Neues aus dem DFN-CERT

68. Betriebstagung | 14.03.2018

Christine Kahl

Agenda

1. Advisories

2. Schwachstellen

3. Vorfälle

4. 2nd Generation CERT-Portal

▹Status des Umzugs

▹Abschaltung altes Portal5. EDUCV

▹Ziele

▹Mitgliedschaft

▹Weitere Planung

Advisories

Aktuel le Advisory Zahlen

▸ Gesamtzahl

▹ 2015: 3601

▹ 2016: 4050

▹ 2017: 4407

▹ 2018 (Jan + Feb): 777

▸ Anstieg

▹ 2017: 9 %

▹ Prognose für 2018: 6%

▹Bei 250 Arbeitstagen: 18 Advisories pro Tag

▸ Empfehlung

▹Nutzen Sie das neue Portal, um Ihr

Abonnement auf Ihre Bedürfnisse

zuzuschneiden

14.03.2018 68. DFN-Betriebstagung / Neues aus dem DFN-CERT 5

20132014

20152016

2017 2018 (Jan+Feb)

0

500

1000

1500

2000

2500

3000

3500

4000

4500

Neu ADVsUpdatesInsgesamt

14.03.2018 6

ADVs nach Schweregrad

68. Betriebstagung / Neues aus dem DFN-CERT

2016 2017 2018 (Jan + Feb)0

200

400

600

800

1000

1200

1400

1600

very lowlowmediumhighvery high

▸ Very High

▹ 2016: 296

▹ 2017: 389

▹ 2018 (Jan + Feb): 62

▸ Tendenz

▹Gleiches Niveau wie in

2017

▸ Advisories, die fast immer

in dieser Kategorie landen

▹Android

▹Apple

▹ Firefox

Schwachstellen

NVD neu angelegt Verteilung 2017 nach CVE Details:

(National Vulnerability Datebase):

▸ 2015: 6.487

▸ 2016: 6.447

▸ 2017: 14.646

▸ 2018 (Jan + Feb): 2.600

14.03.2018 68. Betriebstagung / Neues aus dem DFN-CERT 8

Schwachstel len

Debian

Adobe

Imagemagick

Linux

Cisco

Apple

IBM

Microsoft

Oracle

Google

0 100 200 300 400 500 600 700 800 900 1000

Veröffentlicht am 03.01.2017

▸ Fehler in der spekulativen Instruktionsausführung für Mikroprozessoren

Ausspähen von Informationen, die in weiteren Angriffen verwendet werden können

▸ Quasi jeder veröffentlicht Informationen, Mitigationen und Patches

▸ Mitte Januar wurden von den Patches (Intel Microcode) dann wieder einige

zurückgezogen, Grund: Stabilitätsprobleme

▸ Die Zahlen aus unserer Sicht (Stand 06.03.18)

▹ 3 Schwachstellen, die alle oder z.T. in 39 Meldungen enthalten sind

▹Die prominentesten drei Advisories existieren in Version 31, Version 20 und Version 17

14.03.2018 68. DFN-Betriebstagung / Neues aus dem DFN-CERT 9

Meltdown ( C V E - 2 0 1 7 - 5 7 5 4 ) & Spectre ( C V E - 2 0 1 7 - 5 7 1 5 , C V E - 2 0 1 7 - 5 7 5 3 )

Vorfälle

14.03.2018 11

AW-Meldungen – Events

68. Betriebstagung / Neues aus dem DFN-CERT

▸ Hauptkategorien

▹ Amplifier

▹ Bots

▸ Importierte Events

▹ Im betrachteten

Zeitraum:

Schwankungen

zwischen 191tsd und

465tsd Events im Monat

▸ Exportierte Events

▹Beste Aggregation 11

zu 1 (März)

▹Geringste Aggregation

1,5 zu 1 (August)Mar Apr Mai Jun Jul Aug Sept Okt Nov Dez Jan Feb

0

50000

100000

150000

200000

250000

300000

Gesamtzahl versendeter AW-Events

14.03.2018 12

AW-Meldungen – Emai ls

68. Betriebstagung / Neues aus dem DFN-CERT

▸ Grafik zeigt nur die durch

den AW-Dienst versendeten

Emails

▸ Hinzu kommen Massenmails,

die nicht in den Dienst

eingesteuert werden

▹Kompromittierte Credentials

▹Bsp. aus dem Januar: 10tsd Kombinationen aus Email-Adresse und Passwort bzw. Hash,200 Einrichtungen wurden informiert

Mar Apr Mai Jun Jul Aug Sept Okt Nov Dez Jan Feb

0

500

1000

1500

2000

2500

3000

versendete Emails

2nd Generation CERT-Portal

▸ 187 Einrichtungen in das neue Portal umgezogen

alle besitzen HP (Handlungsberechtigte Person)

▸ Letzter Umzug in der KW 13 (26. - 29.03.) geplant

dann ziehen alle restlichen Einrichtungen um & altes Portal wird abgeschaltet

▸ Offenes Schwachstellenarchiv mit eingeschränktem Informationsumfang

https://adv-archiv.dfn-cert.de/

▸ Portalversion aktuell 1.1.28

▸ Anforderungen für die nächste Version gibt es viele, Planung startet sobald alle

Anwender umgezogen sind

14.03.2018 14

Status

68. DFN-Betriebstagung / Neues aus dem DFN-CERT

14.03.2018 68. DFN-Betriebstagung / Neues aus dem DFN-CERT 15

Das myster iöse Formular

▸ Email-

Empfänger

anlegen

▹ Bestätigung

erforderlich

▹ Irgendein

Zertifikat

der DFN-PKI

notwendig

▹Kein Portal-

zugang

▸ Benutzer

anlegen

▹ Bestätigung

erforderlich

▹ Zertifikat

mit der

angegebe-

nen Email-

Adresse

notwendig

▹ Portalzu-

gang

EDUCV

▸ Austausch und Zusammenarbeit der deutschen Hochschulen bzgl. der Informationssicherheit

verbessern

▸ Schwerpunkt: technische IT-Sicherheit

▹ Analyse und Bewertung spezifischer Software an Hochschulen

▹ Entwicklung oder Bewertung technischer Standards, Richtlinien und Tools

▹ Unterstützung bei der Platzierung eines Hochschul-CERTs

▹ ...

▸ Ehrlicher Informations- und Erfahrungsaustausch

▸ Es gibt noch kein „Mission Statement“

ETA: Mai 2018

14.03.2018 68. DFN-Betriebstagung / Neues aus dem DFN-CERT 17

Ziele des EDUCV

▸ Voraussetzungen

▹ Deutsche Universität oder Hochschule

▹ Operativ arbeitendes Sicherheits‘team‘

▹ Akzeptanz eines NDA

▹ Empfehlung der Aufnahme durch zwei Mitglieder des EDUCV

▹ Bereitschaft zur aktiven Mitarbeit

▸ Aktuelle Mitglieder

▹ KIT-CERT Karlsruhe

▹ WWU-CERT Münster

▹ RUS-CERT Stuttgart

▹ Sicherheitsteam der TU Dresden

▹ DFN-CERT

14.03.2018 68. DFN-Betriebstagung / Neues aus dem DFN-CERT 18

Mitgl iedschaft im EDUCV

▸ https://www.educv.de/

▸ info@educv.de

▸ Erstes offizielles Treffen:

▹ Anfang November (aktuelle Planung: 07.11.)

▹ Hamburg

14.03.2018 68. DFN-Betriebstagung / Neues aus dem DFN-CERT 19

Interessiert? Kontakt ieren Sie uns!

Vielen Dank für Ihre Aufmerksamkeit!

Haben Sie Fragen?

▸ DFN-CERT Hotline

▹ cert@dfn-cert.de

▹ 040 / 808 077-590

▸ Weitere Informationen: https://www.cert.dfn.de/