Schatten-Broker: Wie sich das NSA-Leck auf Ihr Unternehmen auswirkt
Sie sind desensibilisiert worden. Diesmal nicht gegenüber bedauerlicher und unnötiger Gewalt, sondern gegenüber Sicherheitsverletzungen, Hacks und schädlichen Datenlecks. Das ist nicht Ihre Schuld. Es hat viele gegeben.
Aber übersehen Sie dieses Problem nicht. Es ist anders und könnte der Beginn einer neuen Cybersicherheitsrealität sein. Hier ist der Grund, warum Sie aufmerksam sein sollten.
Was ist das NSA-Leck?
Zunächst die Details: Mitte August behauptete ein selbsternanntes Hacker-Team namens Shadow Brokers, bestimmte Überwachungs- und Cybersicherheits-Tools der National Security Agency (NSA) von der Equation Group gestohlen zu haben, einer Elite-Hackergruppe mit angeblichen Verbindungen zur NSA, wie Politico und Forbes berichten.
Die berüchtigten NSA-Leaks aus dem Jahr 2013, die von Edward Snowden veröffentlicht wurden, bestätigen die Kompromittierung und den Diebstahl, für den die Shadow Brokers nun die Verantwortung übernehmen, berichtet The Intercept.
Die Shadow Brokers geben an, dass sie nur 40 Prozent des Toolsets freigegeben haben; die anderen 60 Prozent bieten sie über Online-Märkte und Foren zur Versteigerung an, zusammen mit einem Manifest, einer FAQ und Screenshots der "Beute".
Interessanterweise berichtet Wired, dass die Gruppe keine Bieter für das hochpreisige Cyber-Arsenal gefunden hat.
Wer sind die Shadow Brokers?
Die Gruppe, die diesen Angriff durchgeführt hat, ist geheimnisumwittert. Sie tauchte an mehreren Stellen im Web auf: Twitter, Imgur, GitHub, Tumblr und Reddit. Inzwischen wurden einige dieser Konten gelöscht, aber es scheint, dass sie immer noch das Twitter-Handle @theshadowbrokers betreiben.
Es wird vermutet, dass der Name der rätselhaften Hackergruppe, die weitgehend unbekannt ist, von dem beliebten Videospiel Mass Effect 2 stammt, in dem eine Figur namensSchattenmakler" vorkommt, ein zwei Meter großer Außerirdischer, der diskret mit Schwarzmarktinformationen handelt.
Die Shadow Brokers, die für das NSA-Leck verantwortlich sind, könnten im Gegensatz zu ihrem Namensvetter aus dem Videospiel nicht schärfer sein. Während ihr andersweltlicher Zeitgenosse leise und mit großer Sorgfalt arbeitet, sind diese Shadow Brokers dreist, prahlerisch und unverfroren.
Es gibt eine Vielzahl von Theorien über ihre wahre Identität. Einige ehemalige NSA-Mitarbeiter behaupteten, dass es sich bei den Shadow Brokers lediglich um einen verärgerten, abtrünnigen NSA-Insider handelt.
"Meine Kollegen und ich sind uns ziemlich sicher, dass es sich nicht um einen Hack oder eine Gruppe handelt", so ein ehemaliger NSA-Mitarbeiter gegenüber Motherboard. "Dieser 'Shadow Brokers'-Charakter ist ein einzelner Mann, ein Insider-Mitarbeiter".
In der Zwischenzeit ist die populärste Theorie, dass die Shadow Brokers eine Gruppe russischer Hacker sind. Edward Snowden erklärte auf Twitter, dass "Indizienbeweise und konventionelle Weisheit auf russische Verantwortung hinweisen".
8) Indizienbeweise und herkömmliche Weisheit deuten auf russische Verantwortung hin. Hier ist, warum das wichtig ist: - Edward Snowden (@Snowden) August 16, 2016
"Es handelt sich wahrscheinlich um ein russisches Psychospiel, bis hin zum falschen Akzent einiger Nachrichten, die von der Shadow Brokers-Gruppe an Medienorganisationen geschickt wurden. Sie wurden in gebrochenem Englisch übermittelt und schienen direkt aus einem schlechten Spionagefilm zu stammen", sagte James A. Lewis, ein Experte der Washingtoner Denkfabrik Center for Strategic and International Studies, gegenüber der Die New York Times.
Warum ist dieses NSA-Leck anders?
Es geht nicht so sehr darum, dass das Leck von der NSA stammt - obwohl das an sich schon besorgniserregend ist -, sondern vielmehr um die Raffinesse der gestohlenen Technologie und um das, was es als potenzielle Änderung der Strategie bedeutet: Angriffe auf die Netzwerkinfrastruktur und die dazugehörigen Geräte.
Das Angreifen von Netzwerkgeräten, Switches, Routern und speicherprogrammierbaren Steuerungen (SPS) ist für Nationalstaaten nichts Neues (z. B. Stuxnet), aber die Bereitstellung einer solchen Nutzlast für den öffentlichen Gebrauch erhöht die technischen und bösartigen Fähigkeiten von Bedrohungsakteuren der Stufe B und C drastisch.
Matthew Green, Kryptograph an der Johns Hopkins University, erklärte gegenüber The Intercept, warum dieses Problem weitreichende Folgen haben könnte.
"Die Gefahr dieser Exploits besteht darin, dass sie jeden angreifen können, der einen anfälligen Router verwendet. Das ist so, als würde man in einer Schulkantine Werkzeug zum Knacken von Schlössern herumliegen lassen", so Green. "Es ist sogar noch schlimmer, denn viele dieser Schwachstellen sind auf keinem anderen Weg verfügbar, so dass die Hersteller von Firewalls und Routern, die diese Schwachstellen beheben müssen, und die Kunden, die anfällig sind, erst jetzt darauf aufmerksam werden.
NSA-Toolkits werden bereits in freier Wildbahn getestet
Green hatte Recht. Es war nur eine Frage von Tagen, bis Hacker, Script-Kiddies, Kriminelle und neugierige Programmierer die Exploits in freier Wildbahn testeten.
Der NYU-Sicherheitsforscher Brendan Dolan-Gavitt setzte einen Honeypot ein, der bekannte Schwachstellen aus dem NSA-Leck nutzte, leicht zu finden war und über eine schwache bzw. standardmäßige Kennwortauthentifizierung verfügte ( Wired berichtete zuerst). Innerhalb von 24 Stunden sondierten unbekannte Quellen den Honeypot bereits mit NSA-Exploits. Jeden Tag gab es mehr und mehr Treffer.
Wie wirkt sich das NSA-Leck auf Ihr Unternehmen aus?
Dieses Ausmaß der Kompromittierung hat sowohl einen seitlichen als auch einen abwärts gerichteten Effekt auf herstellerspezifische Lösungen, insbesondere auf Endpunkt-Sicherheitsprodukte.
Das Leck zwang Sicherheitsunternehmen in der gesamten Branche, darunter Cisco, Juniper und Fortinet, Hardware- und Softwarelösungen zu untersuchen und zu patchen, bestätigt Forbes.
Darüber hinaus könnte dies die ohnehin schon schwierige "Beziehung" zwischen der Regierung und dem privaten Cybersicherheitssektor beeinträchtigen. Viele dieser Tools stammen aus dem Jahr 2013. Einige sogar aus dem Jahr 2006.
Wusste die NSA von ihrer Wirksamkeit gegen gängige Netzwerkgeräte und hat die Hersteller nicht informiert? Leider wird seit langem davon ausgegangen, dass Nationalstaaten auf der ganzen Welt Zero-Day-Bedrohungen für zukünftige Zwecke horten.
Georgia Weidman, Gründerin und CTO von Shevirah, einem Unternehmen für Cybersicherheit und Penetrationstests, äußerte sich zu genau diesem Thema. In ihrem Leitartikel auf The Hill mit dem Titel "Schluss mit dem Horten von Zero-Days" fordert Weidman eine Änderung dieser Praxis und stellt fest, dass es ein Risiko für alle Nutzer darstellt, wenn Zero-Day-Risiken absichtlich unbehandelt bleiben.
"Aber wenn die NSA einen Zero-Day-Tag finden kann, dann können unabhängige Angreifer wahrscheinlich das gleiche Überwachungsfenster finden und es für ihre eigenen bösartigen Zwecke nutzen", erklärt sie.
Noch unübersichtlicher wird es, wenn Nationalstaaten, darunter auch die US-Regierung, Zero-Day-Exploits kaufen, wie im Fall Apple-FBI Anfang des Jahres geschehen.
Nicholas Weaver vom International Computer Science Institute in Berkeley (Kalifornien), ein bekannter und gefragter Cybersicherheitsforscher, schloss sich diesen Bedenken an.
Die Tatsache, dass wir wissen, dass die NSA eines von zwei Dingen getan hat, von denen eines SEHR SCHLECHT ist, ist SEHR SCHLECHT, und ein Teil davon, warum das Leck SEHR SCHLECHT für die NSA ist
- Nicholas Weaver (@ncweaver) August 17, 2016
In einem ausführlichen Lawfare-Leitartikel mit dem Titel "Nick fragt die NSA" stellt Weaver gezielte Fragen an die RSA. Drei der kritischsten Fragen sind:
- Wann hat die NSA von der Sicherheitsverletzung erfahren?
- Wenn die NSA bereits 2013 von der Sicherheitslücke wusste, warum hat sie dann nicht Fortinet und Cisco kontaktiert?
- Hat die NSA die Quelle der Sicherheitsverletzung identifiziert?
"Die ganze Episode wirft eine Reihe von Fragen zur Aufsicht auf", schrieb Weaver. "Wie und warum hat die NSA 280 MB an streng geheimen Angriffswerkzeugen verloren, darunter mehrere Zero-Day-Exploits und nicht verschlüsselte Implantate?"
Zugegeben, Weaver und der Rest der Branche wissen, dass diese Fragen wahrscheinlich nie beantwortet werden.
Erforderlich: Änderungen der Cybersicherheitsstrategien
Die von der NSA bereitgestellten Exploits zielen auf bestimmte Rack-Geräte ab - bis hin zur Modellnummer -, um sich Zugang zu verschaffen, sie zu verwalten, zu stören oder einfach offline zu nehmen. Ob die Exploits in den kommenden Monaten oder Jahren ersteigert oder kostenlos veröffentlicht werden, ist unerheblich. Sie werden in freier Wildbahn verfügbar sein, was die Cybersicherheit in Unternehmen erheblich erschwert.
Einerseits versucht ein proaktives Unternehmen, Sicherheitslösungen bei einem einzigen Anbieter zu konsolidieren, um den Betrieb zu vereinfachen und die Kosten zu senken. Auf der anderen Seite möchte es vielleicht eine mehrschichtige Sicherheit mit verschiedenen Lösungen aufbauen, um anbieterspezifische Schwachstellen zu reduzieren, was jedoch die Komplexität erheblich erhöht. Das ist die schlimmste Art von Catch 22.
Es gibt jedoch auch eine gute Nachricht. Wenn das Leck vollständig aufgedeckt wird, können Anbieter von Cybersicherheitslösungen aktuelle und künftige Sicherheitstools und -dienste patchen, verbessern und stärken.
Auf Twitter gab Green die grundlegendsten - und dennoch kritischen - Ratschläge, um die Schwachstellen der NSA-Exploits zu entschärfen.
Lassen Sie mich das noch einmal versuchen. Wenn ein Gerät, das Sie häufig benutzen, Sie auffordert, heute einen Patch durchzuführen, tun Sie es. Drücken Sie nicht auf "später".
- Matthew Green (@matthew_d_green) August 25, 2016
Die Liste ist zwar nicht erschöpfend, aber es ist immer eine gute Praxis, bewährte Grundregeln zu befolgen, einschließlich des oben genannten Schlüsselpunkts von Green.
- Betriebssysteme, Software, Endgeräte, Appliances und andere Hardware mit Patches versehen und auf dem neuesten Stand halten
- Kartieren Sie Ihre Netzwerkdaten, um zu verstehen, was am wertvollsten ist und was am stärksten verteidigt werden muss.
- Sorgfältige Suche nach bösartigem Datenverkehr oder Eindringlingen - sowohl eingehend als auch ausgehend
- Anwendung strategischer Benutzerrichtlinien in Bezug auf Authentifizierung, Fernzugriff, Zugang zu Einrichtungen, Datenvertraulichkeit, Compliance usw.
Sehen ist Glauben.
Vereinbaren Sie noch heute eine Live-Demo.