IT Security Newsletter: Open-Source-Mythen, Ransomware-Banden am Telefon, Schlappe für FireEye
Aktuelle Berichte, Kommentare und Daten aus der IT-Security
In dieser Ausgabe lesen Sie
Mythen über die Sicherheit von Open-Source-Software
Verweildauer von Cyber-Angreifern in Unternehmen
Wenn Ransomware-Banden zum Telefon greifen
33 Schwachstellen in verbreiteten TCP/IP-Stacks
Mit Spear-Phishing gegen Microsoft-365-Nutzer
Bessere Richtlinien zum Schwachstellenmanagement
Foxconn im Visier von Erpressern
Peinliche Schlappe für FireEye
Mythen über die Sicherheit von Open-Source-Software
Open-Source-Software gilt vielen als sicherer als Closed-Source-Software, weil andere Entwickler prinzipiell die Möglichkeit haben, den Quellcode einer Anwendung anzusehen und so Sicherheitslöcher darin aufzuspüren. Das ist gut und auch richtig so. Die Frage ist nur, ob sich wirklich immer Freiwillige finden, um diese Überprüfungen durchzuführen? Ich habe da seit vielen Jahren meine Zweifel. Nur weil etwas getan werden kann, heißt es nicht, dass es auch getan wird.
Die Microsoft-Tochter Github hat vor kurzem mehrere Berichte veröffentlicht, von denen sich einer mit Thema Sicherheit beschäftigt. Die Ergebnisse finde ich relativ erschreckend. So dauert es im Schnitt vier Jahre bis eine Sicherheitslücke in Open-Source-Software entdeckt wird. Das sind rund vier Jahre zu viel und entspricht überhaupt nicht dem Bild der grundsätzlich sichereren freien Software. Aber selbst wenn die Programmierer in ihrem eigenen Code alles richtig gemacht haben, kommt es immer wieder vor, dass sie Komponenten einbinden, die teilweise seit Jahren nicht mehr aktualisiert wurden.
Robert Lemos von Dark Reading hat ebenfalls Zweifel:
“Coding new features, improving tools, and working on new ideas are the top-3 activities that motivate open-source developers to continue coding. At the bottom of the list? Security.”
Der Security-Report von Github enthält noch weitere interessante Zahlen. So dauert es durchschnittlich knapp viereinhalb Wochen bis ein Fix bereitsteht, nachdem eine neue Schwachstelle bekannt wurde. Das dürfte erheblich schneller sein als bei proprietärer Software. Nachdem ein Update freigegeben wurde, dauert es etwa zehn Wochen, um die Nutzer darüber zu informieren. Wissen diese aber erstmal Bescheid, dann installieren sie den Patch in der Regel auch innerhalb einer Woche.
Die Zahlen sprechen in keinster Weise gegen Open-Source-Software. Nur die Annahme, dass sie per se sicherer ist, halte ich für falsch und mit dem Report widerlegt. Eher hängt es vom Einzelfall ab. Allein die Möglichkeit, einen Quellcode auf Schwachstellen zu prüfen, ist trotzdem ein großer Vorteil. Das ist unbestritten. Nur kann man sich nicht darauf verlassen, dass auch wirklich jemand den Quellcode liest und darin nach Sicherheitslücken sucht. Bei größeren Projekten mag das der Fall sein, aber bei kleineren? Wohl eher nicht.
Infografik der Woche: Verweildauer von Cyber-Angreifern
Im Schnitt verweilen Cyber-Angreifer rund 79 Tage in einem Unternehmen (das ist die sogenannte “dwell time”), bevor sie erkannt und vertrieben werden, berichtet die Sicherheitsfirma CrowdStrike im neuen „Cyber Front Lines Report“. Zwei Drittel der betroffenen Unternehmen meldeten zudem einen späteren zweiten Angriffsversuch.
„Unternehmensnetzwerke erstrecken sich jetzt sowohl auf das Büro als auch auf den privaten Bereich und bieten eine Fülle neuer Angriffsflächen und Vektoren, die von den Gegnern ausgenutzt werden können“, kommentiert Shawn Henry, Chief Security Officer und President of CrowdStrike Services.
Was sonst noch wichtig ist
Eines muss man vielen Erpressern ja lassen. Innovativ sind sie. Neuerdings sollen sie ihre Opfer sogar anrufen, um sich zu erkundigen, ob sie ihre Daten bereits aus einem Backup wiederhergestellt haben und daher nicht vorhaben, das geforderte Lösegeld zu zahlen. Nach Informationen des Sicherheitsanbieters Arete Incident Response, gibt es mittlerweile Ransomware-Gruppen, die ein externes Call Center angeheuert haben. Diese rufen die Opfer an, um sie an den Angriff zu erinnern und zur Zahlung aufzufordern. Angeblich sollen dabei Sprüche wie der folgende fallen:
"If you want to stop wasting your time and recover your data this week, we recommend that you discuss this situation with us in the chat or the problems with your network will never end."
Charmant.
Unter der Bezeichnung „Amnesia:33“ hat der amerikanische Sicherheitsanbieter Forescout Informationen über rund 33 Schwachstellen in vier TCP/IP-Stacks, die häufig in vernetzten Geräten verwendet werden, publiziert. Rund 150 Hersteller sollen die verwundbaren Protokollvarianten in ihren Produkten einsetzen. Abhilfe können nur Patches bringen, aber die gibt es längst nicht überall.
Auch das BSI hat sich eingeschaltet: „Wir haben als BSI 31 Unternehmen kontaktiert, davon 14 in Deutschland. All jene Unternehmen, die sich auf unseren Hinweis zurückmeldeten, konnten wir im CVD-Prozess unterstützen. Dennoch gibt es eine Anzahl von Unternehmen, die nicht reagiert haben. Die betreffenden Schwachstellen in den Netzwerk-Stacks, welche in unterschiedlichsten Produkten Anwendung finden können, sind teilweise kritisch. Betroffen sein können Unternehmen, darunter auch Betreiber Kritischer Infrastrukturen sowie Privatanwenderinnen und -anwender von IoT-Geräten“, so Arne Schönbohm, Präsident des BSI.
Rund 200 Millionen Nutzer von Microsoft Office 365 stehen im Fokus einer neuen Spear-Phishing-Kampagne, warnt der Sicherheitsanbieter Ironscales. Dabei versenden die Betrüger E-Mails, die angeblich von "Microsoft Outlook <no-reply@microsoft.com>" stammen. In den Nachrichten weisen sie auf mehrere in Quarantäne verschobene E-Mails hin, die der Nutzer doch bitteschön über diesen und jenen Link wiederherstellen soll. Wer darauf hereinfällt, wird aufgefordert, seine Login-Daten zu Microsoft 365 auf einer gefälschten Anmeldeseite einzugeben. Das ist natürlich nicht ratsam.
Unternehmen sind heute einer sich rapide verändernden Bedrohungslandschaft ausgesetzt. Es ist deswegen nach Ansicht von Matthew Jerzewski von Tripwire äußerst wichtig, sich um das Management der Schwachstellen im Unternehmen zu kümmern. Dazu hat er vier Punkte verfasst, die eine gute Richtlinie zum Schwachstellenmanagement abdecken sollte:
Einen Überblick darüber, was mit der Richtlinie bezweckt wird.
Festlegen des Geltungsbereichs der Richtlinie.
Angaben über Rollen und Verantwortlichkeiten innerhalb der Organisation.
Hinweise zur Beseitigung der Schwachstellen und zur Risikominderung.
Was er sich weiter darunter vorstellt, lesen Sie hier.
Der chinesische Techgigant Foxconn, der unter anderem iPhones für Apple herstellt, ist das Opfer einer Ransomware-Attacke in Mexiko geworden. Der Angriff hat bereits am 29. November dieses Jahres stattgefunden. Die Erpresser haben rund 34 Millionen US-Dollar gefordert. Es seien rund 1.200 Server verschlüsselt worden, berichten US-Medien. Außerdem seien 100 GByte Daten geklaut und 20 bis 30 Terabyte Backups gelöscht worden. Laut Medienberichten steht die DoppelPaymer-Gruppe hinter dem Angriff.
Das ist mal eine peinliche Blamage: Der Sicherheitsanbieter FireEye, der unter anderem Penetrationstests im Kundenauftrag durchführt, wurde selbst gehackt. Die Angreifer haben die von dem Unternehmen entwickelten Angriffs-Tools geklaut. FireEye hat nun mehr als 300 importierbare Regeln für Snort, Yara, CalDAV und HXIOC veröffentlicht, mit denen sich ein Einsatz der gestohlenen Werkzeuge gegen ein Unternehmen erkennen und verhindern lassen soll. Wie FireEye die Tools selbst später noch einsetzen will, ist unklar.
Nur etwa sechs Monate war Avira in den Händen eines Investors aus Bahrein. Nun wird der deutsche Sicherheitsanbieter für 360 Millionen US-Dollar an NortonLifeLock, die ausgegliederte Consumer-Sparte von Symantec, weiterverkauft. Der Investor hatte nur die Hälfte bezahlt. Kein schlechter Gewinn.
Arcserve hat neue Multi-Petabyte-Appliances der X-Serie zum Schutz sehr großer Datenmengen vor Cyber-Angriffen, IT-Katastrophen und Datenverlusten vorgestellt. Kurz die wichtigsten Eckpunkte: Kapazitäten von 1.000 bis 3.000 Terabyte, der Arbeitsspeicher liegt standardmäßig bei 1 TByte und kann auf die doppelte Menge verdoppelt werden, dazu kommen 56 CPU-Kerne.
Nach einem Ransomware-Angriff warnen die Baltimore County Public Schools (BCPS) vor dem Einsatz von Windows-Notebooks. Stattdessen empfehlen sie Chromebooks. Diese seien von der Attacke nicht beeinträchtigt worden.
Der E-Mail-Security-Spezialist Hornetsecurity hat sich einen neuen Begriff ausgedacht: Mit „Ranshameware“ bezeichnet er Ransomware, die nicht mehr nur Daten verschlüsselt, sondern die auch Daten klaut und mit ihrer Veröffentlichung droht. Ob sich der Begriff Ranshameware durchsetzt? Ich glaube nicht.
Der holländische Personaldienstleisters Randstad, der auch die Webseite Monster.com betreibt, ist das Opfer einer Ransomware-Attacke geworden. Dabei wurden wohl auch personenbezogene Daten geklaut. Hinter dem Angriff soll die Egregor-Gruppe stecken. Angeblich hat diese Vereinigung bereits ein Archiv mit über 180 Datensätzen veröffentlicht, um Druck auf Randstad auszuüben.
Kurz verlinkt
Spear-Phishing-Attacken gegen Firmen, die an der Verteilung der Covid-19-Impfstoffe beteiligt sind.
Aus „Trickbot“ wird „Trickboot“: Die schon länger gefürchtete Malware Trickbot, die oft im Zusammenhang mit Emotet auftaucht, sucht nun auch nach Schwachstellen im BIOS/UEFI.
Eine schon vor Monaten bekannt gewordene Schwachstelle in der Google Play Core Library wurde zwar mittlerweile geschlossen, viele App-Entwickler nutzen aber weiterhin anfällige Versionen der Bibliothek in ihren Produkten.
Auch die Campari Group ist das Opfer einer Ransomware-Attacke geworden.
Aufmacherbild: Pixabay von Pexels