Zur erneut ausgebuchten 17. IT-Defense, die diesmal in Stuttgart stattfand, begrüßte Cirosec über 200 Teilnehmer. Das Vortragsspektrum der stets angenehm werbefreien IT-Sicherheitskonferenz reichte wie immer von strategisch bis tief technisch, vom IoT (Internet of Things) bis zu KI (künstliche Intelligenz). Eröffnungs­redner Roger Dingledine, Direktor und Mitbegründer des Tor-Projekts, warb in seiner Keynote für das Anonymisierungsnetzwerk als wirksames Mittel zum Schutz der Privatsphäre im heutigen Überwachungszeitalter.

Dingledine schätzt, dass Tor zirka zwei bis acht Millionen Nutzer pro Tag hat – genau weiß er es nicht, schließlich geht es hier um einen Anonymisierungsdienst. Das Tor-Netzwerk lebt jedoch von seiner Größe. Denn laut Dingledine versuchen Geheimdienste heute nicht mehr, verschlüsselte Kommunikation zu knacken, sondern vielmehr, anhand der Metadaten einen „Social Graph“ (Beziehungsmatrix) der Kommunikationsbeziehungen zu erstellen. Aus diesem Grund, so Dingledine, profitiere Tor von einer möglichst heterogenen Nutzerschaft: Ein Anonymitätsdienst zum Beispiel allein für iranische Bürgerrechtler wäre nicht sinnvoll. „50.000 Tor-User im Iran hingegen bedeutet, dass beinahe alle von ihnen normale Bürger sind“, argumentiert er. „Diese ‚Normalität‘ ist kritisch für die Sicherheit.“

Das Tor-Netzwerk ist laut dessen Chef Roger Dingledine weit mehr als nur ein Dark-Web-Tummelplatz: „Gute Menschen brauchen Tor viel mehr als die Bösen.“ Bild: Dr. Wilhelm Greiner

Mozillas Browser Firefox, auf dem der Tor-Browser basiert, umfasst zur Freude Dingledines neuerdings zunehmend Datenschutz-Features, die das Tor-Projekt schon früher angeregt hatte. Laut dem Tor-Chef hat man bei Mozilla inzwischen verstanden, wie wichtig die Privatsphäre ist – und dass man sich damit von Chrome differenzieren kann. Dem seitens der Ermittlungsbehörden oft vorgebrachten Einwand, Tor erschwere ihr die Arbeit, entgegnet er, dass die Mehrheit der Tor-Nutzer keine Kriminellen sind. Mit Blick auf globale Unterdrückung gelte daher: „Gute Menschen brauchen Tor viel mehr als die Bösen.“ Denn den Kriminellen stehe eine Vielzahl von Kommunikationsalternativen offen, da deren Lösungswege weder skalieren noch für längere Zeit funktionieren müssen. Deutliche Spitzen in der Tor-Nutzung gebe es in Ländern wie Russland oder Ägypten indes vor allem dann, wenn das örtliche Regime den Facebook-Zugang blockiert.

Den Versuchen ägyptischer Behörden, den Tor-Traffic mittels DPI (Deep Packet Inspection) zu entdecken, habe das Tor-Projekt mit Verschleierung begegnen können: Dank „Pluggable Transports“ sehe Tor-Traffic heute aus wie normale Web-Datenverbindungen, etwa HTTP, WebRTC oder Skype-Video. Dingledine warnte ausdrücklich vor den „zahlreichen westlichen Anbietern“ (als Beispiel nannte er Blue Coat), die digitale „Waffen“ an freiheitsfeindliche Regimes verkaufen. Er riet zu einem kritischeren Blick auf diese Anbieter und zur Frage: „Ist das die Welt, in der wir leben wollen?“

China sei längst nicht das einzige Land, das den Internet-Verkehr zensiere – Zensur gebe es auch in Ländern wie Australien, Schweden oder Belgien. Das Reich der Mitte nutze jedoch als Besonderheit zur Erkennung von Tor-Bridges eine landesweite Infrastruktur für das „Active Probing“, also die aktive Nachverfolgung von VPN-, SSL- oder Tor-Verbindungen. Dem setze sich Tor mittels Verzögerungstaktiken zur Wehr, dies sei aber „keine stabile Situation“. Ein aktuelles Vorhaben des Tor-Projekts für mehr Anonymität heißt „Snowflake“: JavaScript verwandelt den Browser eines Nutzers kurzfristig in eine Tor-Bridge. Dieses Konzept funktioniert laut Dingledine bereits, es erfordere aber noch weitere Arbeit.

Panikmache von Behörden

Hidden Services, inzwischen offiziell Onion-Services genannt, sind Dienste, die rein innerhalb des Namenssystems des Tor-Netzwerks laufen, also keine Exit Nodes aus der Tor-Infrastruktur heraus benötigen. Diese Services werden bislang laut Dingledine nicht sehr intensiv genutzt: Nur rund drei Prozent des Tor-Traffics diene zur Verbindung mit Hidden Services. Tor komme somit nur marginal für das „Dark Web“ zum Einsatz – alles andere sei Panikmache von Behördenseite. Die meistbesuchte .onion-Domain sei schlicht Facebook (laut deren eigener Auswertung). Auch bei den investigativen Medien nutze man Onion-Services: für „Secure Drops“, also anonyme digitale Briefkästen für Whistleblower.

Zusätzliche Dienste sollen Tor verstärkt auch für „Normalnutzer“ attraktiver machen. Mit Ricochet bietet das Tor-Projekt einen anonymisierten Messaging-Dienst als Alternative zu WhatsApp und Co. Denn selbst bei Nutzung der sicheren Signal-App, so Dingledine, sei die Kommunikation zwar verschlüsselt, aber eben nicht anonym. OnionShare wiederum biete die Möglichkeit einer anonymisierten One-Time-Dateiübertragung.

Tor sei sicher, aber nicht narrensicher, warnte er. Es gebe seitens einzelner Nutzer immer wieder Opsec-Fehler (Operational Security, Geheimhaltung). Weitere Risiken seien Fingerprinting anhand von Browser-Metadaten, Browser-Exploits sowie eine umfassende (End-to-End-)Verkehrsanalyse durch Geheimdienste. Jeder einzelne kann laut Roger Dingledine mithelfen, die Anonymität im Internet zu verbessern, indem man selbst ein Non-Exit-Tor-Relay betreibt – und Freunden oder Bekannten die Funktionsweise und Vorteile der Internet-Anonymität erklärt.

Industrieanlagen im Visier

Marina Krotofil, Senior Security Engineer bei BASF, umriss
in einem eindringlichen Vortrag die Angreifbarkeit von Industrie­steuerungen. Bild: Dr. Wilhelm Greiner

Gleich zwei Präsentationen auf der IT-Defense befassten sich mit IoT-Sicherheit. In einem eindringlichen Vortrag warnte Marina Krotofil, Senior Security Engineer bei BASF, vor der Angreifbarkeit von Industriesteuerungen (Industrial Control Systems, ICSs). Die Angriffe erfolgen laut der Expertin für ICS-Sicherheit auf immer hardwarenäherer Ebene. Die Schädigung einer Industrieanlage erfordere zwar einiges an Fachwissen, doch das Internet liefere hier nicht nur den Angriffsweg, sondern zugleich Angriffswerkzeuge und Know-how.
ICS-Sicherheit, so führte Krotofil aus, umfasst IT- und OT-Sicherheit (also Security ebenso wie physische Sicherheit, im Englischen Safety). Dabei könne die Kompromittierung eines Safety-Systems den größten Schaden anrichten. Angriffe auf Industrieanlagen seien nur scheinbar ein neues Phänomen, so die Expertin, es gebe sie schon seit 1999. Mit dem Stuxnet-Angriff 2010 erhielt das Thema mehr Aufmerksamkeit, 2015 folgte der vielbeachtete Angriff auf das Stromnetz der Ukraine mittels der Malware BlackEnergy, 2016 ein weiterer über deren Nachfolger Industroyer. 2017 schließlich trat Triton auf den Plan und nahm Triconex SIS-Controller (SIS: sicherheitsinstrumentiertes System) ins Visier.

Triton ist laut Krotofil nochmals gefährlicher, da die Malware auf Anlagen mit Safety-Integritätslevel 3 zielt, also auf Einrichtungen der zweithöchsten Kritikalitätsstufe. Zu beobachten sei ein Wettlauf hin zur „untersten Ebene“: Der BlackEnergy-Angriff zielte noch auf die Benutzerschnittstelle (Human-Machine Interface, HMI), Industroyer dann schon auf das darunterliegende Protokoll. Die von Fachleuten Russland zugeschriebene Triton-Malware schließlich setzt nochmals eine Ebene tiefer an: eben am ICS – wo es, wie Krotofil ausführte, keinerlei interne Abwehrmechanismen mehr gebe.

Herausforderungen für Angreifer

Laut der Expertin muss ein Angreifer, der auf ein ICS abzielt, aber zunächst mehrere Hürden nehmen: Ein ICS produziere Unmengen numerischer Prozessdaten – der Eindringling müsse daher Systemkenntnisse haben, um Schaden anzurichten. Zudem müsse er zuerst meist Alarmmechanismen deaktivieren. Ein möglicher Angriffsweg sei es daher, Komponenten zu schädigen, die nicht mit dem Kommunikationsnetzwerk verbunden sind. Selbst beim erfolgreichen Deaktivieren des Alarms bestehe oft eine Vielfalt weiterer Messverfahren, etwa für Umgebungsvariablen, deren Abweichen eine Warnung erzeuge. Ein Exploit müsse des Weiteren mit stark limitierten Ressourcen auskommen. Und schließlich gibt es laut Krotofil häufig keine Metriken, um den Erfolg eines Angriffs zu messen: Will ein Angreifer zum Beispiel ein Rohr implodieren lassen, gebe es in der Regel keine Monitoring-Daten zum aktuellen Rohrdurchmesser.

Allerdings werden die Hürden für einen erfolgreichen Angriff auf ein ICS laut der BASF-Expertin allmählich niedriger. Nicht nur könne man heute die gesamte benötigte Hardware inklusive der Handbücher im Internet kaufen, und dies noch dazu für wenig Geld. Zugleich mache es die Herstellerseite den Angreifern leicht. So weise Industriesoftware mitunter im wörtlichen Sinne eine Backdoor auf – nicht als Bug, sondern als Feature.

Dringend nötig sei es, Auditing- und Forensiklösungen für Industriesteuerungen zu entwickeln, denn derlei Werkzeuge gebe es von Herstellerseite bislang nicht. Sie forderte Monitoring- und Auditing-Tools, um kompromittierte Geräte zu entdecken, und ein forensisches Instrumentarium, um nachzuvollziehen, was mit dem Gerät passiert ist. Das Problem: „Die Hersteller weigern sich, logisch zu denken“, klagt Krotofil. Notwendig sei es auch, die Hersteller vor Supply-Chain-Angriffen zu schützen. Denn es sei derzeit nich nachzuweisen, wenn eine Komponente einen Exploit enthält. Schadcode à la Triton gibt es laut der Expertin wohl auch schon für weitere Systeme. Nachahmungstäter seien somit „nur eine Frage der Zeit“.

Am Folgetag war IoT-Sicherheit nochmals Thema: ICS-Security-Forscher Dr. Jason Staggs erläuterte die IT-Sicherheit von Kontrollsystemen bei der Erzeugung erneuerbarer Energie – laut Staggs 2017 bereits ein Viertel der weltweiten Energiegewinnung. Innerhalb des Steuerungsnetzwerks einer US-Windfarm befinden sich laut Staggs „überhaupt keine Sicherheitsmechanismen“. Ein mit den Angriffswerkzeugen Windshark oder Windworm bewaffneter Eindringling, der Zugang zum Netzwerk erhält, könnte somit einen „Hard Stop“ (Nothalt in Sekundenschnelle) initiieren und die Windräder dadurch massiv beschädigen. Ein mögliches Geschäftsmodell wäre die Erpressung von Windfarmbetreibern. Er rät zur Deaktivierung oder zumindest starken Limitierung der Write-Option in OPC-DA (Open Platform Communications Data Access) sowie nicht benötigter Dienste, zur Verschlüsselung der Kommunikation und zur Begrenzung des Hersteller-Fernzugriffs auf die OT-Umgebung.

Venenbiometrie gehackt

Die IT-Defense bot noch diverse weitere spannende Vorträge. White-Hat-Hacker Starbug zum Beispiel präsentierte – ein Schnelldurchlauf seines Vortrags vom 35. Chaos Communications Congress (35C3) – seine aktuellen Erfolge bei der Überlistung Venenmuster-basierter biometrischer Zugangskontrolle. Derlei Systeme kommen von Fujitsu (PalmSecure für Handvenen) und Hitachi (VeinID für Fingervenen). Die benötigten Venenmuster beschafften sich Starbug und sein Mitstreiter per Spiegelreflexkamera mit ausgebautem Infrarotfilter, was laut Starbug bis auf fünf Meter Distanz funktioniert. Die – aufwendig nachbearbeiteten – Bilder akzeptiert ein Venenscanner nicht: Die Lichtstreuung ist anders als bei einer echten Hand. Darum betteten die Hacker das Bild in eine Handattrappe aus Bienenwachs, auch ein 3D-Druck wäre laut dem Forscher denkbar. Im gezeigten Video funktionierte der Hack, eine Lebenderkennung erfolgte offenbar nicht. Damit hat Starbug lediglich die Retina-Biometrie noch nicht gehackt.

„Sicherer Code ist vor allem korrekter Code“, so Karla Burnett, Security Engineer bei Stripe. Bild: Dr. Wilhelm Greiner

Sean Metcalf, Betreiber von ADSecurity.org, erläuterte in kompakter Form Einfallstore in das Active Directory (AD). So erleichtere es zum Beispiel die Self-Service-Verwaltung von Mitarbeiterdaten im ADS einem Angreifer, die SMS eines Mitarbeiters an eine neue Telefonnummer umzuleiten und so die MFA (Mehr-Faktor-Authentifizierung) zu unterlaufen – kritisch, wenn der betroffene Nutzer ein Administrator ist. Metcalfs dringlichste Ratschläge: Man müsse Administratoren-Credentials isolieren und schützen, Administratorenzugriffe härten (unter anderem eben durch MFA), nicht benötigte Service-Accounts löschen und die AD-Zugriffe mit einem Monitoring-Tool überwachen.
Jens Müller von der Uni Bochum beschrieb Wege, Netzwerk-Drucker mittels DoS-Angriffen (Denial of Service) zu kompromittieren – bis hin zu phyischen Schäden – sowie Print-Jobs zu manipulieren und Informationen abzugreifen. Denn die PostScript- und PJL-Implementierungen der Druckerproduzenten sind laut Müller mangelhaft – quer durch die Herstellerlandschaft. Remote Code Execution mit PostScript-Interpretation sei deshalb eine große – und unterschätzte – Gefahr.

Karla Burnett, Security Engineer bei Stripe, betonte in ihrem Vortrag, zur Entwicklung sicherer Software müsse man vor allem die Entwickler zum konsequenten Schreiben korrekten Codes animieren. Als Wege zu diesem Ziel nannte sie Security by Default (beispielsweise HTML Auto-Escaping zur Vermeidung von Cross-Site Scripting), klare Workflows für die Entwickler, dynamisches Feedback zu Fehlentscheidungen, etwa mittels eines Change-Monitoring-Tools, sowie eine ausführliche Dokumentation mir klaren Verantwortlichkeiten.

Die weiteren Fachvorträge reichten von den Entwicklungen im Nachfeld der CPU-Schwachstellen Spectre und Meltdown über Programmanalysen mittels Fuzzing und Machine Learning (ML) bis hin zur Kompromittierung aktueller WLAN-Hand­shakes. Martin Vigo präsentierte – auch dies ein 35C3-Replay – das Hacken von Onlinekonten durch die Hintertür kompromittierter Voicemail-Systeme. Prof. Dr. Bernd Ankenbrand, Professor an der Hochschule für angewandte Wissenschaften Würzburg-Schweinfurt, diskutierte die typisch menschlichen Heuristiken (Schlussfolgerungen bei begrenztem Wissen), die unsere Risikobewertung verzerren. Dazu zählen beispielsweise die aus dem Bereich der Security-Awareness-Trainings bekannten Faktoren wie die Prägung durch frühere Erfahrungen, die Ankerheuristik (Einfluss unmittelbar zuvor erfolgter positiver oder negativer Ereignisse) oder auch die Verlustaversion (Verluste wiegen für die meisten Menschen schwerer als Zugewinne). Das größte Risiko ist es laut Ankenbrand letztlich, bei der Risikobewertung falsche Maßstäbe anzunehmen.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.