In letzter Zeit werden wir immer wieder von besorgten Kunden, aber auch Interessenten und vor allem von Messebesuchern auf das Thema Fileless Malware angesprochen. Zuletzt erst auf der it-sa 2017. Daher hier ein kleiner Beitrag dazu.

Vorab:

Keine Sorge, SecuLution schützt Sie!

Damit dies aber nicht wie ein reines Marketing-Versprechen wirkt, müssen wir technisch etwas ausholen:

Prinzipiell kann keine Sicherheitslösung grundsätzlich die Ausführung von Schadcode verhindern, wenn dieser Schadcode durch Ausnutzung einer Sicherheitslücke in einer erlaubten Software nur im Speicher dieser Software ausgeführt wird, ohne eine Datei auf Platte zu speichern. Eine derartige "dateilose Infektion" war also schon immer möglich und wird auch zukünftig immer möglich sein, da die x86 und die x64 Architektur (und damit Windows) nun mal so designt sind. Aber diese Angriffe benötigen (bis heute) immer Tools wie z.B. Powershell, deren Ausführung durch SecuLution beschränkt wird, sodass im Endeffekt SecuLution auch Schutz vor allen bisher bekannten dateilosen Infektionen bietet.

SecuLution schützt Sie nach wie vor bestens.

Aber wie groß ist die Bedrohung denn überhaupt, sagen wir mal für Ihren PC Zuhause?

Gerade weil eine solche "dateilose Infektion" keine Datei auf dem Rechner ablegt, ist ein erfolgreicher Angriff immer nur bis zum nächsten Reboot aktiv, somit also temporär. Genau das kann ein Angreifer aber nicht gebrauchen, denn wenn der Rechner neu gestartet wird, ist der Angriff zunichte gemacht. Daher ist die dateilose Infektion bisher eher ein akademisches Forschungsfeld als eine realistische Bedrohung. Denn der Angreifer muss darauf trauen, dass der Anwender seinen Rechner oder die ausgenutzte Anwendung (z.B. Browser) nie neu startet. Es gibt (so gut wie) keine dokumentierten Vorfälle von erfolgreichen Angriffen mittels einer dateilosen Infektion. Einzig ein gezielter Angriff auf einige Banken, die ihre Rechner nie neu gestartet hatten, ist bekannt.

Und dieser Angriff wäre von SecuLution verhindert worden, wenn die Banken SecuLution eingesetzt hätten.

Was können Sie heute tun, um gegen eventuellen Angriffen gewappnet zu sein?

Mit SecuLution sind Sie bereits optimal geschützt, denn SecuLution bietet Ihnen als Whitelisting Lösung nicht nur den Schutz, dass sämtliche unbekannte Programme nicht gestartet werden können, sondern sorgt auch dafür, dass Angriffe, die die PowerShell verwenden, scheitern.

Zitat:

"Diese Payload startete die Powershell, die dann über WinAPI-Aufrufe Speicher reservierte und diesen mit Tools wie Meterpreter und Mimikatz bestückte."

Quelle Heise

Das alles kann unter SecuLution nicht passieren, wenn Sie unserer Empfehlung folgen und die Ausführung der Powershell per Application Control auf Administratoren beschränken: PowerShell mit Application Control einschränken

Auch wenn jetzt immer noch Zweifel bestehen, rufen wir Sie hiermit auf unsere Aussagen bezüglich der Sicherheit von SecuLution selbst nach zu prüfen. Testen Sie unsere Lösung in Ihrem Netzwerk 8 Wochen lang kostenlos und probieren Sie eigene Angriffe aus.

Wir gehen noch einen Schritt weiter. Besuchen Sie uns am 28. und 29. November auf der Cloud Security Expo in Frankfurt und bringen uns Ihre Malware auf einem USB Stick mit. Sie dürfen diese selber an einem durch SecuLution geschützten PC starten. 

Für kostenlose Eintrittskarten inkl. eines Snacks und weiterer Vorteile registrieren Sie sich bitte hier: www.cloudexpoeurope.de/seculution

Foto: Nuernberg Messe / Thomas Geiger

Die it-sa 2017 war auch für SecuLution ein fester Termin im Kalender, ebenso wie von zahlreichen IT-Sicherheitsbeauftragten. Als Trendbarometer für den gesamten IT-Sicherheitsmarkt hat sie mit 28% mehr Ausstellern in nunmehr 3 Hallen einen echten Wachstumssprung gemacht.

Auch 2017 begrüßte das SecuLution Team aus Technikern, Beratern und Geschäftsführer Torsten Valentin, auf einer ebenfalls gewachsenen Standfläche Kunden, Interessenten aber auch Besucher die das Thema Application-Whitelisting bisher noch gar nicht kannten. Vielen Dank für den Besuch und eine gelungene Messe.

Ein erfolgreicher Messeauftritt – Unser Rückblick
Strategien für die Zukunft, IT-Sicherheit, DSGVO, moderne Endpoint Protection und natürlich aktuelle Bedrohungen, standen im Mittelpunkt. Application-Whitelisting bietet für diese Herausforderungen bereits seit Jahren eine umfassende Lösung.
Trotzdem stellen sich vor allem Interessenten immer noch die Frage: Ist Application-Whitelisting nicht sehr pflegeintensiv?

Orientierung für DSGVO
Unsere Besucher stellten diese Frage fast durchgehend. Jedoch konnten wir durch unsere Live-Demo das exakte Gegenteil vorführen. Gleichzeitig beweist SecuLution wie Application-Whitelisting der Umsetzung von DSGVO Anforderungen, wie Zugriffskontrolle, privilegierte Nutzerkontrolle, Datenverschlüsselung und vielen mehr bereits im Default entspricht.

Wir haben uns sehr über die zahlreichen Interessenten und Gespräche gefreut und begrüßen nach der it-sa wieder zahlreiche neue Kunden, die mit Application-Whitelisting ihr Netzwerk von nun an effektiver und sorgenfreier als bisher absichern können.

Abschließend, noch einige Eindrücke:

Was für eine Messe, was für ein super Publikum, was für eine beeindruckende Location.

Doch wie unbekannt Application Whitelisting auch im internationalen Business noch ist, bestärkt uns weiter unermüdlich auf Fachmessen und Vorträgen Aufmerksamkeit für SecuLution und unsere gleichnamige Application Whitelisting Software zu wecken.

Die Londoner Olympia Hall aus dem späten 19. Jahrhundert liegt im Westen von Londons Zentrum, genauer gesagt zwischen Hammersmith und Kensington. Bereits am ersten Tag war der Besucheransturm überwältigend, trotz typischem Londoner Regenwetter.

SecuLution war dieses Jahr das erste mal als New Exhibitor auf der Galerie der beeindruckenden Halle mit dabei. Unser Eckplatz, in der Nähe der Treppen hat natürlich geholfen interessierte Besucher mit unserer Application Whitelisting Lösung vertraut zu machen. Dennoch waren wir überwältigt vom Besucheransturm und den sehr gut vorbereiteten Besuchern an diesem ersten Tag, ebenso wie an den Folgetagen.

Unsere Tech Showcases auf einer der vielen Bühnen, waren ebenfalls oft Stein des Anstoßes für Interessenten, sich unsere Lösungen genauer anzuschauen. Ein Video hierzu folgt in den nächsten tagen ebenfalls.

Wir konnten viele neue Kontakte knüpfen und hatten eine großartige Woche in London. Die Info Security Europe wird auch 2018 eines unserer Ziele sein. Bis dahin haben wir eine Menge zu tun, freuen uns aber trotzdem das Thema Applicaion Whitelisting auch an unsere internationalen Interessenten und Kunden heran tragen zu können.

Europas wichtigste Fachmesse für Gesundheits IT geht nach drei Tagen am 27.4.2017 zu Ende. Neben den klassischen Angeboten für IT-Lösungen in Krankenhäusern und Gesundheitseinrichtungen, ist nach 2016 der Bereich Netzwerksicherheit und Endpoint-Protection verstärkt in den Fokus der Unternehmen im Gesundheitssektor gerückt.

Zur Pressemitteilung.

Europas wichtigste Fachmesse für Gesundheits IT geht nach drei Tagen am 27.4.2017 zu Ende. Neben den klassischen Angeboten für IT-Lösungen in Krankenhäusern und Gesundheitseinrichtungen, ist nach 2016 der Bereich Netzwerksicherheit und Endpoint-Protection verstärkt in den Fokus der Unternehmen im Gesundheitssektor gerückt.

Nicht nur für Mediziner und Verwalter bot die conhIT also interessante Lösungen, auch die zahlreichen Mitarbeiter der IT-Abteilungen kamen voll auf ihre Kosten. Unter anderem an unserem Stand in Halle 3.2, wo sich Interessenten, Vertriebspartner, aber auch Studenten und Mitbewerber über Application Whitelisting zur Absicherung gegen unerwünschte Schadsoftware informierten.

Doch der Reihe nach. Bereits 2016 war SecuLution als Mitaussteller auf der conhIT. Nach den durchweg positiven Reaktionen und vielen Neukunden im vergangenen Jahr, haben wir unser Engagement auf der conhIT erweitert. 2017 ist SecuLution mit einem komplett neu gestalteten, eigenen Messestand vertreten.

Interessierte Besucher konnten an zwei Demo-Points die SecuLution Application Whitelisting Suite in Aktion erleben und bekamen ihre Fragen von unserem Messeteam rund um Geschäftsführer Torsten Valentin beantwortet. Hier haben sich vor allem die zahlreichen Studenten der Studienrichtungen eHealth IT, medizinische Informatik und Bioinformatik intensiv mit dem Ansatz des Application Whitelisting auseinandergesetzt. Kritische Fragen zu Schwachstellen und immer wieder bereits bekannte Gesichter mit neuen Fragen kamen zu uns.

"Sind Hash-Kollisionen wie die jüngst gefundenen bei SHA1 und natürlich auch MD5 nicht ein sicherheitsrelevantes Risiko wenn ihre Software nur anhand von Hashwerten ein Programm prüft?"

"Was passiert denn wenn ich als Angreifer den Server mit der Whitelist ausschalte oder in irgendeiner Form vom Netzwerk isoliere? Dann wären die Clients doch schutzlos weil nichts mit der Whitelist geprüft werden kann, oder?"

"Ich habe da nochmal drüber nachgedacht, wie sieht das eigentlich aus wenn ich Schadsoftware mit USB Sticks direkt ins Netzwerk bringe?"

Diese und andere Fragen zeigen, dass die zukünftigen Mitarbeiter sich intensiv mit der Materie auseinandersetzen. Die Branche kann stolz sein auf die kommende Generation von IT Spezialisten.

Doch nicht nur Studenten zeigten besonderes Interesse. Auch die gut besuchte Messeführung, die am ersten Tag bei uns Station machte und Geschäftsführer Torsten Valentin gebannt zuhörte, brachte zahlreiche Interessenten zu uns. Einer der Teilnehmer berichtete sogar, er habe IT-Sicherheit gar nicht auf seiner Agenda für die conhIT und wurde durch unsere Lösung positiv überrascht.

Alles in allem hatten wir eine großartige Woche und haben viele neue Kontakte knüpfen können. Freuen uns andererseits natürlich immer, bereits bekannte Gesichter und treue Kunden auf der Messe wieder einmal persönlich zu treffen und uns auszutauschen.

Application Whitelisting hat trotz aller positiven Resonanz noch einen weiten Weg vor sich, um als echte Alternative zu bekannten Sicherungsmethoden wahrgenommen zu werden. Das zeigt vor allem die immer noch bestehende Unbekanntheit und die vielen Vorurteile die diesem Prinzip vorauseilen.

Die conhIT 2017 war für SecuLution daher auch ein weiterer Schritt auf dem Weg, mit immer wieder angeführten Vorurteilen gegenüber Application Whiltelisting, aufzuräumen.

• Whitelisting kann nicht nur in statischen Netzwerken eingesetzt werden, tägliche Updates und Patches stellen keine Hindernisse für die Funktionsweise dar.
• Große Teile der Software erledigen automatisiert ihre Aufgaben, der Administrationsaufwand reduziert sich dadurch erheblich.
• Administratoren haben wieder Kontrolle über die im Netzwerk genutzte Software.
• Ausfallzeiten und Schäden durch unerwünschte Software gehören mit Whitelisting der Vergangenheit an. 

uvm.

Diese und andere Punkte werden wir auch zukünftig unermüdlich für den Einsatz von Whitelisting anführen. Wir bedanken uns bei den Organisatoren der Messe Berlin, uns für diese Mission wieder einmal eine großartige Plattform aufgestellt zu haben. Die conhIT 2017 war bestimmt nicht unsere letzte.

Hier noch einige Eindrücke von der conhIT 2017: 

Ende Februar 2017 verkündete eine Gruppe Forschern von Google und dem CWI Institut Amsterdam, den 1995 von der NSA freigegebenen SHA-1 Algorithmus in Bezug auf Kollisionsresistenz gebrochen zu haben.

Bisher galt SHA1 als sicher.

Ist das jetzt nicht mehr so?
Und was hat das alles mit dem älteren Bruder MD5 zu tun?

Unser Application Whitelisting beispielsweise nutzt das MD5 Verfahren, um z.B. eine ausführbare Datei anhand des resultierenden MD5 Hashes eindeutig zu identifizieren. Man kann das Verfahren mit einem elektronischen Fingerabdruck vergleichen. In letzter Zeit häufen sich Bedenken, dass jeder mit frei erhältlichen Programmen eine Hash Kollision zweier unterschiedlicher Datensätze erzeugen und somit das Prinzip, auf dem unsere Sicherheitslösung aufbaut, überlisten könne.

Wir möchten in diesem Beitrag erklären, warum MD5 und auch SHA-1 zwar in Bezug auf ihre Kollisionsresistenz kryptografisch gebrochen sind, aber dennoch vollkommen sicher im Bezug auf unsere Verwendung für die eindeutige Identifizierung von Computer Software sind. Der Beitrag ist keine wissenschaftliche Abhandlung über Kryptografie.

Kryptographie und Identifizierung

Eines der bekanntesten Beispiele für die kryptografische Verschlüsselung von Nachrichten aus dem letzten Jahrhundert ist sicherlich die Enigma. Es handelt sich hierbei um eine eine Rotor-Schlüsselmaschine, die im Zweiten Weltkrieg zur Verschlüsselung des Nachrichtenverkehrs des deutschen Militärs verwendet wurde. Das zugrunde liegende Verfahren wies jedoch eine Schwachstelle auf (fixpunktfreie Permutation). In der Konsequenz konnten die Alliierten alle Nachrichten über Positionen und Verlegungen der Flotten der deutschen Marine entschlüsseln, was schlussendlich zu einem der Hauptfaktoren für den Ausgang des Krieges wurde.

Prinzipiell ist jeder in der Praxis verwendete kryptographische Algorithmus “knackbar”, die Frage ist nur, ob es realistisch möglich ist, dies mit der aktuell zur Verfügung stehenden Technik tatsächlich zu bewerkstelligen. Heute gilt jedes Verschlüsselungsverfahren als gebrochen, wenn es tatsächlich durchführbar ist, den verschlüsselten Nachrichteninhalt in den Klartext zurück zu wandeln, ohne den Schlüssel zu kennen. Ein Hash Verfahren wie MD5 oder SHA-1 wird als gebrochen bezeichnet, wenn es praktisch möglich ist, Kollisionen zu erzeugen.

Genau dies ist den Forschern nun für SHA-1 gelungen. Durch Nutzung einer mathematischen Abkürzung und immer noch enormer Rechenpower, die von Google bereitgestellt wurde.

Der Angriff erforderte über 9.223.372.036.854.775.808 SHA-1 Berechnungen, die äquivalente Rechenleistung wie 6.500 Jahre Single-CPU-Berechnungen oder 110 Jahre Single-GPU-Berechnungen. Man könnte vermuten, nach Einsatz derartiger Rechenpower sei nun ein Ergebnis gefunden, das künftige Kollisionen leichter macht. Doch genau das ist nicht der Fall, durch diese Berechnungen wurde genau eine Kollision erzeugt. Jede neue Kollision von SHA-1 Hashes würde wieder den selben Aufwand nach sich ziehen.

Um eine derartige Rechenleistung zur Verfügung zu haben, benötigt man Zugriff auf Rechenzentren, wie Google, Amazon oder die NSA sie mutmaßlich betreiben. Das für diesen Angriff notwendige Brutforcing lässt sich leicht parallelisieren. So kann die theoretische Rechenzeit von 6.500 Single-CPU Jahren auf nur 110 Jahre mit Single-GPUs verteilt werden, oder einem Jahr mit 110 GPUs oder ein Monat mit 1.320 GPUs. Somit ist die Frage, ob ein Verfahren sicher ist, oder als gebrochen gelten muss, abhängig davon, ob und für wen es machbar ist, eine derartige Rechenleistung bereit zu stellen, um im Ergebnis genau einen Schlüssel zu knacken. Es mag auf den ersten Blick nach viel klingen, wenn man sagt, man müsse tausend Jahre rechnen, um einen Schlüssel zu knacken. Dennoch gibt es Organisationen, für die es nicht außer Reichweite ist, 1.300 Prozessoren einen Monat auf das Knacken eines Schlüssels zu investieren. Teuer, aber eben nicht unmachbar. 

Kollisionsresistenz und Pre-image Angriffe

Für den Anwendungszweck des Application Whitelisting wie SecuLution es bietet, trifft dies alles aber nicht zu. Wir nutzen die Eigenschaft eines Hashes, eine bestimmte Version einer Software eindeutig in einer recht kurzen Kette von Buchstaben und Zahlen eindeutig und fälschungssicher zu identifizieren. Es wird also lediglich die Masse aller verfügbaren Hashes genutzt, um eine eindeutige Identifikation zu ermöglichen. Es soll nichts verschlüsselt und entschlüsselt werden.

Um einen Angriff auf diese Technik durchzuführen, hilft dem Angreifer eine Kollision nicht. Wir erinnern uns, dass eine Kollision lediglich zwei identische Hashes erzeugt die wir darüber hinaus nicht beeinflussen können. Der Angreifer müsste aber zwingend eine Datei erzeugen, die im Ergebnis einen Hash hat, der in der Application Whitelist bereits als vertrauenswürdig eingestuft ist. Es ist also der Hash vorgegeben (Pre-Image) und der Angreifer muss eine Datei erstellen, die genau diesen Hash erzeugt. Man nennt das einen Pre-Image Angriff.

 SHA-1 und auch MD5 sind im Bezug auf ihre Kollisionsresistenz gebrochen, im Bezug auf Pre-Image Angriffe aber stehen diese Algorithmen auch heute wie ein Fels in der Brandung. Es ist nach wie vor nicht möglich Eingabedaten (z.B. Schadsoftware) zu erzeugen, die einen vorgegebenen Hash (z.B. MD5 von calc.exe) haben wird.

Pre-Image und Kollision sind zwei unterschiedliche Angriffe auf Hashes: Eine Kollision ermöglicht es, aus zwei Anwendungen unterschiedlicher Funktion einen identischen Hashwert zu generieren, aber auf den im Ergebnis erzeugten Hash kann dabei kein Einfluss genommen werden. 

Die Magie der großen Zahlen

Um diese Unmöglichkeit der Durchführung eines Pre-Image Angriffs auf MD5 besser veranschaulichen zu können, kann man folgendes tun:

Die Aufgabenstellung des Angreifers ist, eine Schadsoftware zu erzeugen, die im selben MD5 Hash resultieren soll, wie das Programm calc.exe. Es ist also der Hash von calc.exe vorgegeben. Im Falle von MD5 mit einer Länge von 128 Bit, wäre man mit Brute-Force nach 2 hoch 128 Versuchen garantiert erfolgreich.

Wählen Sie in Gedanken eine Zahl zwischen 1 und 10, und Ihr Gegenüber ist nach garantiert maximal 10 Versuchen erfolgreich, Ihre Zahl erraten zu haben. Im Durchschnitt würde er aber nur 5 Versuche benötigen.

 Analog dazu ist die durchschnittliche Anzahl von Bruteforce Versuchen auf einen MD5 Pre-Image Angriff 2 hoch 64 Versuche. 2 hoch 64 ist eine unvorstellbar große Zahl. Was uns zu dem Problem führt, dass Zahlen wie 2 hoch 64 für viele Menschen zu abstrakt sind, es fehlt uns eine Bezugsgröße, um sie besser in uns geläufige Zeiträume einordnen zu können. Als Vergleich wird daher oft die Rechenzeit angegeben, die eine aktuelle GPU zum „Durchprobieren“ dieser Zahlenmenge benötigen würde.

Die beste GPU in 2017 kann rund 2.000.000 = 2 × 10 hoch 6 MD5 Varianten einer Schadsoftware pro Sekunde erzeugen und deren Hash berechnen.* 

Um 2 hoch 64  (=1,84 × 10 hoch 19 ) Berechnungen durchzuführen benötigt die aktuell modernste GPU damit 9.223372 × 10 hoch 12 Sekunden oder, als Referenzwert für uns besser geeignet, 292.471 Jahre Rechenzeit. 

Das bedeutet, 292.471 GPUs rechnen ein Jahr oder 3.509.654 GPUs rechnen einen Monat. Diese Größenordnung wird gemeinhin als nicht durchführbar betrachtet, deshalb gilt dieses Verfahren im Bezug auf Pre-Image Angriffe weiterhin als ungebrochen.


* Diese GPU kann 25.000.000 Rechenoperationen/Sekunde durchführen, allerdings verringert sich diese Zahl für den beschrieben Fall immens, da immer auch die Schadsoftware mit in die Hash Berechnung einbezogen werden muss.

Quellen:
https://blog.codinghorror.com/speed-hashing/
https://www.computerbase.de/2017-01/radeon-hd-7970-290x-fury-x-vergleich/

18,9 Prozent der Unternehmen in Deutschland waren bereits Opfer eines Spionagefalls oder waren von Informationsabfluss betroffen.

Das Risiko von Industriespionage wird deutlich unterschätzt. Obwohl über 80 Prozent der Befragten glauben, dass das Risiko für Industriespionage weltweit ansteigen wird, glauben nur 33,7 Prozent, dass die Gefahr auch für ihr eigenes Unternehmen steigen wird.

Für die deutsche Wirtschaft entstehen durch Spionage jährlich Schäden in Milliardenhöhe. Insgesamt 64,4 Prozent aller geschädigten Unternehmen hatten auch einen finanziellen Schaden zu verzeichnen. Die Schäden reichten von 10.000 Euro bis über eine Million Euro je Schadensfall. Rechnet man dies hoch auf alle Unternehmen in Deutschland, ergibt sich eine Schadenssumme von mindestens 2,8 Milliarden Euro.

Das Ziel der Spionage waren meistens technische Innovationen bzw. das Know-how bei den Produktionsabläufen.

Bei den geschädigten Unternehmen sind die Branchen Automobil/Luftfahrzeug/Maschinenbau mit 26,9 Prozent sowie Eisen/Stahl/Metallverarbeitung mit 21,8 Prozent am häufigsten betroffen.
Der Informationsabfluss durch eigene Mitarbeiter scheint eine der größten Gefahren zu sein. Von den geschädigten Unternehmen hatten 20,3 Prozent im eigenen Betrieb einen Verrat von Interna an Unberechtigte zu beklagen.

Der Hackerangriff ist die zweithäufigste Form der illegalen Attacken auf Unternehmen. Hier meldeten 14,9 Prozent der geschädigten Unternehmen, dass ihre IT–Systeme bereits von einem eingeschleusten Spionageprogramm bzw. einem Hackerangriff betroffen waren.

Die wenigsten Unternehmen achten darauf, ihre vertraulichen Gespräche an einem geschützten Ort durchzuführen. So war das Abhören von Besprechungen mit 10,7 Prozent eine weitere sehr häufige Form der Spionage. Die geschädigten Unternehmen hatten damit einen Informationsabfluss durch einen sogenannten Lauschangriff zu verzeichnen.

In vielen Fällen ist es relativ einfach, an Details von Neuentwicklungen zu gelangen: durch Aushorchen argloser Mitarbeiter. Der richtige Ansprechpartner sowie ein paar geschickt formulierte Fragen genügen und schon gelangen die streng geheimen Informationen ungefiltert an die Konkurrenz. Durch die immer noch höchst gebräuchliche Form des „Social Engineering“ kamen 8 Prozent der betroffenen Unternehmen zu Schaden.



Diese Zahlen sind nicht aktuell, sondern aus einem Bericht aus dem Jahr 2007. Wer jetzt noch glaubt es sei besser geworden der irrt sich gewaltig. Nicht nur Ransomware Wellen wie im Jahr 2016 oder Ransomware as a Service Angebote, die es quasi jedem ermöglichen seine eigene, einzigartige Schadsoftware ohne Programmierkenntnisse über das Internet zu verbreiten, sondern auch die immer noch zum Teil völlige Arglosigkeit wie Mitarbeiter in Unternehmen und die Unternehmen selber Ihre Infrastrukturen vor Angriffen schützen, bieten nach wie vor beste Chancen um einem erfolgreichen Angriff zum Opfer zu fallen.

This one is just in. Ein neuer Schadcode mit dem klangvollen Namen #Goldeneye treibt sein Unwesen in Bewerbungs E-Mails. Wir möchten dieses Ereignis nutzen um ein wenig über die Funktionsweise einer Application Whitelist und dem Vorgehen einer Schadsoftware wie #Goldeneye zu informieren.

Denn #Goldeneye erfindet das Rad nicht neu. Es greift nur gezielt die Personalabteilungen mit einer getürkten Bewerbung an, in der eine XLS Datei und teilweise auch ein PDF mit Bewerberdaten enthalten sind. Öffnet man die XLS Datei wird man dazu aufgefordert die Makros zu aktivieren. Jetzt kann über ein Script die eigentliche Schadsoftware nachgeladen und angestartet werden.

Dieser Mechanismus ist nichts neues, nur das Ziel ist jetzt die Personalabteilung von Unternehmen. Denn Bewerbungen werden dort immer empfangen. Social Engineering eben.

SecuLution schützt hier mit der Positivliste. Das bedeutet zwar, dass über die aktivierten Makros die Schadsoftware geladen werden kann, allerdings hindert der Abgleich des generierten Hashwertes mit der Positivliste die Schadsoftware an der Ausführung. Der Nutzer erhält lediglich die Nachricht, dass das Programm welches gerade ausgeführt werden sollte nicht auf der Whitelist steht und somit auch keinen Schaden anrichten kann.

Virenscanner haben gerade mit neuen Schadcodes ihre Probleme, da sie die brandneuen Schädlinge nicht kennen, sondern sich gerade noch komplett auf #Locky und Co. konzentrieren. Signaturen die vor #Goldeneye schützen haben sie nicht, so kann der Virus in den ersten Stunden nach seinem Auftauchen bereits massenhaft Systeme infizieren und ungestört arbeiten. Der Schaden ist entstanden.

Mit SecuLution bleibt alles beim alten. Ohne Signaturupdates oder aufwändige Netzwerkscans.

Für mehr Informationen zu #Goldeneye geht es hier zum Artikel von heise.de.

Anlässlich der it-sa 2016 gab SecuLution CEO Torsten Valentin ein Experteninterview für die Zeitschrift CRN, Themenschwerpunkt IT Security.

Der komplette Artikel ist hier zu finden.

Sie sichern Ihr Netzwerk mit höchster Wahrscheinlichkeit gegen Angriffe von außen ab, das ist gut so. Tun Sie das auch mit aktueller Technik und höchstmöglicher Effektivität gegen die aktuelle Welle von Schadsoftware? Über 30 Jahre alte Mechanismen werden mit immer neuen Namen versehen und tun immer noch das gleich wie in Zeiten der ersten Computerviren die keinen großen Schaden anrichten konnten.

Die Bedrohung ist heutzutage jedoch eine völlig andere als vor 30 Jahren. Immer neue Varianten von Ransomware, allen voran Locky, werden in ungeahnter Geschwindigkeit verändert und verbreiten sich ungehindert in Netzwerken um Unternehmen mit Hilfe gekidnapter Daten zu erpressen. Virenscanner können hier immer nur gegen die Versionen die bereits bekannt sind effektiv schützen.
Doch wie schützt man sich effektiver als mit den heute gängigen und leider auch komplizierten Verfahren wie Verhaltensanalyse, ständigen Paket-Scans und ressourcenfressender Netzwerküberwachung?

Gehen Sie einen Schritt zurück und fragen sich, wie es einfacher statt immer komplexer funktionieren kann.
Wie verhalten Sie sich an Ihrer Haustür? Sie lassen nur Personen in Ihr Haus die Sie kennen und denen Sie vetrauen. Würden Sie hier agieren wie ein Virenscanner würden Sie ständig auf eine Liste von bekannten Straftätern schauen wenn es klingelt. Für den Fall, dass ein Unbekannter vor Ihnen steht der nicht auf der Liste ist, lassen Sie ihn ein und beobachten wie er sich verhält.
So sichern Unternehmen heute ihr Netzwerk.

Wir müssen anfangen unsere Verbieten-Mechanismen durch Erlauben-Mechanismen auszutauschen! Kein Virenscanner wird ein neues Virus blocken wenn er es noch nicht kennt! Keine Verhaltensanalyse wird ein auffälliges Verhalten feststellen wenn es nichts auffälliges zu erkennen gibt.

Mehr unter echte-sicherheit.de

Die Security Softwareschmiede SecuLution GmbH aus Werl war dieses Jahr mit ihrem gleichnamigen Application Whitelisting Produkt nicht nur mit einem Messestand auf der it-sa 2016 vertreten. Schon in der Pressekonferenz zur Eröffnung war Geschäftsführer Torsten Valentin als Vertreter der deutschen IT-Security Unternehmen unter den Referenten und rückte die momentane Situation in der deutschen IT Sicherheitslandschaft in den Fokus. Die Aussage "Was die IT-Branche angeht, so sind wir noch in den Kinderschuhen" sorgte für mächtig Wirbel, jedoch auch Zustimmung unter den Anwesenden. So twitterte Fraunhofer AISEC "Torsten Valentin, GF @EchteSicherheit spricht gerade sehr erfrischend auf der PK der #itsa16"

Zur Pressemitteilung.

Am zweiten Messetag der it-sa 2016 durften wir vor interessierten Teilnehmern unseren Lösungsansatz im blauen Forum präsentieren. Trotz einer kleinen Verspätung hat unser Konzept anscheinend überzeugt. Wir haben bis zum letzten Messetag Resonanz zu diesem gelungenen Vortrag erhalten.

Warum auch nicht, Whitelisting besticht durch seine Einfachheit, aber sehen Sie selbst.

Whitelisting-Anbieter SecuLution erstmals auf der it-sa

Zur Eröffnung der diesjährigen it-sa wird SecuLution-Geschäftsführer Torsten Valentin neben Vertretern des Bundesamts für Sicherheit in der Informationstechnik (BSI), des Bundesministeriums des Innern (BMI) und des Bundesverbands Informationswirtschaft, Telekommunikation und neue Medien e.V. (Bitkom) als Experte auf der einleitenden Pressekonferenz im NCC West am 18. Oktober ab 10:00 Uhr, Fragen rund um die derzeitige Situation in der IT Security informieren.

Zur Pressemitteilung.

Besuchen Sie uns auf der it-sa 2016 in Nürnberg! Vom 18.bis 20. Oktober 2016 informieren wir Sie über Trends & Innovationen der IT-Securitybranche.

Geben Sie einfach folgendem Code auf it-sa.de/gutschein ein: A351702

Ihre persönliche Eintrittskarte wird erstellt und Sie können diese direkt ausdrucken oder auf Ihr Smartphone laden. Es fallen keinerlei Kosten für Sie an. Wir freuen uns auf Sie. Sie finden uns in Halle 12.0 am Stand 647.