Neues aus dem DFN-CERT...2012/12/03  · – Windows Netzwerkstack (MS11-083, CVE-2011-2013) 56....

56. DFN-Betriebstagung - Forum Sicherheit13. März 2012Tilmann Haak

Neues aus dem DFN-CERT

56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 2

Agenda

Neues aus dem DFN-CERT

• Schwachstellen• Automatische Warnmeldungen• Aktuelle Vorfälle– DNSChanger– HP Backup and Recovery Manager– Spam und Phishing

• Im Falle eines Falles

56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 3

Schwachstellen

56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 4

Jahresübersicht Schwachstellen

• In 2011 haben wir 1982 Informationen über Schwachstellen verschickt– Darin enthalten 1610 einzeln beschriebene

Schwachstellen

• Zum Vergleich: In 2010: 1766 Informationen über Schwachstellen(d.h. 12% mehr)–Mit 1551 einzelnen Schwachstellen (+4%)

• 2012: Bisher 468 Informationen über Schwachstellen mit 319 Schwachstellen (Stand 12.3.2012)

56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 5

Aktuelle Schwachstellen

Seit Oktober 2011:● Klassiker: Schwachstellen in MS Windows,

Internet Explorer, Office, Firefox, Java, ...● HP Data Protector, z.B. CVE-2011-4791● DoS-Schwachstellen– Hash-Kollisionen in (fast) allen Sprachen–Windows Netzwerkstack (MS11-083, CVE-2011-

2013)

56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 6

• Automatische Updates sind gut.– Sie helfen aber nicht, das zugrundeliegende

Problem zu verstehen– Sie wiegen Anwender in (falscher) Sicherheit– Anwendungen ohne automatische Updates

bleiben so wie sie sind...

• Kommerzielle Software ist oft nicht in bestehende Systeme für Patch-Management integriert

• Mögliche Lösung: Software für Patch-Management einsetzen

Reichen automatische Updates nicht?

56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 7

Automatische Warnmeldungen

56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 8

Automatische Warnmeldungen

• Alle Einrichtungen nehmen teil!

• Fehlende Vertreterregelungen, Fluktuation, Reorganisation, ...

• Unsere Empfehlung: abuse@ oder security@ einrichten und an mehrere Kollegen verteilen um Erreichbarkeit und Kontinuität zu gewährleisten

56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 9

Aktuelle Vorfälle

56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 10

Aktuelle Vorfälle (1)

• Die üblichen Verdächtigen:–Malware (Conficker, ZeuS, Torpig, Mebroot,

Multibanker)– SSH-Angriffe, Telnet(!)– Kompromitierte Webserver/CMS– Spam, Port-Scans, …

• Phishing–Webmailer- / Horde-Accounts– Spam-Versand

• Rustock Take-Down vor ca. einem Jahr– Immer noch einzelne infizierte Systeme im DFN!

56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 11

Conficker

Quelle: Shadowserver Foundation (06.03.2012)

56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 12

Conficker (2)

Quelle: Shadowserver Foundation (13.10.2011)

56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 13

Conficker (3)

Quelle: Shadowserver Foundation (12.03.2012)

56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 14

DNSChanger

Quelle: DNS Changer Working Group (06.03.2012)

56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 15

Malware-Meldungen im DFN

56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 16

Im Falle eine Falles

56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 17

Sagen Sie uns bitte Bescheid

56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 18

Wenn Sie etwas selbst erledigen:

Setzen Sie uns bitte ins Cc...

56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 19

Im Falle eines Falles (1)

• Ruhig bleiben

• E-Mail an das DFN-CERT:cert@dfn-cert.de

• Hotline: 040/808 077-590

56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 20

Im Falle eines Falles (2)

Eine Vorfallsmeldung sollte mindestens die folgenden Informationen enthalten:• Betroffene, bzw. beteiligte Systeme– Quell- und Zieladressen, Protokoll, Quell- und

Zielports

• Zeitstempel mit Angabe der Zeitzone– Synchronisieren Sie Ihre Rechneruhren! (NTP)

• Idealerweise fügen Sie eine Log-Datei in einem gebräuchlichen Format bei

• Erläutern Sie bitte abweichende Formate• Was sollte das System eigentlich machen?

56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 21

Im Falle eines Falles (3)

Was soll mit Ihrer Meldung geschehen?

• Formulieren Sie Ihre Erwartung an das DFN-CERT– Nur zur Information (Cc)– Sie brauchen Beratung oder Hilfestellung?– Sie möchten, dass wir Dritte informieren?

• Was darf mit Ihren Daten geschehen?– Normalfall: Weitergabe nur an andere Betroffene–Wenn wir die Daten nicht weitergeben dürfen,

sinkt die Nützlichkeit für alle Beteiligten

Vielen Dank für Ihre Aufmerksamkeit!

DFN-CERT Hotline:● cert@dfn-cert.de● 040 / 808 077-590

Weitere Informationen unter: https://www.cert.dfn.de/