Begabte Security-Forscher veröffentlichen einen Exploit in unter 24 Stunden – Alexander Busse
Am 26. Januar 2021 fand die job I/O mit einem Special zum Consulting statt. Beim Virtual Job Event von get in IT berichteten Experten aus der IT-Branche von ihren Erfahrungen aus der Praxis, gaben Tipps für Deinen Job-Einstieg und beantworteten Deine Fragen im Live-Chat.
Mit am Start war Alexander Busse von PwC mit seiner Live-Session zu Cybersecurity. Darin erhieltst Du einen Einblick, wie Hacker es in der Vergangenheit geschafft haben, Sicherheitslücken in Solarwind auszunutzen. Sie bekamen so Zugriff auf Netzwerke von Unternehmen wie Microsoft und Nvidia. Er zeigte Dir zwei Methoden, mit denen sich Unternehmen vor ähnlichen Cyberattacken schützen.
Du hast den Deep Dive verpasst? Hier kannst Du Dir die gesamte Session noch einmal in Ruhe ansehen und wir fassen für Dich unsere Highlights zusammen.
Hier siehst Du die Session in voller Länge:
Speaker Alexander Busse von PwC erklärte im Deep Dive wie Hacker über das Update-System in Firmen-Netzwerke eindringen konnten. Er stellte zwei Ansätze vor, wie sich Unternehmen vor einer solchen Cyberattacke schützen.
Speaker
Unternehmen
Hackerangriffe nehmen zu: Ein tägliches Problem für viele Unternehmen
Softwareentwicklung ist teuer und erfordert Spezialisten. Heute müssen alle Anwendungen sicher sein – von der Planung bis zur Programmierung – allein schon wegen des Datenschutzes. Eine Herausforderung ist der Zeitdruck, unter dem die Entwickler arbeiten. Sobald die Funktionalität der Software steht, wird sie schnellstmöglich ausgeliefert.
Ausgiebige Sicherheitstest haben dadurch eine Deadline und manche Sicherheitslücken bleiben bei der Auslieferung unentdeckt.
Sicherheitslücken treten aber auch dann auf, wenn Software in einem Kontext genutzt wird, für den sie nicht ausgelegt ist. Das können beispielsweise Standalone-Systeme sein, die Maschinen steuern und nun ins Netzwerk integriert werden. Dadurch erhalten sie Internetzugriff, bekommen aber gleichzeitig keine Patches. Mit der zunehmenden Vernetzung tritt dieses Problem immer häufiger auf.
Ein weiteres Problem sieht Alexander Busse bei Software-Prototypen, die z.B. von Startups zur Deadline unfertig ausgerollt werden und dann Sicherheitsmängel aufweisen. Sie müssen zur Deadline unfertig ausgerollt werden und weisen dann Sicherheitsmängel auf. Es werden etwa Nutzerdaten geleakt und das Vertrauen in die Software schwindet. So kann das gesamte Geschäftsmodell unter den Sicherheitslücken zusammenbrechen.Es ist wichtig, die Security bei der Softwareentwicklung gleich von Anfang an im Konzept mitzuberücksichtigen. – Alexander Busse
Programmfehler beheben Software-Unternehmen, indem sie Patches veröffentlichen. Ab diesem Moment sehen Hacker, welche Fixes es gegeben hat. Sie können mittels Reverse Engineering einen Exploit schreiben, der die Sicherheitslücken in noch ungepatchten Systemen gezielt ausnutzt. Cyberkriminelle schaffen das innerhalb von 24 Stunden, während Unternehmen oft mehrere Wochen brauchen, um Patches in ihrem Netzwerk auszurollen.
Wie sich die Malware des Solarwinds-Hacks verteilt hat
Die Hacker nutzten einen Supply-Chain-Angriff. Software kann bereits schadhaft ausgeliefert werden. Anwender und Virenscanner erkennen oft die unseriösen Programme. Deswegen verstecken Cyberkriminelle ihren Schadcode in Updates für seriöse Software – so auch bei Solarwinds. Beim Download der Updates gelangten die Trojaner auf die Rechner der Kunden und breiteten sich im Netzwerk weiter aus. Die Kunden konnten die Malware nicht erkennen, da sie als Update getarnt und entsprechend signiert war. So umgingen sie auch die Virenscanner. Eine Veränderung des bestehenden Sourcecodes war nicht nötig.
Nach der Installation hat der Trojaner eine Backdoor geöffnet und sich bei einem Server gemeldet. Im nächsten Schritt griff ein Hacker manuell auf die Rechner des Unternehmens zu. Von dort aus konnte er auf Informationen zugreifen und eine weitere Verbreitung oder einen Datendiebstahl planen.
Wie sich der Datenklau mit Zero Trust und DevSecOps verhindern lässt
Unternehmen haben Schwierigkeiten, unerwünschte Software in ihrem Netzwerk zu erkennen. Die Strukturen sind darauf ausgelegt, Anwendungen und Daten innerhalb des Netzwerkes als sicher und vertrauenswürdig anzuerkennen. Diese festen Perimeter gibt es heute nicht mehr. Home-Office, mobile Geräte und cloudbasierte Anwendungen lassen diese festen Grenzen nicht mehr zu.
Mit dem Zero Trust-Ansatz soll sich eine Malware nur noch schwer im Netzwerk des Unternehmens ausbreiten können. Anstatt den Vorgängen innerhalb des Netzwerkes zu vertrauen, gibt es unterschiedliche Kontrollmechanismen: Benutzer und Geräte müssen sich im Netzwerk identifizieren. Der Zugriff auf Dateien und Services wird ebenso überwacht wie das Verhalten von Geräten. Auch Remotezugriffe werden ausgewertet.
Ein anderer Ansatz sind die DevSecOps. Hier werden die DevOps, also die Softwareentwicklung und der IT-Betrieb, an die IT-Sicherheit gebunden. Die Bereiche teilen sich die Verantwortung. Entwickler, Release-Ingenieure und Sicherheitsteams arbeiten eng zusammen. Sie schaffen eine sichere Infrastruktur, die über eine Qualitätssicherung verfügt. Isolierte Systeme, auf denen ein Update-Build beeinflusst werden könnte, gibt es dort nicht.
- 00:30 – PwC wird vorgestellt
- 01:40 – Das Cybersecurity-Dilemma
- 02:50 – Warum Software unsicher ist
- 04:40 – Hacker nutzen Patches aus
- 06:25 – Der Solarwinds-Hack
- 08:10 – So verteilte sich die Schadsoftware
- 11:30 – Angriffe erschweren mit Zero Trust
- 17:40 – Sicherheitslücken vermeiden durch DevSecOps
- 19:00 – Fragen aus dem Live-Chat
