimaler Berechtigungen und dem Schutz von gespeicherten sowie transportierten Daten. Dieses Fundament liest sich als sehr einfach umzusetzen. In Berichten über Sicherheitsvorfälle findet man jedoch oft Lücken in der Durchführung. Die Gründe dafür sind vielfältig. Sie reichen von historisch gewachsenen Strukturen, Inkompatibilitäten von Software, falschem Einsatz von Budgets bis hin zu fehlendem Wissen über die Fähigkeiten und Schwächen der eigenen Systeme. Gerade bei der Wissenslücke kann man ansetzen, um die eigene Verteidigung nachhaltig zu verbessern. Sicherheitsforscherinnen und -forscher finden routinemäßig bei Sicherheitstests Ansatzpunkte, die ausschließlich aus Weiterbildung bestehen, um die bereits vorhandenen Produkte und Systeme besser abzusichern.
Neben dem technischen Verständnis führt die strikte Trennung zwischen Abteilungen oft zur Verschleierung von Indizien von Attacken. Die Zuständigkeit für alles Digitale wird gerne zur IT Abteilung abgeschoben. Bei Störungsmeldungen fehlt dann meist der Kontext, um ungewöhnliches Fehlverhalten von Systemen rechtzeitig zu erkennen. Technikerinnen und Techniker müssen immer komplett informiert werden, um Fehler richtig einschätzen zu können. Umgekehrt muss bei der Bedienung der IT und der Kommunikation mit der Außenwelt immer hinterfragt werden, ob Anfragen plausibel sind. Der Großteil der Angriffe erfolgt nach wie vor durch ausgetauschte Nachrichten und dem Besuch auf kompromittierten Webseiten, beides gepaart mit geschickten Täuschungsmanövern (Stichwort Social Engineering).
November im Zeichen der Weiterbildung
Die diesjährige DeepSec Konferenz möchte im November wieder dazu beitragen, die Wissenslücken im Bereich der Informationstechnologie und -sicherheit zu schließen. Dazu stehen im Programm mehrere zweitägige Trainings, die in der Tiefe gezielt sicherheitsrelevante Themen ansprechen.
Der erste Workshop beschäftigt sich mit Angriffen auf moderne Desktops, die den Schlüssel zu jedem Unternehmen darstellen. Die Trainer zeigen vor, welche Applikationen für welche Schwachstellen anfällig sind, und wie man sie ausnutzt. Das Wissen ist von fundamentaler Bedeutung für alle, die ihre Organisation verteidigen müssen. Dazu passen zwei weitere Trainings, die sich mit den Schwachstellen von Mobilfunknetzwerken und der Analyse von Netzwerkdatenverkehr beschäftigen. Beide Workshops vermitteln Basiswissen in der richtigen Verwendung von Netzwerken. Die Analyse des eigenen Netzwerkverkehrs bietet darüber hinaus die Grundlage für die Erkennung von Anomalien und kompromittierten Systemen.
Im Training "Pentesting Industrial Control Systems (ICS)" geht es um Steuer- und Kontrollsysteme, die in der Industrie eingesetzt werden. Der Trainer ist erfahrener Sicherheitsforscher. Er kennt die Schwachstellen in eingesetzten Produkten und kann sein Wissen um diese Schwächen praxisbezogen vermitteln. Dieses Training ist ganz speziell für alle empfohlen, die in Unternehmen mit ICS-Komponenten arbeiten.
Weiterhin stehen sogenannte Single Sign-On (SSO)-Systeme im Vordergrund. Die IT vieler Unternehmen erfordert oft nur ein einziges Login, um Zugriff auf alle verwendeten Systeme zu haben. In einem zweitägigen Training werden die Implementationen für diese SSO-Funktionen analysiert und gebrochen. Wissen um die vorgeführten Schwachstellen und Angriffe ist fundamental für die Absicherung und den Schutz der firmeninternen IT. Bedenken Sie dabei Folgendes: Die technische Infrastruktur der Colonial Pipeline war bei dem Angriff nicht kompromittiert. Die Angreifenden sind in die Buchhaltungssysteme eingedrungen, dadurch war die Verrechnung der Abgabemengen nicht mehr möglich. Kritische Infrastruktur beginnt am Bürodesktop.
Programme und Buchung
Die DeepSec 2021-Konferenztage sind am 18. und 19. November. Die DeepSec-Trainings finden an den zwei vorangehenden Tagen, dem 16. und 17. November statt. Alle Trainings (bis auf einige Ausnahmen) und Vorträge sind als Präsenzveranstaltung gedacht, können aber aufgrund von zukünftigen COVID-19-Maßnahmen teilweise oder komplett virtuell stattfinden.
Die DeepINTEL Security Intelligence Konferenz findet am 17. November statt. Da es sich um eine geschlossene Veranstaltung handelt, bitten wir um direkte Anfragen zum Programm. Wir stellen starke Ende-zu-Ende-Verschlüsselung bei Kommunikation zur Verfügung: https://deepsec.net/contact.html
Tickets für die DeepSec Konferenz und die Trainings können Sie jederzeit online unter dem Link https://deepsec.net/register.html bestellen. Ermäßigungscodes von Sponsoren stehen Ihnen zur Verfügung. Bei Interesse melden Sie sich bitte unter deepsec@deepsec.net. Bitte beachten Sie, dass wir wegen der Planungssicherheit auf rechtzeitige Ticketbestellungen angewiesen sind.
(Ende)| Aussender: | DeepSec GmbH |
| Ansprechpartner: | René Pfeiffer |
| Tel.: | +43 676 5626390 |
| E-Mail: | deepsec@deepsec.net |
| Website: | deepsec.net/ |
