Tooling
CERT.at und GovCERT Austria setzen eine Vielzahl von Tools ein, die zum Teil selbst entwicklelt, zum Teil als Open Source Software verfügbar, und zum Teil zugekauft sind.
Zwei der wichtigsten Tools sind IntelMQ und MISP, die hier etwas näher vorgestellt werden sollen.
IntelMQ
Das Projekt
Gestartet wurde der Entwicklungsprozess von IntelMQ1 bei einem Treffen mehrerer CERTs im Jahr 2014. Die damals verfügbaren Softwarelösungen zur Automatisierung und Verarbeitung von Daten im IT-Securitybereich waren zumeist teuer und/oder schwer zu bedienen. Einige Entwickler des portugiesischen CERT und von CERT.at beschlossen daher, selbst ein Tool zu entwickeln, das diese Probleme adressiert, da eine manuelle Bearbeitung aufgrund der (stetig wachsenden) Datenmenge nicht machbar war.
Dementsprechend sollte IntelMQ möglichst einfach zu nutzen und zu administrieren sein sowie problemlos weiterentwickelt und angepasst werden können. Um das zu erreichen, waren und sind Kompatibilität mit und Schnittstellen zu anderen Tools sowie eine Veröffentlichung als Open Source Software unerlässlich. Der Quellcode von IntelMQ findet sich auf GitHub.
Diese Designprinzipien – Ease-of-Use und Kompatibilität – sind bis heute unverändert und maßgeblich für den Erfolg des Programms verantwortlich. Auch die Umsetzung des Ziels, große Datenmengen automatisiert zu verabeiten, erleichtert die Arbeit von CERTs/CSIRTs enorm. Bei CERT.at werden Dank IntelMQ täglich hunderte E-Mails verschickt, die BetreiberInnen von Internet-Diensten in Österreich auf Probleme in ihren Netzen hinweisen.
Viele CERTs/CSIRTs, die Alternativen genutzt hatten, sind über die Jahre auf IntelMQ umgestiegen. Mittlerweile verwenden auch viele SOCs (Security Operations Center) und andere Organisationen IntelMQ. Ausgegangen wird von einer weltweit zumindest dreistelligen Anzahl von Instanzen, genaue Daten gibt es dazu aber nicht.
IntelMQ 2020
Anfang 2020 wurde ein Tutorial für IntelMQ auf GitHub veröffentlicht und in einem Workshop des TF-CSIRT auch gleich getestet. Über das Jahr hinweg wurde es kontinuierlich aktualisiert und verbessert; Feedback ist natürlich gern gesehen.
Außerdem wurde 2020 auch erstmals eine Schwachstelle im IntelMQ Manager, einer graphischen Managementoberfläche für IntelMQ, gefunden, die mit einer CVE-Nummer versehen wurde. CVE-2020-11016 ermöglicht(e) AngreiferInnen, beliebigen Code mit den Rechten des Web-Services auszuführen. Die Lücke wurde mit Version 2.1.1 von IntelMQ Manager behoben. IntelMQ Manager ist eigentlich nicht dazu gedacht, aus dem offenen Internet erreichbar zu sein, weshalb die Anzahl erreichbarer und verwundbarer Instanzen relativ klein war. Dennoch haben wir damals weltweit nach ebensolchen gescannt und die Betroffenen benachrichtigt.
Im Juli 2020 erschien dann mit Version 2.2.0 der erste größere Feature-Release in diesem Jahr, in dem die Unterstützung von Python 3.4 entfernt wurde. Außerdem waren zahlreiche Fehlerkorrekturen sowie neue Funktionen enthalten, darunter sechs komplett neue sowie sieben wesentlich überarbeitete Bots.
Im Dezember erschien mit Version 2.2.3 kurz vor Weihnachten der letzte Release 2020 und brachte neben einigen Bugfixes auch RPM-Pakete für CentOS 8 mit sich.
Eine Übersicht zu den Releases findet sich auf GitHub.
Eine weitere wichtige Veränderung des Projekts im Jahr 2020 war der im November erfolgte Umzug der Dokumentation auf https://intelmq.readthedocs.io/ und damit auf Sphinx.
Einmalige Aussendungen a.k.a. “Oneshots"
IntelMQ ermöglicht es außerdem, über ein Web-Interface sog. “Oneshots" abzuwickeln. Dabei handelt es sich um Aussendungen, die anlassbezogen bei akuten Bedrohungen möglichst schnell alle Betroffenen erreichen müssen. Ein Beispiel wäre die Veröffentlichung eines Exploit zu einer bekannten Sicherheitslücke, zu der es bereits einen Patch gibt: Sind Daten über dafür noch anfällige Geräte in Österreich z.B. über die Suchmaschine shodan.io verfügbar, können diese in ein parsebares CSV-File umgewandelt werden, das dann bequem über das Web-Interface hochgeladen werden kann. Anschließend muss nur noch ein Erklärungstext zum vorliegenden Problem inklusive Links zu Workarounds/Updates verfasst werden und IntelMQ verschickt automatisch Mails an alle Betroffenen.
Dies ermöglicht CERT.at nicht nur, schnell auf aktuelle, aber einmalige Umstände zu reagieren, sondern eignet sich auch, um neue Feeds auszutesten, um deren Qualität und/oder Nützlichkeit anhand des Feedbacks der Betroffenen zu evaluieren.
2020 wurde diese Funktion 51 Mal genutzt, unter anderem in folgenden Fällen:
-
Um Betroffene von CVE-2019-19781 a.k.a. "Shitrix" zu informieren.
-
Mehrfach, um Betroffene von Emotet zu warnen.
-
Im Zuge des cit0day Leaks (vgl. den Abschnitt "Leaks") konnten wir auf diesem Weg Betroffene schnell informieren.
MISP
MISP2 ist eine Open Source Plattform, auf der Indicators of Compromise (IoCs), Threat Intelligence und andere für die IT-Sicherheit relevante Informationen geteilt, gespeichert und analysiert werden können.
CERT.at und GovCERT Austria betreiben gemeinsam eine MISP-Instanz zu der TeilnehmerInnen aus der Forschung, staatlichen Institutionen und der Wirtschaft Zugriff haben und Informationen abrufen sowie hochladen können.3
Mit wem die Inhalte geteilt werden, wird beim Upload festgelegt – MISP bietet hier eine Vielzahl an Optionen, die von eigens angelegten Gruppen, zur eigenen Organisation oder sogar anderen MISP-Instanzen alles abdecken.
Das soeben erwähnte Teilen über Instanzen hinweg, ist eines der Features von MISP. Es bietet der CERT/CSIRT Community eine einfache Möglichkeit, Inhalte zu Vorfällen länderübergreifend verfügbar zu machen und je nach Bedarf auf sehr kleine Gruppen zu beschränken, oder anderen Beteiligten (Forschung, Behörden, Wirtschaft, etc.) zugänglich zu machen.
Das MISP-Projekt hat eine eigene Webseite, der Code wird in einem GitHub Repository zur Verfügung gestellt.
Die Hauptentwicklung von MISP liegt bei CIRCL, dem nationalen Computer-Notfallteam Luxemburgs. 2020 arbeiteten CERT.at und CIRCL verstärkt daran, die Schnittstellen zwischen MISP und IntelMQ zu verbessern, um den gemeinsamen Einsatz dieser Tools zu vereinfachen.
-
Zusammengesetzt aus “Threat INTELligence" und “Message Queueing".↩
-
Das Kürzel stand ursprünglich für “Malware Information Sharing Platform". Da die Software aber heute wesentlich mehr kann als nur Informationen über Schadsoftware zu teilen, gibt es keine offizielle Langform mehr.↩
-
Anfragen für einen Zugang bitte an team@cert.at.↩