scip Monthly Security Summary (März 2016)

MONTHLY SECURITY SUMMARY
Ausgabe 19. März 2016
Bildquelle: Wikimedia Commons
FOKUS
DIGITAL RIGHTS MANAGEMENT
Ausgabe 02/2016
März 2016: Von Werkzeugen und Waffen
Informationssicherheit ist im Mainstream angekommen. Anders lässt es sich kaum erklären, dass die Auseinandersetzung zwischen Apple und dem FBI im Fall San Bernadino die internationale Tagespresse beschäftigt. Und
langsam wird auch weniger technikaffinen Zeitgenossen klar: Eine simple Unterteilung von Gut und Böse ist im
Hinblick auf Technologie, die Daten vor den neugierigen Blicken Dritter schützen, nicht möglich. Wenige stellen in
Frage, dass der Zugriff auf die Geräte von Extremisten oder Attentätern möglicherweise der Aufklärung von Straftaten dienen könnte. Aber zu welchem Preis?
Es war ein steiniger Weg, dass heute die meisten handelsüblichen Endgeräte standardmässig, oder zumindest mit
wenig Aufwand, gegen rudimentäre Angriffe durch Dritte kryptografisch abgesichert werden können. Und dementsprechend verständlich ist es, dass die Rufe nach Hintertüren und Generalschlüsseln in weiten Kreisen der Bevölkerung zu Bedenken führt. Ein Master-Key wäre bestenfalls ein mächtiges Werkzeug für Regierungen, mit substantiellem Missbrauchspotenzial. Einmal in den falschen Händen, würde er zur potenziell desaströsen Waffe.
Wem gehören Daten? Wie können wir sicherstellen, dass sie den richtigen Stellen zur richtigen Zeit zur Verfügung
stehen und nicht in falsche Hände fallen? Mit diesem Thema, das uns noch weit über diesen Fall hinaus begleiten
wird, befassen wir uns auch im vorliegenden Security Summary. Wir wünschen Ihnen bei der Lektüre, wie immer,
viel Vergnügen.
Stefan Friedli, Head of Auditing
Bildquelle: https://flic.kr/p/8Nmx6h
scip AG
Badenerstrasse 623
8048 Zürich
Switzerland
+41 44 404 13 13
www.scip.ch
2
Ausgabe 02/2016
NEWS
WAS IST BEI UNS PASSIERT?
RADIO-INTERVIEW ZU DARKNET-RAZZIA IN
WDR 1LIVE
Das BKA informiert über international orchestrierte Festnahmen von Betreibern und Schliessungen von Märkten im Darknet. Marc Ruef
wurde vom Radiosender WDR 1Live zum Thema
befragt. Er erläutert die Marktstrukturen und
das Vorgehen der Behörden.
INTERVIEWS ZU SCHWEIZER DDOS ATTACKEN
IN 20 MINUTEN
Interview 1 | Interview 2 | Interview 3
In der Tageszeitung 20 Minuten werden die vermeintlichen DDoS-Attacken gegen grosse
Schweizer Online-Shops besprochen. Marc Ruef
geht in seinem Interview auf die möglichen Hintergründe der Angriffe auf Digitec, Interdiscount
und den SBB Ticket Shop ein.
FERNSEHINTERVIEW IN DER SENDUNG TOP
TALK ZUM THEMA CYBERSECURITY
Sendungsmitschnitt
Die anhaltenden Attacken gegen bekannte
Schweizer Online-Shops regen Diskussionen an.
In der halbstündigen Talk-Sendung spricht Marc
Ruef über die laufenden Angriffe und erläutert
die Hintergründe von Cybersecurity.
Weitere News zu unserer Firma finden Sie auf unserer Webseite.
3
Ausgabe 02/2016
SCIP BUCHREIHE AUSGABE 7
UNSER AKTUELLES BUCH
Das verflixte siebente Jahr merkt man Labs, der regelmässigen Publikation der scip AG nicht an: Mit
der Verlässlichkeit eines Uhrwerkes erscheinen die
Artikel der Mitarbeiter aus allen Geschäftsbereichen
der scip AG allwöchentlich und erreichen mittlerweile eine Leserschaft, die zu den grössten im deutschsprachigen Bereich gehört.
Weniger vorhersehbar sind die Themen, mit denen
sich Labs beschäftigt: Der Bereich der Informationssicherheit ist so vielschichtig und schnelllebig, nicht
selten finden tagesaktuelle Themen noch binnen
Wochenfrist ihren Weg zur Veröffentlichung.
Es überrascht daher wenig, dass der dritte Sammelband, Labs 7, eine Selektion mit interessanter Bandbreite zusammenfasst: Von Wearables über Drohnen bis hin zu klassischen Themen wie Datenverschlüsselung oder Compliance .
Mit einem Vorwort von Pascal Adam, Chief Information Security Officer der Schweizer Parlamentsdienste und Dozent an der Telematikschule Bern.
Weitere Informationen auf unserer Webseite.
4
KOMPLEXITÄT VERHINDERT SICHERHEIT. IMMER.
Bildquelle: Wikimedia Commons
Ausgabe 02/2016
MARC RUEF
DRM/RMS - NÄCHSTE GENERATION
VON ZUGRIFFSRECHTEN
Dateizugriffsrechte sind ein massgeblicher Bestandteil angewandter Computersicherheit. Dennoch wurden sie in den letzten beiden Jahrzehnten teilweise
übergangen, manchmal schon fast vergessen. Dies
lag an der Veränderung der Angriffsvektoren, die
durch andere Sicherheitsmechanismen adressiert
werden wollten. Mit DRM/RMS etabliert sich zunehmend eine neue Generation von Zugriffsrechten, die
die Informationssicherheit zu revolutionieren in der
Lage ist. Dieser Artikel diskutiert die aktuellen Implementierungen und ihre Möglichkeiten.
DRM – Digital Rights Management
DRM steht für Digital Rights Management. Darunter
wird die Möglichkeit verstanden, die Nutzungsrechte für eine digitale Komponente zu bestimmen und
technisch durchsetzen zu lassen. In das Bewusstsein
der Öffentlichkeit gelangte DRM zum ersten Mal, als
die Musikindustrie damit versuchte die Kopierbarkeit von Audio-CDs einzuschränken. Dieser Kopierschutz kollidierte jedoch mit den Möglichkeiten älterer Abspielgeräte, was die Kunden verärgert hat.
Einen ähnlichen Effekt beobachtete man bei down-
loadbarer Musik. Auch diese wird zunehmend ohne
DRM angeboten. Die Musikindustrie hat mittlerweile gemerkt, dass qualitativ gute, preislich faire und
technologisch komfortable Angebote Raubkopien
besser verhindern, als irgendwelche Einschränkungen des Nutzers.
Das Nutzungsfeld für Digitales Rechtemanagement
hat sich in den letzten Jahren verschoben. Im Bereich
der angewandten Computersicherheit soll es helfen,
den Missbrauch legitimer und illegitimer Benutzer
im Umgang mit Daten und Software einzuschränken.
Bisher hat sich dieses Rechtemanagement auf Dateiobjekte konzentriert. Einer Datei oder einem Verzeichnis wird ein Besitzer zugeteilt. Dieser kann die
Zugriffsrechte auf die Datei vergeben. Klassischerweise wird zwischen Eigentümer, Mitglied der gleichen Benutzergruppe und anderen Benutzern unterschieden.
6
Ausgabe 02/2016
Die drei Nutzungsmöglichkeiten sind dann Lesen,
Schreiben oder Ausführen. Nachfolgend ein Beispiel
dieser granularen Rechteaufteilung im Rahmen einer Software-Entwicklung, wie sie in unixoiden Umgebungen typisch ist (siehe Bild oben).
Diese Möglichkeiten sind offensichtlich eingeschränkt. Die eingeführten Erweiterungen (z.B. Sticky Bit) konnten ein bisschen mehr an Flexibilität
mitbringen. Die heutigen Bedürfnisse konnten sie
jedoch nicht adressieren. Das Ziel ist, die Rechte einer Datei für alle möglichen Aktionen und über die
Systemgrenzen hinaus bestimmen zu können.
RMS – Rights Management System
RMS steht für Rights Management System. Hierbei
handelt es sich um ein Framework, das die erweiterten Möglichkeiten von DRM in einem Betriebssystem zur Verfügung stellt.
Eine der grössten und vielversprechendsten RMSImplementierungen wird durch Microsoft bereitgestellt. Mittlerweile wird es AD RMS (Active Directory
Rights Management Services) genannt. Eigentlich ist
der RMS-Client schon seit Windows Vista und Server
2008 Teil des Betriebssystems. Die älteren Versionen
Windows XP, 2000 und Server 2003 können nachgerüstet werden. In Bezug auf Reife und Stabilität wird
es aber erst seit Windows 8 und Server 2012 durch
Administratoren und Firmen wahrgenommen. Mit
Windows 10 und der 2016-Reihe der MicrosoftProdukte werden die Möglichkeiten sehr offensiv
propagiert.
7
Ausgabe 02/2016
Durch RMS werden eine Vielzahl an granularen Einstellungsmöglichkeiten eingeführt, die zum Beispiel
auch nach dem Verteilen des Dokuments zurückgezogen werden können:

Einsehen

Verändern

Kopieren

Drucken

Speichern

Automatisierte Zugriffe

Volle Kontrolle
Entsprechend generieren sich daraus erweiterte
Möglichkeiten. Die Grafik oben illustriert die unterschiedlichen Anforderungen, die einem Excel-Sheet
beigemessen werden könnten.
Diese Kontrolle kann je nach Dokumententyp und
eingesetzter Client-Software noch mehr Möglichkeiten bieten. Zum Beispiel lassen sich in Ready-Only
Excel Dokumenten keine Sortierungen und Filter
vornehmen. Durch ein dediziertes Template können
diese ursprünglich gegensätzlichen Anforderungen
realisiert werden.
8
Ausgabe 02/2016
Interoperabilität und Portabilität
Ein Grossteil der im Geschäftsumfeld eingesetzten
Komponenten unterstützen mittlerweile RMS. Dazu
gehören Office, Exchange, SharePoint, Skype for Business und XPS. Die Einbindung geschieht weitestgehend transparent und gestaltet sich entsprechend
komfortabel.
In den 90er Jahren galt Microsoft nicht als besonders
offene Firma. Auf ideologischer und wirtschaftlicher
Ebene wurden quelloffene Lösungen, allen voran
Linux, bekämpft. Mittlerweile hat sich die Firmenphilosophie etwas geändert. Dies ist sehr schön an
der Portabilität von Microsoft RMS zu sehen. Alternative Betriebssysteme wie Linux und Apple OS X
sind genauso unterstützt die mobilen Plattformen
Android, iOS und Blackberry.
Diese Interoperabilität und Portabilität trägt massgeblich zum Erfolg der Lösung von Microsoft bei. Auf
einem Office 365 in einer Windows-Umgebung können die Rechte für ein Word-Dokument vergeben
werden. Und diese Rechte verbleiben auch nach dem
Versand per Gmail und dem Öffnen auf einem Applesystem bestehen.
Durch Microsoft wird ein frei verfügbares SDK
(Software Development Kit) bereitgestellt. Dadurch
können auch Hersteller von Drittsoftware die Kompatibilität zum System gewährleisten. Dazu gehören
mittlerweile bekannte Namen wie Foxit Reader und
GigaTrust.
9
Ausgabe 02/2016
„
Die Offenheit und Interoperabilität aus dem Hause Microsoft
trägt massgeblich zum Erfolg der Lösung bei.
“
Technische Funktionsweise
RMS kombiniert eine Reihe von Technologien, um
die Durchsetzung der Rechte zu ermöglichen. Wenn
eine Datei per RMS mit Rechten versehen werden
will, muss vom Client zuerst auf einen RMS Server
verbunden werden. Dies wird für jede zu bearbeitende Datei separat durchlaufen. Durch den Licensing
Server werden zuerst in Absprache mit dem Active
Directory (AD) die Credentials geprüft und die eigenen Zugriffsrechte bestimmt. Der Inhalt des bearbeiteten Dokuments wird nicht übermittelt.
In einem nächsten Schritt kann ein Autor nun unter
Berechtigungen die entsprechenden Einstellungen
vornehmen. Diese werden durch den Publishing
Server zurückgeliefert und können zusammen mit
der Datei gespeichert werden.
Durch RMS wird nun auf der Basis des Public Key
Verfahrens eine Verschlüsselung der Datei vorgenommen. Diese kann nun weiterhin durch den Besitzer eingesehen werden. Gleichzeitig wird aber auch
die Berechtigung für die anderen Benutzer appliziert.
Wenn die Datei nun weitergereicht wird und ein
Benutzer sie bearbeiten möchte (Öffnen, Editieren,
Kopieren, etc.), wird sich sein Client zuerst wieder
beim Licensing Server melden. Dort werden nun seine
Credentials und Zugriffsrechte geprüft. Falls letztere
vorhanden sind, kann er mit seinem Zugriff fortfahren. Andernfalls wird die Bearbeitung verweigert.
10
Ausgabe 02/2016
Bildquelle: scip AG
Angriffsmöglichkeiten
Drei Aspekte haben massgeblichen Einfluss auf den
Erfolg von Rechteverwaltung:
 Benutzerverwaltung
 Berechtigungskonzept
 Technische Implementierung (Software und
Konfiguration)
Wird es erforderlich, dass ein Dokument nur durch
die Benutzergruppe Finance gelesen werden kann,
sich in dieser Gruppe jedoch auch fachfremde Benutzer befinden, geht damit unweigerlich eine
Rechteausweitung einher. Nur indem die Benutzer
und deren Zugehörigkeit konsequent verwaltet werden, können solche Missstände verhindert werden.
Ein solider Prozess zur Etablierung von Benutzern
und ihren Rechten, ein regelmässiges Auditieren der
applizierten Zuweisungen und das automatisierte
Entfernen von Rechten bei einem Stellenwechsel
sind erforderlich.
In einem Berechtigungskonzept sollte festgehalten
werden, welche Benutzer und Benutzergruppe auf
welche Objekte zugreifen können. Hierzu sind die
Voraussetzungen für das Erlangen sowie das Entfernen von Zugriffen zu spezifizieren. Logische Fehler
auf dieser Ebene können zu Schwierigkeiten bei der
Umsetzung führen. Zu viele Benutzergruppen sind
genauso hinderlich wie zu generische Objektklassen.
Ein Mittelweg aus Granularität und Simplizität gilt
es einzuschlagen.
11
Ausgabe 02/2016
„
Schwachstellen in DRM/RMS begründen sich in erster Linie in
der konzeptionellen und technischen Komplexität derartiger
Umgebungen.
“
Im letzten Schritt muss die technische Implementierung des RMS solid sein. Dazu gehört einerseits die
Installation der entsprechenden Server und Clients.
Aber auch die grundlegende Konfiguration derer.
Fehler auf dieser Ebene machen das gesamte System
angreifbar. Ein technischer Audit kombiniert mit
einer Config Review hilft dabei, solche Fallstricke zu
verhindern.
Ein Fehler in einem dieser Bereiche kann dazu führen, dass eine unliebsame Rechteausweitung möglich wird. Ein Benutzer kann unter Umständen Daten
kopieren, die eigentlich nicht kopierbar sein dürften.
Falls die Kopierbarkeit eingeschränkt wird, wird dies
in der Regel durch den Client nicht nur auf Copy&Paste angewendet, sondern auch bezüglich
Screenshots durchgesetzt. Es kann aber durchaus
sein, dass Screenshots der Druckvorschau nicht eingeschränkt sind. Solche mehrstufigen Angriffstechniken sind aus dem Citrix-Umfeld bestens bekannt.
In der hauseigenen Implementierung von Microsoft
ist man umfangreich darum bemüht, solche Fehler
nicht zu machen. Zum Beispiel werden bei einem
Screen-Sharing mit Skype for Business alle durch
RMS geschützten Inhalte ausgeblendet.
Dabei besteht das zusätzliche Risiko, das mit MultiThreading und grafischen Oberflächen einhergeht:
Es gibt eine Vielzahl an Methoden, um die gleiche
Handlung zu vollziehen. Alle zu adressieren kann
sehr schwierig sein.
12
Ausgabe 02/2016
Zusammenfassung
DRM entstand aus dem Bedürfnis von Rechteinhabern heraus, ihre Inhalte vor unerwünschter Vervielfältigung zu schützen. Dies war sowohl technisch als
auch gesellschaftlich umstritten, so dass mittlerweile viele Anbieter von Musik und Filmen darauf verzichten.
Die grundlegende Idee kann aber ebenfalls als Erweiterung zur klassischen Rechteverwaltung von
Dateien angesehen werden. Durch RMS wird ein
Framework bereitgestellt, das diese zusätzlichen
Möglichkeiten systemweit bereitstellt. Microsoft
RMS tut sich durch einen hohen Grad an Stabilität
und Verbreitung hervor. Dank der Interoperabilität
und Portabilität kann davon auch auf alternativen
Systemen und mobilen Plattformen profitiert werden.
Typischerweise lassen sich damit das Einsehen und
Verändern von Dateien einschränken. Zusätzlich
kann aber auch die Möglichkeit des Kopierens und
Abspeicherns adressiert werden. Diese Granularität
erhöht die Flexibilität und kann damit den heutigen
Anforderungen gerecht werden.
Damit DRM/RMS erfolgreich sein kann, müssen verschiedene Aspekte berücksichtigt werden: Die Benutzerverwaltung muss konsequent bewirtschaftet
werden, die Zugriffsrechte gilt es formell zu definieren und technisch zu implementieren. Nachlässigkeiten oder Fehler in diesen Bereichen können dazu
führen, dass eine Ausweitung der Rechte und damit
ein Missbrauch stattfinden können.
13
Ausgabe 02/2016
Die Erfahrung mit modernem DRM/RMS steckt noch
in den Kinderschuhen. Es gibt weltweit nur wenige
grosse Installationen. Und dies auch noch nicht lange. Die Zukunft wird zeigen, ob sich mit diesem Ansatz die heutige Bedrohungslage in der Informationssicherheit adressieren lässt. Grundsätzlich ist
aber davon auszugehen, dass hier die nächste Generation von Zugriffsrechten bereitsteht.
Marc Ruef
[email protected]
+41 44 404 13 13
14
Ausgabe 02/2016
A N D R EA COV EL LO
DATENZENTRIERTE SICHERHEIT
DURCH DRM
Wenn die Sprache auf DRM kommt, dann kommen
mir die berühmten Worte aus dem Film The Matrix in
den Sinn, als Morpheus zu Neo sagte: “Leider kann
man niemandem erklären, was die Matrix ist. Man
muss sie selbst gesehen haben.” Man kann dem nicht
viel mehr hinzuführen. Aus diesem Grund werden
wir in diesem Beitrag aufzeigen, wie das Microsoft
Digital Rights Management Framework installiert
und konfiguriert wird. Das Framework besteht dabei
aus verschiedenen Komponenten, die ihrerseits separat angegangen werden müssen (siehe Tabelle
unten).
Das Grundprinzip der Architektur haben wir im Beitrag DRM/RMS – Die nächste Generation von Zugriffsrechten ausgiebig diskutiert.
Im Windows-Umfeld gibt es typischerweise drei
Möglichkeiten, wie digitale Daten durch kryptografische Mechanismen geschützt werden können:

Datenträgerverschlüsselung (BitLocker)

Dateisystemverschlüsselung (EFS)

Applikationsdatenverschlüsselung (RMS)
15
Ausgabe 02/2016
In der oben gezeigten Tabelle werden einige typische Szenarien unter Zuhilfenahme dieser Mechanismen zusammengestellt.
2.
Einstufen dieser Dateien zwecks Einschränkung (Klassifizierung: HIGH)
3.
Automatisiertes Durchsetzen der Zugriffsrechte auf klassifizierte Dokumente
(minimale Rechte zulassen)
4.
Öffnen der Dateien mit DRM-aktivierten
Anwendungen, um Daten auf der Basis der
Zugriffsrechte einsehen und ändern zu
können
Szenario
Gehen wir nun dazu über, einen typischen Use-Case
mit den von Microsoft bereitgestellten Technologien
umzusetzen. Wir werden auf der Basis von Windows
2012R2 eine Testumgebung realisieren, die folgende
Aspekte zu adressieren in der Lage ist:
1.
Identifizieren von vertraulichen OfficeDokumenten auf Freigaben (auf der Basis
ihrer Inhalte)
16
Ausgabe 02/2016
Voraussetzungen
Bevor wir beginnen können, müssen die folgenden
Voraussetzungen geschaffen werden:

Installation eines Windows Server 2012R2

Konfiguration dessen als Domain Controller und Einrichten einer Domain

Einen Benutzer zur Domain hinzufügen,
um mit diesem arbeiten zu können

Mit einem Windows-Client auf die Domain
zugreifen (Windows 7, 8 oder 10)

Installation von Microsoft Word auf dem
Client (MS Office 2010, 2013 oder 2016)

Optional: Ein Mailserver (nicht zwingend
MS Exchange)
Wir werden Windows Server 2012R2 als einzige Instanz für die gesamte Umgebung installieren. Es
wird sowohl als Dateiserver als auch als AD RMS
Server Cluster fungieren. Selbstverständlich wird in
einer produktiven Umgebung auf separierte Server
für diese Komponenten gesetzt. Dies bedeutet, dass
zusätzlich zur AD-Umgebung ebenfalls Folgendes
erforderlich ist (Mindestanforderung):

Dedizierter Dateiserver

Ein MS SQL Server (oder eine separierte
Datenbank-Instanz auf einem bestehenden
SQL-Server)

Zwei Server für den AD RMS Server Cluster
17
Ausgabe 02/2016
Installation FSRM
Ein einfacher weg, um die erforderlichen File Serviceszu installieren, ist das Ausführen dieses Skripts:
Install-WindowsFeature FS-Resource-Manager -IncludeManagementTools -Restart -Confirm
Mit dem Kommando Get-WindowsFeature kann geprüft werden, ob die Installation erfolgreich war:
[X]
[X]
[X]
[ ]
[ ]
[ ]
[ ]
[X]
[ ]
[ ]
[ ]
[ ]
[ ]
[X]
File and Storage Services
FileAndStorage-Services
File and iSCSI Services
File-Services
File Server
FS-FileServer
BranchCache for Network Files
FS-BranchCache
Data Deduplication
FS-Data-Deduplication
DFS Namespaces
FS-DFS-Namespace
DFS Replication
FS-DFS-Replication
File Server Resource Manager
FS-Resource-Manager
File Server VSS Agent Service
FS-VSS-Agent
iSCSI Target Server
FS-iSCSITarget-Server
iSCSI Target Storage Provider (VDS and V... iSCSITarget-VSS-VDS
Server for NFS
FS-NFS-Service
Work Folders
FS-SyncShareService
Storage Services
Storage-Services
Installed
Installed
Installed
Available
Available
Available
Available
Installed
Available
Available
Available
Available
Available
Installed
18
Ausgabe 02/2016
Danach kann der File Server Resource Manager im
Tools-Menu Server Manager Dashboard gestartet werden.
Stellen Sie sicher, dass der Test-Client Zugriff auf
den freigegebenen Ordner hat:
New-Item S:\group -type directory
New-SmbShare -Name group -Path "S:\group" -Description test
19
Ausgabe 02/2016
Konfiguration FCI

Die Baumansicht auswählen
Nun sehen wir uns in der Lage, die Eigenschaften für
die Dateiklassifizierung zu bestimmen. Um spezifische Daten erkennen zu können, benötigen wir zuerst eine Eigenschaft: In unserem Fall ist dies die
Vertraulichkeit (engl. Confidentiality). Seit Windows
Server 2012 stehen im Active Directory viele verschiedene Eigenschaften schon zur Verfügung, so dass
diese nur noch aktiviert werden müssen. Dies kann
über das Active Directory Administrative Center getan werden.

Dynamic Access Control anwählen

Resource Properties anklicken

Rechtsklick auf Confidentiality und aktivieren
Dies kann von nun an im FCI Management Interface
gesehen werden:
20
Ausgabe 02/2016
Bei den Eigenschaften können die entsprechenden
Werte angepasst werden, wobei wir aber in diesem
Beispiel bei den Standardeinstellungen bleiben.
Get-FsrmClassificationPropertyDefinition -Name Confidentiality_MS
AppliesTo
Description
: {Files, Folders}
: The Confidentiality property specifies the level of confidentiality of the resource,
and the potential impact of inadvertant access or disclosure.
DisplayName
: Confidentiality
Flags
: {Global, Secure}
Name
: Confidentiality_MS
Parameters
:
PossibleValue : {MSFT_FSRMClassificationPropertyValue, MSFT_FSRMClassificationPropertyValue,
MSFT_FSRMClassificationPropertyValue}
Type
: OrderedList
PSComputerName :
21
Ausgabe 02/2016
Rechtsklick auf Classification Rules. Auswählen von Create Classification Rule…
Scope: (wo muss geprüft werden) Aktivieren von
Group Files zur Automatisierten Prüfung der freigegebenen Ordner
Die Felder ausfüllen (in unserem Fall Confidentiality –
High)
22
Ausgabe 02/2016
Classification: Selektieren von Confidentiality in Properties und Auswählen von High in Value.
Konfigurieren der Parameter: Definieren von Mustern, nach denen gesucht werden soll. In unserem
Beispiel suchen wir nach der Zeichenkette secret
(case insensitive) und wählen Ok.
23
Ausgabe 02/2016
Get-FsrmClassificationRule -Name "Confidentiality - High"
ClassificationMechanism
ContentRegularExpression
ContentString
ContentStringCaseSensitive
Description
Disabled
Flags
LastModified
Name
Namespace
Parameters
Property
PropertyValue
ReevaluateProperty
PSComputerName
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
Content Classifier
{secret}
False
23.02.2016 16:58:44
Confidentiality - High
{[FolderUsage_MS=Group Files]}
{FSRMClearPropertyInternal=0}
Confidentiality_MS
3000
Never
Selektieren von Evaluation Type und auswählen von
Re-evaluate… / Overwrite… / Clear Automatically…
Die definierte Regel kann dann begutachtet werden
(siehe oben).
Die Einrichtung von FCI ist fast vollzogen. Jetzt muss
die Regel nur noch aktiviert werden, um die FSRMEigenschaften nutzen zu können:

Rechtsklick auf File Server Resource Manager
(Local)

Auswählen von Configure Options…

Auswählen des Tabs Automatic Classification
24
Ausgabe 02/2016
Hier kann nun ausgewählt werden, dass sowohl regelmässig (täglich in der Nacht) aber auch beim Erstellen einer Datei eine Prüfung stattfinden soll. Ein
Report diesbezüglich kann automatisch erstellt und
dem Administrator zugestellt werden, um die Nachvollziehbarkeit gewährleisten zu können.
Weitere Informationen zur Installation und Konfiguration von AD RMSsowie der Client-Anwendungen
finden sich im Online-Beitrag:
Andrea Covello
[email protected]
+41 44 404 13 13
http://www.scip.ch/?labs.20160310
25
Ausgabe 02/2016
STEFAN FRIEDLI
HTTPS BICYCLE ATTACK
EIN ÜBERBLICK
Grosse Probleme fangen meistens als kleine Probleme an. Und dann ist der beste Zeitpunkt, sie zu lösen. Diese Weisheit, die gemeinhin dem Gründer des
Taoismus, Lao Tzu, zugeschrieben wird, dürfte manchem bekannt vorkommen.
Doch Grössen stehen nicht nur im Zentrum von Lao
Tzu’s Lehren, sondern auch in Guido Vranken’s
jüngst veröffentlichtem Paper zur sogenannten
HTTPS Bicycle Attack. Simpel zusammengefasst stellt
Vranken fest, dass die Nutzung von Stromverschlüsselungen im Kontext von TLS-Verbindungen dazu
führt, dass die Grösse/Länge des Payloads durch das
Betrachten des Netzwerkverkehrs für einen Angreifer eruierbar ist. So versteckt die Verschlüsselung
zwar den Inhalt, lässt aber dessen Dimensionen und,
über mehrere Requests hinweg, deren Form durchblicken. Vranken wählte basierend darauf den Vergleich mit einem in Geschenkpapier eingewickelten
Fahrrads: Marke, Farbe und genaue Ausprägung
bleiben unbekannt; der Fakt, dass es sich um ein
Fahrrad handelt, ist aber vergleichsweise einfach
abzuleiten.
Die Problematik, dass die Länge von TLS-Payloads
nicht versteckt wird, ist nicht neu. Bereits im September 2013 veröffentlichte Alfredo Pironti von der
INRIA Paris-Rocquencourt einen Internet-Draft mit
dem Titel Length Hiding Padding for TLS Protocol, der
einige Methoden zum Verstecken der Länge mittels
entsprechender Mechaniken (zum Beispiel Range
Splitting) aufzeigt.
Neu an Vranken’s Paper ist allerdings der Versuch,
praktische Angriffsvektoren aus diesem Verhalten
abzuleiten. So demonstriert er in seinem Papier einen interessanten Ansatz, um die bekannten Längen
von Requests/Responses zum Fingerprinting von
bestimmten Seitenaufrufen zu nutzen. So führt der
Aufruf des Loginformulars der populären BloggingPlattform Wordpress zu insgesamt fünf Anfragen mit
individuellen Längen, die in einer bestimmten, statischen Relation zueinander stehen.
26
Ausgabe 02/2016
Vranken nutzt dann den Korrelationskoeffizienten
(nach Bravais und Pearson), um die obengenannte
Sequenz in einem Strom von Requests zu identifizieren. Ein interessanter Ansatz, zumal dabei eine relative Korrelation der einzelnen Grössen stattfindet:
Solange die Grössen im richtigen Verhältnis zueinander stehen, kann ein Angreifer so zum Beispiel genutzte Softwareprodukte und ähnliches eruieren
oder erweiterte Angriffe konzipieren. Statische Abweichungen, wie zum Beispiel ein deutlich längerer
User-Agent Header, sind daher irrelevant.
bachteten Requests die Länge des gewünschten Parameters, also in diesem Falle des Passwortes, ableiten.
In einem zweiten Szenario geht Vranken etwas weiter und zeigt auf, dass unter gewissen Bedingungen
die Länge eines unbekannten Faktors, wie zum Beispiel eines Passworts, eruiert werden kann. Dazu
muss der Angreifer aber den eingesetzten Browser
sowie die spezifische Ressource, die das Ziel des Angriffes sein soll, kennen. Kann ein Angreifer allerdings alle Header sowie weitere Drittdaten emulieren, dann kann er aus der Längendifferenz der beo-
Das letzte Beispiel, das in Vranken’s Paper Verwendung findet, geht von einer Applikation aus, die regelmässig die aktuelle Position des Ziels in Form von
GPS-Koordinaten über eine SSL-verschlüsselte HTTP
Verbindung sendet. Durch das passive Beobachten,
so Vranken’s Annahme, könnten die Bewegungen
des Ziels zumindest grob nachvollzogen werden.
Dieser Angriff scheint, in der Form wie ihn Vranken
schildert, nur begrenzt praxisfähig und hätte durch
heute gängige flankierende Massnahmen (Account
Lockouts etc.) auch nur wenig kritische Implikationen. Obwohl natürlich die Kenntnis der Passwortlänge den benötigten Effort für eine Brute-Force Attacke massiv reduzieren würde.
27
Ausgabe 02/2016
Beträgt die Summe von Zeichen in den Parametern
für Längen- und Breitengrad exakt zwei (2), so kann
davon ausgegangen werden, dass sich das Ziel an
einer Örtlichkeit in der Umgebung von Kamerun
oder dem Kongo befindet. Erhöht sich die Summe
der Zeichen plötzlich auf drei (3), so hat sich das Ziel
entweder gegen Norden oder Osten verschoben. Die
Praktikabilität dieses Angriffs hat jedoch seine Grenzen: Bei einer Erhöhung der Zeichensumme auf vier
(4), sind fast alle Himmelsrichtungen als mögliche
Optionen denkbar.
Ungeachtet dessen: Im Hinblick darauf, dass diese
Analyse gänzlich passiv und damit ohne jegliches
Einwirken auf den Verkehr stattfinden könnte, muss
die Frage gestellt werden, ob hier nicht Potenzial im
Bereich flächendeckender Verkehrsanalyse vorhanden wäre.
Kurz zusammengefasst heisst das:
1.
Ein Angreifer mit Zugriff auf den Netzwerkverkehr des Ziels kann mittels gezielter
Korrelation zwischen einzelnen RequestLängen feststellen, ob spezifische Webseiten und/oder Webapplikationen genutzt
werden.
2.
Ein Angreifer mit Kenntnis der Zielressource und des eingesetzten Browsers auf
Seiten des Benutzers kann mittels Beobachtung des Traffics die Längen unbekannter Faktoren ableiten (z.B. Passwort).
3.
Ein Angreifer mit Kenntnis eines Geolocation-Dienstes kann durch Analyse der Anzahl
Zeichen in den Parameterfeldern für Längen- und Breitengrad die Position des Ziels
und mutmassliche Bewegungsdaten eruieren.
28
Ausgabe 02/2016
Generell stellt sich allerdings die Frage, wie weit verbreitet hier Angriffsspielraum überhaupt vorhanden
ist. Zum Zeitpunkt dieses Artikels im Frühjahr 2016
ist der Einsatz von Stromchiffren eher unpopulär,
bedingt durch die Probleme mit RC4. Zumindest bis
Salsa20 breite Verwendung findet, dürften sich die
Risikoszenarien daher eher auf Fälle beschränken, in
denen Blockchiffren aus Performancegründen als
Stromchiffren genutzt werden (Galois/Counter).
Ungeachtet dessen wäre eine mögliche Lösung des
Problems einfach zu bewerkstelligen: Request Padding. So könnten Webapplikationen jeder Anfrage
mit einem dynamischen, schützenswerten Feld, einen Buffer mitgeben, der die Anfrage auf eine uniforme Grösse aufbläht und so die Analyse auf obengenannter Basis unmöglich macht.
Oder, um Vranken’s Analogie weiterzuspinnen: Wer
nicht möchte, dass sein Geschenk als Fahrrad erkannt wird, verpackt es optimalerweise in einer
Holzkiste.
Stefan Friedli
[email protected]
+41 44 404 13 13
29
SICHERHEIT EXISTIERT NUR IM MOMENT.
UND DIESER WEICHT DER ZUKUNFT.
Bildquelle: Wikimedia Commons
Ausgabe 02/2016
V UL N ER A B I L I T Y S UM M A RY
TOP SCHWACHSTELLEN
DES AKTUELLEN MONATS
1
2
3
4
MICROSOFT INTERNET EXPLORER CSS TOKEN SEQUENCE CATTRARRAY PUFFERÜBERLAUF
http://vuldb.com/?id.81307
In Microsoft Internet Explorer bis 7/8/9/10/11, ein Webbrowser, wurde eine kritische Schwachstelle entdeckt. Betroffen ist die Funktion CAttrArray der Komponente CSS Token Sequence
Handler. Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines
alternativen Produkts bietet sich im Zweifelsfall an.
MICROSOFT WINDOWS USB MASS STORAGE CLASS DRIVER PUFFERÜBERLAUF
http://vuldb.com/?id.81279
Es wurde eine Schwachstelle in Microsoft Windows bis Server 2012 R2, ein Betriebssystem, entdeckt. Sie wurde als kritisch eingestuft. Betroffen hiervon ist eine unbekannte Funktion der
Komponente USB Mass Storage Class Driver. Die Schwachstelle lässt sich durch das Einspielen
des Patches MS16-033 lösen. Dieser kann von technet.microsoft.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle.
Microsoft hat nachweislich sofort gehandelt.
GOOGLE CHROME 49.0 FAVICON HANDLER USE-AFTER-FREE PUFFERÜBERLAUF
http://vuldb.com/?id.81167
Eine kritische Schwachstelle wurde in Google Chrome 49.0 gefunden. Dies betrifft eine unbekannte Funktion der Komponente Favicon Handler. Ein Aktualisieren auf die Version
49.0.2623.75 vermag dieses Problem zu lösen. Eine neue Version kann von chrome.google.com
bezogen werden. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Google hat demzufolge unmittelbar gehandelt.
GOOGLE ANDROID BIS 4.4.3/5.0.1/5.1.0 MEDIASERVER PUFFERÜBERLAUF
http://vuldb.com/?id.81288
Es wurde eine kritische Schwachstelle in Google Android bis 4.4.3/5.0.1/5.1.0 entdeckt. Dabei
betrifft es eine unbekannte Funktion der Komponente Mediaserver. Ein Upgrade auf die Version 4.4.4, 5.0.2, 5.1.1, 6.0 oder 6.0.1 vermag dieses Problem zu beheben. Das Erscheinen einer
Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Google hat
unmittelbar reagiert.
31
Ausgabe 02/2016
VULNERABILITY LANDSCAPE
AKTUELLE STATISTIKEN
AUS UNSERER VULDB
MEISTBETROFFENE PRODUKTE IM VERGANGENEN MONAT
VERLAUF DER SCHWACHSTELLEN DER VERGANGENEN 12 MONATE
100%
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
sehr kritisch
2015 2015 2015 2015 2015 2015 2015 2015 2015 2015 2016 2016 2016
-3 -4 -5 -6 -7 -8 -9 -10 -11 -12 -1 -2 -3
7 10 0
0
1
0
0
1
1
1
4
3
0
kritisch
241 292 219 258 287 359 354 394 174 416 311 171 157
problematisch 284 279 210 331 336 301 290 433 180 226 444 198 89
Datenquelle: http://www.scip.ch/?vuldb
32
Ausgabe 02/2016
S CI P M ON T H LY S ECUR I T Y S UM M A RY
IMPRESSUM
ÜBER DEN SCIP MONTHLY SECURITY SUMMARY
Das scip Monthly Security Summary erscheint monatlich und ist kostenlos.
Anmeldung: [email protected]
Abmeldung: [email protected]
Verantwortlich für diese Ausgabe:
Stefan Friedli / Marc Ruef
Eine Haftung für die Richtigkeit der Veröffentlichungen kann trotz sorgfältiger Prüfung durch die Redaktion des Herausgebers, den Redaktoren und Autoren nicht übernommen werden. Die geltenden
gesetzlichen und postalischen Bestimmungen bei
Erwerb, Errichtung und Inbetriebnahme von elektronischen Geräten sowie Sende und Empfangseinrichtungen sind zu beachten.
ÜBER DIE SCIP AG
Wir überzeugen durch unsere Leistungen. Die scip
AG wurde im Jahr 2002 gegründet. Innovation,
Nachhaltigkeit, Transparenz und Freude am Themengebiet sind unsere treibenden Faktoren. Dank
der vollständigen Eigenfinanzierung sehen wir uns
in der sehr komfortablen Lage, vollumfänglich herstellerunabhängig und neutral agieren zu können
und setzen dies auch gewissenhaft um. Durch die
Fokussierung auf den Bereich Information Security
und die stetige Weiterbildung vermögen unsere
Mitarbeiter mit hochspezialisiertem Expertenwissen
aufzuwarten.
Weder Unternehmen noch Redaktion erwähnen
Namen von Personen und Firmen sowie Marken von
Produkten zu Werbezwecken. Werbung wird explizit
als solche gekennzeichnet.
scip AG
Badenerstrasse 623
8048 Zürich
Switzerland
+41 44 404 13 13
www.scip.ch
33

Download Report