Weitere Kooperationen

Connecting Europe Facilities (CEF)

Zwischenbericht “Enhancing Cybersecurity in Austria" (2018-AT-IA-0111)

CEF Logo

CERT.at reichte im Jahr 2018 ein weiteres EU Projekt “Enhancing Cybersecurity in Austria" (2018-AT-IA-0111) im Rahmen des Connecting Europe Facilities (CEF) Programm ein, das in vollem Umfang genehmigt wurde und eine 75%-ige Förderung der Projektkosten durch die Europäische Union ab September 2019 beinhaltet. Das geplante Projektende ist August 2021.

Das Projekt umfasst sowohl interne Weiterentwicklungen als auch Anpassungen an internationale Anforderungen im Rahmen der Zusammenarbeit der europäischen CERTs/CSIRTs. So ist die Integration und Einbindung in “MeliCERTes", einem EU geförderten Projekt zur internationalen Kooperation der europäischen CERTs, ein wichtiger Teil des Projektes.

Research and Development

Ein besonderer Fokus liegt dabei auf der Forschung und dem Ausbau der Automatisierung unter maßgeblicher Beteiligung des Research & Development Teams (“R&D") der nic.at:

  • Mittels eines neu entwickelten internen RDAP1-Dienstes steht CERT.at nun der whois-Nachfolger zur Verfügung, was den weiteren Ausbau des automatisierten Incident Handlings mit IntelMQ ermöglicht.

  • Im Juli stellten wir erstmals das Projekt tag2domain in einem Blogpost vor. Dabei handelt es sich um ein erweiterbares System, das Webseiten anhand von deren Eigenschaften in verschiedene Taxonomien in Form von Tags klassifiziert. Darauf basierend können Benachrichtigungen, Auswertungen und Statistiken erstellt werden – beispielsweise welche Webseiten in welchen Wirtschaftszweig fallen oder veraltete bzw. verwundbare Software einsetzen. Den Quelltext dazu finden Sie auf https://github.com/certtools/tag2domain/

  • Zur Analyse der Webseiten unter .at entwickelten wir unseren bestehenden “Crawler" wesentlich weiter, der nun die gesamte .at-Zone in einer Woche abdecken kann (statt ursprünglich in 3 Monaten). Auch der Code zu diesem Programm ist öffentlich verfügbar: https://github.com/nic-at/nic-crawler-analysis

  • In weiterer Folge werden die Webseiten analysiert und z.B. auf verwendete Sprache oder eingesetzte Technologien (CMS-Software, Webserver) hin analysiert. Weitere Einblicke in die Daten wurden mit Hilfe von Data-Science und Machine-Learning möglich.

  • Das OpenINTEL-Projekt ist eine Kooperation der Universität Twente, SURFnet, SIDN Labs und NLnet Labs mit dem Ziel den Status großer Teile des globalen Domain Name Systems auf täglicher Basis zu erfassen. Für die Analyse von Vorfällen ist es für CERT.at von wesentlicher Bedeutung, den zeitlichen Verlauf von Einträgen im DNS-System nachvollziehen zu können. Hierfür entwickelten wir Such- und Analysefunktionen, um die großen Datensätze in der täglichen Arbeit von CERT.at nutzbar zu machen. Die entstandene Software steht auf GitHub bereit: https://github.com/nic-at/openintel-lookup

IntelMQ

Mithilfe von IntelMQ verarbeitet CERT.at rund um die Uhr vollautomatisiert Informationen zu Malwareinfektionen und Verwundbarkeiten in österreichischen Computernetzwerken. Täglich werden die NetzbetreiberInnen über Probleme in deren Netzen informiert (siehe den Abschnitt "2020 im Detail"). Im Rahmen des CEF-Projekts entwickeln wir die von uns betreute Open-Source Software gemeinsam mit anderen Partnern weiter. Im Jänner 2020 veröffentlichten wir erstmals ein eigenes Tutorial zu dessen Nutzung. Beim TF-CSIRT Treffen im Jänner wurde dieses auch gleich im Zuge eines Workshops erprobt. Außerdem zog IntelMQs Dokumentation im November auf intelmq.readthedocs.io (und damit auf Sphinx) um, und erhielt dadurch eine neue Struktur und Navigation.

Im Laufe des Jahres 2020 erschienen mehrere neue Versionen der Software mit zahlreichen Neuerungen. Details zu den Versionen 2.1.3, 2.2.0, 2.2.1, 2.2.2, 2.2.3 finden sich in unserem Blog und in IntelMQs Changelog.

Außerdem wurde die Entwicklung von IntelMQ 3.0 fortgesetzt. Dazu gab es einen auf NutzerInnenfeedback basierenden, ersten großen Änderungsvorschlag bei der Konfiguration.

Das Jahr 2020 brachte uns auch unsere erste CVE-Nummer für eine IntelMQ Komponente: CVE-2020-11016. Bernhard Herzog von Intevation fand im IntelMQ-Manager, dem Web-Frontend zu IntelMQ eine Command-Injection Schwachstelle, die im schlimmsten Fall zu einer Remote Code Execution ohne jegliche Authentifizierung führen konnte. Die Lücke wurde mit dem Release von IntelMQ-Manager 2.1.1 behoben.

Constituency-Portal

Im Sommer konnte mit der Intevation GmbH aus Osnabrück ein neuer Partner für die Weiterentwicklung der nächsten Version des “Constituency-Portals", unseres Tools zur Verwaltung von Kontaktadressen, gewonnen werden. Es wurde beschlossen, eine komplett neue Version des Constituency-Portals zu entwickeln, weil sich im Verlauf des Projekts herausstellte, dass die Struktur der aktuellen Version den Anforderungen nicht entspricht. Diese befindet sich daher nur noch im Maintenance Mode, sie wird nicht mehr weiterentwickelt.

Die Fertigstellung des Constituency-Portals als freie Software ist bis Sommer 2021 geplant und wird ebenfalls zu großen Teilen aus CEF finanziert. Intevation hat im Rahmen anderer Projekte bereits IntelMQ maßgeblich weiterentwickelt. Die offene Entwicklungsweise unterstreicht unser Engagement für Freie Software und die internationale IT-Security-Gemeinschaft und das Werkzeug wird damit auch anderen CERTs/CSIRTs zur Verfügung stehen. Das Code-Repository ist auf gitlab zu finden.

Human Resources

Es konnten im Rahmen des Projektes im Jahr 2020 drei neue Mitarbeiter begrüßt werden – das CERT Incident-Handler Team, CERT Operations sowie R&D freuten sich über personellen Zuwachs.

Seit Anfang des Jahres erhält das Handlerteam durch Thomas Pribitzer und das Operations Team durch Rhonda D’Vine Unterstützung.

Seit Juli wird CERT.at von Clemens Moritz als Research Engineer aus der R&D Abteilung der nic.at gemeinsam mit den anderen Kollegen von R&D bei der Umsetzung unserer Threat Intel Projekte wie tag2domain, webcrawling and site-analytics sowie OpenIntel unterstützt – unserem dritten CEF Projektmitarbeiter.

Reisen und Konferenzen

Februar und März beschäftigten uns die Auswirkungen des ersten “Lockdowns" und sämtliche geplanten Reisen und Konferenzen wurden storniert oder verschoben, alle wechselten komplett ins Homeoffice und die ersten Meetings und Konferenzen wurden online geplant. Auch die für März und April bei uns im Haus geplanten Hackathons u.a. zum Thema RTIR (“Request Tracker Incident Response", einem Helpdesk-System) konnten nicht mehr vor Ort stattfinden und mussten vorerst abgesagt werden.

Auf Grund der anhaltenden Restriktionen wegen COVID-19 musste das für April in Pörtschach am Wörthersee geplante jährliche ATC (Austrian Trust Circle) Treffen zuerst auf Oktober 2020 verschoben und schlussendlich leider für 2020 ganz abgesagt werden.

Dank des Wechsels auf Online-Formate konnten wir den Austausch mit unseren internationalen Partnern aufrecht erhalten und an diversen Konferenzen, darunter TF-CSIRT, CSIRTs Network, European GovCERT Group, FIRST teilnehmen.

Im Juni fand ein virtuelles Treffen der CENTR2Registry Data Nerd" Group mit zwei Beiträgen von uns statt – Philipp Adam sprach über low content Klassifizierungen und L. Aaron Kaplan über Tag2domain, die Folien sind auf GitHub verfügbar.

Verbesserung der internen Sicherheit

Im Februar 2020 konnten wir erfolgreich unser Rezertifikationsaudit im Rahmen von ISO 27001 abschließen.

Ein anderes Projekt, das im Juli abgeschlossen werden konnte, war SIRF, das Security Incident Response Framework, dessen Setup und Hardwarebeschaffung im Rahmen von CEF durchgeführt wurde. Hier konnte u.a. ein mobiler Einsatzkoffer für Incident Response Einsätze vor Ort angeschafft werden.

Im Dezember 2020 konnten wir mit einem gezielten Pentest die Sicherheit unseres neuen SIEM3 Tools bzw. unserer Linux Server Infrastruktur in einem nachfolgenden Workshop testen und verbessern. Unser SIEM ist seit Herbst 2020 in Betrieb.

Außerdem haben wir Verbesserungen im Bereich der physischen Sicherheit umgesetzt und damit den ISM4 Teil unseres CEF Projektes fertiggestellt.

Die "Trusted Introducer" (TI) Zertifizierung des TF-CSIRT ist ein wesentlicher Maßstab, um die Leistungen der internationalen CERTs vergleichbar zu machen und um einen Mindeststandards sicherzustellen. CERT.at hat im Jahr 2020 seine Prozesse weiter optimiert, um die Erfüllung des Standards weiterhin zu garantieren.5 Das wurde nicht nur erfolgreich erreicht, sondern wir haben in einigen Bereichen die Anforderungen auch übererfüllt. Für CERT.at ist das für die Zertifizierung genutzte SIM 3 Modell eine willkommene Möglichkeit, um die Erwartungen an uns besser zu verstehen und um allfällige Verbesserungsmöglichkeiten zu identifizieren.

Ausblick

2020 war – trotz oder wegen Corona – ein sehr starkes Jahr für das CEF Projekt und es konnte – abgesehen von der Reiseproblematik – sehr viel umgesetzt werden.

Für 2021 erwarten wir die Fertigstellung des Constituency Portals, die Releases von IntelMQ 3.0, Tag2Domain und OpenINTEL. Außerdem hoffen wir, endlich unsere Hackathons nachholen und das diesjährige ATC Treffen abhalten zu können.

“MeliCERTes" (SMART-2018-2014)

Die NIS Direktive von 2016 hat das CSIRTs Network (CNW) eingerichtet. In diesem Verband soll CERT-EU mit allen CSIRTs zusammenarbeiten, die ihre Aufgaben aus den jeweiligen NIS Umsetzungen bekommen.

Die EU-Kommission hat neben den Vorgaben für die Mitgliedsstaaten auch Hilfen bei der Umsetzung geplant: im Rahmen der Connecting Europe Facility (CEF) gibt es Fördergelder (siehe den Abschnitt "Connecting Europe Facilities (CEF)"), die unter anderem beim Aufbau der geforderten nationalen Infrastrukturen helfen.

Für das CSIRTs Network und die darin vertretenen CERTs hat die Kommission ein Projekt gestartet, das die nötige Software bereitstellen soll. Diese Software, deren offizieller Name etwas sperrig “Connecting Europe Facility (CEF) Core Service Platform for Cooperation Mechanisms for Computer Emergency and Response Teams in the European Union" lautet, wurde später schlicht “MeliCERTes 1" getauft. Der Anforderungsprozess für dieses Projekt (Teil von SMART 2014/1079) fand im Sommer 2015 statt, also vor der Entstehung des CNW. Dieser Vorausgriff führte zu einem spekulativen Prozess, da noch nicht abzusehen war, wie das CNW wirklich arbeiten würde.

Die zugrundeliegende Software für MeliCERTes 1 wurde im Rahmen des Projektes SMART 2015/1089 entwickelt und erst im Sommer 2019 fertiggestellt. Bis dahin hatten aber die ENISA (als Sekretariat) und einzelne Teams bereits eine Reihe von Tools zur Unterstützung des CNW bereitgestellt, die aber nicht in MeliCERTes 1 integriert waren. Darüber hinaus erwies sich das ursprüngliche Design von MeliCERTes 1 insgesamt als ungenügend, um die unterschiedlichen Anforderungen der CSIRTs und ihrer Zusammenarbeit zu erfüllen. Das lag primär daran, dass es zwischen den Fragen “Was brauchen die Teams für ihre eigentliche Arbeit?" und “Was braucht das CNW, damit die Teams zusammenarbeiten können?" oszillierte, ohne eine konsistente Antwort bieten zu können. Entsprechend muss leider festgehalten werden, dass MeliCERTes 1 keine operative Bedeutung im CNW erlangt hat.

Nach Ende des Projektes SMART 2015/1089 mit Anfang 2020 hat die EU-Kommission einen weiteren Projektauftrag (SMART 2018-1024) zu MeliCERTes vergeben: diesmal an ein Konsortium aus fünf nationalen CSIRTs (PL, EE, SK, LU, AT) und Deloitte. Der Wechsel des Auftragnehmers für die Wartung und Entwicklung von MeliCERTes 2 (MC2) bot die Gelegenheit, die Anforderung an MeliCERTes zu überdenken und alle Annahmen von MeliCERTes 1 zu überprüfen. Das Ergebnis soll ein Satz an Software sein, der dem CNW und seinen Teams wirklich bei der Erfüllung ihrer Aufgaben helfen kann.

Dazu sollen vor allem folgende Aspekte beitragen:

  • Scope: In Zukunft sollen drei Säulen die Grundlage von MeliCERTes sein:

    1. Die zentrale Infrastruktur des CNW, also z.B. ein Kooperationsportal, Directory Services, Instant Messaging, etc.

    2. Tools, die den CNW-Mitgliedern vom Konsortium bereitgestellt werden

    3. Das Teilen von Werkzeugen: Es soll für die Teams leichter werden, ihre lokalen Tools auch für Partner zu verfügbar zu machen.

  • Enge Zusammenarbeit mit ENISA, dem Sekretariat des Netzwerkes

  • Anpassungen der Auslieferung der Software auf die Bedürfnisse des Netzwerkes

Im Jahr 2020 bestand die Hauptaufgabe des Konsortiums in der Überarbeitung der Anforderungen an MeliCERTes. Diese wurde in vier Kleingruppen von Mitgliedern der CNW Tooling WG in einer Serie von Telefonkonferenzen im Sommer 2020 bearbeitet und die Ergebnisse im Herbst von der EU-Kommission und vom CSIRTs Network offiziell angenommen.

CIRCL, Luxemburgs nationales CERT, arbeitet außerdem bereits intensiv an Cerebrate, einem Tool, das als Team Directory und Orchestration für die Zusammenschaltung von anderen Werkzeugen dienen wird. Der Source Code des Projekts ist unter https://github.com/cerebrate-project abrufbar.

Für CERT.at ist insbesondere interessant, dass wir über diesen Auftrag auch einen Finanzierungsbeitrag für die Weiterentwicklung von IntelMQ erhalten.

Neben IntelMQ wird uns 2021 das Thema Identity and Access Management (IAM) im CSIRTs Network besonders beschäftigen.

Mitarbeit an Forschungsprojekten

InduSec

CERT.at nimmt am 2019 gestarteten Project InduSec der SBA Research teil. Dabei geht es vor allem darum, IT und OT in bezug auf Security auf einen gemeinsamen Level zu bringen. Mehr Informationen finden Sie auf der Webseite von SBA Research.

ACCSA (KIRAS)

CERT.at beteiligt sich an den Austrian Cyber Crisis Support Activities (ACCSA), die darauf abzielen, AkteurInnen im staatlichen Cyber-Krisenmanagement (CKM) auf Cyber-Krisen mit umfangreichen Schulungs-, Übungs- und Auswertekonzepten vorzubereiten und dadurch Reaktionszeiten und Fehlerraten im Falle einer echten Cyber-Krise zu verringern. Genaueres finden Sie auf der Webseite von KIRAS.

  1. Registration Data Access Protokoll

  2. Council of European National Top-Level Domain Registries

  3. Security Information and Event Management

  4. Information Security Management

  5. Vgl. den Abschnitt zur TI Zertifizierung.


<< Vorige Nächste >>