Datenbasis
Wie kommt CERT.at zu Informationen über Sicherheitsprobleme? Hier folgt eine kurze Übersicht über die unterschiedlichen Datenquellen, die CERT.at heranzieht, um Betroffene von Sicherheitsproblemen zu informieren und sich einen Überblick über die aktuelle Cyber-Sicherheitslage in Österreich zu machen.
Eigene Erhebungen
Scanning Tools
Für die Suche nach ausgewählten verwundbaren Software-Installationen verwendet CERT.at "masscan" oder andere Scanning Tools analog zu Suchmaschinen wie shodan.io. Dieser meldet sich als
CERT.at-Statistics-Survey/1.0
(+http://www.cert.at/about/consec/content.html)
Der Suchbereich beschränkt sich hierbei üblicherwiese auf IP-Ranges mit Österreich-Bezug oder auf .AT domains.
Wie funktioniert das?
- Hole aktuelle IP ranges von Österreich (bzw. alle .AT domains)
- Mache einen initialen TCP handshake mit jeder IP dieser IP Liste auf dem jeweiligen öffentlich zugänglichen Port (siehe "Aktuelle Scans")
- Speichere, ob dieser Port offen war. Wenn ja, gibt es eventuell einen Hinweis, dass diegescannte IP Adresse infiziert ist oder verwundbar ist.
Nach folgenden Verwundbarkeiten hat CERT.at im Jahr 2018 gescannt:
SSLv2
SSLv2 ist ein 1995 veröffentlichtes Protokoll zur Verschlüsselung von z.B. Web- und E-Mail-Verkehr. Es weist gravierende Schwachstellen auf Protokoll-Ebene auf und sollte daher nicht mehr eingesetzt werden. CERT.at versucht dabei mit allen .at-Domänen eine SSLv2 Verbindung für HTTPS, IMAPS und POPS aufzubauen. Ist eine Anfrage erfolgreich, verschickt CERT.at eine Warnung an die Betroffenen.
Heartbleed
Die Heartbleed Schwachstelle war ein Fehler in der OpenSSL Bibliothek (CVE-2014-0160) der 2014 veröffentlicht und behoben wurde. Mit diesem Fehler können entfernte AngreiferInnen sensible Daten aus dem Hauptspeicher des Servers extrahieren. Darunter können z.B. Passwörter oder ssh-Schlüssel sein.
Leider sind bis heute nicht auf allen Systemen die notwendigen Updates eingespielt worden, es gibt also immer noch verwundbare Server. CERT.at scannt alle .at-Domänen nach dieser Schwachstelle und informiert die Betroffenen über das Problem.
Externe Quellen
IT Firmen
Firmen wie Microsoft, die kommerzielle Sicherheitslösungen anbieten, arbeiten mit CERT.at und anderen CERTs zusammen, indem sie Daten kostenlos zur Verfügung stellen.
Researcher
Zusätzlich existieren Stiftungen und Non-Profit-Organisationen, die Daten für die Sicherheitscommunity erheben.
Die Shadowserver Foundation ist vor allem im Bereich Analyse von Botnetzen und Malware aktiv. Dazu werden Daten aus Honeypots herangezogen – das sind Systeme, die mit dem einzigen Zweck eingerichtet werden, dass sie von Malware angegriffen und ausgebeutet werden können. Die Aktivitäten werden für die Sicherheitsforscher aufgezeichnet. Die Erkenntnisse daraus liefern wertvolle Analysedaten, um beispielsweise Botnetzen auf die Spur zu kommen und sie auszuschalten.
Spamhaus ist eine Non-Profit-Organisation, die sich auf Spamblocklists spezialisiert hat. Spamhaus arbeitet ebenfalls mit CERTs und Ermittlungsbehörden zusammen.
Suchmaschinen und Archive
Suchmaschinen wie Google oder Shodan inkludieren Hinweise über möglicherweise gehackte Websites oder Netzwerksicherheit in ihre Suchergebnisse.
Websites, die Opfer von defacements geworden sind, werden auf der Website von Zone-H archiviert.
Andere CERTs
Die Cyber-Sicherheitscommunity tauscht sich in unterschiedlichen Netzwerken und Plattformen aus. CERT.at ist unter anderem Mitglied des Trusted Introducer Netzwerkes, einer Akkreditierungs- und Zertifizierungsorganisations für CERTs, und von FIRST, einem globalen Forum für CERTs.
Durch diese Organisationen werden nicht nur gemeinsame Standards und Trainingsmöglichkeiten für die Cyber-Sicherheitscommunity erarbeitet, sondern auch Netzwerke für den Austausch von Informationen geschaffen.
Ermittlungsbehörden
Wenn Ermittlungsbehörden ein Schlag gegen die Internetkriminalität gelingt, sammeln sie oft Daten aus der Beschlagnahmung von Domains oder Servern von Botnetzen. Dabei werden die ursprünglich von den Angreifern eingesetzten Steuerserver der Botnetze (sog. "Command and Control Server") durch Sensoren (diese werden "Sinkholes" genannt) ersetzt, die für die Strafverfolgungsbehörden mitprotokollieren, von welchen IP-Adressen infizierte Geräte neue Befehle abholen wollen. Diese Geräte befinden sich meistens in mehreren Ländern und daher werden die so erfassten Daten – sofern es der rechtliche Rahmen erlaubt – oft an nationale CERTs/CSIRTs weitergeleitet, die diese dann wiederum im eigenen Land an die Betroffenen weitergeben können.
In vielen Fällen wird der "Command and Control Server" nicht über eine konstante Domain angesprochen, sondern über nur kurzfristig gültige Domains, die aus dem aktuellen Datum abgeleitet werden. Wenn eine Analyse der Malware diesen Algorithmus extrahiert, so besteht die Möglichkeit, die künftig verwendeten Domains im Voraus zu berechnen und sie rechtzeitig zu registrieren. Dort lassen sich dann Sinkholes betreiben.
Verwendet Malware einen Peer-to-Peer (P2P) Mechanismus für die Kommunikation, so können die Mitglieder des P2P-Netzes manchmal durch eine Teilnahme am P2P Protokoll bestimmt werden.
Hin und wieder gelingt es der Polizei, SicherheitsforscherInnen oder CERTs sogar Zugang zu Servern der AngreiferInnen zu erlangen. Die dort vorgefundenen Daten geben oft Aufschluss über die Vorgehensweisen und eingesetzten Tools der Kriminellen.