Ransomware - bekannte Erpressung, neu verpackt: Ein Bericht von der AppSec EU


17.05.2017 von

https://www.iteratec.de/fileadmin/Bilder/News/iteratec_logo.png https://www.iteratec.de/fileadmin/Bilder/News/iteratec_logo.png iteratec GmbH

Dieses Jahr hat die AppSec EU, eine von der OWASP veranstaltete Konferenz zum Thema Application Security, in Belfast stattgefunden. Dabei wurden vier parallele Tracks zu unterschiedlichen Themen (Hacker, Developer, CISO und DevSecOps) angeboten. Abgerundet wurde das gesamte Programm durch eine Vielzahl von zusätzlichen Vorträgen und Aktivitäten wie zum Beispiel Lightning Talks und einem Capture The Flag Contest. Dieses Jahr wurde auch eine Konferenz in der Konferenz, die so genannte Allstars 2017, angeboten.

Eines der Hauptthemen war leider noch immer, wie man Security am besten in den Software-Entwicklungsprozess integrieren kann - ohne die Entwickler zu verschrecken. Dazu gab es auch einen sehr interessanten Vortrag von Shannon Lietz, die darin die Bedeutung von Feedback heraushebt und gutes Feedback als Schlüssel dazu sieht, um (aus Security-Sicht) in das Backlog der Entwickler zu kommen. In einem anderen Vortrag zeigte Helen Beal passend dazu das Ergebnis einer Umfrage (DevSecOps Community Survery 2017), in der 54% der Befragten Security-Spezialisten als „Nags“ sehen, die zwar Probleme aufzeigen, aber nicht lösen können. Aus meiner Sicht müssen Entwickler und Security-Spezialisten daher zusammenarbeiten und nicht nur gegenseitig Probleme aufzeigen und den schwarzen Peter zuschieben. „Security is a Team Sport“, so Beal. Ich persönlich bin davon auch überzeugt und es freut mich, dass wir bei iteratec genau auf dem richtigen Weg sind, indem wir unter anderem die Rolle des Security Champions in jedem Projekt integriert haben bzw. derzeit integrieren. Wir arbeiten auch daran (gemeinsam mit den Entwicklern!) eine adaptierte Version des OWASP ASVS in den SDLC [1] zu integrieren, um so noch mehr Security in den Entwicklungsprozess zu bekommen.

Auch zeigte sich, dass DevSecOps immer wichtiger werden, weshalb dem Thema auch ein eigener Track gewidmet wurde. In diesem Track wurde besonders auf die Wichtigkeit von Tool-Unterstützung im gesamten SDLC hingewiesen. Also zum Beispiel einerseits statische Codeanalyse schon direkt in der IDE und andererseits auch automatisierte Scanner in der CID Pipeline. Auch hier sind wir bei iteratec mit der SecureCodeBox genau auf dem richtigen Weg. Diese kann problemlos in die CID Pipeline integriert werden und bei jedem Build oder jedem Commit automatisiert ausgeführt werden. Dadurch können Sicherheitslücken schon frühzeitig erkannt und verhindert werden - noch bevor sie überhaupt in Produktion kommen. Aktuell ist es bei vielen System noch ein großes Problem, dass Sicherheitslücken erst in der Produktion erkannt werden – im schlimmsten Fall durch einen Angriff.

Dass automatisierte Tools in der CID Pipeline in Zukunft unerlässlich sind, zeigte sich auch im Vortrag von Gareth Rushgrove. Dort erwähnte er, dass es 2009 bei Flickr ca. 11 Deployments pro Tag und 2011 bereits alle 11.9 Sekunden neue Deployments bei Amazon gab. Durch manuelle Penetration-Tests lässt sich das nicht mehr abdecken.

Einer der Höhepunkte war für mich die Keynote von Jeremiah Grossman zum Thema Ransomware. Darin hat Grossman die signifikant steigenden Fälle von Erpressungen aufgezeigt [2] . So wurden laut FBI im Q1 2016 209 Millionen Dollar an die Erpresser gezahlt, im Vergleich zu 25 Millionen Dollar im gesamten Jahr 2015. Diese Entwicklung wurde auf dramatische Weise nur Stunden nach dem Vortrag durch bekannt werden der Ransomware „WannaCry“ bestätigt. „WannaCry“ ist eine Ransomware, die nach ersten Erkenntnissen durch E-Mails und dann in weiterer Folge durch eine Windows-Lücke verbreitet wurde. Dadurch wurden unter anderem Krankenhäuser in Großbritannien und einige Renault-Werke lahmgelegt. Durch den Angriff sind laut heise.de aber weitaus mehr Systeme (über 220.000) betroffen.

Alle, die unsere SecureCodeBox benutzen, kann ich an dieser Stelle beruhigen, da wir bereits einen Scanner identifiziert haben, der solche Lücken erkennen kann. Die Integration davon ist schon in Planung.


[1]Secure Development Lifecycle

[2]Durch Ransomware werden üblicherweise Daten auf Systemen verschlüsselt und erst gegen Bezahlung wieder entschlüsselt. Die Betroffenen haben somit die Wahl zwischen dem kompletten Verlust ihrer Daten und der Bezahlung der geforderten Summe (üblicherweise in Bitcoins).