Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
56. DFN-Betriebstagung - Forum Sicherheit13. März 2012Tilmann Haak
Neues aus dem DFN-CERT
56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 2
Agenda
Neues aus dem DFN-CERT
• Schwachstellen• Automatische Warnmeldungen• Aktuelle Vorfälle– DNSChanger– HP Backup and Recovery Manager– Spam und Phishing
• Im Falle eines Falles
56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 3
Schwachstellen
56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 4
Jahresübersicht Schwachstellen
• In 2011 haben wir 1982 Informationen über Schwachstellen verschickt– Darin enthalten 1610 einzeln beschriebene
Schwachstellen
• Zum Vergleich: In 2010: 1766 Informationen über Schwachstellen(d.h. 12% mehr)–Mit 1551 einzelnen Schwachstellen (+4%)
• 2012: Bisher 468 Informationen über Schwachstellen mit 319 Schwachstellen (Stand 12.3.2012)
56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 5
Aktuelle Schwachstellen
Seit Oktober 2011:● Klassiker: Schwachstellen in MS Windows,
Internet Explorer, Office, Firefox, Java, ...● HP Data Protector, z.B. CVE-2011-4791● DoS-Schwachstellen– Hash-Kollisionen in (fast) allen Sprachen–Windows Netzwerkstack (MS11-083, CVE-2011-
2013)
56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 6
• Automatische Updates sind gut.– Sie helfen aber nicht, das zugrundeliegende
Problem zu verstehen– Sie wiegen Anwender in (falscher) Sicherheit– Anwendungen ohne automatische Updates
bleiben so wie sie sind...
• Kommerzielle Software ist oft nicht in bestehende Systeme für Patch-Management integriert
• Mögliche Lösung: Software für Patch-Management einsetzen
Reichen automatische Updates nicht?
56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 7
Automatische Warnmeldungen
56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 8
Automatische Warnmeldungen
• Alle Einrichtungen nehmen teil!
• Fehlende Vertreterregelungen, Fluktuation, Reorganisation, ...
• Unsere Empfehlung: abuse@ oder security@ einrichten und an mehrere Kollegen verteilen um Erreichbarkeit und Kontinuität zu gewährleisten
56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 9
Aktuelle Vorfälle
56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 10
Aktuelle Vorfälle (1)
• Die üblichen Verdächtigen:–Malware (Conficker, ZeuS, Torpig, Mebroot,
Multibanker)– SSH-Angriffe, Telnet(!)– Kompromitierte Webserver/CMS– Spam, Port-Scans, …
• Phishing–Webmailer- / Horde-Accounts– Spam-Versand
• Rustock Take-Down vor ca. einem Jahr– Immer noch einzelne infizierte Systeme im DFN!
56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 11
Conficker
Quelle: Shadowserver Foundation (06.03.2012)
56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 12
Conficker (2)
Quelle: Shadowserver Foundation (13.10.2011)
56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 13
Conficker (3)
Quelle: Shadowserver Foundation (12.03.2012)
56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 14
DNSChanger
Quelle: DNS Changer Working Group (06.03.2012)
56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 15
Malware-Meldungen im DFN
56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 16
Im Falle eine Falles
56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 17
Sagen Sie uns bitte Bescheid
56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 18
Wenn Sie etwas selbst erledigen:
Setzen Sie uns bitte ins Cc...
56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 19
Im Falle eines Falles (1)
• Ruhig bleiben
• E-Mail an das DFN-CERT:[email protected]
• Hotline: 040/808 077-590
56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 20
Im Falle eines Falles (2)
Eine Vorfallsmeldung sollte mindestens die folgenden Informationen enthalten:• Betroffene, bzw. beteiligte Systeme– Quell- und Zieladressen, Protokoll, Quell- und
Zielports
• Zeitstempel mit Angabe der Zeitzone– Synchronisieren Sie Ihre Rechneruhren! (NTP)
• Idealerweise fügen Sie eine Log-Datei in einem gebräuchlichen Format bei
• Erläutern Sie bitte abweichende Formate• Was sollte das System eigentlich machen?
56. DFN-Betriebstagung, 13. März 2012 / Tilmann Haak Folie 21
Im Falle eines Falles (3)
Was soll mit Ihrer Meldung geschehen?
• Formulieren Sie Ihre Erwartung an das DFN-CERT– Nur zur Information (Cc)– Sie brauchen Beratung oder Hilfestellung?– Sie möchten, dass wir Dritte informieren?
• Was darf mit Ihren Daten geschehen?– Normalfall: Weitergabe nur an andere Betroffene–Wenn wir die Daten nicht weitergeben dürfen,
sinkt die Nützlichkeit für alle Beteiligten
Vielen Dank für Ihre Aufmerksamkeit!
DFN-CERT Hotline:● [email protected]● 040 / 808 077-590
Weitere Informationen unter: https://www.cert.dfn.de/