Totale Verschlüsselung oder «Apocalypse Now» | |
Startseite : Services : Stories : Totale Verschlüsselung oder «Apocalypse Now» |
Thema Sicherheit: Rootkits, Bertelsmann und Sony; Handyverbot am Steuer wird weitgehend ignoriert; Swisscom bietet mehr Sicherheit für Windows Smartphones
Die gefährlichsten Domains der Welt; Totale Verschlüsselung oder «Apocalypse Now» |
(London, England - 2011-12-19) Aus dem Vereinigten Königreich erreicht uns ein geradezu apokalyptisches Bild der generellen Sicherheitslage im Elektronikbereich. 2011, so wird argumentiert, hat jeden denkbaren Typus von Sicherheitsbrüchen gebracht: Von grossen Insider-Aktionen wie bei WikiLeaks und USBinsider über die Datendiebstähle bei der norwegischen Armee, den Hack bei Sony bis zum Tod von DigiNotar.
Es war wirklich ein Spiel mit zwei Hälften: Die erste halb-manisch und dramatisch, die zweite gleichmässiger aber spannungsreich durch einen steten Strom von neuen Zwischenfällen.
2011 war der das Jahr des «Third-party Trust Compromise» (etwa Kompromittieren der Signaturanbieter) und das Jahr der mobilen Revolution mit «Bring Your Own Device» (BYOD). Beides wird auch 2012 eine Rolle spielen. Beides hat mehr gemeinsam, als man denken würde. So sorgen beide dafür, dass 2012 wohl zum «Year of Ubiquitous Encryption» (Jahr der allgemeinen Verschlüsselung) wird. Und beide beziehen sich auf das allgemeine Sicherheitsproblem von Attacken, die von innen kommen. Für beide ist die Lösung gleich: Verbesserte Prozesse und verbessertes Management.
Jahr des «Third-party Trust Compromise»
Dieses Jahr folgte auf ein Jahr mit ominösen Sicherheitsverwicklungen. 2010 wurde Stuxnet einer breiteren Öffentlichkeit ein Begriff. Dieser Wurm - von manchen auch Cyber-Waffe genannt - schläft und ist auf infizierten Systemen schwer zu erkennen. Er wartet auf einen Auslöser, um loszulegen. Stuxnet war ein Warnschuss, der die Ankunft neuer hochentwickelter Malware ankündigte, die in der Lage ist, physikalische Infrastrukturen anzugreifen. Eine der Strategien von Stuxnet war die Verwendung eines SSL-Zertifikates, um sich gegenüber der Softwareumgebung des infizierten System auszuweisen.
Obwohl Industrie-Gurus Stuxnet als eine einmalige Angelegenheit abtaten, war es tatsächlich ein Beweis («proof of concept»): Duqu (auch als «Son of Stuxnet» bezeichnet) erschien im November 2011.
Im ersten Quartal 2011 passierte das bisher undenkbare: Hacker brachen die Sicherheit von RSA und kompromittierten die Basis der SecureID Technologie. Eigentlich wurden damit alle SecureID Tokens sofort «nicht vertrauenswürdig». Unternehmen sind jetzt noch dabei, diese Token auszutauschen und die Kosten dafür sind astronomisch. In den folgenden Monaten fielen vier weitere Zertifikate-Anbieter (CA, Certification Authority) Attacken zum Opfer (Comodo, GlobalSign, Digicert, OpenSSL und DigiNotar), was 2011 eindeutig zum «Year of the Third-party Trust Compromise» macht.
Das Abschiedsgeschenk von 2011 sind drei Lektionen:
1) Mittler des Vertrauens sind ein integrales Stück der weltweiten Sicherheitsinfrastruktur, ohne die wir nicht operieren können.
2) Weil die Welt von digitalen Zertifikaten und den CAs, die sie signieren, abhängt, sind digitale Zertifikate und die CAs die wertvollsten Ziele für Hacker. Wenn Hacker CAs kompromittieren und gefälschte Zertifikate in Umlauf bringen können, können sie auch perfekt fremde Identitäten annehmen
3) Organisation müssen sich geradezu auf eine Epidemie von Sicherheitsbrüchen bei Zertifikaten vorbereiten - die es 2011 noch nicht gab. Solche Brüche waren in den Risikoanalysen für 2011 nicht einmal vorhanden. Der Bruch bei DigiNotar schaltete effektiv die niederländischen Behörden aus, während sie verzweifelt versuchten sie betroffenen Zertifikate zu finden und zu ersetzen. Unglücklicherweise verwenden noch immer viele Organisationen die Zertifikate von DigiNotar, obwohl die eigentlich einen Vertrauens-Level von annähernd 0 bieten. Der Grund dafür ist alarmierend: Die meisten Organisationen wissen gar nicht, wer die Zertifikate, die sie verwenden, ausgestellt hat. Sie wissen meist auch nicht, wo diese Zertifikate sind und wie viele sie in ihren Systemen im Einsatz haben.
Das Jahr der mobilen BYOD Revolution
Ende 2011 wurde BYOD zu einem Mantra in Unternehmen. Vorstandmitglieder und Angestellte brachten ihre iPhones, iPads, Androids (und andere) Geräte ins Unternehmen und erwarteten, dass sie von der IT und der IT-Sicherheit unterstützt werden. Mit dieser BYOD Revolution nehmen die Gelegenheiten für «Böse Buben» (oder Mädchen!) in irgendeine Organisation auf dem Planeten einzubrechen logarithmisch zu. Die Organisationen haben keine physikalische Kontrolle über diese Geräte, was sie, wie jedermann weiss, völlig wehrlos gegen Angriffe macht.
Firewalls, IDS (Intrusion Detection Systems), Virusscanner und Scanner, die nach Schwachstellen suchen, sind nicht perfekt und dieser Mangel an Perfektion macht Organisationen angreifbar. Die CAs erlitten verheerende Schäden, weil die Schadsoftware, die Passwörter und Schlüssel «aberntete» und auf die Systeme zugriff, innerhalb der CA-Organisationen war und so die Entdeckung verhinderte. Und menschliche Wesen waren absichtlich oder unwissentliche Helfer der Malware bei der Erfüllung ihrer Aufgabe.
2012 - Das Jahr der allgegenwärtigen Verschlüsselung
Wenn sich die Bösen bereits innen befinden und es für sie durch eine Explosion von Systemen, Applikationen und Geräten leichter wird, an die durch Zertifikate und Verschlüsslungen geschützten wertvollen Informationen zu gelangen - was können Organisationen noch tun, um sie zu stoppen?
In den meisten Fällen greifen Hacker Systeme an um Daten zu stehlen: Geistiges Eigentum, Finanzdaten und Personaldaten sind wertvolle Handelsware. Hacker können aus diesen Daten finanzielle Gewinne ziehen, bösartig Geheimnisse veröffentlichen und absichtlich den Ruf schädigen. Sicherheitssysteme konzentrierten sich 2011 die Bösen draussen zu halten - aber jetzt sind die Bösen innen und damit ist es die beste Verteidigung Daten überall zu verschlüsseln, egal ob die Daten im Speicher ruhen oder gerade unterwegs sind. Das deshalb, weil verschlüsselte Daten ohne Schlüssel nutzlos sind. Daher, so der Autor, wird 2012 in der IT zum «Year of Ubiquitous Encryption» werden.
Links:
http://www.eskenzipr.com/
Letzte Überarbeitung: Mittwoch, 2. Jänner 2012
© 2012 by Mobile Times |