Tooling
CERT.at und GovCERT Austria setzen eine Vielzahl von Tools ein, die zum Teil selbst entwicklelt, zum Teil als Open Source Software verfügbar, und zum Teil zugekauft sind.
Zwei der wichtigsten Tools sind IntelMQ und MISP, die hier etwas näher vorgestellt werden sollen.
IntelMQ
Gestartet wurde der Entwicklungsprozess von IntelMQ1 bei einem Treffen mehrerer CERTs im Jahr 2014. Die damals verfügbaren Softwarelösungen zur Automatisierung und Verarbeitung von Daten im IT-Securitybereich waren zumeist teuer und/oder schwer zu bedienen. Einige Entwickler des portugiesischen CERT und von CERT.at beschlossen daher, selbst ein Tool zu entwickeln, das diese Probleme adressiert, da eine manuelle Bearbeitung aufgrund der (stetig wachsenden) Datenmenge nicht machbar war.
Dementsprechend sollte IntelMQ möglichst einfach zu nutzen und zu administrieren sein sowie problemlos weiterentwickelt und angepasst werden können. Um das zu erreichen, waren und sind Kompatibilität mit und Schnittstellen zu anderen Tools sowie eine Veröffentlichung als Open Source Software unerlässlich. Der Quellcode von IntelMQ findet sich auf GitHub.
Diese Designprinzipien – Ease-of-Use und Kompatibilität – sind bis heute unverändert und maßgeblich für den Erfolg des Programms verantwortlich. Auch die Umsetzung des Ziels, große Datenmengen automatisiert zu verabeiten, erleichtert die Arbeit von CERTs/CSIRTs enorm. Bei CERT.at werden Dank IntelMQ täglich hunderte E-Mails verschickt, die BetreiberInnen von Internet-Diensten in Österreich auf Probleme in ihren Netzen hinweisen.
Viele CERTs/CSIRTs, die Alternativen genutzt hatten, sind über die Jahre auf IntelMQ umgestiegen. Mittlerweile verwenden auch viele SOCs (Security Operations Center) und andere Organisationen IntelMQ. Ausgegangen wird von einer weltweit zumindest dreistelligen Anzahl von Instanzen, genaue Daten gibt es dazu aber nicht.
Einmalige Aussendungen a.k.a. “Oneshots"
IntelMQ ermöglicht es außerdem, über ein Web-Interface sog. “Oneshots" abzuwickeln. Dabei handelt es sich um Aussendungen, die anlassbezogen bei akuten Bedrohungen möglichst schnell alle Betroffenen erreichen müssen. Ein Beispiel wäre die Veröffentlichung eines Exploit zu einer bekannten Sicherheitslücke, zu der es bereits einen Patch gibt: Sind Daten über dafür noch anfällige Geräte in Österreich z.B. über die Suchmaschine shodan.io verfügbar, können diese in ein parsebares CSV-File umgewandelt werden, das dann bequem über das Web-Interface hochgeladen werden kann. Anschließend muss nur noch ein Erklärungstext zum vorliegenden Problem inklusive Links zu Workarounds/Updates verfasst werden und IntelMQ verschickt automatisch Mails an alle Betroffenen. Dies ermöglicht CERT.at nicht nur, schnell auf aktuelle, aber einmalige Umstände zu reagieren, sondern eignet sich auch, um neue Feeds auszutesten, um deren Qualität und/oder Nützlichkeit anhand des Feedbacks der Betroffenen zu evaluieren.
2019 wurde diese Funktion mehrmals genutzt, unter anderem in folgenden Fällen:
-
Im Februar informierten wir BesitzerInnen von Web-Interfaces zu Kläranlagen, die ohne Authentifikation offen aus dem Internet zugänglich waren, über diesen Umstand.
-
Im April warnten wir NetzwerkbetreiberInnen, die RDP-Server betrieben, die anfällig für die damals veröffentlichte BlueKeep Schwachstelle waren. Außerdem schickten wir im April Betroffenen von CVE-2019-0604, einer kritischen Schwachstelle von SharePoint, Informationen zu ebendieser, nachdem sich herausgestellt hatte, dass sie von Kriminellen aktiv ausgenutzt wird.
-
Im August und September erhielten BetreiberInnen von Pulse Connect Secure und FortiOS Warnungen, wenn sie die Updates die vor CVE-2019-11510 für Pulse Connect Secure bzw. CVE-2018-13379 und CVE-2018-13382 für FortiOS, schützen, noch nicht eingespielt hatten.
MISP
MISP2 ist eine Open Source Plattform, auf der Indicators of Compromise (IoCs), Threat Intelligence und andere für die IT-Sicherheit relevante Informationen geteilt, gespeichert und analysiert werden können.
CERT.at und GovCERT Austria betreiben gemeinsam eine MISP-Instanz zu der TeilnehmerInnen aus der Forschung, staatlichen Institutionen und der Wirtschaft Zugriff haben und Informationen abrufen sowie hochladen können.3
Mit wem die Inhalte geteilt werden, wird beim Upload festgelegt – MISP bietet hier eine Vielzahl an Optionen, die von der eigens angelegten Gruppen, zur eigenen Organisation oder sogar anderen MISP-Instanzen alles abdecken.
Das soeben erwähnte Teilen über Instanzen hinweg, ist eines der Features von MISP. Es bietet der CERT/CSIRT Community eine einfache Möglichkeit, Inhalte zu Vorfällen länderübergreifend verfügbar zu machen und je nach Bedarf auf sehr kleine Gruppen zu beschränken, oder anderen Beteiligten (Forschung, Behörden, Wirtschaft, etc.) zugänglich zu machen.
Das MISP-Projekt hat eine eigene Webseite, der Code wird in einem GitHub Repository zur Verfügung gestellt.
-
Zusammengesetzt aus “Threat INTELligence" und “Message Queueing".↩
-
Das Kürzel stand ursprünglich für “Malware Information Sharing Platform". Da die Software aber heute wesentlich mehr kann als nur Informationen über Schadsoftware zu teilen, gibt es keine offizielle Langform mehr.↩
-
Anfragen für einen Zugang bitte an team@cert.at.↩