Zu wenig Kontrolle über SSH-Schlüssel

So zerstört man ein Fortune 500-Unternehmen

| Autor / Redakteur: Tatu Ylönen / Peter Schmitz

Hat ein Angreifer einmal vollen Zugang zum IT-System eines Fortune 500-Unternehmes kann er im schlimmsten Fall jeden infiltrierten Server, Router und jedes Speichergerät unbrauchbar machen und damit sogar eine so große Firma zu Fall bringen.
Hat ein Angreifer einmal vollen Zugang zum IT-System eines Fortune 500-Unternehmes kann er im schlimmsten Fall jeden infiltrierten Server, Router und jedes Speichergerät unbrauchbar machen und damit sogar eine so große Firma zu Fall bringen. (Bild: Pixabay / CC0)

Unter praktischen Gesichtspunkten ist es schwer, ein Fortune 500-Unternehmen in der realen Welt zu „zerstören“, angesichts der weitreichenden Präsenz im Hinblick auf Gebäude und Verarbeitungszentren. Davon abgesehen kann es im Cyberspace äußerst verwundbar sein und der potenzielle Verlust an Shareholder Value aufgrund einer ausgenutzten Schwachstelle könnte mehr als 30 Milliarden Dollar betragen und ein Unternehmen lahmlegen.

Der kritischste und gefährdetste Teil eines Unternehmens ist sein Informationssystem. Sobald man die Server und die darin enthaltenen Daten kontrollieren, verändern und zerstören kann, ist das Unternehmen nicht mehr funktionsfähig. Der Zugriff auf die Zehntausende von Servern sowie auf die Disaster Recovery-Datenzentren wird oft streng kontrolliert, aber können Sie sich wirklich sicher sein, dass niemand in alle diese Systeme eindringen kann?

Hinter den traditionellen Anwendungsbereichen werden die Server von Systemadministratoren und verschiedenen automatisierten Tools verwaltet. Die automatisierten Systeme benötigen Zugangsdaten, um auf andere Systeme zuzugreifen und die täglichen Kommunikations- und Betriebsabläufe zu gewährleisten. Normalerweise verwenden diese Systeme sogenannte SSH-Schlüssel, die auch von Administratoren und Entwicklern verwendet werden, um intern ihre Arbeit zu erledigen und um sich von ihrem Arbeitsplatz aus einzuloggen und auf die Server zuzugreifen, ohne immer wieder ihr Passwort eingeben zu müssen.

90 Prozent ungenutzter Zugriff, 10 Prozent Root-Zugriff

In vielen Unternehmen werden 90 Prozent der SSH-Schlüssel nicht genutzt. Das bedeutet, dass es einen privilegierten Zugang auf kritische Systeme und Daten gibt, der nie gesperrt wurde – und einen Verstoß gegen Richtlinien, Bestimmungen und Gesetze darstellt. Es ist fast so, als ob die Benutzerkonten der Mitarbeiter nach deren Ausscheiden nie entfernt worden wären, wobei die Mitarbeiter die Möglichkeiten hatten, für jede beliebige Person neue Konten zu erstellen.

Und was noch schlimmer ist: Im Schnitt gewähren 10 Prozent der SSH-Schlüssel Root-Zugriff (das höchste administrative Zugriffslevel). Diese Schlüssel werden verwendet, um Backups zu erstellen, Patches zu installieren, Konfigurationen zu verwalten und Notfallmaßnahmen zu implementieren, wobei häufig automatisierte Tools verwendet werden. Um einen Eindruck über die Größenordnung der Verwendung von SSH-Schlüsseln zu erhalten: In einigen Unternehmen gibt es täglich mehr als 5 Millionen automatisierte Anmeldungen mit SSH-Schlüsseln, was zu mehr als 2 Milliarden Anmeldungen pro Jahr führt.

Wie man in ein Fortune 500-Unternehmen eindringt

Bei einem typischen Cyberangriff wird häufig zuerst ein Firmenrechner infiltriert. Anschließend werden Passwörter oder andere Anmeldedaten gestohlen, um auf verschiedene Server zugreifen zu können. Häufig wird dabei Malware verwendet. Sobald der Angreifer auf einem Server ist, nutzt er lokale Schwachstellen aus, um erweiterte Privilegien zu erhalten und private SSH-Schlüssel vom Server zu lesen. Viele dieser Schlüssel gewähren uneingeschränkten Zugriff auf andere Server und Systeme. Der Angreifer verwendet diese Schlüssel, um Zugriff auf weitere Server zu erhalten und wiederholt diesen Vorgang, um sich unbemerkt innerhalb des Unternehmens zu bewegen.

Angesichts der hohen Anzahl an Schlüsseln (durchschnittlich 10 bis 200 pro Server in den meisten Unternehmen) ist die Wahrscheinlichkeit hoch, dass sich der Angriff auf fast alle Datenzentren innerhalb des Unternehmens ausbreitet. Einige Unternehmen mit mehr als 100.000 Schlüsseln gewähren Zugriff über Test- und Entwicklungsserver mit niedrigen Sicherheitsanforderungen bis zu Produktionsservern. Schlüsselbasierter Zugriff zwischen den Datenzentren ist fast immer gegeben. Gewöhnlich gibt es auch viele SSH-Schlüssel, die von individuellen Benutzerkonten aus Zugriff auf privilegierte Dienstkonten gewähren und dabei Systeme umgehen, die den privilegierten Zugang eigentlich überwachen sollten.

Um unentdeckt zu bleiben und keinen Verdacht zu erregen, kann der Angreifer den Server tage- oder wochenlang beobachten, um zu erfahren, welche SSH-Schlüssel mit welchen Servern verwendet werden, und sich anschließend auf legitime Verbindungen stützen, um sich unerkannt zu bewegen.

Die Zerstörung

Um das Unternehmen zu Fall zu bringen, kann der Angreifer das System durcheinanderbringen oder vollständig zerstören. Er kann auf subtile Weise Datenbankeinträge modifizieren, Backups beschädigen oder jeden infiltrierten Server, Router oder jedes Speichergerät unbrauchbar machen. Der Angreifer kann beispielsweise die Firmware auf Routern und Switches neu programmieren, Malware auf Festplattenlaufwerken, Netwerkadapter-Firmware oder BIOS-Firmware installieren sowie jegliche Daten auf den betroffenen Servern und Speichersystemen, einschließlich auf infiltrierten Backup- und Disaster Recovery-Systemen, löschen.

Das Ergebnis? Ein Fortune 500-Unternehmen wäre schwer angeschlagen. Es würde Wochen oder Monate dauern, um das System des Unternehmens wiederaufzubauen und neu zu installieren, und das Unternehmen würde sehr wahrscheinlich eine große Anzahl an Transaktionen verlieren. Wie viele Stunden, Tage oder Wochen kann ein typisches Fortune 500-Unternehmen außer Betrieb sein, bevor die Rufschädigung irreparabel ist? Der Schaden gegenüber den Aktionären könnte mehr als 30 Milliarden Dollar betragen, in Anbetracht des Ausmaßes des Schadens und der Unfähigkeit, zu agieren oder auch nur zu kommunizieren.

Wer würde das einem Unternehmen antun? Ein Land würde vielleicht in einem Cyberkrieg so viele Unternehmen wie möglich angreifen, vielleicht sogar mehrere Unternehmen gleichzeitig. Oder eine terroristische Vereinigung möchte Chaos verursachen. Vielleicht möchte auch ein Hacktivist Investoren eine Lektion erteilen, kein Geld in ein „unethisches“ Unternehmen zu investieren. Oder eine kriminelle Organisation möchte Lösegeld fordern. Für viele andere würde es darum gehen, Informationen zu beschaffen, um an Konkurrenzdaten zu gelangen. In diesen Fällen wären datenschutzrechtliche und regulatorische Fragen ein vorrangiges Anliegen.

Die Abhilfe

Das Problem ist im Wesentlichen administrativer Natur. Es gibt kein einfaches Heilmittel oder eine schnelle Lösung. Unternehmensabläufe hängen vollständig von Automatisierungsprozessen ab, die durch SSH-Schlüssel ermöglicht werden. Im Grunde müssen Unternehmen den automatisierten Zugriff ordnungsgemäß verwalten, so wie sie es mit Passwörtern tun. Außerdem müssen sie das Durcheinander in Bezug auf Altdaten in Ordnung bringen.

Um das Problem anzugehen, muss im Wesentlichen ein kontrollierter Bereitstellungsprozess etabliert werden, ungenutzte und gegen Richtlinien verstoßende SSH-Schlüssel müssen entfernt werden und Applikationsteams müssen den Bedarf an verbleibenden Schlüsseln, die Zugriff auf die Informationssysteme gewähren, für die sie verantwortlich sind, begründen und mit Unterschrift bestätigen. Geeignete Tools helfen dabei, den Prozess effektiv zu gestalten. Darüber hinaus muss der SSH-Schlüssel-basierte Zugriff auf Backup-Systeme und Disaster Recovery-Datenzentren sorgfältig geprüft werden.

Tatu Ylönen ist der Entwickler des SSH-Protokolls und Gründer von SSH Communications Security.
Tatu Ylönen ist der Entwickler des SSH-Protokolls und Gründer von SSH Communications Security. (Bild: SSH)

Über den Autor: Tatu Ylönen ist der Entwickler des SSH-Protokolls und Gründer von SSH Communications Security. Er hält sich bezüglich neuer Technologien auf dem aktuellen Stand, liebt den technischen Bereich und erfindet gerne neue Technologien. Er wirkt beim Produktarchitektur-Design mit und schreibt gelegentlich Code, wenn er Zeit dazu hat oder der Meinung ist, dass er da am meisten bewirken kann. Momentan gilt sein primäres Interesse der Cybersicherheit im Allgemeinen und wie Systeme designt sein müssen, um sicherer zu werden. Er versteht sowohl das große Ganze als auch die zugrundeliegenden technischen Fragen. Er möchte zudem die Lücke im Identity and Access Management in Bezug auf SSH-Schlüssel-basierte Anmeldedaten schließen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44819650 / Key-Management)