WireLurker – Ein Überblick und Erkennungsmaßnahmen

In den vergangenen Tagen wurden die Medien auf eine Meldung von Palo Alto Networks aufmerksam, die den OS X/iOS-Schädling WireLurker aufgespürt haben. WireLurker ist eine Malware, mit der es erstmalig möglich ist, von dem – bisher aufgrund der Systemarchitektur, basierend auf dem XNU-Kernel mit FreeBSD-Elementen als verhältnismäßig sicher geltenden – Betriebssystem Mac OS X ein via USB  verbundenes iOS-Gerät auch bei nicht-gejailbreakten Geräten zu infizieren. Aufgetaucht ist der Schädling erstmals im chinesischen, inoffiziellen AppStore Maiyadi. Schnell hat sich jedoch auch ergeben, dass der Schädling ebenfalls für die Verbreitung außerhalb dieses Stores geschrieben ist.

Möglich ist die Installation über die Ausnutzung von Enterprise-Zertifikaten, die von MDM-Systemen genutzt werden, um auf sicherer Basis Unternehmensdaten mit dem Mobilgerät zu synchronisieren und die Kommunikation mit dem MDM-Server des Unternehmens abzusichern. Zuerst wurde noch eine Sicherheitswarnung beim Ausführen gezeigt, die auf ein nicht vertrauenswürdiges Zertifikat hinweist. Mittlerweile kann es aber durchaus sein, dass ein vom Betriebssystem als vertrauenswürdig eingestuftes Zertifikat von den Angreifern genutzt wird, bei dem diese Warnung nicht erscheint. Es können über diesen Weg etliche Informationen über den Gerätezustand, installierte Apps, Kontakte und Nachrichten des Gerätes ausspioniert werden.

Ist daher eine Anschluss am PC oder Mac nicht zwingend notwendig, sollte dies vorerst vermieden werden. Geladen werden kann das Gerät über die Steckdose und einen USB/AC-Adapter, die meisten Einrichtungsschritte können mittlerweile ebenfalls ohne einen Computer erfolgen, sofern eine WLAN-Verbindung vorliegt.

Zudem sollte man unter Einstellungen„-„Allgemein„-„Profile prüfen oder bei Geräten, die durch das Unternehmen verwaltet werden durch die IT-Abteilung prüfen lassen, ob die installierten Profile zum Management der Geräte notwendig sind. Bei privaten Geräten sollten sich dort keine Profile befinden, sofern man Webmail-Dienste nutzt. Verschlüsselt man die Mailkommunikation und/oder versieht die Mailkommunikation mit einer digitalen Signatur, sollten sich dort, je nachdem, ob man nur signiert oder auch verschlüsselt, 1-2 Benutzer-Profile pro Mailpostfach befinden. Wer ganz sicher gehen will, sollte alle Profile entfernen und neu installieren bzw. das Gerät über die IT-Abteilung auf Werkseinstellungen zurücksetzen erneut ausrollen lassen.

Palo Alto hat nun auf github ein entsprechendes Erkennungstool für Mac- und Windows-Nutzer veröffentlicht. Eine Anleitung für beide Varianten ist ebenfalls github zu entnehmen. Natürlich sollte bei einem infizierten Host-System ebenfalls eine Neuinstallation durchgeführt werden.

Sicherheitslücke in iOS: Masquerade Attack

Nach der Veröffentlichung von „WireLurker“, einem USB-Verbindungs-basierten Angriff auf iOS-Geräte, ist nun eine weitere Sicherheitslücke innerhalb des mobilen Betriebssystems bekannt geworden. Der Angriff via „Masquerade Attack“, kurz „Masque Attack“ ist deutlich gefährlicher und für Nutzer zudem schwerer zu identifizieren, da auch die – bei WireLurker noch vorhandene – Sicherheitsabfrage nicht mehr erscheint. Der maskierte Angriff fragt lediglich die Installation einer App ab, die für die Durchführung des Angriffs erforderlich ist. Die schadhafte Software kann über einen Link bereitgestellt werden, der per Mail, SMS, iMessage oder sonstige Messenger wie Whatsapp oder den Facebook-Messenger durch das Gerät empfangen werden kann. Öffnet der User den Link, wird versucht, ein *.ipa-File von einem Server des Angreifers zu installieren. An diesem Punkt fragt iOS standardmäßig, ob die App installiert werden soll.

Lehnt der User die Installation ab, geschieht nichts. Aus diesem Grund ist das auch der empfohlene Weg, sich vor einem Angriff zu schützen.

Es sollten keine Apps aus anderen Quellen, als dem AppStore von Apple oder dem durch eine gemanagete MDM-Lösung angebotenen Enterprise-Store installiert werden.

Eine sehr beliebte Masche könnte beispielsweise die Angabe eines Flappy Bird-Downloads sein, da diese App nicht mehr über den AppStore von Apple erhältlich, aber dennoch sehr beliebt bei Anwendern ist. FireEye hat das Sicherheitsleck bisher bei den Betriebssystemversionen iOS 7.1.1, 7.1.2, 8.0, 8.1 und der Beta-Version von iOS 8.1.1 nachweisen können. Sowohl Geräte mit, als auch ohne Jailbreak sind für dieses Angriffsszenario empfänglich.

In einem Youtube-Video zeigt das Unternehmen FireEye, wie der Angriff erfolgen kann.

 

VLANs – Netzwerksegmentierung leicht gemacht

VLANs (Virtual Local Area Networks) trennen auf logischer Ebene auf OSI-Layer 2 Netzwerke voneinander. In vielen L2-Netzwerken sind (leider) immer noch „historisch gewachsene“, mittlerweile riesige IP-Netze in einem großen LAN im Einsatz. Das senkt allerdings erheblich die Netzwerkperformance und erlaubt keine Trennung von Netzsegmenten – weder funktional noch nach Geräteklasse. Aus diesem Grund ist es mittlerweile üblich, Netzwerke in VLANs zu segmentieren. Dabei ist es wichtig, dass die VLAN-ID auf allen Switchen identisch ist, die über dieses VLAN kommunizieren sollen. Anhand der VLAN-ID macht der Netzwerkteilnehmer (ob Server, Switch, Router oder Firewall) die Zuteilung der Datenströme fest.

Man kann das Prinzip der VLANs und des Datenflusses mit dem eines Straßenverkehrsnetzes in einer Großstadt vergleichen. Auch dort laufen mehrere Verbindungen (Straßen) teils übereinander mit Brückenkonstruktionen oder unter der Oberfläche durch Tunnel. Der Verkehr ist in beiden Fällen kollisionsfrei möglich, obwohl viele Straßen in unterschiedliche Richtungen führen.

In der Grafik ist recht gut erkennbar, dass die übertragenen Daten unterschiedlich behandelt werden und unterschiedlich groß sind. Ein Backup beispielsweise oder eine Live-Migration nehmen erheblich mehr Datenvolumen ein, als es der HTTP/HTTPS-Traffic vom Surfen des Gast-Users im WLAN tut. Zudem kommt eine Priorisierung des Traffics bzw. Quality-of-Service ins Spiel. Echtzeitdatenübertragung, wie es bei VoIP (hier VLAN 18) der Fall ist, muss entsprechend anders im Netz priorisiert sein als es für eine Dateiübertragung von Anwendern der Fall ist. Die Dateiübertragung verzögert sich gegebenenfalls, sollte das Netzwerk im Moment der Übertragung stark ausgelastet sein, wohingegen ein VoIP-Gespräch schnell unbrauchbar würde, da die Sprache ohne Priorisierung dann zerstückelt beim Hörer ankäme. Ein selten gebrauchtes Management-Netz beispielsweise ist erheblich weniger ausgelastet, als ein Netz, über das Backups gefahren werden oder Anwender-PCs verbunden sind.

„VLANs – Netzwerksegmentierung leicht gemacht“ weiterlesen

Android 5.0 – are you ready for business, Android?

Google bereitet momentan seine Nexus-Serie auf das Rollout von Android 5.0 mit dem Codename Lollipop vor. In diesem kurzen Artikel möchten wir die – für Enterprise-Umgebungen wirklich dringend benötigten – Erweiterungen von Android und die Erweiterungen, die die tägliche Arbeit vereinfachen können, umreißen, die Lollipop mit sich bringen wird. Unter Anderem wird in den Bereichen Security, Verwaltbarkeit und Usability durch Android 5.0 viel aufgeholt, was Android in Hinblick auf den Einsatz in Enterprise-Umgebungen gefehlt hat. Citrix hat bereits die Implementierung neuer Features angekündigt, die in einer Erweiterung der XenMobile-Suite folgen wird. Möglicherweise wird dies dasselbe Release sein, welches auch die iOS 8-Features beherbergen wird. Ein genaues Datum wurde bisher nicht genannt. Die Ankündigungen von Google sind bisher allerdings vielversprechend, sofern keine essentiellen Daten in die Cloud ausgelagert werden und das Usermanagement zumindest sicher remote zu verwalten ist – oder noch besser: eine Integration in Microsofts AD möglich ist. Wie in den meisten Produktankündigungen gibt Google auch hier nur eingeschränkten Einblick.

Neue Sicherheitsfeatures

Vor allem Business Devices müssen ausreichend gegen ungewollte Zugriffe (ob von Fremden oder Bekannten) abgesichert sein. Mit Lollipop bessert Google hier gewaltig nach. Die folgenden vier Punkte sind zentrale, neue Sicherheitsfeatures in Lollipop, die durchaus für den Enterprise-Einsatz interessant sind:

  • Multi-User-System mit Rechtemanagement
    • Mehrere User können auf einem Gerät angelegt und verwaltet werden
    • Ein Rechtemanagement soll implementiert werden. Wie dies im Detail aussieht, ist unklar.
    • Ob die Geräte-User auch remote angelegt und verwaltet werden können, ist noch unklar
    • Wenn ja, ist die Frage, ob auch Drittanbieter dies dürfen, oder Google sich eine eigene Cloud-basierte Lösung zum Verwalten der Accounts vorbehält.
  • Gast-User-Mode in getrenntem Bereich ohne Zugriff auf persönliche Informationen
    • Für ein kurzes Aus-der-Hand-Geben des  Android Devices gedacht
    • Soll in getrenntem Bereich laufen, aber grundlegende Funktionalitäten von Android bereitstellen
    • Ob es sich um eine echte Container/Sandboxing-Lösung handelt, ist noch offen.
  • Android Smart Lock
    • Pairing mit weiterem Android-Device
    • Das Entsperren soll bei aktivierter Option beispielsweise nur möglich sein, wenn sich eine Smartwatch o.ä. in der Nähe befindet.
  • Verschlüsselung von Haus aus
    • Neue Android-Geräte, die mit der Version 5.0 ausgeliefert werden, bringen eine bereits von Werk aus aktivierte Geräteverschlüsselung mit sich.
  • Managed Profiles
    • Verwaltbare, in Containerumgebung betreibbare Profile zum Gerätemanagement
    • Ermöglicht die Nutzung von Firmen- und Privatdaten auf einem Gerät – in getrennten Umgebungen
  • AV-Prüfung bei Downloads aus dem Appstore
    • Antiviren/Malware-Prüfung beim Download von Apps aus dem Appstore

„Android 5.0 – are you ready for business, Android?“ weiterlesen

Update Shellshock & Poodle

Hi everybody,

just a short note to get the latest news for the Shellshock & Poodle vulnerability. I’m sure most of you had already done the steps Citrix recommends. But for the others here are the steps you need to do.

Shellshock:

For NetScaler, Shellshock is only a problem on your private interfaces like SNIP, NSIP. Your VIP is safe. To get your private interfaces secure as well, just upgrade to 10.5-52.11 or 10.1-129.11 or 9.3-67.5 it depends where you come from. But I’m sure all of you are using 10.x instead of 9.3 meanwhile as the latter one is End-of-Maintenance by the end of next week.

AppFirewall got a new signature since the end of September called web-shell-shock to protect services behind NetScaler.

Poodle:

And again Citrix NetScaler gives you the chance to raise the security for every other web service you’re publishing. Just disable SSLv3 on your NetScaler SSL vServer objects and all your published web services are save. For your other NetScaler objects like NSIP / SNIP you need to go to the CLI but even those steps are explained in detail in CTX200238.

 

 

 

Citrix Technology Exchange 2014: Die besten Sessions

Morgen und übermorgen findet in München-Unterschleißheim die Citrix Technology Exchange statt – ausgebucht schon seit einigen Tagen, obwohl wir hier noch gar keine Werbung gemacht haben…

Über 1.000 Besucher freuen sich auf intensive Sessions mit vor allem technischen Inhalten. Aber auch Feedback und Erfahrungsaustausch unter anderem mit Vertretern von Citrix Consulting Services und Product Management stehen auf der Agenda. Besonders ans Herz legen möchte ich natürlich meine Session am Mittwoch nach dem Mittagessen im Raum Alpsee: „O’WASP is! – Advanced Application Security mit NetScaler“ – wer mir hinterher die korrekte Anzahl von Star Wars Zitaten sagen kann, kann etwas gewinnen. 🙂

NetScaler ShellShock

During the last days we all had the chance to start a personal panic for what kind of systems would all be affected by the newest ShellShock Security Issue.  But lets face the facts. There is a chance to survive. 😉

Citrix is actually working under pressure to fix every possible ShellShock security issue. From Citrix NetScaler point of view there are only possible security issues for NSIP and management enabled SNIP objects. But we all know that your NSIP and SNIP IPs are only home in secure networks anyway.

We are waiting for a fix to close that last possible door, while an App Firewall Signature Update is already available blocking ShellShock attacks for any service published by Citrix NetScaler!

Stay tuned!

 

Why IT Security matters, today: for engineering companies

Recently, a customer of ours pointed me to grabcad.com, a community where engineers from all over the world publish CAD models et al. to boast their skills and “to help other engineers and to speed up development”. What you can find there are full blown models from almost all major engineering and development vendors. Stuff they would never want to appear outside their own premises, because it is their core value, their intellectual property!

Our customer is happy to have Citrix XenDesktop in place as environment even for their engineers, who work from Hungary. Due to restrictive policies they don’t have a chance to copy models outside the network – even e-mail fails, because the files are larger than the maximum allowed attachment size (one reason why you would want to keep that down).

This is a striking argument showing what you can gain with XenApp and XenDesktop and what risks are out there for your IP. It is much easier to provide centralized compute power even for 3D modelling and put your data into a safe harbor network zone only accessible from these instances than to deploy all sorts of content inspection, data leak prevention and port security to cut the possibilities for efficient performance of your workforces.

This is an example I quickly found on GrabCAD showing a complete V12 motor with all nuts and bolts. 22MB, online (browser) 3D viewer enabling selection of assemblies, explode view of all or selected assemblies and so on. Stunning.

Was Prismgate zeigt und wie Sie sich trotzdem sicher fühlen können

Die Medien waren schlagartig voll von vermeintlichen Schreckensmeldungen, die zwar weder für IT-Security Profis noch Verschwörungstheoretiker irgendetwas Neues enthalten, die aber in einer neuen Qualität beweisen, was uns allen eigentlich längst klar war: Der US-Geheimdienst NSA kann jedwede Kommunikation abfangen, tut das auch und wertet vieles automatisch aus (Projekt PRISM). Außerdem stehen Ihnen organisatorisch, wenn nicht sogar transparent technisch, die Türen zu den wolkigen Datenspeichern US-amerikanischer Anbieter (und sicher nicht nur der plakativen Giganten wie Apple, Facebook, Google und Microsoft) offen, wo auch hierzulande nahezu jeder zumindest irgendetwas abgelegt hat.

„Mitarbeiter des Niedersächsischen Wirtschafts- und Geheimschutzes schockierten schon 2008 Besucher einer unserer Informationsveranstaltungen in Hannover mit der Tatsache, dass zum Beispiel der russische Inlandsgeheimdienst FSB mit seinen rund 110.000 Mitarbeitern den expliziten Auftrag zur Unterstützung der heimischen Wirtschaft hat und diesem durch entsprechende IT-gestützte Spionage auch nachkommt.“ – Michael Wessel

Da tut es schon fast nichts mehr zur Sache, dass auch hierzulande an vielen Stellen Vorratsdatenspeicherung angestrebt wird und gewisse Kreise bei jedwedem medial präsenten Ereignis als omnipotente Lösung reflexartig „mehr Überwachung!“ schreien. Unsere Daten – und mit einer gewissen Wahrscheinlichkeit auch manche Ihrer Firmendaten – liegen längst in unsicheren Gefilden.

Manche Ihrer Firmendaten? Ja. Anwender wollen effizient arbeiten. Dazu nutzen sie aktuelle Werkzeuge und Dienste, die sie kennen und die einfach funktionieren – besser als das meiste, was das Unternehmen ihnen zur Verfügung stellt. Dazu gehören heute sehr oft auch Facebook für effiziente Kommunikation, DropBox für einfaches Übermitteln von (großen oder per Mail blockierten) Dateien oder den flexiblen Zugriff auf Daten jederzeit von jedem Gerät. Unternehmen wie Microsoft, die mit ihren Produkten in nahezu jeder Firma zum Inventar gehören, schlagen unter anderem mit Skype und SkyDrive in die selbe Kerbe – und haben das selbe Problem (zusätzlich zu der wie auch bei Google per AGB definierten Un-Vertraulichkeit der dort abgelegten Daten gegenüber dem Betreiber selbst).

Was also können wir tun? Den Anwendern geben, was sie wollen – was sie für ihre Arbeit sogar brauchen – ohne selbst die Kontrolle zu verlieren – geht das?

Zunächst müssen wir uns der Situation bewusst werden und uns eingestehen, dass es in der Regel gar nicht mehr darum geht, die Kontrolle nicht zu verlieren, sondern darum sie wieder zu gewinnen. Consumerization ist Fakt. Anwender benutzen Skype, sie benutzen Facebook, sie benutzen DropBox. Nicht nur während der Arbeitszeit, sondern auch explizit für geschäftliche Belange. Falls Sie das nicht glauben, lassen Sie uns es Ihnen zeigen.

Gefragt ist also eine IT-Strategie, die effiziente Arbeitsstile und dynamische Zusammenarbeit mit der notwendigen Sicherheit vereint, und die Mitarbeiter damit positiv abholt. Diese Strategie muss mehrere Komponenten beinhalten, von den eigentlichen Lösungen zur Zusammenarbeit bis hin zur Web Content Security, mit der die Nutzung der unsicheren Dienste dann verlässlich unterbunden werden kann, nachdem das Unternehmen eigene Wege bereitgestellt hat.

Neben der strategischen Beratung stellen wir Ihnen dazu auch gerne konkrete Lösungen für die wichtigsten Bereiche der modernen und effizienten Zusammenarbeit vor:

Follow-Me-Data: Das DropBox-Problem lösen. Die äußerst praktische und effiziente Funktionalität Enterprise-tauglich und sicher bereitstellen. Das geht mit Citrix ShareFile; grundsätzlich auch ein Cloud Service, aber mit der Möglichkeit, den Ablageort ins eigene Rechenzentrum zu verlegen (Own Storage Zone). Somit sind die Daten nicht nur während der Übertragung und am Ablageort verschlüsselt (encrypted in transit & at rest), sondern die Erreichbarkeit und der genutzte Speicher selbst sind auch vollständig unter Kontrolle des Kundens. Viele weitere Funktionen neben der Erreichbarkeit von jedem Endgerät, Sync Clients für alle gängigen Plattformen vom PC und Mac bis zum Smartphone bis hin zum Outlook Plug-In, das Anhänge automatisch via ShareFile übermittelt und/oder dem Gegenüber eine Upload Möglichkeit bereitstellt, runden den Leistungsumfang ab.

Collaboration: Skype ist so praktisch. Bei Facebook ist eh jeder. Ja, aber wollen Sie Ihre Daten denn auch mit jedem teilen? Wäre es nicht besser, Ihre Mitarbeiter unternehmensweit mit Microsoft Lync zusammen arbeiten zu lassen? Eine eigene Collaboration Plattform – zum Beispiel auf Basis von SharePoint – Cloud-ready zu machen und sicher bereitzustellen? Für alle drei Aufgaben haben Sie den richtigen Partner gefunden. So sagt Andreas Goretzky, IS Global Director, IT Governance & Compliance, Hellmann Worldwide Logistics GmbH & Co. KG, nach unserem gemeinsamen Projekt:

„Aufgrund der guten Erfahrungen, die wir beim Betrieb unseres Kunden- und  Mitarbeiterportals mit NetScaler gemacht haben, wollen wir die Technologie noch für weitere Web-Anwendungen nutzen. Unter anderem denken wir darüber nach, auch unsere E-Commerce-Angebote und EDI-Systeme über die Plattform bereitzustellen.“

E-Mail: Für das immer noch äußerst wichtige Medium E-Mail ist die Hauptsorge, dass die Einführung einer Verschlüsselungslösung komplex und der Betrieb aufwändig sein könnte. Auch diese Angst möchten wir Ihnen nehmen: Wir statten seit vielen Jahren Unternehmen mit Möglichkeiten zu transparenter und sicherer E-Mail-Verschlüsselung und -Signatur aus. Wolfgang Lindner, Verantwortlicher für IT-Network-Management der Hannover Rückversicherung SE, resümiert unser gemeinsames Projekt entsprechend:

„Im Rahmen von globalen Sicherheitsprojekten defi­nierte Anforderungen an den siche­ren Informationsaustausch konnten nun erfüllt werden, ohne dass das Medium E-Mail an Attraktivität für die Anwender verlor – die Handha­bung ist transparent und für interne Benutzer wie gewohnt.“

Content Security, Data Loss Prevention: Das Clearswift SECURE Web Gateway sichert den wichtigsten Ausreisekanal von Daten und Informationen der heutigen Zeit mit granularen Regeln und tiefen Einsichten in die Nutzung des Mediums „Web“. Sowohl zum Schutz als auch zur Erfolgskontrolle der umgesetzten Lösungsstrategie erweist es sich als wichtiger und sehr leistungsfähiger Baustein.

Sie erreichen uns zu allen diesen und mehr Themen auf den üblichen, unsicheren Wegen: 0511 – 260 911 0, nm[at]consulting-lounge.de oder service[at]michael-wessel.de – aber wir kommen dann auch gerne zum Gespräch zu Ihnen und lassen alle Kommunikationsvermittler außen vor.

 

Weitere interessante Quellen zum Thema:

# Autor und Kolumnist Mike Elgan über die Vermutung, die chinesische Regierung könnte den Leak zu verantworten haben

# Der Whisteblower Edward Snowden im Interview nach seiner Flucht nach Hong Kong