Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
64. DFN-Betriebstagung - Forum Sicherheit02. März 2016Christine Kahl
Neues aus dem DFN-CERT
64. DFN-Betriebstagung, 02. März 2016 / Christine Kahl Folie 2
Agenda
Neues aus dem DFN-CERT
Internet of Things
Schwachstellen
Vorfälle
Advisories
64. DFN Betriebstagung
02.03.2016
64. DFN Betriebstagung
02.03.2016
64. DFN-Betriebstagung, 02. März 2016 / Christine Kahl Folie 3
Advisories
64. DFN-Betriebstagung, 02. März 2016 / Christine Kahl Folie 4
Aktuelle Advisory Zahlen
Gesamtzahl ADVs
2013 = 2240
2014 = 2836
2015 = 3601
2016(Jan+Feb)= 658(neu: 312, Update:346)
Anstieg:
2013 2014: 26,6%→
2014 2015: 27,0%→
2015 2016: …→2013 2014 2015 2016 (Jan+Feb)
0
500
1000
1500
2000
2500
3000
3500
4000
Neu ADVsUpdatesInsgesamt
64. DFN-Betriebstagung, 02. März 2016 / Christine Kahl Folie 5
ADVs Monatsvergleich 2014/15/16
JanuarFebruar
MärzApril
MaiJuni
JuliAugust
SeptemberOktober
NovemberDezember
0
50
100
150
200
250
300
350
400
Total 2014Total 2015Total 2016
64. DFN-Betriebstagung, 02. März 2016 / Christine Kahl Folie 6
ADVs nach Schweregrad – 2015 total
very low – 22 – weiterhin kaum relevant
very high – 94 – zu viel, verantwortlich zumeist:
- Flash Player,
- BIND,
- Cisco IOS,
- Div. Cisco Produkte,
- Windows,
- OS X ...2015
0
200
400
600
800
1000
1200
very lowlowmediumhighvery high
64. DFN-Betriebstagung, 02. März 2016 / Christine Kahl Folie 7
Kaputt → kaputter → Mac OS X?
CVE-Statistik: Anfang 2016 kursierten mehrere Artikel bzgl. der 'schlechtesten' Software (CVEDetails.com)
➢ Mac OS X➢ iOS➢ Flash Player➢ AIR SDK ...
Heißt das wirklich, dass Mac OS X mies ist?➢ Nein➢ Viele Faktoren, die zu beachten sind:
➢ Eine Auswertung für Mac (alle Versionen), viele für Windows (Windows 7, Windows 8.1, Windows Server 2012 …).
➢ Nicht für jede Schwachstelle wird eine CVE beantragt.➢ Manchmal werden mehrere Schwachstellen unter einer CVE
zusammengefasst.➢ Die Existenz einer CVE sagt nichts über die Ausnutzung.
64. DFN-Betriebstagung, 02. März 2016 / Christine Kahl Folie 8
Google Android
➢ Android meldet weit weniger Schwachstellen als iOS
➢ Aber: Android Nutzer sind trotzdem gefährdeter
➢ Seit August 2015 stellt Google monatlich Sicherheitsupdates bereit➢ Aktuell am Monatsanfang➢ Remote Codeausführung ist bisher immer möglich gewesen➢ Zügiges Handeln ist sinnvoll
➢ BlackBerry Powered by Android aktualisiert seit Dezember analog zu Google
➢ Andere?
64. DFN-Betriebstagung, 02. März 2016 / Christine Kahl Folie 9
ADVs nach Schweregrad – pro Monat
JanuarFebruar
MärzApril
MaiJuni
JuliAugust
SeptemberOktober
NovemberDezember
Jan - 2016Feb - 2016
0
20
40
60
80
100
120
140
160
180
Low (+Very Low)MediumHigh (+ Very High)
Juli-Peak: Adobe (Acrobat, Shockwave + Flash Player), Cisco, Oracle, BIND, Xen, QEMU, …
Tendenz: High nimmt zu, Low geht zurück
64. DFN-Betriebstagung, 02. März 2016 / Christine Kahl Folie 10
Schwachstellen
64. DFN-Betriebstagung, 02. März 2016 / Christine Kahl Folie 11
Schwachstellen – Zahlen 2015
JanuarFebruar
MärzApril
MaiJuni
JuliAugust
SeptemberOktober
NovemberDezember
Januar - 2016
0
100
200
300
400
500
600
700
800
900
1000
Neu erstellt Genutzt Neu erstellt und genutzt
Neu erstellt: 5952 Genutzt: 7962 Neu erstellt und genutzt: 4396
~ 74% (Unschärfe: eigene IDs)
64. DFN-Betriebstagung, 02. März 2016 / Christine Kahl Folie 12
Vergleich: ADVs und Schwachstellen
JanuarFebruar
MärzApril
MaiJuni
JuliAugust
SeptemberOktober
NovemberDezember
Januar - 2016
0
100
200
300
400
500
600
700
800
900
1000
ADVs
Genutzte Schwachstellen
Neu erstellte, genutzte Schwachstellen
Im Schnitt 2,2 CVE pro ADV. Juli und Okt. Ausreißer, da ca. 2,7 CVE pro ADV. Nur Mai und Nov. weniger neue CVEs als ADVs.
64. DFN-Betriebstagung, 02. März 2016 / Christine Kahl Folie 13
Spezielle Schwachstellen
Cisco Adaptive Security Appliance (ASA)
CVE-2016-1287
➢ Firewall kann durch Verarbeitung manipulierter UDP-Pakete komplett übernommen werden
➢ Pufferüberlauf im Quellcode des Internet Key Exchange (IKE) Protokolls Version 1 und 2, das gesicherte IPSec-Verbindung aufbaut ➢ Veröffentlicht: 10.02.16➢ Patches verfügbar➢ Ausnutzung bestätigt
64. DFN-Betriebstagung, 02. März 2016 / Christine Kahl Folie 14
Spezielle Schwachstellen
Apache Commons Collections
CVE-2015-4852 Oracle WebLogic Server→CVE-2015-5254 Apache ActiveMQ (Message →Broker)CVE-2015-6420 Cisco Produkte→CVE-2015-6934 VMware Produkte (kein ADV)→CVE-2015-7450 IBM (u.a. Connections)→CVE-2015-7501 Apache Commons →CVE-2015-8103 Jenkins→CVE-2015-8765 McAfee (ePolicy Orcherstrator)→
➢ Fehler in Java Bibliothek beim Deserialisieren von Daten ➢ Ausführen beliebigen Programmcodes
64. DFN-Betriebstagung, 02. März 2016 / Christine Kahl Folie 15
Spezielle Schwachstellen
MD5 – Totgesagte leben länger
CVE-2015-7575SLOTH – Security Losses from Obsolete and Truncated Transcript Hashes
➢ Schwachstelle in den Network Security Services (NSS) ➢ Akzeptanz von MD5 als Hash-Algorithmus für Server-
Signaturen innerhalb von TLS 1.2 ServerKeyExchange Nachrichten
➢ Seit dem Jahr 2011 offiziell verboten ➢ Nicht vollständig umgesetzt ➢ Man-in-the-Middle-Angriff, Umgehen von
Sicherheitsvorkehrungen ➢ Betroffen: SUSE, Apple, Debian, Canonical, Google, IBM,
Microsoft , Oracle …
64. DFN-Betriebstagung, 02. März 2016 / Christine Kahl Folie 16
Vorfälle
64. DFN-Betriebstagung, 02. März 2016 / Christine Kahl Folie 17
Zulieferung
April Mai Juni Juli Aug Sept Okt Nov Dez Jan - 16
0
2000
4000
6000
8000
10000
12000
14000
InsgesamtShadowserverCymru
Entwicklung der Zulieferung April 2015 bis Januar 2016 (steigt noch einmal – weitere BSI Meldungen, weitere Shadowserver-Importe)
64. DFN-Betriebstagung, 02. März 2016 / Christine Kahl Folie 18
Aktuelle Angriffe
Oktober November Dezember Jan - 160
500
1000
1500
2000
2500
3000
3500
4000XcodeGhost-Affäre
• Apple App-Store Problem
• Zahlreiche Entwickler (in China) verwendeten manipulierte Version der Xcode-Entwicklungsumgebung
• Diese integrierte Schadcode in fertige Apps, welche die Apple-Sicherheitsprüfung erfolgreich durchliefen
Ransomware
• Erpressungstrojaner, Kryptotrojaner
• Windows-Schädling Locky in aller Munde – arbeitet über das interne Netzwerk
• Wir sehen davon rel. wenig: Nymaim noch am häufigsten
Beste Strategie: Vorsorge = BACKUP!
64. DFN-Betriebstagung, 02. März 2016 / Christine Kahl Folie 19
Aktuelle Angriffe – AW-Dienst
April Mai Juni Juli August September Oktober November Dezember Jan - 16
0
1000
2000
3000
4000
5000
6000
7000
8000
9000
10000
AW-Events total
Weiterhin primär ~ 90%: Bots
64. DFN-Betriebstagung, 02. März 2016 / Christine Kahl Folie 20
Manuell bearbeitete Vorfälle
Oktober Novermber Dezember Januar
0
20
40
60
80
100
120
Total
gezielte Scans
DoS
Spam
Bei den manuellen Vorfällen derzeit mehr Supportanfragen bzgl. Scans als bzgl. DoS-Angriffen.
64. DFN-Betriebstagung, 02. März 2016 / Christine Kahl Folie 21
Internet of Things
64. DFN-Betriebstagung, 02. März 2016 / Christine Kahl Folie 22
Auch diese Technik ist angreifbarMouseJack
● Kabellose Eingabegeräte (Maus, Tastatur), die nicht über Bluetooth arbeiten, aus der Entfernung kompromittierbar
● Fehlende Prüfung, ob eine Eingabe wirklich von dem Eingabegerät stammt
Gebäudeautomation • Zentralisierte Gebäudekontrolle. Heizung, Klimatisierung,
Beleuchtung, Beschattungseinrichtungen, Schließanlagen, …• i.d.R. sehr starke Vernetzung – Sicherheitsmanagement?
IP-Kameras • Ohne Passwort entfernt steuerbar• Per Default-Einstellung wird mit Servern des Herstellers
kommuniziert• …
Sonstiges• Smartwatches, Fitnesstracker, medizinische Geräte
(Herzschrittmacher, …), Kinderspielzeug, ...
64. DFN-Betriebstagung, 02. März 2016 / Christine Kahl Folie 23
CVE-2015-8269 – Smart Toy
Vielen Dank für Ihre Aufmerksamkeit!
DFN-CERT Hotline:● [email protected]● 040 / 808 077-590
Weitere Informationen unter: https://www.cert.dfn.de/