Archiv der Kategorie: Allgemein

News und Aktuelles: IT-Blog rund um Cyber Security & IT-Sicherheit

Aktuelle News, brisante Neuerungen und Erkenntnisse aus dem Bereich IT-Sicherheit, Wissenswertes rund um Cyber Security: Darüber bloggt für Sie unser Autor Martin Graf. Mit der zunehmenden Digitalisierung und Vernetzung nehmen auch Schnelllebigkeit und Aktualisierungsbedarf stetig zu. Versäumte Updates und veraltete Software bieten Hackern und Cyberkriminellen eine willkommene Angriffsfläche. Die Folgen: Datenverschlüsselung oder -verlust, Geld- und Imageschaden. Ist Ihr Wissensstand jedoch aktuell, so ist es meist automatisch auch Ihre IT-Infrastruktur. Bleiben Sie daher informiert!

CSOC-Event der Woche KW44 – Gefährliche DNS-Requests ins TOR-Netzwerk

KW44: CSOC-Event der Woche – Gefährliche DNS-Requests ins TOR-Netzwerk

Durchschnittliche CSOC-Gesamtevents pro Tag:  27.496
Detektionshäufigkeit:      1

Eventbeschreibung: Gefährliche DNS-Requests ins TOR-Netzwerk / Kritikalität = mittelschwer (7 / 10)

Das Event dieser Woche steht in Zusammenhang mit einem aktuellen Cyber-Angriff. Erkannt wurde eine DNS-Anfrage für eine URL, die nur über das TOR-Netzwerk aufgerufen werden kann. Mithilfe des TOR-Netzwerks lässt sich bei korrekter Anwendung ein hoher Grad an Anonymisierung im Internet realisieren. Mit dem TOR-Browser wird das reguläre Surfen im Internet weiterhin ermöglicht, zusätzlich lassen sich allerdings auch Webseiten und Dienste nutzen, die von gängigen Suchmaschinen nicht indiziert werden können.

Bei der in der DNS-Anfrage erkannten URL handelte es sich um eine mit der Endung .onion versehene URL, die nicht indiziert wird und auch nicht über reguläre Internetbrowser aufgerufen werden kann. Bei den Inhalten, die über .onion-Webseiten aufgerufen werden können, kann es sich mit großer Wahrscheinlichkeit um Inhalte handeln, die dem Bereich „Dark-Net“ zuzuordnen sind. Dies ist ein Bereich im nicht-öffentlichen Internet, in dem u.a. illegale Marktplätze für Drogen-, Waffen- und Menschenhandel gefunden werden können.

Am 02.11.2018 berichtete heise.de  über einen Cyber-Angriff auf ein Bauunternehmen, in dessen Rahmen u.a. Dokumente und Baupläne von Atomkraftwerken und Gefängnissen gestohlen wurden. Der in der DNS-Anfrage erkannte Link verweist auf eine .onion-Webseite, auf welcher die gestohlenen Daten des Bauunternehmens ohne Authentifizierung eingesehen werden können.

Technische Beschreibung:

Im Rahmen der technischen Beschreibung möchten wir auf einen Artikel bezüglich der Vor- und Nachteile beim Einsatz des TOR-Browsers verweisen, denn die Nutzung des TOR-Netzwerks bedingt keiner illegalen Aktivität – im Fokus steht die Anonymisierung des Anwenders, unabhängig von dessen Motivation

CSOC-Event der Woche KW43: Verdächtige User Agents

KW43: CSOC-Event der Woche – Verdächtige User Agents

Durchschnittliche CSOC-Gesamtevents pro Tag:    24.783
Detektionshäufigkeit:      6.383

Eventbeschreibung: Verdächtige User Agents / Kritikalität = niedrig (3 / 10)

In dieser Woche berichten wir über ein Event welches auftritt, sobald ein verdächtiger User Agent detektiert wird.

User Agents werden genutzt, um Servern mitzuteilen, mithilfe welcher Anwendung der Zugriff erfolgt (Beispiele für User Agents sind Webbrowser, E-Mail-Programme, Newsreader und IRC-Clients). Diese Information ist notwendig, um entsprechende, für das abrufende Gerät angepasste Inhalte abzurufen. So wird eine Website, die mithilfe eines Mobilgeräts dargestellt wird, kompakt gehalten, um zu garantieren, dass die Inhalte anschaulich bleiben.
Um Daten im passenden Format für das jeweilige Endgerät darzustellen, haben alle Anwendungen einen User Agent, der an den entsprechenden Server übertragen wird. Bei diesem Vorgang erkennt das SOC entsprechend verdächtige User Agents, welche bekannten oder bedrohlichen Anwendungen zugeordnet werden können.

In unserem Fall handelt es sich um einen Scan mit dem Open Source Schwachstellenscanner OpenVAS, der aufgrund seines User Agents eindeutig identifiziert werden konnte.

Technische Beschreibung:

The User-Agent request header contains a characteristic string that allows the network protocol peers to identify the application type, operating system, software vendor or software version of the requesting software user agent.
https://developers.whatismybrowser.com/useragents/explore/

CSOC-Event der Woche KW42: Vorbeugung von Phishing-Attacken

KW42: CSOC-Event der Woche – CSOC Domain Monitoring zur Vorbeugung von Phishing-Attacken

Durchschnittliche CSOC-Gesamtevents pro Tag:    63.169
Detektionshäufigkeit:      4

Eventbeschreibung: Erkennung neu registrierter Domains / Kritikalität = hoch (8 / 10)

Das Event dieser Woche tritt auf, sobald das im CSOC eingesetzte Domain Monitoring die Registrierung einer neuen Domain erkennt. Es wird von einer eigens entwickelten Lösung zur Erkennung neu registrierter Domains ausgelöst.
Der Auftritt eines Unternehmens oder eines Produkts im Internet, etwa in Form einer Webseite oder einer E-Mail Adresse, die eindeutig dem eigenen Unternehmen zugeordnet werden kann, erfordert zunächst eine Domain. Die Domain bietet Internetnutzern in dem Sinne eine Gedächtnishilfe bzw. dient dem schnellen Aufrufen einer Präsenz.

Um folglich tägliche News abzurufen oder andere Aktivitäten durchzuführen muss anstatt einer IP-Adresse lediglich die Domain des bevorzugten Berichterstatters aufgerufen werden ( zum Beispiel www.csoc.de). Ein Weg, den wir ggf. heute mehrmals pro Stunde durchführen. Noch einfacher ist der Weg über Favoriten im Browser.
Angreifer können sich diesen Aspekt zu Nutze machen. Als Beispiel könnte ein Angreifer die Domains csoc.com oder cs0c.de registrieren. Der Unterschied fällt kaum auf. Im Vergleich zu der offiziellen CSOC-Domain - www.csoc.de - würden die neu erkannten, potentiell schädlichen Domains www.csoc.com und www.cs0c.de im Internetbrowser wie folgt erscheinen:

Vorschau URL CSOC Cyber Security Operations Center Köln Bonn

(Offizielle CSOC-Domain)

Vorschau falsche Domain URL CSOC Cyber Security Operations Center Köln Bonn

(Der Buchstabe „o“ in CSOC wurde durch die Zahl „0“ ersetzt)

Vorschau falsche Domain 2 URL CSOC Cyber Security Operations Center Köln Bonn

(csoc wurde unter einer anderen Top-Level-Domain registriert: .com anstelle von .de)

Domains, wie sie für Webauftritte und E-Mails verwendet werden, können generell für Phishing-Versuche missbraucht werden. Da die durch das CSOC neu erkannten Domains durch Analysten proaktiv auf schädliche Inhalte hin geprüft werden, kann das Risiko des Missbrauchs der eigenen Domäne bereits deutlich gesenkt werden. Bestenfalls sind jedoch auch die Anwender geschult zu erkennen, wie z.B. die korrekte Domain des vermeintlichen E-Mail-Absenders aussehen sollte.

CSOC-Event der Woche KW41: Angriffe auf SSL- und TLS-Verschlüsselungen

KW41: CSOC-Event der Woche – Angriffe auf SSL- und TLS-Verschlüsselungen

Durchschnittliche CSOC-Gesamtevents pro Tag:    57.857
Detektionshäufigkeit:      7.861  

Eventbeschreibung Angriffe auf SSL- und TLS-Verschlüsselungen / Kritikalität = hoch (8 / 10)

Auch das Event, das wir diese Woche vorstellen, tritt zunehmend häufiger auf. Genauer gesagt handelt es sich um eine Gruppe von Events, die rund um verschlüsseltes Browsen (HTTPS) auftreten und das zugrunde liegende SSL / TLS-Protokoll betreffen. Dass die Verbindung zu der Webseite, auf der Sie sich gerade befinden, verschlüsselt ist, erkennen Sie an dem grünen Schloss vor der Adresse der Webseite:

https sichere Website CSOC SOC Cyber Security Operations Center

Bei der Bewegung durch das Internet kann eine verschlüsselte Verbindung zu einer Webseite keine absolute Vertraulichkeit garantieren. Denn hier ist es wichtig, welche Version des SSL / TLS-Protokolls zur Verschlüsselung auf der besuchten Webseite zum Einsatz kommt.

Um teils schwerwiegende Angriffe auf die Vertraulichkeit zu vermeiden, ist daher die Verwendung des SSL-Protokolls in Version 1, 2 und 3 auf eigenen Webseiten auszuschließen. Hier sollte der Nachfolger des Protokolls – TLS – verwendet werden. Gemäß des Standards PCI DSS ist ab 30.06.2018 das TLS-Protokoll in Version 1.1, 1.2 oder 1.3 zu verwenden, obwohl streng zu einer Verwendung ab TLS 1.2 aufwärts geraten wird. Mithilfe von https://www.ssllabs.com/ssltest/index.html können Sie schnell und einfach selbst herausfinden, welche Versionen von SSL und TLS auf Ihren Webseiten zur Verfügung stehen.

Technische Darstellung

Im Rahmen der technischen Darstellung möchten wir auf Artikel hinweisen, welche mögliche Angriffsszenarien bei Verwendung des SSL-Protokolls abbilden und darüber aufklären, warum die Verwendung von TLS ab Version 1.2 empfohlen wird:

POODLE-Attacke

DROWN-Attacke

ROBOT-Attacke

FREAK-Attacke

Warum TLS >= 1.2?

Neue Ausgabe des BSI-Magazins erschienen

Neue Ausgabe des BSI-Magazins erschienen & "Die Lage der IT-Sicherheit in Deutschland 2018"

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine neue Ausgabe des BSI-Magazins veröffentlicht. Neben Vergleichszahlen hinsichtlich kursierender Schadprogramme 2018 zu 2017 finden sich darin aktuelle Informationen und Tipps rund um die Cyber Security. Einen besonderen Schwerpunkt bilden dabei die E-Mail-Sicherheit und Kryptografie.

Zusätzlich wurde die Lager der IT-Sicherheit in Deutschland für 2018 veröffentlicht. Ein Bericht, der u.a. aktuelle Gefährdungen von Wirtschaft und Gesellschaft, Angriffsmethoden und Angriffsziele vorstellt aber auch das Thema Cyber Security in Deutschland thematisiert.

Download BSI-Bericht Lage der IT-Sicherheit in Deutschland 2018

*Pflichtfeld