Forensic Investigations / Fi Blog

Fi Blog

it-sa - Die IT-Security-Messe

Auch dieses Jahr besuchten wir wieder die it-sa IT-Security-Messe in Nürnberg. Die Messe ist im Vergleich zu den Vorjahren enorm gewachsen und entsprechend in die wesentlich größere Halle 12 umgezogen. Sowohl bei Ausstellern als auch Besuchern hat die Internationalität im Vergleich zu den Vorjahren stark zugenommen. Die it-sa wurde vom SecuMedia Verlag ins Leben gerufen und in Ihrem nunmehr dritten Jahr von der Nürnberg Messe übernommen.

Nürnberg Messe

Parallel zur it-sa fanden noch die Messen POWTECH (Internationale Fachmesse für Mechanische Verfahrenstechnik), TechnoPharm (Internationale Fachmesse für Life Science Prozesstechnologien) sowie der INDEX Safety Congress und der CleanRoomCongress statt.

Freundlicherweise hat mich der SecuMedia Verlag auf die it-sa eingeladen, der dort seine neue Publikation "Informationsdienst SCADA-Sicherheit - IT-Security für Systeme der Automatisierungs-, Leit- und Steuertechnik " erstmals präsentierte, für die ich auch einen Beitrag verfasst habe .

Gleich zu Beginn besuchte ich den Workshop "IT-Security industrieller Netzwerke", der Insidern jedoch nichts wirklich Neues bieten konnte.

Neben diversen Terminen und Standbesuchen habe ich mir einige der Vorträge in den Foren angesehen. Neben Forum "Blau" (Technik) und Forum "Rot" (Management) gab es dieses Jahr erstmals zusätzlich ein Auditorium mit Sonderveranstaltungen, die aber teilweise nur mäßig besucht waren. Konzeptionell ermöglichte das Auditorium mit variablen Vortragslängen jedoch detailiertere Eröterung eines Themas als die Foren, bei denen die Beiträge fast ausnahmslos auf nur 15 Minuten beschränkt waren. Dementsprechend hatten die Referenten wenig Möglichkeiten, in die Tiefe zu gehen, was sich der eine oder andere fachkundige Besucher sicher gewünscht hätte.

Zu den Keyspeakern zählte Dr. Taher Elgamal, Bundesinnenminister Dr. Hans-Peter Friedrich hielt beim MesseCampus die Keynote.

Hier geht's entlang

Dr. Hans-Peter Friedrich bei seiner Keynote (c) Messe Nürnberg/Thomas Geiger

Das BSI präsentierte sich mit einem großzügigen Stand

Ari Takanen von Codenomicon: "Security for the Internet of Things"

Weitere Impressionen von der Messe finden Sie in der nachfolgenden Bildergallerie.

Weitere Bilder finden Sie auch beim Presse-Service der it-sa .


TrendMicro hat das Stuxnet Scanner Tool herausgegeben , des es ermöglicht, mit dem Wurm infizierte Rechner im Netzwerk aufzuspüren. Es täuscht dazu einen Stuxnet-infizierten Rechner vor und verwendet reproduzierte Remote Procedure Call Anfragen, wie sie Stuxnet normalerweise nutzt, um andere Rechner im Netz mit aktualisiertem Schadcode zu versorgen. Ein infizierter Rechner antwortet auf diese Anfragen und kann dadurch entlarvt werden.

Finally still not really 0wning Stuxnet

Optimal ist diese Vorgehensweise dennoch nicht, da eine manuelle Entfernung des Virus nach wie vor nötig ist. Unter dem Arbeitstitel "0wning Stuxnet" haben wir hier schon länger ein Konzept erdacht, dass Stuxnet im Netzwerk ein Update zu dessen Konfigurationsblock schicken sollte, der neue Command & Control Server beinhaltet, die unter Kontrolle des betroffenen Anwenders stehen.

Über diese Command & Control Infrastruktur wäre es dann möglich gewesen, Stuxnet infizierten Rechnern im Netzwerk direkt einen Code-Block zu schicken, der Stuxnets interne Deinstallationsroutine aufruft. Dadurch hätte man Stuxnet quasi mit seinen eigenen Waffen geschlagen und eine Selbstzerstörung des Botnets ausgelöst.

Aufgrund mangelnder Ressourcen haben wir das jedoch nie realisiert, da wir als neutrale, unabhängige und objektive Sicherheitsforscher keinerlei Unterstützung durch den betroffenen Hersteller SIEMENS AG erhalten.

Kollektives Versagen oder mangelnde Koordination?

Unklar bleibt, warum die großen AV-Hersteller oder SIEMENS nicht etwas derartiges realisiert haben, Ressourcenmangel kann hier ja wohl kaum der Grund sein.

Symantec gar hat hier die Command & Control Server schon seit mindestens Juli in der Hand, da ich aber die Kollegen nicht ungerechtfertigt kritisieren will, werfe ich lediglich die Frage auf, ob die auf einem solchen Server generierten Daten nicht der Allgemeinheit gehören und allen Sicherheitsforschern zu Verfügung stehen sollten, statt einem einzigen Wirtschaftsunternehmen zum alleinigen Vorteil zu dienen. In jedem Fall stellt sich aber die Frage, ob die Bekämpfung einer solchen Seuche nicht generell besser koordiniert werden sollte; an dieser Stelle sind wohl internationale Anstrengungen erforderlich.

Letzlich lassen sich Stuxnet-infizierte Rechner auch aufspüren, in dem man die DNS-Auflösung mitprotokolliert. Infizierte Rechner versuchen früher oder später, die Domains www.mypremierfutbol.com und/oder www.todaysfutbol.com aufzulösen und eine Verbindung zur entsprechenden IP herzustellen.


Da ich in letzter Zeit zum Thema Sicherheit so oft höre, "wir haben doch Virusscanner und Firewalls", möchte ich hier einmal grob auf den Themenkomplex Netzwerksicherheit/Firewalls eingehen und mit ein paar Mythen aufräumen. Zum Thema Virenscanner hatte ich ja bereits hier berichtet.

Das Hype-Thema der diesjährigen it-sa schlechthin waren die sogenannten "Advanced Evasion Techniques " (AETs), die in der Lage sind, fast alle Firewalls und Intrusion Detection Systeme auszuhebeln. Hype deshalb, weil viele dieser Techniken in Security-Kreisen längst bekannt sind, wie auch heise online im Artikel "Alarmanlagen fürs Netz weitgehend nutzlos " zu Recht anmerkt.

Dennoch ist die Kernaussage wahr, viele dieser Systeme lassen sich durch verschiedenste Tricks überlisten. Längst gibt es entsprechende Frameworks, die solche Techniken auf TCP/IP Ebene umsetzen und einfach nutzbar machen. Ist das verwendete System einem Angreifer zudem bekannt, kann dieser bequem vorher ausprobieren, ob es Alarm schlägt und wie das umgangen werden kann.

Statt Alarme zu vermeiden könnten diese ebenso auch in großer Zahl gezielt ausgelöst werden, damit der eigentliche Angriff durch all diese 'Nebelkerzen' nicht mehr oder nur noch schwer erkennbar ist.

Die Krux für Firewalls mit Content Filtern oder Intrusion Detection Systeme ist grundsätzlich, dass diese lediglich auf nicht zugelassene Protokolle/Quellen/Destinationen oder bekannte Signaturen reagieren und entsprechend einen Angriff melden können. Dies ist analog zu Antivirus-Produkten , die auch nur auf Signaturen bekannter Bedrohungen zuverlässig reagieren können. Heuristiken existieren zwar in den meisten Produkten, aber diese können schwerlich alle möglichen Varianten abdecken – zumal sie keine zu großen Auswirkungen auf das Laufzeitverhalten der Systeme haben dürfen und nicht zu viele Fehlalarme auslösen dürfen. Durch vorherige Tests und entsprechende Abwandlung lassen sie sich meist zuverlässig umschiffen.

Beispielsweise verwenden die meisten Botnetze oder Trojaner von Haus aus HTTP zur Steuerung, das in fast allen Umgebungen als legitimer Datenverkehr betrachtet wird, und sich so auch meist nicht ohne Weiteres blocken oder als bößartig einstufen läßt.

Firewalls verhindern Angriffe nicht, sie vermindern lediglich die Angriffsfläche. Zwar können sie einige Dienste von der Außenwelt abschotten, dennoch verbleiben immer mindestens die unverzichtbaren Dienste wie beispielsweise Web oder Email als Angriffsfläche. Sicherheitslücken in der entsprechenden Software werden dort auch durch Firewalls nicht kompensiert. Solche Lücken bleiben immer wieder , wenn dies auch teilweise nur für ein relativ kurzes Zeitfenster zutrifft. Ein SQL-Server wird zwar normalerweise nicht vom Internet aus zugänglich sein, könnte aber dennoch kompromitiert werden, wenn eine Schadsoftware auf anderem Wege ins interne Netz gelangt, populäres Beispiel war 2003 der SQL Slammer .

Auf die weiteren Fakten, beispielsweise dass Firewalls meistens nicht ausreichend parametriert sind, und i.d.R. alle ausgehenden Verbindungen zulassen, sowie die Tatsache, dass auf kompromitierten Hosts befindliche Firewalls von üblicher Malware neutralisiert werden, will ich hier – um nicht wieder völlig den Rahmen zu sprengen – gar nicht mehr im Detail eingehen.



Hier finden Sie aktuelle Themen und Hintergründe rund um Sicherheit, Internet und Recht, das Sachverständigenwesen und die Computer-Forensik.

Mon Di Mi Do Fr Sa So
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31