Was sind so die interessantesten Punkte in dem Vortrag?
Ich fang mal mit der Kernaussage an, die ich aus diesem Vortrag so rauslese:
Und das ist leider nicht übertrieben. Die Beispiele welche in dem Vortrag genannt wurden, bestätigen die Vermutungen das uns diese Lücken Jahrelang begleiten werden.
Viele Geräte die über diesen TCP/IP Stack verfügen, sind Zombies. Das bedeutet, sie sind zwar in diversen Netzwerken vorhanden, werden aber nicht gemonitort/gewartet. Der TCP/IP Stack ist bereits über 20 Jahre alt. Das alleine wäre ja nicht schlimm, aber dadurch das das jede TCP/IP Instanz anders ist bzw. sein kann, macht es das unglaublich schwierig zu ermitteln, ob und in welcher schwere die Geräte betroffen sind. Das ist vorallem dem Weiterverkauf der Lizenzen und später dann der Unterlizenzen geschuldet. Du musst also erstmal rausfinden, in welchen Lieferketten dieser Stack überhaupt vorhanden ist. Dazu kommt, das ein Gerät über mehrere Lücken verfügen kann. Interessant ist die Folie auf Seite 38. Ich interpretiere diese so, das die neue Version hier zwar Vuln #1 schließt, aber dafür Vuln #3 öffnet.
Der Beispiel-Exploit mit der USV aus dem Vortrag ist sehr interessant, finde ich. Es gelingt ihnen durch die Lücke, via Remote-Code-Ausführung das Gerät lahm zu legen. Das ist wirklich erschreckend.
Und wie sieht es nun mit Lösungen aus?
Schwierig. Viele der Geräte sind technisch nicht in der Lage Updates einzuspielen. Die Hersteller haben das (aus Kostengründen?) bei vielen Geräten einfach nicht vorgesehen. Die offensichtliche Lösung für dieses Problem bestünde darin, mit dem Bau neuer Geräte unter Berücksichtigung der Cyber-Sicherheit zu beginnen.
Als Unternehmen hast du die Möglichkeit eine UTM-Infrastruktur aufzubauen. Die Firewall muss dabei zwingend IPS/IDS untersützen. Durch tägliche Signaturupdates können so bösartige Ripple20-Datenpakete vorab erkannt und blockiert werden. Man kann auch auf Profil- oder Anomalie-basierende Erkennung setzen. Allerdings darf das Netzwerk vorab nicht kompromitiert sein. Sonst wird ein Profil angelegt, die der Software sagt, das es normal ist, eine Schadsoftware/Eindringling im System zu haben.
Daher lohnt sich das Profil-System meiner Meinung nach nur, wenn ein Netzwerk neu aufgebaut wird. Allerdings entsteht dadurch auch wieder ein neues altes Problem. Sobald ein UTM-Programm im Einsatz ist, besteht auch hier die Gefahr das dieses Ziel eines Cyberangriffs wird. Bedeutet im Umkehrschluss: Du braucht eine zweite Verteidigungsline, falls die erste fällt. Und die sollte aus Best-of-breed-Software/Hardware bestehen. Die ganze UTM / Second Defense Geschichte ist dementsprechend kostenspielig, aber die Alternativen wären weitaus teurer.
Als Privatkunde hast du die Goldene Arschkarte. Du bist hier stark von den Herstellern und deinem eigenen Know-How abhängig. Aktualisiere die Firmware sämtlicher deiner Geräte, und verwende möglichst keine IoT-Geräte. Hab außerdem ein Auge, auf die aktuellen Meldungen der Hersteller zu Ripple20. Mehr kann man im Moment nicht tun.
Gruß
Pain