News

Seit dem 3. Februar 2018 ist CERT@VDE ein akkreditiertes Mitglied bei Trusted Introducer.
Über Trusted Introducer organisieren CERTs weltweit die vertrauensvolle Kommunikation und Zusammenarbeit. Um vom gelisteten Team zum akkreditierten Mitglied zu werden, muss ein CERT gegenüber den anderen akkreditierten Mitgliedern Informationen zu seinen Richtlinien und Prozessen offenlegen. Es muss sich verpflichten, einige in der CERT-Community entwickelte De-facto-Standards zu beachten, z.B. das Information Sharing Traffic Light Protocol (TLP) , und den TI CSIRT Code of Practice (CCoP) einzuhalten.

Update A, 6.3.2018

Die zugehörige Pressemitteilung ist hier verfügbar.

Auf der Grundlage der NIS-RL von 2016 hat das EU-Parlament nun einen weiteren und erheblichen Schritt in Richtung einheitlicher und flächendeckender Cybersicherheit in der Europäischen Union getan...
Den kompletten Artikel als PDF zum Download:

Neuer Verordnungsentwurf für ein einheitliches europäisches IT-Sicherheitsnetzwerk

Dennis-Kenji Kipker, MMR -Aktuell 2017, 395945

Am 13.12.2017 berichteten die Security-Researcher von Dragos von einer neuen Malware namens "TRISIS", die sich gegen Triconex Controller der Firma Schneider Electric richtet. Seit dem 24.12.2017 ist diese zu einem Großteil öffentlich verfügbar.
Wir möchten an dieser Stelle eine aktualisierte Timeline bereitstellen:

13.12.2017: Meldung von Dragos, Malware-Codename: TRISIS

14.12.2017: Meldung von Fireeye, Malware-Codename: TRITON

18.12.2017: Analyse des US-CERT, Malware-Codename: HATMAN

24.12.2017: Veröffentlichung des decompilierten Codes und der Original Samples auf mehreren Websites.

Gestern sind zwei kritische Schwachstellen in nahezu allen modernen Prozessoren allgemein bekanntgeworden. Welche Auswirkungen hat dies für die Zielgruppe des CERT@VDE?
Vorab die gute Nachricht: die Schwachstellen haben zwar kritische Auswirkungen auf die Sicherheit von Mehrbenutzersystemen und besonders auch von Cloud-Anwendungen, die meisten ICS-Komponenten können jedoch nicht durch diese Schwachstellen allein kompromittiert werden.

Bei beiden Schwachstellen wird über einen sogenannten Side-Channel-Angriff der Schutz von Kernel-Daten ausgehebelt, wodurch ein Prozess Informationen bekommt, auf die er normalerweise keinen Zugriff hätte. Es ist jedoch für einen erfolgreichen Angriff notwendig, beliebigen Code auf dem jeweiligen Prozessor ausführen zu können. Solange ein Benutzer dies nicht kann, weil er keinen Shell-Zugriff auf das System hat, kann der Angriff nicht durchgeführt werden (siehe hierzu auch die Meldung bei Heise ).

CERT@VDE rät daher allen Anwendern, ihre eigenen Clients (sei es ein Laptop, ein Tablet oder ein Smartphone) auf dem aktuellen Patchlevel zu halten und vor allem auch den eingesetzten Browser zu aktualisieren . Systemadministratoren sollten vor allem Server, auf denen Benutzer Shell-Zugriff haben, mit hoher Priorität patchen. Wenn Sie Cloud-Dienste einsetzen, dann erkundigen Sie sich bei Ihrem Anbieter, welche Schritte dieser unternimmt!

Wir beobachten die Lage aufmerksam. Zum Zeitpunkt der Veröffentlichung dieser Meldung lagen uns keine Hinweise zu ICS-Komponenten vor, die aufgrund von Meltdown oder Spectre unmittelbar für Angriffe anfällig sind. Sollte sich dies ändern, werden wir zu gegebener Zeit entsprechende Advisories veröffentlichen.

Dieser Frage geht der Rechtsanwalt Philipp Reusch in einem Artikel für die Zeitschrift LEAD digital nach.

Von www.reuschlaw.de :

„Mit jedem vernetzten Kühlschrank oder Auto wächst die Gefahr vor Hackerangriffen. So faszinierend das "Internet of Things" auch ist, so viele Gefahren birgt es auch. Insbesondere in Sachen Produkthaftung ist man hier allerdings nicht hilflos ausgeliefert. Philipp Reusch berichtet in einem Gastartikel in der aktuellen Ausgabe der Zeitschrift LEAD digital über die Implementierung effektiver Security-Konzepte!“

Forscher haben kritische Lücken im WLAN-Sicherheitsstandard WPA2 entdeckt.
Mehrere Sicherheitslücken im Handshake des WPA2-Protokolls bedrohen die Sicherheit von WLAN-Netzen. Bei Verwendung von AES-CCMP können Pakete entschlüsselt werden (wodurch es z.B. möglich ist, TCP-SYN-Pakete zu belauschen, um eine Verbindung zu übernehmen). Wird das veraltete Protokoll TKIP verwendet, sind die Auswirkungen deutlich schwerwiegender, da sich zusätzlich auch gefälschte Pakete einschleusen lassen. Für Clients, die Android 6.0 oder wpa_supplicant unter Linux verwenden, sind die Auswirkungen katastrophal, da hier ein Schlüssel erzwungen werden kann, der nur aus Nullen besteht. Abfangen und Manipulieren des Traffics eines solchen Clients wird dadurch trivial.

Die Schwachstellen mit der Bezeichnung Key Reinstallation Attacks (KRACK) wurden unter www.krackattacks.com veröffentlicht. Bei Heise findet sich eine deutschsprachige Meldung zum Thema.