DECOIT stellt neue Entwicklungen auf D.A.CH Security 2017 vor

Im Zeitraum 05.-06. September 2017 fand in München die D.A.CH-Security-Konferenz statt. Jährliches Ziel ist es, eine interdisziplinäre Übersicht zum aktuellen Stand der IT-Sicherheit in Industrie, Dienstleistung, Verwaltung und Wissenschaft in Deutschland, Österreich und der Schweiz zu geben. Insbesondere werden dabei Aspekte aus den Bereichen Forschung und Entwicklung, Lehre, Aus- und Weiterbildung vorgestellt, relevante Anwendungen aufgezeigt sowie neue Technologien und daraus resultierende Produktentwicklungen konzeptionell dargestellt. Da IT-Sicherheit integrierter Bestandteil nahezu aller informationstechnischen Anwendungen und Prozesse ist, sind auch regelmäßig Beiträge zu rechtlichen Rahmenbedingungen und wirtschaftlichen Faktoren enthalten. In diesem Jahr stelllte die DECOIT® das BMWi-Forschungsprojekt CLEARER (www.clearer-project.de) sowie das Kooperationsprojekt mit Huawei DRIVE vor. Veranstaltungsort war dieses Jahr die Universität der Bundeswehr München (siehe Abbildung 1).

Abbildung 1: Universität der Bundeswehr München (Quelle: http://www.master-and-more.de/nc/mastersuche/detailansicht/profil/hochschule/universitaet-der-bundeswehr-muenchen-980000280.html
Abbildung 1: Universität der Bundeswehr München (Quelle: http://www.master-and-more.de)

Auf der diesjährigen Konferenz ging es schwerpunktmäßig um KRITIS-Umgebungen und Gegenmaßnahmen zu Social Engineering. So wurde gleich am Anfang über Sicherheitsaudits von Embedded Systems auf Microcontroller-Ebene von der Trustworks KG diskutiert, da diese vielfältig in KRITIS- und Industrie4.0-Umgebungen eingesetzt werden und für vernetze Systeme ursprünglich nicht eingeplant waren. Hier gestaltet sich die Überprüfung der Firmware schwierig, da diese nicht einfach zugänglich ist, sondern z.B. über ein Bootloader-Passwort geschützt ist. Zudem werden Seitenkanalangriffe und inverse Analyse zum Auslesen von Firmware immer häufiger angewandt. Mittels klassischer Codeanalyse wird dann versucht ein Eingriff bei sicherheitskritischen Operationen (z. B. Bootloader Checks) oder Leseoperationen auf einer Kommunikationsschnittstelle (Overread) zu erhalten. Abgesicherte Microcontroller werden heute meistens nur bei sicherheitsrelevanten Anwendungen, wie Online-Banking, verwendet. In anderen Industrien, wie z. B. im Automobilbereich sind diese Controller noch viel zu wenig verbreitet, wodurch noch zu viele Schwachstellen vorhanden sind.

In einem anderen Projekt wurde von der genua GmbH – ein Unternehmen der Bundesdruckerei – ein L4-Linux-Mikrokern untersucht, der nur die wichtigsten Basisfunktionen enthält und oftmals in Embedded Systemen zum Einsatz kommt. Dies ist zum einen deshalb notwendig, weil ein normaler Linux-Kernel bereits viel zu unübersichtlich ist und zum anderen, weil die Leistungsfähigkeit solcher Systeme Grenzen aufweist. Durch sog. Fuzzer, die eine dynamische Codeanalyse während des Betriebs ermöglichen, können solche Betriebssysteme auf Herz und Nieren geprüft werden. Das heißt, der Fuzzer setzt sich an die Stelle der Eingabe eines Programmes und es wird eine Ausgabe generiert. Dabei wird so lange gerechnet, bis das Programm crasht (kontrollierter Absturz). Durch geleitetes Fuzzing (Grey Block Fuzzer) wird eine zusätzliche Laufzeitinformation generiert, wodurch der Crash schneller generiert werden kann. Im Projekt wurde eine Untersuchung des Linux-Kerns ein Jahr lang durch TriforceAFL und QEMU durchgeführt, was eine halbe Million Neustarts beinhaltete. Dabei konnte das System nicht kontrolliert zum Absturz gebracht werden, was für die Qualität des Kernels sprach.

Ob Docker-Container zusätzliche Sicherheit bieten, wurde ebenfalls von der ERNW GmbH angesprochen. Die Docker-Technik ist relativ neu und beinhaltet Prozessgruppen (Container), die mittels Linux-Kernel-Mechanismen isoliert und verwaltet werden können. Neben dem OS-Container gibt es noch Application Container, die auf einem Application Container Image basieren. Forensische Analysen arbeiten mit dem Hauptfokus eines Layer-Filesystems. Da sich die Docker-Container immer ein gemeinsames Dateisystem teilen müssen, lassen sie sich sicherheitstechnisch nicht wie bei virtuellen Maschinen komplett voneinander trennen. Zur Isolation verschiedener Applikationen voneinander sind sie hingegen sehr gut geeignet.

Abbildung 2: Projektpräsentation im großen Hörsaal der Bundeswehr-Universität München
Abbildung 2: Projektpräsentation im großen Hörsaal der Bundeswehr-Universität München

Bei der Präsentation der Projektergebnisse des Industrie-Kooperationsprojektes zwischen der DECOIT® GmbH und Huawei Technologies standen hingegen Trusted-Computing-Techniken mittels TPM-Chip im Vordergrund. Das DRIVE-Projekt ermöglicht eine dynamische Integritätsmessung zur Laufzeit, um auch Systeme wie z.B. Router auf Integrität analysieren zu können, die nicht kontinuierlich neu gestartet werden. Dies betrifft auch Embedded Systeme, die im Internet-of-Things (IoT) Umfeld zum Einsatz kommen. DRIVE besteht aus drei Kernkomponenten, die das Messen des Kernelmoduls, die Referenzwertgenerierung und die Verifikation beinhalten. In der Verifikationsdatenbank werden die Messungen gespeichert und stehen für forensische Auswertungen bereit. Innerhalb des Projektes wurde ein Prototyp für einen bestimmten Linux-Kernel entwickelt und dieser der Trusted Computing Group (TCG) im Juli vorgeführt. Durch die Entwicklung eines Frameworks, kann dieser Ansatz aber auch auf andere Kernelversionen angepasst werden. Durch Guidelines wurde die Attestierungsstrategie zentral umgesetzt. Dadurch wurde eine Überwachung von Programmcode während der Laufzeit ermöglicht, wodurch ein höheres Sicherheitsniveau erreicht werden konnte. Dabei werden TPM1.2- und TPM2.0-Chips gleichermaßen unterstützt. Im zweiten Beitrag der DECOIT® GmbH wurde das SIEM-Projekt CLEARER (www.clearer-project.de) beschrieben, in dem mit Open-Source-Zutaten eine dynamische IT-Compliance umgesetzt wird. Das Projekt ist allerdings noch nicht abgeschlossen, so dass nur die bisherige Architektur beschrieben werden konnte.

Die Universität der Bundeswehr setzte hingegen bei ihrem Vortrag auf Präventionsmaßnahmen, indem die Netzverteidigung mittels Simulation getestet werden soll. Grund ist, dass in heutigen Unternehmen Ausbildung und Training zum Thema IT-Sicherheit immer noch zu wenig vorgenommen wird, da für die Umsetzung meistens technische Maßnahmen notwendig sind. Die Motivation war daher die sog. Shooting Range – eine Anlage zum Trainieren und Üben des Umgangs mit Schusswaffen – auf die IT-Sicherheit zu übertragen. Eine Aufgabe dabei ist es, sich mit einem Test-Netzwerk vertraut zu machen und spielerisch Angriffe zu erkennen und auswerten zu können. Das Projekt „Cyber Range“ eignet sich damit hervorragend für die Durchführung von Praktikumsmodulen und vorlesungsbegleitenden Übungen. Ein Einsatz in der Forschung wäre auch möglich, um prototypische Implementierungen testen zu können.

Des Weiteren wurde eine Studie vorgestellt, nach der die IT-Sicherheit in KRITIS-Umgebung bisher unterrepräsentiert ist. Angriffe wurden zwar von fast allen Unternehmen festgestellt, wobei bei 40% auch Daten verloren gingen. Aber die eigene Lage wird meistens positiver eingeschätzt, als die Lage von anderen Unternehmen. Eine externe Zusammenarbeit mit IT-Dienstleistern findet oftmals statt, die IT-Sicherheit verbleibt aber meistens intern. Was etwas verwundert: das neue IT-Sicherheitsgesetz wird überwiegend als nicht überdimensioniert angesehen. Diese Aussage wird aber wohl nur von Unternehmen getroffen, die es auch kennen. Immerhin führen nur 55% eine regelmäßige IT-Risikobewertung durch. Der Bedarf nach Forschung ist dementsprechend hoch.

Die Hochschule Bremen stellte im Anschluss moderne Energieverteilungsnetze vor. Hier verändert sich die Zentralisierung der Energienetze zunehmend zu einem dezentralen Modell. Dann müsste aber auch eine verteilte Steuerung eingesetzt werden, die oftmals noch fehlt. Weiterhin sind neue Bedrohungen durch den IKT-Einsatz und die Dezentralisierung entstanden. Die Hochschule hat deshalb eine Bedrohungsanalyse durchgeführt und die Gefährdungskategorien gemäß BSI mit einbezogen. Dabei wurden insgesamt 58 Bedrohungen gefunden. Als Ergebnis kam heraus, dass es offene Aufgaben in den Bereichen Integrität, Vertraulichkeit und Verfügbarkeit gibt. Aber die Anwendung von vorhandenen Standards kann bereits den größten Anteil der Bedrohungen kompensieren. Ziel muss daher sein das Monitoring zu verbessern!

Laut einem anderen Übersichtsvortrag wird im Bereich der IT-Sicherheitsforschung für KRITIS-Unternehmen einiges unternommen. So gibt es ein entsprechendes BMBF-Programm mit dem Namen „IT-Sicherheit für KRITIS (ITS/KRITIS)“ sowie die Begleitforschung „Vernetzte IT-Sicherheit KRITIS“ (VeSiKi). Dabei soll auch die Zusammenarbeit zwischen den Projekten gefördert werden. Daher ist eine Vernetzungsplattform unter www.itskritis.de entstanden. Dort ist ein IT-Security-Navigator vorhanden, der speziell für KMU entwickelt wurde und die Kombination technischer Lösungen mit dem Faktor „Organisation Mensch“ berücksichtigt.

Ein Mikrokern für zulassungspflichtige Hochsicherheitssysteme wurde hingegen von der Firma Kernkonzept GmbH vorgestellt. Sichere Netzübergänge sind nach eigener Aussage notwendig, um den Abfluss von Daten kontrollieren zu können. Dafür ist eine sichere Ablaufplattform (bestehend aus Hardware und Betriebssystem) notwendig. Anforderung an diese wären sicheres Booten, Prozessseparierung sowie Separierung von Hardware und Peripherie. Als Realisierung der Anforderungen kam ein eigener L4Re-Microkernel & Hypervisor in Frage, der die Isolation garantiert und selbst entwickelt wurde. Durch diese kleine Trusted-Computing-Basis wird der unbeschränkte DMA-Zugriff verhindert und ein Teilnehmer kann nur noch auf definierte Bereiche zugreifen. Die Lösung wurde vom BSI mit der höchsten Sicherheitsstufe zertifiziert. Ein TPM-Chip wird allerdings nur nach Kundenwunsch eingesetzt, um die Hardware abzusichern (Remote Attestation oder Signierung wird dann genutzt).

Wie Penetrationstests an einem expliziten Beispiel von RDP-Sessions durchführt werden, wurde abschließend von der Syss GmbH präsentiert. Das Tool CAIN & ABEL ist hierfür beispielsweise verwendbar, welches aber nicht mehr weiterentwickelt wird. Deshalb wurde das neue Tool SETH auf Phyton-Basis geschrieben, welches unter GitHub (Open Source) verfügbar ist. Das RDP-Sicherheitsprotokoll wurde dann exemplarisch angegriffen und Schwachstellen von Kerberos ausgenutzt. Enhanced RDP Security ist allerdings schwerer zu knacken, da ARP Spoofing notwendig ist und man sich im gleichen Netz befinden müsste. Ein Client sollte am besten niemals eine RDP-Session aufbauen dürfen, ohne dass seine Identität klar erkannt werden kann. Aber leider werden Zertifikatswarnungen vom Benutzer meistens ignoriert, wodurch Angriffsvektoren entstehen können.

Die D.A.CH Security bot wieder viele neue Eindrücke und Diskussionen rund um das Thema IT-Sicherheit. Dabei wurde ein guter Mix aus Forschungs- und Industrieprojekten ausgewählt, die an der Bundeswehr-Universität München präsentiert wurden. Die DECOIT® GmbH wird auch zukünftig gerne an der Konferenz teilnehmen, um sich aktiv an der Diskussion zur Erhöhung der IT-Sicherheit einzubringen und eigene Ansätze bzw. Ergebnisse vorzustellen. Unsere Konferenzbeiträge finden Sie wie gewohnt in unserem Download-Center. 

jetzt zum Download-Center

Zurück