Hooepage Cybersecuritv Cyberpace Menschen
Nachrichtendienste kybernetische Waffen Bildung
Warnung Schwachstellen

Handbuch
Chancen und Risiken



Was sind DOS oder DDOS Angriffe

Was gilt als kritische Infrastrukturen der Nation?


Was ist Phishing?



Was ist Fuzzing?

Zero - Day
Forscher jagen einen ZERO - DAY

Was ist End-to-End-Verschlüsselung
Ein Leitfaden für Ransomware, der unheimliche Angriff, der im Steigen begriffen ist
Was sind CNE und CNA?
Was ist Full Disk Encryption?
Botnets, die Zombie-Computer-Armeen, die Hacker Millionen verdienen
Eine "neue Art sicher Informationen in der virtuellen Welt" zu versenden
Lassen Sie uns verschlüsselt chatten !
Die Ransomware: Kernschmelze Experten haben gewarnt
 Eine neue Art sicher Informationen in der virtuellen Welt zu versenden
Der verdrahtetes Leitfaden zu 5 G
 

Home-Office, Künstliche Intelligenz und IT-Sicherheit



 Erpressung: Zahlen oder nicht zahlen? Das ist hier die Frage.

 So schützen Sie Ihr WLAN zu Hause vor neugierigen Nachbarn

 Smishing vs Phishing – So können Sie sich schützen

 Was ist ein Supply-Chain-Angriff?

 
 
 
 
 
 
Ars Technica
Hacker-Lexikon: Was ist ein Supply-Chain-Angriff?

Hacker-Lexikon: Was ist ein Supply-Chain-Angriff?

Von NotPetya bis SolarWinds ist es ein Problem, das nicht bald verschwinden wird.
Bindehautfragen im Bereich der Cybersicherheit werden seit langem in einfachen Vertrauensbegriffen beschrieben: Hüten Sie sich vor E-Mail-Anhängen aus unbekannten Quellen und übergeben Sie keine Anmeldeinformationen an eine betrügerische Website. Aber zunehmend untergraben ausgeklügelte Hacker dieses grundlegende Gefühl des Vertrauens und werfen eine paranoia-induzierende Frage auf: Was ist, wenn die legitime Hardware und Software, aus der Ihr Netzwerk besteht, an der Quelle kompromittiert wurde?

Diese heimtückische und immer häufigere Form des Hackens wird als "Lieferkettenangriff" bezeichnet, eine Technik, bei der ein Gegner bösartigen Code oder sogar eine bösartige Komponente in ein vertrauenswürdiges Stück Software oder Hardware schlüpft. Durch Kompromisse bei einem einzelnen Lieferanten können Spione oder Saboteure ihre Vertriebssysteme kapern, um jede Anwendung, die sie verkaufen, jedes Software-Update, das sie vertreiben, selbst die physische Ausrüstung, die sie an Kunden versenden, in Trojanische Pferde umzuwandeln. Mit einem gut platzierten Eindringen können sie ein Sprungbrett zu den Netzwerken der Kunden eines Lieferanten erstellen – manchmal hunderte oder sogar Tausende von Opfern.

"Lieferkettenangriffe sind beängstigend, weil sie wirklich schwer zu bewältigen sind und weil sie deutlich machen, dass man einer ganzen Ökologie vertraut", sagt Nick Weaver, Sicherheitsforscher am International Computer Science Institute der UC Berkeley. "Sie vertrauen jedem Kreditor, dessen Code sich auf Ihrem Computer befindet, und Sie vertrauen dem Kreditor jedes Kreditors."


Die Schwere der Bedrohung durch die Lieferkette wurde im vergangenen Dezember massiv demonstriert, als bekannt wurde, dass russische Hacker – die später als Mitarbeiter des Auslandsgeheimdienstes des Landes, bekannt als SVR, identifiziert wurden – die Softwarefirma SolarWinds gehackt und bösartigen Code in ihr IT-Management-Tool Orion gepflanzthatten, wodurch Zugriff auf bis zu 18.000 Netzwerke möglich war, die diese Anwendung auf der ganzen Welt nutzten. Der SVR nutzte diesen Halt, um tief in die Netzwerke von mindestens neun US-Bundesbehörden einzudringen, darunter die NASA, das Außenministerium, das Verteidigungsministerium und das Justizministerium.

Doch so schockierend diese Spionageoperation auch war, SolarWinds war nicht einzigartig. Schwere Angriffe auf die Lieferkette treffen Unternehmen auf der ganzen Welt seit Jahren, sowohl vor als auch seit Russlands kühner Kampagne. Erst im vergangenen Monat wurde bekannt, dass Hacker ein Software-Entwicklungstool kompromittiert hatten, das von einer Firma namens CodeCov verkauft wurde und den Hackern Zugang zu Hunderten von Netzwerken der Opfer gewährte. Eine chinesische Hackergruppe namens Barium führte in den letzten fünf Jahren mindestens sechs Supply-Chain-Angriffe durch und versteckte bösartigen Code in der Software des Computerherstellers Asus und in der Festplatten-Bereinigungsanwendung CCleaner. Im Jahr 2017 entführten die russischen Hacker, bekannt als Sandworm, Teil des militärischen Geheimdienstes GRU des Landes, die Software-Updates der ukrainischen Buchhaltungssoftware MEDoc und nutzten sie, um sich selbst verbreitenden, destruktiven Code namens NotPetyazu verdrängen, der letztlich weltweit 10 Milliarden Dollar Schaden anrichtete – der teuerste Cyberangriff der Geschichte.

Tatsächlich wurden Supply-Chain-Angriffe erstmals vor etwa vier Jahrzehnten demonstriert, als Ken Thompson, einer der Schöpfer des Unix-Betriebssystems, sehen wollte, ob er eine Hintertür in unixs Login-Funktion verbergen könnte. Thompson pflanzte nicht nur ein Stück bösartigen Codes, der ihm die Möglichkeit gab, sich bei jedem System anzumelden. Er baute einen Compiler – ein Tool zum Verwandeln von lesbarem Quellcode in ein maschinenlesbares, ausführbares Programm –, das die Hintertür heimlich in die Funktion platzierte, als sie kompiliert wurde. Dann ging er einen Schritt weiter und beschädigte den Compiler, der den Compiler kompilierte, so dass selbst der Quellcode des Compilers des Benutzers keine offensichtlichen Anzeichen von Manipulationen haben würde. "Die Moral ist offensichtlich", schrieb Thompson in einem Vortrag, der seine Demonstration 1984 erklärte. "Man kann Code nicht vertrauen, den sie selbst nicht vollständig erstellt haben. (Vor allem Code von Unternehmen, die Leute wie mich beschäftigen.)"

Dieser theoretische Trick – eine Art Doppelangriff auf die Lieferkette, der nicht nur ein weit verbreitetes Stück Software, sondern auch die Werkzeuge, mit denen er erstellt wurde – korrumpiert, ist inzwischen auch Realität geworden. Im Jahr 2015 verteilten Hacker eine gefälschte Version von XCode, einem Tool, das zum Erstellen von iOS-Anwendungen verwendet wird, das heimlich bösartigen Code in Dutzende von chinesischen iPhone-Apps gepflanzt hat. Und die Technik erschien wieder im Jahr 2019, als Chinas Barium-Hacker eine Version des Microsoft Visual Studio-Compilers korrumpierten, so dass sie Malware in mehreren Videospielen verstecken ließen.

Der Anstieg der Angriffe auf die Lieferkette, argumentiert Berkeleys Weaver, könnte zum Teil auf eine verbesserte Verteidigung gegen rudimentärere Angriffe zurückzuführen sein. Hacker mussten nach weniger leicht geschützten Eindringstellen suchen. Und Angriffe auf die Lieferkette bieten auch Skaleneffekte; Hacken Sie einen Softwareanbieter und Sie können Zugriff auf Hunderte von Netzwerken erhalten. "Teilweise wollen Sie einen Knall für Ihren Bock, und teilweise ist es nur, dass Supply-Chain-Angriffe indirekt sind. Deine eigentlichen Ziele sind nicht, wen du angreifst", sagt Weaver. "Wenn ihre eigentlichen Ziele hart sind, ist dies vielleicht der schwächste Punkt, damit Sie in sie eindringen können."

Zukünftige Angriffe in der Lieferkette zu verhindern, wird nicht einfach sein; Es gibt keine einfache Möglichkeit für Unternehmen, sicherzustellen, dass die Software und Hardware, die sie kaufen, nicht beschädigt wurde. Hardware-Lieferkettenangriffe, bei denen ein Gegner bösartigen Code oder Komponenten physisch in ein Gerät einpflanzt, können besonders schwer zu erkennen sein. Während ein Bombenbericht von Bloomberg im Jahr 2018 behauptete, dass winzige Spionagechips in den SuperMicro-Mainboards versteckt waren, die in Servern in Amazon- und Apple-Rechenzentren verwendet wurden, bestritten alle beteiligten Unternehmen die Geschichte vehement – ebenso wie die NSA. Aber die geheimen Leaks von Edward Snowden enthüllten, dass die NSA selbst Sendungen von Cisco-Routern entführt und für ihre eigenen Spionagezwecke hinter die Tür gestellthat.

Die Lösung für Angriffe auf Lieferketten – sowohl auf Software als auch auf Hardware – ist vielleicht nicht so technologisch wie organisatorisch, argumentiert Beau Woods, ein leitender Berater der Cybersecurity and Infrastructure Security Agency. Unternehmen und Regierungsbehörden müssen wissen, wer ihre Software- und Hardware-Lieferanten sind, sie überprüfen und sie an bestimmte Standards halten. Er vergleicht diese Verschiebung damit, wie Unternehmen wie Toyota versuchen, ihre Lieferketten zu kontrollieren und zu begrenzen, um Zuverlässigkeit zu gewährleisten. Dasselbe muss jetzt auch für die Cybersicherheit getan werden. "Sie wollen die Lieferkette rationalisieren: weniger Lieferanten und hochwertigere Teile von diesen Lieferanten", sagt Woods. Softwareentwicklung und IT-Betrieb haben diese Supply Chain-Prinzipien in gewisser Weise neu erlernt."

Die Anfang des Monats erlassene Cybersicherheits-Exekutivanordnung des Weißen Hauses könnte helfen. Es legt neue Mindestsicherheitsstandards für jedes Unternehmen fest, das Software an Bundesbehörden verkaufen möchte. Aber die gleiche Überprüfung ist im gesamten privaten Sektor genauso notwendig. Und private Unternehmen – genauso wie Bundesbehörden – sollten nicht erwarten, dass die Epidemie von Lieferkettenkompromissen bald ein Ende hat, sagt Woods.

Ken Thompson hatte vielleicht 1984 Recht, als er schrieb, dass man keinem Code, den man selbst nicht geschrieben hat, nicht vollständig vertrauen kann. Aber das Vertrauen von Code von Lieferanten, denen Sie vertrauen – und die überprüft haben – kann das nächstbeste sein.

Diese Geschichte erschien zuerst auf wired.com.
https://arstechnica.com/information-technology/2021/06/hacker-lexicon-what-is-a-supply-chain-attack/
Hacker-Lexikon: Was ist ein Supply-Chain-Angriff? | Ars Technica