+43 699 / 18199463
office@itexperst.at

Kann Sicherheitssoftware nach dem NSA-Hack noch vertraut werden?

Kürzlich veröffentlichte die Hackergruppe ShadowBrokers ihre umfangreiche Beute an NSA Hackingtools. Diese sind so gut entwickelt, dass sie selbst spezielle Sicherheitssoftware von Unternehmen und Regierungen knacken kann. Die NSA hat diese Veröffentlichung bisher noch nicht kommentiert. Doch einige ehemalige Angestellte und neue Dokumente von Edward Snowden bestätigen die Echtheit dieser Toolsammlung.

Viele dieser Tools nutzen bisher noch nicht bekannte Schwachstellen aus, die auf die Firewalls der großen Tech-Firmen Cisco, Juniper und Fortinet abzielen. Die Hackingtools die die amerikanische NSA verwendet machen deutlich, dass selbst Technologien, mit denen unsere Computersysteme geschützt werden sollten, für Anwender keine gute Sicherheit mehr bieten. Zudem macht die Verwendung von veralteter Computertechnik alles nur noch unsicherer.

Insbesondere über Cisco wurde viel gesprochen in diesem Zusammenhang. Das Hacktool BegignCertain, wurde auch unter der veröffentlichten Hackingtool-Sammlung gefunden. Es kann VPN-Tunnel von bestimmten Cisco-Produkten umgehen und abhören in dem es Verschlüsselungscodes entziffert. Viele solcher verschlüsselten Verbindungen innerhalb von Unternehmensnetzwerken arbeiten seit vielen Jahren mit Cisco’s Pix-Versionen.

Laut Kevin Beaumont, einem Sicherheitsforscher, war Cisco Pix lange Zeit das Beste, was es in der Branche gab. Und es enthielt ganz offensichtlich einige gut versteckte Schwachstellen, die bisher niemanden – außer den NSA-Mitarbeitern – aufgefallen sind. Softwareexperten des Unternehmens haben jetzt alle Hände voll zu tun, diese seit 2003 offenstehenden Lücken zu patchen.

Anzumerken ist an dieser Stelle, dass Cisco seit 2009 keine Pix-Systeme mehr verkauft und seitdem auch keinen Support mehr bereitstellt. Dennoch sind viele dieser Systeme immer noch in Verwendung. Das liegt daran, dass insbesondere solche Firewalls von Unternehmen nicht ständig erneuert oder ausgetauscht werden, da sie in aller Regel individuell maßgeschneiderte sind.

Insbesondere mittelständische Unternehmen wollen sich eine solche rundum Aktualisierung nur alle paar Jahre leisten. Und kleinere Unternehmen tun sich hierbei natürlich noch schwerer. Andere wiederum können sich Neues leisten und setzen ihre alten, ausgemusterten Systeme für eine Weile in sekundären Geschäftsbereichen ein. Doch damit ist das Problem natürlich nicht aus der Welt geschafft. Sicherheitsexperten gehen davon aus, dass mindestens noch 15.000 Pix-Systeme aktiv verwendet werden. Die größte Mehrheit davon wird in Russland, den USA und in Australien betrieben.

Dass die NSA diese Schwachstellen erkannte und einige davon teilweise Jahre lang schamlos ausnutzte, ist selbst für Sicherheitsexperten beängstigend.

„Es sei fast nicht mehr möglich genau zu bestimmen, wie sicher deine Systeme sind“,

sagte Lorenzo-Hall.

„Es ist völlig verständlich ein bisschen paranoid zu werden, wenn man weiß, dass der NSA Werkzeuge zur Verfügung stehen, die selbst gar nicht so veraltete Sicherheitstechnik knacken kann. Wer weiß was sie mit der allerneuesten Technik schon machen können!“

Obwohl Cisco sich zunächst auf ihre Bestimmungen für veraltete Software berief, wurde das Unternehmen dann doch aktiv und leitete Untersuchungen ein. Es bewertete zwei der gefundenen Lücken als besonders kritisch und veröffentlichte daher dazu recht zügig entsprechende Sicherheitsaktualisierungen.

Eine andere Analyse zeigte auf, dass BegignCertain Cisco’s Pix-Versionen 5.3 (9) bis 6.3 (4) knacken konnte. Forscher waren aber auch in der Lage, die Entschlüsselungstechnik erfolgreich bei der Version 6.3(5) anwenden. Es wird davon ausgegangen, dass die NSA mit den Hacktools in Pix über 1000 VPN-Verbindungen pro Stunde entschlüsseln konnte. Laut den Untersuchungen von Cisco sind die PIX-Versionen ab 7.0 und neuer nicht davon betroffen, genauso wie das sogenannte Adaptive Security Appliance. Allerdings sind die PIX-Versionen ab 6.x und älter nicht sicher.

So arbeitet BenignCertain: Die bösartige Datei mit dem Namen bc-genpkt kann von außerhalb des jeweiligen Netzwerkes einen Angriff auf den sogenannten Pre-Shared-Key der PIX-VPN-Geräte durchführen. Dabei wird ein Internet Key Exchange-Paket an das Nutzergerät gesendet. Dies gibt ein einen Teil des Speichers frei (sog. memory dump). Daraus kann dann das RSA-Private-Key ausgelesen werden und auch Informationen über die Geräte VPN-Konfiguration.

Bei den Untersuchungen der Forscher wurden dann auch klar, weshalb Cisco’s Adaptive Security Appliance aktuell als sicher eingestuft wurde. 3 Monate vor Bekanntwerden des NSA Leaks wurde dessen Internet Key Exchange-Paket aktualisiert. Und es stellte sich auch heraus, dass in der gleichen Zeit als die PIX-Systeme noch angreifbar waren, mindestens noch ein Dutzend Firewalls anderer Anbieter ebenfalls ähnlich verwundbar waren.

Daher geht Jake Williams, IT-Sicherheitsexperte bei SANS davon aus, dass nicht nur die NSA diese Schwachstellen kannte und ausnutzte. Seiner Ansicht nach haben die Hacker von Shadow Brokers ihren Fund selbst in den letzten drei Jahren verwendet. Daher sollten sich nicht nur diejenigen Gedanken machen, die jetzt noch PIX verwenden, sondern auch alle, die es jemals verwendet haben. Er empfiehlt seinen Kunden ACLs zu erstellen, um den IKE-Traffic auf autorisierte Hosts einzuschränken. IKE ist ein extrem kompliziertes Protokoll, und weitere derartige Schwachstellen würden daher wahrscheinlich entdeckt werden.

Dies zeigt wieder, dass ausgezeichnete IT-Sicherheit für Unternehmen in zwingender Bestandteil der Unternehmenskultur sein muss.

Artikel von washingtonpost.com, 19.10.2016: The latest NSA leak shows why it’s so hard to trust even tech designed to keep computers safe
Artikel von arstechnica.com, 19.08.2016: How the NSA snooped on encrypted Internet traffic for a decade
Artikel von spiegel.de, 28.12.2014: Inside the NSA’s War on Internet Security

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen