22
56. DFN-Betriebstagung - Forum Sicherheit 13. März 2012 Tilmann Haak Neues aus dem DFN-CERT

Neues aus dem DFN-CERT...2012/12/03  · – Windows Netzwerkstack (MS11-083, CVE-2011-2013) 56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 6 • Automatische Updates

  • Upload
    others

  • View
    1

  • Download
    0

Embed Size (px)

Citation preview

Page 1: Neues aus dem DFN-CERT...2012/12/03  · – Windows Netzwerkstack (MS11-083, CVE-2011-2013) 56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 6 • Automatische Updates

56. DFN-Betriebstagung - Forum Sicherheit13. März 2012Tilmann Haak

Neues aus dem DFN-CERT

Page 2: Neues aus dem DFN-CERT...2012/12/03  · – Windows Netzwerkstack (MS11-083, CVE-2011-2013) 56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 6 • Automatische Updates

56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 2

Agenda

Neues aus dem DFN-CERT

• Schwachstellen• Automatische Warnmeldungen• Aktuelle Vorfälle– DNSChanger– HP Backup and Recovery Manager– Spam und Phishing

• Im Falle eines Falles

Page 3: Neues aus dem DFN-CERT...2012/12/03  · – Windows Netzwerkstack (MS11-083, CVE-2011-2013) 56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 6 • Automatische Updates

56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 3

Schwachstellen

Page 4: Neues aus dem DFN-CERT...2012/12/03  · – Windows Netzwerkstack (MS11-083, CVE-2011-2013) 56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 6 • Automatische Updates

56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 4

Jahresübersicht Schwachstellen

• In 2011 haben wir 1982 Informationen über Schwachstellen verschickt– Darin enthalten 1610 einzeln beschriebene

Schwachstellen

• Zum Vergleich: In 2010: 1766 Informationen über Schwachstellen(d.h. 12% mehr)–Mit 1551 einzelnen Schwachstellen (+4%)

• 2012: Bisher 468 Informationen über Schwachstellen mit 319 Schwachstellen (Stand 12.3.2012)

Page 5: Neues aus dem DFN-CERT...2012/12/03  · – Windows Netzwerkstack (MS11-083, CVE-2011-2013) 56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 6 • Automatische Updates

56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 5

Aktuelle Schwachstellen

Seit Oktober 2011:● Klassiker: Schwachstellen in MS Windows,

Internet Explorer, Office, Firefox, Java, ...● HP Data Protector, z.B. CVE-2011-4791● DoS-Schwachstellen– Hash-Kollisionen in (fast) allen Sprachen–Windows Netzwerkstack (MS11-083, CVE-2011-

2013)

Page 6: Neues aus dem DFN-CERT...2012/12/03  · – Windows Netzwerkstack (MS11-083, CVE-2011-2013) 56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 6 • Automatische Updates

56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 6

• Automatische Updates sind gut.– Sie helfen aber nicht, das zugrundeliegende

Problem zu verstehen– Sie wiegen Anwender in (falscher) Sicherheit– Anwendungen ohne automatische Updates

bleiben so wie sie sind...

• Kommerzielle Software ist oft nicht in bestehende Systeme für Patch-Management integriert

• Mögliche Lösung: Software für Patch-Management einsetzen

Reichen automatische Updates nicht?

Page 7: Neues aus dem DFN-CERT...2012/12/03  · – Windows Netzwerkstack (MS11-083, CVE-2011-2013) 56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 6 • Automatische Updates

56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 7

Automatische Warnmeldungen

Page 8: Neues aus dem DFN-CERT...2012/12/03  · – Windows Netzwerkstack (MS11-083, CVE-2011-2013) 56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 6 • Automatische Updates

56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 8

Automatische Warnmeldungen

• Alle Einrichtungen nehmen teil!

• Fehlende Vertreterregelungen, Fluktuation, Reorganisation, ...

• Unsere Empfehlung: abuse@ oder security@ einrichten und an mehrere Kollegen verteilen um Erreichbarkeit und Kontinuität zu gewährleisten

Page 9: Neues aus dem DFN-CERT...2012/12/03  · – Windows Netzwerkstack (MS11-083, CVE-2011-2013) 56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 6 • Automatische Updates

56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 9

Aktuelle Vorfälle

Page 10: Neues aus dem DFN-CERT...2012/12/03  · – Windows Netzwerkstack (MS11-083, CVE-2011-2013) 56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 6 • Automatische Updates

56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 10

Aktuelle Vorfälle (1)

• Die üblichen Verdächtigen:–Malware (Conficker, ZeuS, Torpig, Mebroot,

Multibanker)– SSH-Angriffe, Telnet(!)– Kompromitierte Webserver/CMS– Spam, Port-Scans, …

• Phishing–Webmailer- / Horde-Accounts– Spam-Versand

• Rustock Take-Down vor ca. einem Jahr– Immer noch einzelne infizierte Systeme im DFN!

Page 11: Neues aus dem DFN-CERT...2012/12/03  · – Windows Netzwerkstack (MS11-083, CVE-2011-2013) 56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 6 • Automatische Updates

56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 11

Conficker

Quelle: Shadowserver Foundation (06.03.2012)

Page 12: Neues aus dem DFN-CERT...2012/12/03  · – Windows Netzwerkstack (MS11-083, CVE-2011-2013) 56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 6 • Automatische Updates

56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 12

Conficker (2)

Quelle: Shadowserver Foundation (13.10.2011)

Page 13: Neues aus dem DFN-CERT...2012/12/03  · – Windows Netzwerkstack (MS11-083, CVE-2011-2013) 56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 6 • Automatische Updates

56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 13

Conficker (3)

Quelle: Shadowserver Foundation (12.03.2012)

Page 14: Neues aus dem DFN-CERT...2012/12/03  · – Windows Netzwerkstack (MS11-083, CVE-2011-2013) 56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 6 • Automatische Updates

56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 14

DNSChanger

Quelle: DNS Changer Working Group (06.03.2012)

Page 15: Neues aus dem DFN-CERT...2012/12/03  · – Windows Netzwerkstack (MS11-083, CVE-2011-2013) 56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 6 • Automatische Updates

56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 15

Malware-Meldungen im DFN

Page 16: Neues aus dem DFN-CERT...2012/12/03  · – Windows Netzwerkstack (MS11-083, CVE-2011-2013) 56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 6 • Automatische Updates

56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 16

Im Falle eine Falles

Page 17: Neues aus dem DFN-CERT...2012/12/03  · – Windows Netzwerkstack (MS11-083, CVE-2011-2013) 56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 6 • Automatische Updates

56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 17

Sagen Sie uns bitte Bescheid

Page 18: Neues aus dem DFN-CERT...2012/12/03  · – Windows Netzwerkstack (MS11-083, CVE-2011-2013) 56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 6 • Automatische Updates

56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 18

Wenn Sie etwas selbst erledigen:

Setzen Sie uns bitte ins Cc...

Page 19: Neues aus dem DFN-CERT...2012/12/03  · – Windows Netzwerkstack (MS11-083, CVE-2011-2013) 56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 6 • Automatische Updates

56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 19

Im Falle eines Falles (1)

• Ruhig bleiben

• E-Mail an das DFN-CERT:[email protected]

• Hotline: 040/808 077-590

Page 20: Neues aus dem DFN-CERT...2012/12/03  · – Windows Netzwerkstack (MS11-083, CVE-2011-2013) 56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 6 • Automatische Updates

56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 20

Im Falle eines Falles (2)

Eine Vorfallsmeldung sollte mindestens die folgenden Informationen enthalten:• Betroffene, bzw. beteiligte Systeme– Quell- und Zieladressen, Protokoll, Quell- und

Zielports

• Zeitstempel mit Angabe der Zeitzone– Synchronisieren Sie Ihre Rechneruhren! (NTP)

• Idealerweise fügen Sie eine Log-Datei in einem gebräuchlichen Format bei

• Erläutern Sie bitte abweichende Formate• Was sollte das System eigentlich machen?

Page 21: Neues aus dem DFN-CERT...2012/12/03  · – Windows Netzwerkstack (MS11-083, CVE-2011-2013) 56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 6 • Automatische Updates

56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 21

Im Falle eines Falles (3)

Was soll mit Ihrer Meldung geschehen?

• Formulieren Sie Ihre Erwartung an das DFN-CERT– Nur zur Information (Cc)– Sie brauchen Beratung oder Hilfestellung?– Sie möchten, dass wir Dritte informieren?

• Was darf mit Ihren Daten geschehen?– Normalfall: Weitergabe nur an andere Betroffene–Wenn wir die Daten nicht weitergeben dürfen,

sinkt die Nützlichkeit für alle Beteiligten

Page 22: Neues aus dem DFN-CERT...2012/12/03  · – Windows Netzwerkstack (MS11-083, CVE-2011-2013) 56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 6 • Automatische Updates

Vielen Dank für Ihre Aufmerksamkeit!

DFN-CERT Hotline:● [email protected]● 040 / 808 077-590

Weitere Informationen unter: https://www.cert.dfn.de/