TOP
SSV Software Systems Register  Register
Log in to check your private messages  Log in to check your private messages
Startseite FAQ Search Mitglieder Profile  Log in 
SSV Support-Forum
Security ...

 
Post new topic   Reply to topic    SSV-Forum Forum Index >>> SSR/525
<<< Previous topic - Next topic >>>  
Display posts from previous:   
Author Message
kdw



Joined: 05 May 2006
Posts: 1460

PostPosted: 30.12.2016, 19:21    Post subject: Security ... Reply with quote

Hallo Forum.

Im August 2016 hat das BSI eine neue aktuelle Übersicht zur Industrial Control System (ICS) Security – Top 10 Bedrohungen und Gegenmaßnahmen veröffentlicht.

Siehe https://ssv-embedded.de/doks/infos/BSI-CS_005.pdf

Interessant ist: Die Wahrscheinlichkeit, dass ein ICS vor Ort durch einen Techniker per USB-Stick mit einer Schadsoftware versehen wird, ist jetzt größer als die des Aufspielens einer Schadsoftware durch einen Internet-Angriff.

Was aus meiner Sicht in den vom BSI vorgeschlagenen Gegenmaßnahmen fehlt, ist ein Monitoring (z. B. per SIEM = Security Information und Event Management), um das Aufspielen neuer Softwarekomponenten sowie Veränderungen im Kommunikationsverhalten eines ICS zu erkennen und zu protokollieren.

Gruß KDW
Back to top
View user's profile Send private message
kdw



Joined: 05 May 2006
Posts: 1460

PostPosted: 30.12.2016, 20:35    Post subject: Reply with quote

Hallo Forum.

Auf Grund der aktuellen Ereignisse in der Weltpolitik hat die US-Bundespolizei FBI heute ein interessantes Dokument mit dem Titel GRIZZLY STEPPE – Russian Malicious Cyber Activity veröffentlicht. Siehe https://ssv-embedded.de/doks/infos/FBI_291216.pdf

Das Dokument soll aufzeigen, wie russische Hacker in den US-Wahlkampf eingegriffen haben.

Unabhängig davon, wer diesen Angriff nun ausgeführt hat, finde ich die detaillierte und allgemein verständliche Beschreibung zur Vorgehensweise der Angreifer in dem FBI-Dokument recht interessant. Die dabei benutzte Technik Spear-Phishing ist nicht neu. Sie führt aber offensichtlich immer wieder zum Erfolg. Auch bei Personen, die engsten Kontakt zu den prominesten Politikern der Welt haben.

Ein Spear-Phishing-Angriff beginnt in der Regel mit dem Versenden einer E-Mail, die vorgibt, aus einer vertrauenswürdigen Quelle zu stammen. Beispiele für solche vermeintlich sicheren Quellen sind häufig Internet-Plattformen mit großer Mitgliederanzahl, wie z. B. Google, PayPal usw. Es kann sich aber auch um einen Absender handeln, der dem Empfänger persönlich bekannt ist. Auf jeden Fall ist in die Spear-Phishing-Angriffs-E-Mail ein Link eingebettet, auf den der Empfänger klicken soll. Nach dem Klick sind unterschiedliche Szenarien denkbar. In einigen Fällen wird der Benutzer z. B. über eine Fake-Website aufgefordert, ein neues Passwort für einen x-beliebigen Account einzutippen. Ein Beispiel wäre eine gefälschte Google-Webseite, die Sie auffordert, ein neues Passwort für Ihren Google-E-Mail-Account festzulegen.



Die Abbildung 2 (Figure 2 auf Seite 3) in dem FBI-Dokument zeigt ausführlich, wie die Angreifer in diesem Fall vorgegangen sind. Es existieren insgesamt drei Ebenen. Die Angreifer selbst befinden sich im Adversary Space, also irgendwo auf der Welt. Um gegenüber dem Opfer im Victim Space nicht direkt in Erscheinung treten zu müssen, haben die Angreifer Zugriff auf einen Neutral Space, i.d.R. eine Rechnerinfrastruktur, die entweder gekapert wurde oder aus anderen Gründen die wahre Identität der Angreifer sicher schützt. Der gesamte Angriff in der FBI-Abbildung läuft in 10 Schritten ab:

1. Schritt: Der Angreifer nimmt aus seiner sicheren Umgebung (Adversary Space) heraus Kontakt zur Rechnerinfrastruktur im Neutral Space auf, um den Versand einer infizierten E-Mail (im FBI-Beispiel eine E-Mail mit einem Link zu einer Fake-Webseite) in die Wege zu leiten.

2. Schritt: Die infizierte Angriffs-E-Mail wird aus der Rechnerinfrastruktur im Neutral Space heraus an einen bestimmten Empfänger geschickt.

3. Schritt: Die E-Mail erreicht den Posteingang des Empfängers. Als Absender wird dem Empfänger eine vertrauenswürdige E-Mail-Adresse präsentiert. Bei einer etwas ausführlicheren Untersuchung lässt sich meistens recht einfach erkennen, dass die E-Mail nicht wirklich vom vorgegebenen Absender verschickt wurde.

4. Schritt: Der E-Mail-Empfänger (Opfer) klickt auf den in der Angriffs-E-Mail enthaltenen Link und landet auf einer (gefälschten) Fake-Webseite, die z. B. vorgibt, zu Google, PayPal, T-Online usw. zu gehören. Diese Webseite fordert den Angreifer beispielsweise auf, ein neues Passwort für seinen Account festzulegen oder das aktuelle Passwort aus Sicherheitsgründen zu bestätigen. Der E-Mail-Empfänger erkennt nicht, dass es sich um eine gefälschte Webseite handelt, die NICHT von dem Unternehmen betrieben wird, bei dem der z. B. einen E-Mail-Account hat und folgt den Eingabeaufforderungen. Die gefälschte Webseite hostet der Angreifer auf einem Rechner im Neutral Space. Eine direkte (IP-/DNS-) Verbindung zwischen dem Link in der Angriffs-E-Mail und dem Angreifer im Adversary Space existiert somit nicht.

5. Schritt: Die Passwort-Eingaben des Opferns werden innerhalb der Rechnerinfrastruktur im Neutral Space an einen weiteren Rechner übermittelt. Dort kann Sie der Angreifer vom Adversary Space aus einsehen.

6. Schritt: Der Angreifer besitzt nun die Zugriffsrechte, um auf ein Zielsystem des Opfers zuzugreifen. Der Zugriff erfolgt nicht direkt vom Rechner des Angreifers aus, sondern über die dazwischengeschaltete Rechnerinfrastruktur im Neutral Space.

7. Schritt / 8. Schritt: Missbräuchliche Nutzung der Target Systeme durch den Angreifer. Der Angreifer kann nun zum Beispiel eine x-beliebige Schadsoftware auf den Target Systemen installieren, um die unberechtigte Nutzung auszuweiten.

9. Schritt / 10. Schritt: Der Angreifer kann auch x-beliebige Daten vom Target System absaugen, um weiteren Schaden anzurichten.

Fazit: Wenn Sie als Administrator für einen SSR/525 verantwortlich sind, müssen Sie durch überlegtes und kontrolliertes Verhalten jederzeit sicherstellen, dass bei Ihnen kein Angreifer per Spear-Phishing die Zugriffsberechtigungen für Ihren SSR/525-Server abgreifen kann. Ansonsten ist Ihr gesamtes VPN praktisch wertlos. Für ein sicheres Verhalten, indem Spear-Phishing praktisch unmöglich ist, gibt es zahlreiche Möglichkeiten. Wir helfen Ihnen gerne dabei, sichere VPN-Server-Admin-Prozesse in Ihrer Organisation umzusetzen. Melden Sie sich einfach bei unserem Vertrieb oder sprechen Sie mich direkt an.

Gruß KDW
Back to top
View user's profile Send private message
Display posts from previous:   
Post new topic   Reply to topic    SSV-Forum Forum Index >>> SSR/525 All times are GMT + 1 Hour
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum

SSV Software Systems GmbH

Dünenweg 5
30419 Hannover

Fon: +49(0)511  ·  40 000-0
Fax: +49(0)511  ·  40 000-40

sales@ssv-embedded.de


Impressum    ·    Datenschutz    ·    AGB

© 2023 SSV SOFTWARE SYSTEMS GmbH. Alle Rechte vorbehalten.

ISO 9001:2015