64. DFN-Betriebstagung - Forum Sicherheit02. März 2016Christine Kahl

Neues aus dem DFN-CERT

64. DFN-Betriebstagung, 02. März 2016 / Christine Kahl Folie 2

Agenda

Neues aus dem DFN-CERT

Internet of Things

Schwachstellen

Vorfälle

Advisories

64. DFN Betriebstagung

02.03.2016

64. DFN Betriebstagung

02.03.2016

64. DFN-Betriebstagung, 02. März 2016 / Christine Kahl Folie 3

Advisories

64. DFN-Betriebstagung, 02. März 2016 / Christine Kahl Folie 4

Aktuelle Advisory Zahlen

Gesamtzahl ADVs

2013 = 2240

2014 = 2836

2015 = 3601

2016(Jan+Feb)= 658(neu: 312, Update:346)

Anstieg:

2013 2014: 26,6%→

2014 2015: 27,0%→

2015 2016: …→2013 2014 2015 2016 (Jan+Feb)

0

500

1000

1500

2000

2500

3000

3500

4000

Neu ADVsUpdatesInsgesamt

64. DFN-Betriebstagung, 02. März 2016 / Christine Kahl Folie 5

ADVs Monatsvergleich 2014/15/16

JanuarFebruar

MärzApril

MaiJuni

JuliAugust

SeptemberOktober

NovemberDezember

0

50

100

150

200

250

300

350

400

Total 2014Total 2015Total 2016

64. DFN-Betriebstagung, 02. März 2016 / Christine Kahl Folie 6

ADVs nach Schweregrad – 2015 total

very low – 22 – weiterhin kaum relevant

very high – 94 – zu viel, verantwortlich zumeist:

- Flash Player,

- BIND,

- Cisco IOS,

- Div. Cisco Produkte,

- Windows,

- OS X ...2015

0

200

400

600

800

1000

1200

very lowlowmediumhighvery high

64. DFN-Betriebstagung, 02. März 2016 / Christine Kahl Folie 7

Kaputt → kaputter → Mac OS X?

CVE-Statistik: Anfang 2016 kursierten mehrere Artikel bzgl. der 'schlechtesten' Software (CVEDetails.com)

➢ Mac OS X➢ iOS➢ Flash Player➢ AIR SDK ...

Heißt das wirklich, dass Mac OS X mies ist?➢ Nein➢ Viele Faktoren, die zu beachten sind:

➢ Eine Auswertung für Mac (alle Versionen), viele für Windows (Windows 7, Windows 8.1, Windows Server 2012 …).

➢ Nicht für jede Schwachstelle wird eine CVE beantragt.➢ Manchmal werden mehrere Schwachstellen unter einer CVE

zusammengefasst.➢ Die Existenz einer CVE sagt nichts über die Ausnutzung.

64. DFN-Betriebstagung, 02. März 2016 / Christine Kahl Folie 8

Google Android

➢ Android meldet weit weniger Schwachstellen als iOS

➢ Aber: Android Nutzer sind trotzdem gefährdeter

➢ Seit August 2015 stellt Google monatlich Sicherheitsupdates bereit➢ Aktuell am Monatsanfang➢ Remote Codeausführung ist bisher immer möglich gewesen➢ Zügiges Handeln ist sinnvoll

➢ BlackBerry Powered by Android aktualisiert seit Dezember analog zu Google

➢ Andere?

64. DFN-Betriebstagung, 02. März 2016 / Christine Kahl Folie 9

ADVs nach Schweregrad – pro Monat

JanuarFebruar

MärzApril

MaiJuni

JuliAugust

SeptemberOktober

NovemberDezember

Jan - 2016Feb - 2016

0

20

40

60

80

100

120

140

160

180

Low (+Very Low)MediumHigh (+ Very High)

Juli-Peak: Adobe (Acrobat, Shockwave + Flash Player), Cisco, Oracle, BIND, Xen, QEMU, …

Tendenz: High nimmt zu, Low geht zurück

64. DFN-Betriebstagung, 02. März 2016 / Christine Kahl Folie 10

Schwachstellen

64. DFN-Betriebstagung, 02. März 2016 / Christine Kahl Folie 11

Schwachstellen – Zahlen 2015

JanuarFebruar

MärzApril

MaiJuni

JuliAugust

SeptemberOktober

NovemberDezember

Januar - 2016

0

100

200

300

400

500

600

700

800

900

1000

Neu erstellt Genutzt Neu erstellt und genutzt

Neu erstellt: 5952 Genutzt: 7962 Neu erstellt und genutzt: 4396

~ 74% (Unschärfe: eigene IDs)

64. DFN-Betriebstagung, 02. März 2016 / Christine Kahl Folie 12

Vergleich: ADVs und Schwachstellen

JanuarFebruar

MärzApril

MaiJuni

JuliAugust

SeptemberOktober

NovemberDezember

Januar - 2016

0

100

200

300

400

500

600

700

800

900

1000

ADVs

Genutzte Schwachstellen

Neu erstellte, genutzte Schwachstellen

Im Schnitt 2,2 CVE pro ADV. Juli und Okt. Ausreißer, da ca. 2,7 CVE pro ADV. Nur Mai und Nov. weniger neue CVEs als ADVs.

64. DFN-Betriebstagung, 02. März 2016 / Christine Kahl Folie 13

Spezielle Schwachstellen

Cisco Adaptive Security Appliance (ASA)

CVE-2016-1287

➢ Firewall kann durch Verarbeitung manipulierter UDP-Pakete komplett übernommen werden

➢ Pufferüberlauf im Quellcode des Internet Key Exchange (IKE) Protokolls Version 1 und 2, das gesicherte IPSec-Verbindung aufbaut ➢ Veröffentlicht: 10.02.16➢ Patches verfügbar➢ Ausnutzung bestätigt

64. DFN-Betriebstagung, 02. März 2016 / Christine Kahl Folie 14

Spezielle Schwachstellen

Apache Commons Collections

CVE-2015-4852 Oracle WebLogic Server→CVE-2015-5254 Apache ActiveMQ (Message →Broker)CVE-2015-6420 Cisco Produkte→CVE-2015-6934 VMware Produkte (kein ADV)→CVE-2015-7450 IBM (u.a. Connections)→CVE-2015-7501 Apache Commons →CVE-2015-8103 Jenkins→CVE-2015-8765 McAfee (ePolicy Orcherstrator)→

➢ Fehler in Java Bibliothek beim Deserialisieren von Daten ➢ Ausführen beliebigen Programmcodes

64. DFN-Betriebstagung, 02. März 2016 / Christine Kahl Folie 15

Spezielle Schwachstellen

MD5 – Totgesagte leben länger

CVE-2015-7575SLOTH – Security Losses from Obsolete and Truncated Transcript Hashes

➢ Schwachstelle in den Network Security Services (NSS) ➢ Akzeptanz von MD5 als Hash-Algorithmus für Server-

Signaturen innerhalb von TLS 1.2 ServerKeyExchange Nachrichten

➢ Seit dem Jahr 2011 offiziell verboten ➢ Nicht vollständig umgesetzt ➢ Man-in-the-Middle-Angriff, Umgehen von

Sicherheitsvorkehrungen ➢ Betroffen: SUSE, Apple, Debian, Canonical, Google, IBM,

Microsoft , Oracle …

64. DFN-Betriebstagung, 02. März 2016 / Christine Kahl Folie 16

Vorfälle

64. DFN-Betriebstagung, 02. März 2016 / Christine Kahl Folie 17

Zulieferung

April Mai Juni Juli Aug Sept Okt Nov Dez Jan - 16

0

2000

4000

6000

8000

10000

12000

14000

InsgesamtShadowserverCymru

Entwicklung der Zulieferung April 2015 bis Januar 2016 (steigt noch einmal – weitere BSI Meldungen, weitere Shadowserver-Importe)

64. DFN-Betriebstagung, 02. März 2016 / Christine Kahl Folie 18

Aktuelle Angriffe

Oktober November Dezember Jan - 160

500

1000

1500

2000

2500

3000

3500

4000XcodeGhost-Affäre

• Apple App-Store Problem

• Zahlreiche Entwickler (in China) verwendeten manipulierte Version der Xcode-Entwicklungsumgebung

• Diese integrierte Schadcode in fertige Apps, welche die Apple-Sicherheitsprüfung erfolgreich durchliefen

Ransomware

• Erpressungstrojaner, Kryptotrojaner

• Windows-Schädling Locky in aller Munde – arbeitet über das interne Netzwerk

• Wir sehen davon rel. wenig: Nymaim noch am häufigsten

Beste Strategie: Vorsorge = BACKUP!

64. DFN-Betriebstagung, 02. März 2016 / Christine Kahl Folie 19

Aktuelle Angriffe – AW-Dienst

April Mai Juni Juli August September Oktober November Dezember Jan - 16

0

1000

2000

3000

4000

5000

6000

7000

8000

9000

10000

AW-Events total

Weiterhin primär ~ 90%: Bots

64. DFN-Betriebstagung, 02. März 2016 / Christine Kahl Folie 20

Manuell bearbeitete Vorfälle

Oktober Novermber Dezember Januar

0

20

40

60

80

100

120

Total

gezielte Scans

DoS

Spam

Bei den manuellen Vorfällen derzeit mehr Supportanfragen bzgl. Scans als bzgl. DoS-Angriffen.

64. DFN-Betriebstagung, 02. März 2016 / Christine Kahl Folie 21

Internet of Things

64. DFN-Betriebstagung, 02. März 2016 / Christine Kahl Folie 22

Auch diese Technik ist angreifbarMouseJack

● Kabellose Eingabegeräte (Maus, Tastatur), die nicht über Bluetooth arbeiten, aus der Entfernung kompromittierbar

● Fehlende Prüfung, ob eine Eingabe wirklich von dem Eingabegerät stammt

Gebäudeautomation • Zentralisierte Gebäudekontrolle. Heizung, Klimatisierung,

Beleuchtung, Beschattungseinrichtungen, Schließanlagen, …• i.d.R. sehr starke Vernetzung – Sicherheitsmanagement?

IP-Kameras • Ohne Passwort entfernt steuerbar• Per Default-Einstellung wird mit Servern des Herstellers

kommuniziert• …

Sonstiges• Smartwatches, Fitnesstracker, medizinische Geräte

(Herzschrittmacher, …), Kinderspielzeug, ...

64. DFN-Betriebstagung, 02. März 2016 / Christine Kahl Folie 23

CVE-2015-8269 – Smart Toy

Vielen Dank für Ihre Aufmerksamkeit!

DFN-CERT Hotline:● cert@dfn-cert.de● 040 / 808 077-590

Weitere Informationen unter: https://www.cert.dfn.de/