Die Biden Regierung hat den SolarWinds-Hack nun auch in den Senat gebracht.
Verschiedene Medien berichten über die Inhalte des ersten, öffentlichen Hearings.
Es gibt zwei wesentliche Elemente, die bei der Attacke eine große Rolle gespielt haben.
So waren es besonders die Cloud Dienste von Amazon (AWS), über die Angriffe koordiniert wurden.
Wie schon in einem früheren Beitrag (Wie amazon den Hackern hilft) angesprochen, sind virtuelle Rechenleistungen in Cloud Zentren sowohl bei Angreifern als auch bei den Verteidigern sehr beliebt.
Besonders die “Netzwerkverkehrsdaten”, also Protokolle über Verbindungen zwischen den Computern, könnten sicher bei der Aufklärung der Angriffe helfen.
Mit dem Argument, man sei selbst nicht von den Angriffen betroffen, zieht sich AWS allerdings aus der Verantwortung und hat an dem Hearing auch nicht teilgenommen.
Das ist schade, weil gerade die “Global Player” im IT- und Cloud Geschäft sich beim Thema IT-Sicherheit besser vernetzen könnten.
Wenn sich Angreifer hinter der Anonymität von virtuellen Rechenzentren verstecken, dann wird es sehr schwer, sich gegen deren Angriffe zu wehren.
Zukünftig werden IoT-Botnetze und die sog. OT (Operational Technology) Systeme sicher noch mehr dazu beitragen, die Cyberangriffe durchzuführen und zu koordinieren.
Eine Sicherheitskooperation der Cloud Anbieter könnte zumindest einen Teil der Angriffe an der Basis abwehren.
Warum z.B. gibt es keine “Ausweispflicht” bei der Nutzung von Cloud Rechenzentren?
Ein zweiter Faktor ist eine Sicherheitslücke im Design des SAML-Protokol (Security Assertion Markup Language).
Der als “Golden SAML” bekannte Angriffsvektor ist seit 2017 !!! bekannt.
Microsoft bestritt die Schlussfolgerungen von Wyden und teilte ‘Reuters’ mit, dass das Design seiner Identitätsdienste nicht schuld sei. Der Angriffsvektor “Golden SAML” sei “nie in einem tatsächlichen Angriff verwendet worden” und “weder von den Geheimdiensten als Risiko eingestuft noch von zivilen Agenturen als solches erkannt worden”.
(Quelle: inside-it.ch)
Stark vereinfacht gibt es eine Möglichkeit, eine Art “Generalschlüssel” zu bekommen, mit dem man sich bei mehreren Diensten anmelden kann, die über SAML SSO (Single Sign On) funktionieren.
Gerade in den hochvernetzten Diensten der Microsoft Produkte spielt SSO eine große Rolle. Wer will sich schon dauernd anmelden, wenn er aus seiner Mail Anwendung zu Sharepoint oder in das CRM-System wechselt.
Diese “Bequemlichkeit” macht aber die Produkte anfälliger gegen Techniken wie Golden SAML.
Vielleicht wäre es sinnvoller, viel mehr mit Hardware-Tokens zu arbeiten, die physikalisch existieren und auch bei einem Wechsel der Anwendung sich immer wieder neu anmelden.
Es gibt dazu bereits Lösungen, wie ein Beitrag von Microsoft zeigt: Welche Authentifizierungs- und Prüfmethoden stehen in Azure Active Directory zur Verfügung?
Mit Lösungen wie FIDO2 lässt sich die Sicherheit aktuell deutlich erhöhen – deshalb sollten wir in diesem Bereich auch investieren.
Wer sich darüber mehr informieren möchte, der kann sich z.B. in einem Beitrag vom Security Insider informieren.
Es ist sicher nicht fair, nur Microsoft die Schuld an der nicht geschlossenen “Golden SAML” Lücke zu geben.
Vielmehr sollte die Politik sich dafür einsetzen, dass endlich die “Ein-Faktor-Kennwörter” aus der IT verschwinden.
Wer seine Haustür mit einem “Buntbartschloss” sichert, der sollte sich nicht wundern, wenn jedes Kind die dann öffnen kann.