Corporate Security, Traffic Monitoring and SSL Privacy

Einmal mehr einige grundsätzliche Überlegungen.

Jeder der derzeit ein wenig mehr mit dem Internet zu tun hat, merkt dass sich die Dinge wandeln – nicht zum Guten. Wenn man vor 20 Jahren mit machen wollte, kam man weitestgehend noch ohne Sicherheitsmaßnahmen aus. Heute ist das undenkbar.

Wie schlimm es eigentlich ist, bleibt jedoch den meisten Menschen verborgen. Nicht weil sie nicht betroffen wären, im Gegenteil, aber sie sind nicht mehr interessant und die Zeit in der Malware mit der Schrotflinte verschossen wurde, neigt sich dem Ende zu. Dass die Verschlüsselungs- Trojaner (z.B.) nicht mehr mehr arglose Home- User erwischen liegt im Wesentlichen daran, dass hier im Verhältnis zum Aufwand und dem Risiko auch wirklich Ärger zu kriegen, der Ertrag nicht mehr stimmt.

Schadsoftware ist ein einträgliches Geschäft geworden. Ein Geschäft, das besser läuft, wenn nicht allzu viel Aufmerksamkeit darauf gelenkt wird. Ein Geschäft, für das nicht mehr zwangsläufig technische Finesse ausschlaggebend ist, sondern Investitionen, die sich natürlich auch amortisieren sollen. …

Was hat sich also geändert. Heute werden professionelle Angriffs- Softwarepakete nicht nur von den einschlägigen Geheimdiensten, sondern auch von professionellen “Sicherheits- Unternehmen” hergestellt. In Deutschland wäre das strafbar, in anderen Ländern ist es nicht einmal der Erwerb der Produkte, sondern frühestens deren Benutzung.

Diese Frameworks – Entwicklungsumgebungen erlauben es maßgeschneiderte Angriffs- Werkzeuge mit wenigen Mausclicks zu erzeugen. Diese verteilen sich dann über Phishing Methoden im Internet, nach wie vor ein beliebter “Angriffsvector” sind dabei eMails. Natürlich versucht man über käufliche Adress- oder IP- Listen so nahe wie möglich an ein lohnendes Ziel heran zu kommen.

Oder für ein bekanntes Szenario verteilt man Virus– artig Schläfer- Programme die zunächst ein Profil der Anwender erzeugen und erst nachdem klar wurde, dass der Angriff lohnt, werden die Schadroutinen nach geladen, unter Umständen erst nachdem sie in obigem Framework auf den individuellen Anwender angelegt wurden.

Botnetze der Framework- Anbieter erlauben dabei die gezielte Steuerung der Software- Pakete und sogenannte Command and Control Server erlauben den Schädlingen das Telefonat nach Hause, wo sie sich neue Befehle abholen.

Wer das für Science Fiction hält, dem sei der letzte Angriff auf ein deutsches Stahlwerk ein Beispiel oder auch die verschiedenen Attacken auf die Postbank, die hier immerhin offen, professionell und in vorbildlicher Weise mit dem Thema um geht und bisher den Schaden für ihre Kunden abwenden konnte – jedoch erst nachdem er in einigen Fällen entstanden war.

Warum schreibe ich das Ganze? Weil ich mich im letzten Jahr wieder mehr mit IT- Sicherheit beschäftigen durfte. In dem Jahr sind mir ein Botnetz, zwei geglückte Spear Phishing Attacken, zwei Verschlüsselungstrojaner und ca. 60.000 Versuche zur Identifikation von Angriffspunkten pro Tag untergekommen. von den Schwachstellen und Viren ganz zu schweigen. Alle diese Angriffe sind in privaten, nicht gerouteten Netzwerken, hinter Firewalls und auf aktuell Viren- geschützten Systemen erfolgt.

Wer also sagt, er ist zu Hause und hat einen aktuellen Virenscanner, der lebt in einer Traum- Welt, denn in den heutigen Angriffsszenarien ist es zu spät, wenn der Virenschutz an schlägt. So ist dann auch der Vizepräsident von Symantec – dem Hersteller des Antivirenprodukts Norton – Brian Dye zu verstehen wenn er gegenüber dem Wallstreet Journal äußert “Antivirus is dead.

Typischerweise verstehen die o.g. Werkzeuge alle gescheites Tunneling, wie es auch z.B. Skype oder Team Viewer sehr erfolgreich zu großem Nutzen breiter Anwender- Gruppen praktiziert. Die Schadsoftware analysiert, welche Kommunikationswege im Netzwerk erlaubt sind und lädt üblicherweise über SSL verschlüsselt, das als  gängiger Sicherheitsmechanismus überall erlaubt wird, die eigentlich schädliche Software an allen Sicherheits- Vorkehrungen vorbei nach. So einfach ist das.

Die Konsequenz ist, dass SSL- Verschlüsselung nicht mehr als Sicherheits- Mechanismus, sondern als mit Misstrauen zu betrachtender Angriffsvektor an zu sehen ist.

Sowohl das Tunneling als auch SSL- Verschlüsselung erfordern ein komplettes Umdenken im Bereich der Sicherheitsarchitektur von Netzwerken. Zum Thema Anwendungs- Erkennung und Application Firewalling habe ich vor einiger Zeit schon einmal gepostet.

Darüber hinaus sollte man in privaten Netzen versuchen SSL auf zu brechen und in die Verkehrsanalyse mit ein zu beziehen. Dafür bedarf es einiger Voraussetzungen.

Zum Einen einer zentralen – privaten Public Key Infrastruktur. Da SSL- Verschlüsselung auf Zertifikaten auf baut und heute jedes System und jeder Anwender schon mit entsprechenden Zertifikaten und auch Vertrauensstellungen ausgestattet ist, lohnt es sich diese hier auch zentral zu verwalten und mit einer privaten, Netzwerk- internen Zertifizierungsstelle ab zu sichern. Diese kann sogar mit öffentlichen Zertifikaten aus gestattet sein und insofern vertrauenswürdig Zertifikate ausstellen. Microsoft Active Directory bringt solche Dienste mit sich, andere Zertifikat- Manager durchaus auch.

Zum Anderen eines Policy Enforcement Point – einer Stelle an der aller Datenverkehr vorbei muss. Oft sind das transparente Zwangs Proxies oder Content Filter z.B. vom Schlage Bluecoat.

Dies erzwingt die Pflege mehrerer Regelsätze, das heißt auf Routern und Firewalls muss ich die Regeln, welche die Anwendungs- abhängige transparente Weiterleitung erzwingen auch hinterlegen. Dazu kommen die Regeln und Einstellungen auf den Proxy- Systemen. Router die so etwas können sind nicht eben billig und die Proxies müssen ebenfalls bereit gestellt werden.

Eine andere Variante ist tatsächlich auch hier der Einsatz von Anwendungs basierenden Firewalls, wie sie mir derzeit nur Palo Alto und Adyton bekannt sind. Hier kann auf Basis der internen PKI Zertifizierung ein System- Zertifikat erstellt werden mit dem der Datenverkehr nach außen in Erscheinung tritt und die legalen Datenverbindungen auf baut. Dabei wird Anwender- Verschlüsselung beim Initialisieren des Tunnels abgefangen, auf Grund der internen Vertrauensstellungen Anwender- transparent durch die Firewall- Verschlüsselung ausgetauscht. Das wiederum erlaubt der Firewall die Anwendungs- Analyse der verschlüsselten Tunnel und die Identifikation von Schadcode.

Mit der Firmware Version 6.1.0 hat dabei Palo Alto auch explizit die Kategorie eMail – link als Element in der Security Policy eingeführt, die erlaubt Spear Phishing gezielt zu unterbinden.

Schade dass es so weit kommen muss und der tägliche Wahnsinn hat hier ja auch leider Methode. Aber die Maßnahme hat sich in den letzten Monaten als vergleichsweise Effektiv heraus gestellt.

Kyp.F.

p.s. Der lokale Virenschutz sowie die Windows Firewall ist heutzutage trotzdem keine schlechte Idee – schließlich schützt es noch vor den vielen alt her gebrachten Schad- Softwaren.

p.p.s. Ich bin fast so weit auch zu Hause gescheite Firewalls und kommerziellen Virenschutz ein zu setzen, da die o.g. Beobachtungen zu einem großen Teil auch aus dem privaten Bereich kommen. Alleine ab meinem Privatanschluss laufen pro Tag ca 6.000 “Probes” – also Prüfungen auf Schwachstellen – von außen auf.

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.