Zum Inhalt

Trendthemen

Veraltete Internet-Technologien sind Sicherheitsrisiken

F-Secure Deutschland

14.11.19 5 Minuten Lesezeit

Die Sicherheitslandschaft ändert sich ständig, da Gegner immer wieder neue Techniken finden, um Unternehmen und Menschen anzugreifen. Infolgedessen passen Verteidiger ihr Spiel an, um dem kriminellen Verstand immer einen Schritt voraus zu sein.

Gleichzeitig werden immer noch viele ältere Internet-Protokolle verwendet. Diese Zombie-Internet-Standardprotokolle verfolgen immer noch die IT-Benutzer des 21. Jahrhunderts. Hier die drei schlimmsten Protokoll-Zombies:

Protokoll-Zombie Telnet

Aus dem Bericht von F-Secure zur Angriffslandschaft im ersten Halbjahr 2019 geht hervor, dass der größte Teil des Angriffsverkehrs mit 760 Millionen Ereignissen, Angriffe gegen das Telnet-Protokoll waren. Dieses wird auch von unsicheren IoT-Geräten (Internet of Things) verwendet.

Telnet wurde in den 1990er Jahren durch sicherere Protokolle auf Servern in der gesamten Branche ersetzt. In der Praxis werden unnötige Ports, Protokolle und Dienste zum Absichern von Geräten entfernt und ausgeblendet. Das Internet der Dinge bringt Telnet jedoch mit aller Macht zurück. Dies ist einer der Gründe, warum IoT gerne als „Cyber-Sicherheits-Albtraum“ bezeichnet wird.

Das 1969 entwickelte Telnet-Protokoll steht für „Teletype Network“ und wird von Administratoren oder anderen Benutzern für den Fernzugriff auf Computer verwendet. Sicherheit war vor der Bandbreiten- und Konnektivitätsexplosion der Neunziger Jahre kein so großes Problem wie heute. Die meisten Benutzer vernetzter Computer befanden sich innerhalb der Computerabteilungen akademischer Einrichtungen oder in großen privaten und staatlichen Forschungseinrichtungen.

Fennel Aurora, Sicherheitsberater bei F-Secure, erklärt:

Es gibt keinen guten Grund für IoT das Protokoll Telnet bereitzustellen. Es ist seit 20 Jahren tot. Auch wenn dies ein sicheres Protokoll wie Secure Shell (SSH) war, gibt es keinen guten Grund, einen Fernzugriffsanschluss für den Kühlschrank oder die Kaffeemaschine im Internet anzubieten.

Dieser offensichtliche Mangel an Grundhärtung durch die Hersteller ist überaus nachlässig. Wir werden aber leider weiterhin eine solche verantwortungslose Gefährdung der Verbraucher durch IoT-Hersteller erleben. Erst wenn die Verbraucherschutzgesetze für die Sicherheit und den Datenschutz von IoT-Geräten so streng sind, wie die für giftiges Spielzeug und die Brandgefahr im Haushalt, dann wird mehr Sicherheit einkehren.

Alte SSH-Versionen sind mehr Flop als Top

Secure Shell, das als Ersatz für Telnet entwickelt wurde, ist ein kryptografisches Protokoll für den sicheren Betrieb von Netzwerkdiensten über ein ungesichertes Netzwerk. Es ist ein sichererer Ersatz für Telnet. Der finnische Vater von SSH, Tatu Ylönen, ein Forscher an der Technischen Universität von Helsinki, entwarf 1995 die erste Version (jetzt SSH-1). Er entwickelte sie als Reaktion auf einen Passwort-Sniffing-Angriff auf das Netzwerk seiner Institution.

Bereits 2006 wurde SSH-2 als Standard eingeführt. Es ist zwar nicht mit der Vorgängerversion kompatibel, bietet jedoch einige Sicherheits- und Funktionsverbesserungen. Dennoch wurden in den Versionen von 1998 bis 2008 drei Sicherheitslücken entdeckt. 2014 veröffentlichte das Magazin „Der Spiegel“ in Deutschland Verschlusssachen, die vom Whistleblower Edward Snowden öffentlich gemacht wurden. Es wurde angedeutet, dass die NSA einen Teil des SSH-Verkehrs entschlüsseln könnte.

Ein kürzlich präsentierter Bericht von Alert Logic, einem Unternehmen für Threat Intelligence zeigt, dass Gegner die Ports 22 (SSH), 80 (unverschlüsselter Webverkehr) und 443 (verschlüsselter Webverkehr) verwenden, um Angriffe auf kleine und mittlere Unternehmen auszuführen.

SAMBA – so spricht Windows fast mit jedem

Server Message Block (SMB) – manchmal auch SAMBA genannt – ist alles andere als ein fröhlicher Tanz. Es ist ein Netzwerkkommunikationsprotokoll, das den gemeinsamen Zugriff auf Dateien, Drucker und serielle Anschlüsse zwischen Knoten in einem Netzwerk ermöglicht. Computer mit Microsoft Windows-Betriebssystem verwenden dieses Protokoll am häufigsten.

Der Bericht zur Angriffslandschaft im ersten Halbjahr 2019 von F-Secure besagt, dass die Honeypots im Berichtszeitraum 556 Millionen Ereignisse in Zusammenhang mit dem Verkehr zum SMB-Port 445 aufgezeichnet haben. Ein besonderer SAMBA-Angreifer: EternalBlue, ein von der NSA entwickelter Cyber-Angriffs-Exploit, der von den Shadow Brokers veröffentlicht und im Rahmen des WannaCry-Ransomware-Angriffs 2017 verwendet wurde.

Zwei Jahre nach WannaCry sind verwandte Exploits immer noch beliebt. Dies ist auf eine große Anzahl noch nicht gepatchter Server auf der ganzen Welt zurückzuführen.

Mit dem EternalBlue-Exploit können Angreifer von Remote-Standorten aus einen beliebigen Code auf dem Zielcomputer ausführen. Das gelingt, da der SMBv1-Server (SMB Version 1) speziell gestaltete Pakete verarbeitet – eine Dateneinheit, die zwischen mit dem Internet verbundenen Computern übertragen wird. SMB ist häufig so konfiguriert, dass es für das Internet offen ist. Einige der älteren Versionen – die erste stammt aus dem Jahr 1983 – enthalten viele Sicherheitslücken.

“Der Produktmanager für SMBv1 sagte, dass es für immer in der Versenkung verwinden sollte, weil es albtraumhafter Mist ist”, twitterte SwiftOnSecurity, ein Autor und System- und Arbeitsschutzbeauftragter. Microsoft Product Manager NerdPyle hat diese Aussage in einer Antwort auf diesen Tweet bestätigt.

SMB-Version 1.0 wurde durch die Versionen 2.0, 2.1, 3.0 und 3.02 ersetzt. 3.1.1 wurde mit Windows 10 und Windows Server 2016 eingeführt. Die Verschlüsselung wurde verbessert, um unter anderem zwei AES 128-Bit-Verschlüsselungsstandards zu unterstützen.

Weitere Altlasten aus vergangenen Internet-Tagen

Es gibt noch einige mehr Zombie-Protokolle aus der Vergangenheit des Internets. Diese Protokolle, sollten so schnell wie möglich aus dem Internet verschwinden. Wäre das der Fall, dann würde das Internet der Dinge um einiges sicherer werden. Aber es gibt noch mehr Fehler, die immer wieder gemacht werden:

  • FTP
  • SFTP
  • SCP
  • NFSv1 / 2
  • Java RMI
  • Rservices
  • SNMPv1
  • Schwache, fest codierte oder keine Passwörter
  • Nicht aktiviertes MFA
  • Nicht eigenschaltete Verschlüsselung
  • Veraltete, nicht gepatchte Software
  • Nicht verwendete Software wird nicht deinstalliert

 

Der Sicherheitsberater Fennel Aurora schlussfolgert:

Es gibt zwar Patches, aber es gibt Hunderttausende von Computern, auf denen diese alten Internetprotokolle teils ungepatcht ausgeführt werden. Weniger ist mehr, wenn es um Sicherheit geht. Wir wollen immer die Angriffsfläche reduzieren. Das Verbinden von Millionen zufälliger, ungehärteter, offener Geräte mit dem Internet ist das Gegenteil von Sicherheit. Es gibt Impfstoffe gegen all diese Zombies, wir müssen nur die Hersteller dazu bringen, sie anzuwenden.

F-Secure Deutschland

14.11.19 5 Minuten Lesezeit

Kategorien

Hervorgehobener Artikel

Zugehörige Beiträge

Newsletter modal

Vielen Dank für Ihr Interesse am F-Secure Newsletter. Sie erhalten in Kürze eine E-Mail zur Bestätigung des Abonnements. Falls Sie keine Nachricht bekommen haben sollten, überprüfen Sie bitte auch Ihren Spam/Junk Ordner.

Gated Content modal

Klicken Sie jetzt bitte auf die Schaltfläche unten um auf das angeforderte Dokument zuzugreifen – Vielen Dank für Ihr Interesse.