Ransomware: CryptoLocker und WannaCry als unterschätzte Gefahr

15. Mai 2017 | Hinterlassen sie einen Kommentar
wannacry-encryption-message

Eine aktuelle IT-Infrastruktur darf sich nicht mehr nur auf einen guten Virenschutz oder eine streng konfigurierte Firewall verlassen, denn die aktuell grössten Risiken nutzen andere Wege, um ein System zu kompromittieren. Spätestens seit der jüngsten und bisher weitreichendsten Verbreitung von Schadsoftware durch «WannaCry», sollten auch KMU in der Schweiz die Risiken solcher Angriffe nicht mehr unterschätzen. In diesem Artikel möchten wir daher über Lösegeld-Software, sogenannte Ransomware aufklären (Engl. Ransom = Lösegeld).

Erpressen leicht gemacht

Ransomware wie WannaCry, CryptoLocker oder Locky verschlüsselt in wenigen Minuten zehntausende wertvolle Dokumente auf allen erreichbaren Laufwerken und Netzwerkfreigaben im System. Für die Entschlüsselung wird der geschädigte dann zur Kasse gebeten, meist in Form von anonymer Überweisungen in Bitcoins. Wer dann in der Notlage bezahlt, hat oftmals den doppelten Schaden: Die Erpresser liefern keine Schlüssel, denn sie wissen meist selbst nicht, wie die Dateien wieder zu entschlüsseln sind.

Es gibt den 100 prozentigen Schutz aber...

Nur ein seriöses Backup schützt zu 100 %, indem nach der Attacke der letzte Datenstand vor der Verschlüsselung eingespielt wird. Dies bedeutet aber meist dennoch Datenverlust, da die zwischenzeitlich verarbeiteten Daten nicht mehr vorhanden sind. Zusätzlich ist ein Recovery-Vorgang eines kompletten Systems meist sehr zeitaufwändig für den IT-Support und somit auch kostspielig. Je nach Umgebung ist auch mit einem Produktivitätsunterbruch von einigen Stunden oder sogar Tagen zu rechnen. Der Schaden durch eine Ransomware-Attacke kann also ein sehr grosses Ausmass annehmen und weitreichende Folgen, auch für Kunden und Partner mit sich ziehen.

Sind meine Daten in der Cloud geschützt?

Auch ein «Cloud Backup» im Sinne einer Dropbox, Microsoft OneDrive oder ähnlichem hilft bei Ransomware nicht weiter, weil die lokalen, verschlüsselten, Dokumente meist automatisch und sofort auch die Cloud-Versionen überschreiben. Die meisten Cloud-Anbieter haben dann normalerweise kein Backup zur Hand, ausser es wird explizit darauf hingewiesen wie dies z.B. bei unseren Cloud-Speicherlösungen Nextcloud und ownCloud der Fall ist.

Auch erreichbare lokale Vorgängerversionen, sogenannte Windows Schattenkopien, werden meist ebenfalls gelöscht und bieten daher keine Sicherheit.

Warum hilft mein Antivirenprogramm nicht?

Diese Art von Infektionen wird in der Regel von Antivirenprogrammen nicht erkannt, weil meist normal übliche Makros in Office-, PDF- oder anderen Dokumentarten versteckt werden und beim Öffnen den Verschlüsselungsvorgang starten.

Diese problematischen Makros spielen mit gewissen CRM-, Leistungserfassungs- oder sonstigen Dokumentenmanagement-Lösungen wie z.B. WinJur besonders negativ zusammen: Dokumentvorlagen enthalten meist eigene unsignierte Makros. Um nun dem User bei jedem Öffnen Warnungen zu ersparen, werden die globalen Richtlinien zum Öffnen von Makros auf “erlaube alles sofort und ohne zu fragen” angepasst, was fatale Folgen haben kann. Denn damit steht auch dem Öffnen verseuchter Dokumente nichts mehr im Weg.

Was hilft denn nun?

Gegen Ransomware wie WannaCry oder Cryptolocker, wie auch gegen alle anderen (IT-)Gefahren, gibt es keinen hundertprozentigen Schutz aber es gibt neben Sensibilisierungsmassnahmen auch technische Lösungen, welche das Risiko beträchtlich minimieren können:

1) Auf Ebene der Workstations kann durch gezielte Einschränkungen und Richtlinien präventiv viel gegen potentielle Infektionen unternommen werden. Dafür existieren Tools wie CryptoPrevent, dabei können aber Nebenwirkungen nicht ausgeschlossen werden und daher sind diese nicht immer anwendbar.

2) Ein Windows Fileserver kann ausserdem in Echtzeit und ohne messbare Leistungseinbussen auf verdächtige Muster und Dateinamen überwacht werden. Mit solchen Regeln können verdächtige Aktionen sofort blockiert und falls gewünscht, gleich auch die jeweiligen Benutzer gesperrt werden. Diese Massnahmen erreicht man auf einem Windows Server sogar mit Bordmitteln wie dem «Ressourcen Manager für Dateiserver» ab Windows Server 2008.

3) Software laufend aktuell halten: Schadsoftware nutzt meist bekannte Sicherheitslücken in Betriebssystemen, um einzudringen. Mit einem aktuellen System öffnet man den Kriminellen keine Hintertürchen.

Werden diese Schutzmechanismen gegen Ransomware fachmännisch implementiert, bleiben die Daten auf dem überwachten System meist unberührt und die Anschaffung von zusätzlichen Sicherheitslösungen oder weiterer kostenpflichtiger Software ist gar nicht erst nötig.

E-Mail-Verschlüsselung mit S/MIME

3. März 2015 | Hinterlassen sie einen Kommentar
E-Mail-Verschlüsselung S/MIME

S/MIME (Secure / Multipurpose Internet Mail Extensions)

S/MIME (Secure / Multipurpose Internet Mail Extensions) ist ein Standard für die Verschlüsselung und Signatur von E-Mails. Im Unterschied zur ebenfalls verbreiteten Alternative PGP (Symantec bzw. OpenPGP) ist S/MIME in praktisch jeglicher E-Mail-Software für Desktop und Mobilgeräte bereits integriert.

Um S/MIME zu nutzen, braucht es einen privaten Schlüssel und ein dazu gehöriges öffentliches Zertifikat, welches von einer öffentlich bekannten Zertifizierungsstelle (z.B. SwissSign oder Comodo) ausgestellt und signiert wurde. Vergleichbar mit Website-Zertifikaten für HTTPS hängt auch hier die Anerkennung der Vertrauenswürdigkeit (durch das E-Mail-Programm, den Browser usw.) von dieser Zertifizierungsstelle, genauer dessen Standardverbreitung in den verschiedenen Betriebssystemen ab. Eine weite Verbreitung lässt sich der Anbieter auch entsprechend höher vergüten, aber kostenlose Zertifikate sind meist bereits ausreichend für private Zwecke.

Wie mit PGP wird auch mit S/MIME für die Verschlüsselung vorausgesetzt, dass Sender und Empfänger diese Variante verfügbar und konfiguriert haben. Zum Senden einer verschlüsselten E-Mail an einen Empfänger, wird immer zuerst dessen öffentlicher Schlüssel sowie das Zertifikat benötigt. Bei S/MIME bekommen Sie diesen jedoch ganz automatisch, sobald diese Person Ihnen einmal ein mit S/MIME signiertes E-Mail gesendet hat. Es empfiehlt sich daher auch, jedes E-Mail mit S/MIME signiert zu versenden, um den eigenen öffentlichen Schlüssel breit zu streuen und verfügbar zu machen.

Für die Entschlüsselung ist immer der passende private Schlüssel notwendig, welcher natürlich nur in der Hand der jeweiligen Person sein sollte. Es braucht normalerweise kein zusätzliches Passwort, weshalb umso mehr darauf geachtet werden sollte, dass nur die jeweilige Person Zugriff auf den entsprechenden Benutzer-Account hat und Desktop- oder Mobilgeräte durch ein Passwort bzw. PIN geschützt sind. Sollte der private Schlüssel abhanden oder in falsche Hände geraten, muss dieses Zertifikat umgehend bei der jeweiligen Zertifizierungsstelle für ungültig erklärt werden (revoke). Danach wird ein neues Zertifikat und ein neuer Schlüssel generiert. E-Mails, welche für den alten Schlüssel verschlüsselt wurden, können nur gelesen werden, solange der private Schlüssel noch vorhanden bleibt. Der alte Schlüssel sollte also nicht gelöscht werden, sofern er noch vorhanden ist.

S/MIME und PGP sind zwei weitgehend unabhängige Mechanismen zur E-Mail-Verschlüsselung und -Signierung. Es können jedoch zumindest auf Desktop-Rechnern nach Wunsch auch beide Arten installiert und genutzt werden. Beide Varianten sind für alle gängigen Betriebssysteme (Windows, OS X und Linux) verfügbar. S/MIME hat jedoch einen grossen Vorteil und ist auf allen Betriebssystemen ohne Zusatzsoftware nutzbar. PGP ist sowohl als kommerzielle Lösung (Symantec Desktop Email Encryption) als auch als frei verfügbare Variante (OpenPGP) erhältlich. OpenPGP bietet aber vergleichsweise weniger Bedienungskomfort. Auf Mobilgeräten hingegen ist eigentlich nur S/MIME verfügbar und praktikabel. Auf aktuellen iOS und Android Versionen ist S/MIME ohne wesentliche Einschränkungen nutzbar. Mit Windows Phone (Stand 8.1) ist S/MIME nur für Microsoft Exchange Konten verfügbar.

Beantragung

Da während des Beantragungsprozesses der private Schlüssel lokal vom Browser generiert wird (im Falle von COMODO und anderen), sollte die Beantragung unter OS X mit Safari und unter Windows mit dem Internet Explorer erfolgen. Dadurch wird der generierte private Schlüssel automatisch im richtigen Schlüsselbund abgelegt und dies erspart einem nachträgliche Arbeit.

Für erste Tests und private Zwecke reicht ein kostenloses Zertifikat von Comodo völlig aus. Es muss dabei nur ein Name ohne Umlaute, die korrekte und gültige E-Mail-Adresse, auf welche das Zertifikat lauten soll, sowie ein Revocation-Passwort für Widerrufszwecke definiert werden. Dieses kommt bei einem allfälligen Verlust des Schlüssels zum Tragen und sollte daher entsprechend sicher abgelegt werden.

Für eine kommerzielle Nutzung empfehlen wir Zertifikate von kommerziellen Anbietern, wie beispielsweise das SwissSign Silver. Kostenpunkt ab ca. 20 CHF pro Jahr und Adresse. Erweiterte Zertifikate (z.B. SwissSign Gold) enthalten noch weitere Verifizierungsschritte wie beispielsweise die validierte Firmen-Zugehörigkeit und ist mit entsprechendem Administrationsaufwand verbunden.

Import und Export

Im Falle von Comodo kommt nach wenigen Sekunden per E-Mail der Link und das Passwort für den Download des öffentlichen Zertifikats. Diese .p7s Datei kann per Doppelklick in die Standard-Schlüsselverwaltung des Betriebssystems importiert werden (persönlich, «Anmeldung» bzw. «Eigene Zertifikate»).

Das Zertifikat kann nur gemeinsam mit dem im ersten Schritt automatisch abgelegten privaten Schlüssel, zum Entschlüsseln und Signieren verwendet werden. OS X zeigt beide Einträge zusammen unter Schlüsselbund > Anmeldung > Zertifikate an. Dort kann das Zertifikat und der Schlüssel gemeinsam auch per Kontextmenü als .p12 Datei passwortgeschützt exportiert werden und so auf weitere Geräte z.B. per E-Mail verteilt werden. Dort einfach diese .p12 Datei per Doppelklick öffnen und das zuvor definierte Passwort für den Import eingeben.

Unter Windows wird der private Schlüssel und das Zertifikat im «Zertifikat Manager» (certmgr.msc) gespeichert. Aus diesem kann das Zertifikat, zusammen mit dem privaten Schlüssel, ebenfalls exportiert werden. Hierfür muss der Zertifikat Manager mithilfe des Startmenus aufgerufen oder über die Internet Optionen im Internet Explorer. Unter Eigene Zertifikate > Zertifikate liegt das Zertifikat zusammen mit dem Schlüssel. Nun muss im Kontextmenu unter Alle Aufgaben exportieren gewählt werden. Dies startet ein Wizard bei welchem zuerst weiter geklickt wird. Anschliessend wird man gefragt, ob nur das Zertifikat oder auch der Private Schlüssel exportiert werden soll. Dies mit Ja bestätigen und weiter drücken. Die nächste Seite kann mit weiter übersprungen werden. Nun muss nur noch ein Passwort und anschliessend der Speicherort definiert werden.

Nach dem Import eines Zertifikats muss der E-Mail Client unbedingt jeweils kurz beendet und dann neu gestartet werden, damit das Zertifikat und damit die Bereitschaft für S/MIME erkannt wird.

E-Mails verschlüsseln und signieren

Screenshot Apple Mail

OS X Mail: Beim Erstellen einer neuen E-Mail mit dem Absender des zuvor erstellten Zertifikats, tauchen nun oben rechts das Menü «S/MIME» sowien neben dem Betreff zwei neue Symbole zum Signieren und Verschlüsseln auf. Wie bereits anfangs erwähnt, lohnt es sich alle E-Mails signiert zu versenden. Verschlüsselung steht hingegen nur zur Verfügung, wenn Sie das öffentliche Zertifikat vom gewünschten Empfänger bereits haben (signiertes E-Mail erhalten).

Screenshot Outlook

In Outlook sind die Signatur- und Verschlüsselungsoptionen etwas versteckt: Beim Erfassen einer neuen Nachricht, findet man die Buttons zum Signieren und Verschlüsseln unter dem Tab Optionen (Outlook 2010/2013 und Outlook for Mac 2016).

Screenshot Outlook for Mac