Datenbasis

Informationen über Probleme in der IT-Sicherheit sind die Grundvoraussetzung für die Arbeit von CERT.at und GovCERT Austria. Sie sind nicht nur notwenig, um einen Überblick zur Lage in Österreich und den staatlichen Institutionen zu haben, sondern dienen dem noch wichtigeren Zweck, Betroffene schnell über Probleme zu informieren, damit diese behoben werden können.

Die Daten werden einerseits von CERT.at bzw. GovCERT Austria direkt erhoben und stammen andererseits von diversen externen Quellen.

Eigene Erhebungen

Scanning Tools

Für die Suche nach ausgewählten verwundbaren Software-Installationen verwendet CERT.at masscan oder andere, z.T. selbst geschriebene Scanning Tools bzw. Suchmaschinen wie shodan.io.

Die selbst geschriebenen Webscanner melden sich als

CERT.at-Statistics-Survey/1.0 (+http://www.cert.at/about/consec/content.html)

Die Liste der aktuellen Scans findet sich eben auf der darin verlinkten Webseite.

Der Suchbereich beschränkt sich hierbei üblicherwiese auf IP-Ranges mit Bezug zu Österreich oder auf .at-Domänen.

Der Ablauf eines Scans

stellt sich gewöhnlich folgendermaßen dar:

  1. Aktuelle IP-Ranges/.at-Domänen holen

  2. Versuch eines initialen TCP Handshakes mit jedem so identifizierten Server auf dem/den Port(s) für den jeweiligen Scan.

  3. Abspeichern, welche Handshakes erfolgreich waren, da dies auf eine mögliche Schwachstelle bzw. Infektion hinweist.

  4. Verifikation der Schwachstelle,1 sofern es unbedenkliche Möglichkeiten dazu gibt. “Unbedenklich" meint beispielsweise, wenn ein einfacher HEAD-Request auf eine URL und der HTTP Response-Code ausreichen, um die Anfälligkeit zu bestätigen/negieren.

2020 führte CERT.at folgende Scans regelmäßig durch:

SSLv2

ist ein 1995 veröffentlichtes Protokoll zur Verschlüsselung von z.B. Web- und E-Mail-Verkehr. Es weist gravierende Schwachstellen auf Protokoll-Ebene auf und sollte daher nicht mehr eingesetzt werden. CERT.at versucht dabei mit allen .at-Domänen eine SSLv2 Verbindung für HTTPS und SMTP mit STARTTLS aufzubauen. Ist eine Anfrage erfolgreich, verschickt CERT.at eine Warnung an die Betroffenen.

Heartbleed

war ein Fehler in der OpenSSL Bibliothek (CVE-2014-0160), der 2014 veröffentlicht und behoben wurde. Mit diesem Fehler können entfernte AngreiferInnen sensible Daten aus dem Hauptspeicher des Servers (z.B. Passwörter oder Session-Cookies) extrahieren. Leider sind bis heute nicht auf allen Systemen die notwendigen Updates eingespielt worden, es gibt also immer noch verwundbare Server.

In FortiOS,

einem Produkt von Fortinet, wurden 2019 zwei gravierende Sicherheitslücken gefunden. Eine davon ermöglichte das Auslesen von Systemfiles (CVE-2018-13379), die andere das Verändern von Passwörtern (CVE-2018-13382). Beide Schwachstellen können über das Netzwerk und ohne jede Authentifikation ausgenutzt werden. Updates dazu wurden zwar rasch zur Verfügung gestellt, allerdings nicht immer eingespielt.

Dazu kamen einige einmalige bzw. unregelmäßige Scans. Diese sind auf der oben verlinkten Webseite genauer beschrieben. Hervorzuheben ist der Scan nach Microsoft Exchange Servern, die für CVE-2020-0688 anfällig sind, eine Lücke die es ermöglicht, beliebige Befehle mit Administrationsrechten über das Netzwerk auszuführen. Die einzige Voraussetzung dafür sind gültige Zugangsdaten zu einem beliebigen Mailbox-Account auf dem Server.

Externe Quellen

Neben diesen eigenen Scans, erhalten CERT.at und GovCERT Austria Informationen aus einer Vielzahl externer Quellen.

ResearcherInnen und NPOs

Es gibt einige Non-Profit Organisationen und Stiftungen, die Daten für die IT-Security-Community erheben und dieser gratis zur Verfügung stellen.

Die für CERT.at und GovCERT Austria Wichtigste davon ist die Shadowserver Foundation, die vor allem im Bereich Analyse von Botnetzen und Malware arbeitet. Dazu wurde ein riesiges Netzwerk aus Honeypots2 aufgebaut. Die Erkenntnisse daraus liefern wertvolle Analysedaten, um beispielsweise Botnetzen auf die Spur zu kommen und sie auszuschalten.

Eine weitere große NPO in diesem Bereich ist Spamhaus. Diese Organisation hat sich auf Spam-Blocklisten spezialisiert.

Zusätzlich arbeiten CERT.at und GovCERT Austria immer wieder mit unabhängigen ResearcherInnen zusammen. Diese informieren uns beispielsweise vorab, wenn sie eine neue Lücke entdeckt haben, lassen uns Listen von verwundbaren Geräten zukommen, oder wickeln Responsible Disclosures3 über uns ab.

Andere CERTs/CSIRTs

Die IT-Sicherheitscommunity tauscht sich in unterschiedlichen Netzwerken und Plattformen aus. CERT.at ist unter anderem Mitglied des Trusted Introducer Netzwerkes, einer Akkreditierungs- und Zertifizierungsorganisations für CERTs/CSIRTs, und von FIRST, einem globalen Forum für CERTs/CSIRTs (vgl. dazu den Abschnitt über Kooperationen und Networking).

Durch diese Organisationen werden nicht nur gemeinsame Standards und Trainingsmöglichkeiten für die IT-Sicherheitscommunity erarbeitet, sondern auch Netzwerke für den Austausch von Informationen geschaffen.

Kommerzielle IT-Firmen

Firmen wie Microsoft, die kommerzielle Sicherheitslösungen anbieten, arbeiten mit CERT.at und GovCERT Austria und anderen CERTs/CSIRTs zusammen, indem sie Daten kostenlos zur Verfügung stellen.

Suchmaschinen und Archive

Suchmaschinen wie Google oder Shodan inkludieren Hinweise über möglicherweise gehackte Websites oder Netzwerksicherheit in ihre Suchergebnisse.

Webseiten, die Opfer von Defacements geworden sind, werden auf Zone-H archiviert. CERT.at und GovCERT Austria erhalten von Zone-H Informationen über dort auftauchende .at bzw. .gv.at Domänen.

Ermittlungsbehörden

Wenn Ermittlungsbehörden ein Schlag gegen die Internetkriminalität gelingt, sammeln sie oft Daten aus der Beschlagnahmung von Domains oder Servern von Botnetzen. Dabei werden die ursprünglich von den Angreifern eingesetzten Steuerserver der Botnetze (sog. “Command and Control Server") durch Sensoren (diese werden “Sinkholes" genannt) ersetzt, die für die Strafverfolgungsbehörden mitprotokollieren, von welchen IP-Adressen infizierte Geräte neue Befehle abholen wollen. Diese Geräte befinden sich meistens in mehreren Ländern und daher werden die so erfassten Daten – sofern es der rechtliche Rahmen erlaubt – oft an nationale CERTs/CSIRTs weitergeleitet, die diese dann wiederum im eigenen Land an die Betroffenen weitergeben können.

In vielen Fällen wird der “Command and Control Server" nicht über eine konstante Domain angesprochen, sondern über nur kurzfristig gültige Domains, die aus dem aktuellen Datum abgeleitet werden. Wenn eine Analyse der Malware diesen Algorithmus extrahiert, so besteht die Möglichkeit, die künftig verwendeten Domains im Voraus zu berechnen und sie rechtzeitig zu registrieren. Dort lassen sich dann Sinkholes betreiben.

Verwendet Malware einen Peer-to-Peer (P2P) Mechanismus für die Kommunikation, so können die Mitglieder des P2P-Netzes manchmal durch eine Teilnahme am P2P Protokoll bestimmt werden.

Hin und wieder gelingt es der Polizei, SicherheitsforscherInnen oder CERTs/CSIRTs sogar, Zugang zu Servern der AngreiferInnen zu erlangen. Die dort vorgefundenen Daten geben oft Aufschluss über die Vorgehensweisen und eingesetzten Tools der Kriminellen.


  1. Im Falle von Infektionen ist das oft nicht relevant, da allein die Tatsache, dass der betroffene Port offen ist, Hinweis genug ist.

  2. Das sind Systeme, die mit dem einzigen Zweck eingerichtet werden, dass sie von Malware angegriffen und ausgebeutet werden können. Beobachtete Aktivitäten werden für die BetreiberInnen aufgezeichnet und anschließend analysiert.

  3. Zum Begriffe siehe den Eintrag in der englischen Wikipedia.



<< Vorige Nächste >>