Drucksache: Windows Developer 10.17 - Austricksen von Data Loss Prevention
Im Windows Developer 10.17 ist ein Artikel über die Sicherheit von Data Loss Prevention erschienen.
Das Ausspähen von Daten ist ein großes Problem. Unter dem Begriff "Data Loss Prevention werden alle möglichen Hard- und Softwarelösungen zusammengefasst, die dem unbefugten Kopieren von Daten einen Riegel vorschieben sollen.
Ich gehe mal davon aus, dass jeder von Ihnen Daten auf seinem Rechner hat, die nicht für unbefugte Dritte oder gar die Öffentlichkeit bestimmt sind. Ich habe jedenfalls welche. Sofern der Rechner mit dem Internet verbunden ist, schützt uns alle nur das Desinteresse der Angreifer davor, dass diese Daten ausgespäht werden.
Denn wenn ein Angreifer wirklich an Daten ran will und keinen Aufwand scheut, stoppen ihn weder Data Loss Prevention Lösungen noch Air Gap - wo ein Wille ist, ist auch ein Weg. Selbst wenn die betroffenen Schutzprogramme laufend an neu vorgestellte Möglichkeiten für Covert Channel angepasst werden, verhindert das kein Datenleck. Denn gegen die von Itzik Kotler und Amit Klein vorgestellte perfekte Exfiltration ist jedes Programm machtlos, obwohl die Methode bekannt ist. Ohne Kenntnis des "Schlüssels", also der verwendeten URL, lässt sich der Covert Channel nicht aufdecken und damit auch nicht schließen. Da kann man dann nur hoffen, das im Falle eines Angriffs der Schadcode als solcher erkannt wird.
Wenig besser sieht es bei durch eine Air Gap vom Internet getrennten Netzen und Rechnern aus. Sobald ein Angreifer darauf Schadcode einschleusen kann, kann er auch Daten nach draußen funken. Und zum Einschleusen des Schadcodes kann er z.B. auf die Hilfe eines Innen-Täters oder infizierte USB-Sticks setzen. Da muss man dann wohl beim Gebäude nachrüsten: Das darf keine Funkwellen raus lassen. Und in Zukunft dann auch nichts, was als nächstes, übernächstes, überübernächstes,... als Cover Channel genutzt wird.
Irgendwie ist das alles ziemlich unschön.
Und hier noch die Links und Literaturverweise aus dem Artikel:
- [1] Carsten Eilers: "Ein Bild? Ein Exploit? Oder beides?"; Windows Developer 5.17
- [2] Pierre-Marc Bureau, Christian Dietrich; Black Hat Europe 2015: "Hiding in Plain Sight - Advances in Malware Covert Communication Channels" (Video auf YouTube)
- [3] Itzik Kotler, Amit Klein; Hack in the Box Amsterdam 2016: "In Plain Sight: The Perfect Exfiltration"
- [4] GitHub: SafeBreach-Labs/cachetalk (Proof-of-concept program that is able to read and write arbitrary bits using HTTP server-side caching)
- [5] Ang Cui; Black Hat USA 2015: "Emanate Like a Boss: Generalized Covert Data Exfiltration with Funtenna" (Video auf YouTube)
- [6] Funtenna by Red Balloon Security
- [7] GitHub: funtenna/funtenna_2015 (Funtenna P0C code demonstrated at Blackhat 2015)
- [8] Kim Zetter, WIRED: "How Attackers Can Use Radio Signals and Mobile Phones to Steal Protected Data"
- [9] Michael Schwarz, Manuel Weber; Black Hat Asia 2017: "Hello From the Other Side: SSH Over Robust Cache Covert Channels in the Cloud" (Video der Live-Demo auf YouTube, Video des Vortrags auf YouTube)
- [10] GitHub: IAIK/CJAG (CJAG is an open-source implementation of our cache-based jamming agreement)
Trackbacks