Absender BSI: E-Mails mit schädlichen Anhängen im Umlauf

Absender BSI: E-Mails mit schädlichen Anhängen im Umlauf

Warnung aus dem Hornetsecurity Security Lab: Derzeit versenden Cyberkriminelle E-Mails mit schädlichen Anhängen im Namen des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Die E-Mails tragen den Betreff „Warnmeldung kompromittierter Benutzerdaten – Bundesamt für Sicherheit in der Informationstechnik“. Aufhänger ist der europäische Rechtsakt zur Cybersicherheit und ein eventueller Missbrauch der persönlichen Daten. Die Cyberkriminellen fordern den Empfänger auf, den Anhang zu öffnen und zu prüfen, welche Daten auf welchen Internetseiten betroffen sind. Es wird außerdem empfohlen, die Passwörter umgehend zu ändern. Die textliche Aufbereitung und das eingebaute BSI-Logo geben der Mail einen seriösen Charakter und wirken täuschend echt.

So sieht die E-Mail aktuell aus: 

Bei den zuletzt eingegangenen E-Mails wurde die Absenderadresse gro.d1566720713nub-i1566720713sb@gn1566720713udlem1566720713 für den Betrug verwendet. Die Mail kommt von diversen Servern, primär werden sie vom Server „bsi-bund.org“ mit der IP-Adresse 185.212.128.50 versandt. Um klassische Anti-Spam-Programme mit aktiver SPF-Überprüfung auszuhebeln, wurden auch die korrekten SPF Records für die Domain „bsi-bund.org“ gesetzt, die auf den oben genannten Server verweisen.

Der Schein trügt: Im Anhang der E-Mail befindet sich eine *pdf.lnk-Datei, die beim Öffnen automatisch ein PowerShell Kommando ausführt, das mit dem Mshta[1] Windows Tool ein .hta-Dokument von der Domain „grouph[.]xyz“ ausliest und startet. Hierbei wird der Rechner des Benutzers mit der Ransomware „Sodinokibi“ infiziert.

Auf diese Punkte sollten Sie achten:

– Absender gro.d1566720713nub-i1566720713sb@gn1566720713udlem1566720713
– Server: diverse, u.a. bsi-bund.org mit der IP-Adresse 185.212.128.50
– Betreff: „Warnmeldung kompromittierter Benutzerdaten – Bundesamt für Sicherheit in der Informationstechnik“
– Inhalt: Möglicher Missbrauch von persönlichen Daten, Aufforderung zum Öffnen des Anhangs

 

[1] https://attack.mitre.org/techniques/T1170/

Hornetsecurity mobil – die Progressive Web App macht‘s möglich

Hornetsecurity mobil – die Progressive Web App macht‘s möglich

In den letzten Jahren wurden immer weniger Apps aus den App-Stores auf mobile Endgeräte heruntergeladen. Laut einer Prognose des IT-Beratungsunternehmens Gartner werden im Jahr 2020 die Hälfte aller benutzten Apps Progressive Web Apps (PWA) sein. Hornetsecurity hat auf den Trend reagiert und eine Progressive Web App für das Control Panel entwickelt.

Eine Progressive Web App ist eine Mischung aus einer responsiven Webseite und einer nativen App. Seit Februar 2019 steht allen Kunden von Hornetsecurity eine Progressive Web App zur Verfügung, mit der sie von einem mobilen Endgerät vereinfacht auf das Control Panel zugreifen können. Seit dem Release der Control Panel Version 6.5.2.0 Ende Juni 2019 gibt es die Progressive Web App auch als White-Label-Variante, mit der Kunden und Partner von Hornetsecurity, die die White-Label-Option gebucht haben, den App-Namen, das Icon und den Splash Screen individuell anpassen können.

Vorteile der Progressive Web App von Hornetsecurity

Mit der Progressive Web App kann ein Icon auf dem Home-Bildschirm erstellt werden, was einen unkomplizierten Zugriff auf das Control Panel ermöglicht. Im Gegensatz zu einer responsiven Webseite muss das Control Panel dadurch nicht in einem Browser aufgerufen werden, sondern wird direkt durch den Klick auf das Icon geöffnet. Mit der White-Label-Version lassen sich zudem das Icon, der App-Name und das Logo auf dem Splash Screen an das Design des Unternehmens anpassen.

Ein weiterer Vorteil ist, dass die Progressive Web App im Gegensatz zu nativen Apps nicht heruntergeladen werden muss und somit keine Speicherkapazität auf dem mobilen Endgerät verbraucht wird. Die Software der Progressive Web App wird zudem automatisch aktualisiert. Außerdem spart die Verwendung der Progressive Web App Zeit, denn der Nutzername und das Passwort können gespeichert werden und verhindern so das zeitaufwändige, wiederholte Eingeben der Nutzerdaten.

Wenn Sie also von Zuhause auf dem Sofa oder in der Bahn schnell und bequem auf das Control Panel zugreifen möchten, installieren Sie sich die Progressive Web App und profitieren Sie von einer besseren Usability.

How to

1. Öffnen Sie auf Ihrem Smartphone den Internetbrowser und geben in die Adresszeile “cp.hornetsecurity.com” ein.
2. Am unteren Rand Ihres Browsers öffnet sich ein kleines Pop-Up mit der Anleitung zur Installation der Webapp.
3. Nach der Installation der Webapp auf Ihrem Homescreen öffnen Sie die App und loggen sich mit Ihren Nutzerdaten ein.

Quellen
ATP-Update – Das neue Feature Malicious Document Decryption

ATP-Update – Das neue Feature Malicious Document Decryption

Um Ransomware, Viren oder Spyware in die Systeme von Unternehmen und Organisationen einzuschleusen, sind Cyberkriminelle stets dabei neue Methoden zu entwickeln: Nun setzen sie auf eine simple, aber doch sehr effektive Vorgehensweise, wie ihre ausgelieferte Malware im Anhang einer E-Mail den Scan von Antivirenprogrammen umgehen kann. Das infizierte angehängte Dokument wird durch ein Passwort verschlüsselt, wodurch die Filtermechanismen von Antivirenprogrammen das dahinterliegende Schadprogramm nicht entdecken können.
Die aktuelle Bedrohungslage erfordert ein Update der bisherigen Filtermechanismen: „Malicious Document Decryption“ entspricht genau diesen Anforderungen.

Erst vor wenigen Wochen berichteten wir über eine „Fake-Bewerbungsmail“-Welle, die gezielt Personalabteilungen in Unternehmen anvisierte. Dahinter steckte die Ransomware GandCrab 5.2. Noch immer beobachtet das Hornetsecurity Security Lab eingehende Schad-Mails mit verschlüsselten und Malware infizierten Anhängen. Das Passwort zum Entschlüsseln der schadhaften Datei steht für den Empfänger ersichtlich im Anschreiben der E-Mail. Mit der Entschlüsselung des Anhangs wird jedoch der versteckte Virus nachgeladen und infiziert das Computersystem.

„Malicious Document Decryption“ erweitert Advanced Threat Protection nun um ein weiteres elementares Feature, um der steigenden Bedrohung durch versteckte Malware entgegenzuwirken. E-Mails mit verschlüsselten Anhängen werden auf potenzielle Passwörter analysiert, um damit den Anhang in der Sandbox zu entschlüsseln. Anschließend wird die Datei mit statischen und dynamischen Analyseverfahren gescannt sowie das Verhalten der Datei zur Laufzeit untersucht. So ist es möglich Schadsoftware in verschlüsselten Dateien zu entdecken und die entsprechenden E-Mails vor dem Eintreffen beim Empfänger zu blockieren.

Das „Malicious Document Decryption“ Feature entschlüsselt momentan alle verschlüsselten Microsoft Office-Dateitypen und wird bereits um die Entschlüsselung von PDF und Archivdateien (RAR, ZIP, usw.) erweitert.
Seit Anfang Juni ist Malicious Document Decryption im ATP-Service enthalten und bereits bei allen bestehenden ATP-Kunden aktiviert.

Blockchain einfach erklärt

Blockchain einfach erklärt

Das Thema Blockchain (deutsch: „Blockkette“) sorgt in der letzten Zeit immer wieder für Schlagzeilen. Der wohl prominenteste Vertreter hinter dieser Technologie ist die Kryptowährung Bitcoin. Doch die Einsatzmöglichkeiten sind vielseitiger und werden in Bereichen wie dem Finanz- und Versicherungswesen sowie der IT-Branche heiß diskutiert. Doch was genau ist eine Blockchain und welche Technologie steckt dahinter? In diesem Blogbeitrag gehen wir den Fragen nach und untersuchen zudem welche Vorteile die Blockchain mitbringt und in welchen Anwendungsszenarien sie eingesetzt werden kann.

Was ist eine Blockchain?

Unter einer Blockchain verstehet man eine digitale, dezentrale Datenbank zur Speicherung von Daten. Mit dieser Technologie können sogenannte Transaktionen durchgeführt, verifiziert und automatisiert werden. Transaktionen sind Datensammlungen, die in einem bestimmten Netzwerk an alle Teilnehmer – auch Knoten genannt (englisch: „Nodes“) – verteilt und anschließend in Blöcken gesammelt werden.

Der Begriff „Blockchain“ setzt sich aus den Wörtern „Block“ und „Chain“ zusammen. Dabei steht „Block“ für die Zusammenfassung gespeicherter Transaktionen und „Chain“ (deutsch: „Kette“) für eine Kette, die aus einer Aneinanderreihung mehrerer Blöcke besteht. Zusammen entsteht daraus eine „Blockkette“, die sich aus mehreren Informationsblöcken zusammensetzt und mit neuen Blöcken erweitert wird. Dabei wird der neue Block immer an den letzten Block der bisherigen Kette angehängt.

Wie funktioniert eine Blockchain?

Das Erzeugen einzelner Blöcke der Blockchain erfolgt in einem dezentralen Peer-to-Peer-Netzwerk durch das sogenannte „Mining“ (deutsch: „Schürfen“). Beim Mining werden Transaktionen mithilfe eines Konsens-Mechanismus verifiziert, validiert und anschließend zu einem Block zusammengefasst. Der so gebildete Block wird daraufhin mit der bisherigen Blockchain verkettet.

Der verbreitetste Konsensmechanismus ist der „Proof of Work“-Algorithmus. Dieser wird beispielsweise für die Bitcoin-Blockchain verwendet und stellt sicher, dass im betroffenen Netzwerk ein Konsens über eine identische Version der Blockchain herrscht. Zum Erzeugen eines neuen Blocks müssen die Miner aus einer mathematischen Funktion – der sogenannten Hashfunktion – das richtige Ergebnis einer bestimmten Zeichenkette finden. Dies geschieht durch das Eingeben verschiedener Werte in die Hashfunktion. Das Ergebnis dieser Funktion ist vorgegeben, dadurch lassen sich jedoch keine Rückschlüsse auf die enthaltenden Werte ziehen. Stimmen das vorgegebene Ergebnis und das Ergebnis aus der aufgestellten Hashfunktion überein, so wird der neu gebildete Block von allen Knoten des Netzwerkes akzeptiert und übernommen.

Die Daten einer Blockchain sind redundant und sicher, da die Daten innerhalb des Netzwerkes auf allen Knoten gespeichert werden. Somit stellt der Ausfall eines oder mehrerer Knoten keine Gefahr eines möglichen Datenverlustes dar. Daten, die sich in einer Blockchain befinden, können weder verändert noch gelöscht werden. Eine Manipulation würde dazu führen, dass alle nachfolgenden Blöcke ungültig werden.

Welche Blockchain-Arten gibt es?

Eine Blockchain unterteilt sich im Wesentlichen in drei verschiedene Arten: Public, Private und Konsortium bzw. Federated. Zusätzlich existieren noch weitere Mischformen, die in diesem Beitrag nicht behandelt werden.

Public (öffentliche) Blockchain

Bei der Public Blockchain handelt es sich um ein vollkommen dezentrales Netzwerk. Es gibt keine zentrale Zuständigkeitsverantwortung, sodass jeder an der Blockchain teilnehmen, auf alle Knoten des Netzwerkes sowie auf die darin verteilten Daten der Blockchain zugreifen kann. Bevor eine neue Transaktion einem Block hinzugefügt werden kann, muss diese von jedem Knoten verifiziert und synchronisiert werden. Deshalb ist diese Art relativ langsam und ressourcenintensiv. Die öffentliche Blockchain wird häufig bei Kryptowährungen wie Bitcoin oder Ethereum eingesetzt. Innerhalb des Netzwerkes stimmen sich alle Knoten über die Transaktionen ab. So wird entschieden, welche Transaktionen in einem neuen Block zusammengefasst und an die Kette angehängt werden.

Private Blockchain

Bei dieser Art gibt es einen Verantwortlichen, der die Blockchain betreibt und die Verifizierung der Transaktionen übernimmt. Verantwortlich kann sowohl eine Person als auch ein Unternehmen sein. Diese bestimmt außerdem, wer Aktionen wie Lesen oder Schreiben ausführen darf. Diese Art der Blockchain bietet einen höheren Datenschutz als die öffentliche Variante, verzichtet dabei jedoch auf die Grundidee der Dezentralisierung. Die private Blockchain eignet sich für Unternehmen, die ihre Daten nicht frei zugänglich machen möchten. In einem Pilot-Projekt haben Daimler und LBBW den Einsatz einer privaten Blockchain getestet, um damit ein Schuldscheindarlehen von der Initiierung über die Platzierung, die Zuteilung, den Vertragsabschluss bis hin zur Zinszahlungs- und Rückzahlungsbestätigung abzuwickeln.

Konsortium oder Federated (Föderierte) Blockchain

Diese Art ist eine Erweiterung der privaten Blockchain, bei der die Verantwortung der Blockchain auf mehrere Beteiligte ausgeweitet wird. Beispielsweise kann sich eine Gruppe von Personen oder Unternehmen die Verantwortung der Verifizierung von Transaktionen und Verteilung von Zugriffsrechten teilen.

Die Konsortium-Blockchain ist schneller als die öffentliche Variante und ist im Vergleich zur privaten Blockchain nicht auf einzelne Personen oder Unternehmen angewiesen. Da es hier mehrere Teilnehmer gibt, die sich über bevorstehende Transaktionen abstimmen müssen, werden außerdem Fehlentscheidungen, Betrugsversuche o. Ä. verhindert. Die Konsortium-Blockchain eignet sich ebenfalls für Unternehmen und wird beispielsweise in der Bankenbranche verwendet. Hier gibt es Zusammenschlüsse von mehreren Unternehmen.

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

Innerhalb dieser Zusammenschlüsse gibt es sogenannte „Smart Contracts“. So wird ein Lieferant zum Beispiel automatisch bezahlt, sobald er die richtige Liefermenge zum vereinbarten Zeitpunkt geliefert hat.

Verwendung von Blockchains in der IT-Sicherheit

Die Blockchain-Technologie ist in vielen Anwendungsszenarien einsetzbar. Im Bereich der Cyber-Security kann das Risiko vor Cyber-Angriffen durch sichere Verschlüsselungsmechanismen minimiert werden. Daten, die im Konsensmechanismus verifiziert wurden, können nachträglich nicht mehr verändert werden. Die redundante Infrastruktur einer Blockchain erhöht die Ausfallsicherheit sensibler Daten und steigert immer mehr die Nutzerakzeptanz in Unternehmen.

Weiterführende Informationen:

 

Erpresser machen Kasse – und das ganz ohne Malware

Erpresser machen Kasse – und das ganz ohne Malware

+++ Update: 773 Millionen gestohlene und veröffentlichte Online-Zugangsdaten – Sind Sie betroffen? +++

Hackern ist es gelungen, eine gigantische Zahl an Passwörtern und E-Mail-Adressen abzugreifen: Insgesamt sollen rund 773 Millionen Accounts betroffen sein, die in einem Hackerforum veröffentlicht wurden. Der Datendiebstahl wurde bekannt, nachdem der Sicherheitsforscher Troy Hunt, Betreiber der Passwort-Check-Webseite „Have I Been Pwned“ (HIBP), die Liste mit den Daten im Internet ausfindig gemacht hat. Die Auflistung der Passwörter und E-Mail-Adressen, benannt als „Collection #1“, sei so angeordnet, dass sie sich speziell für das so genannte „Credential Stuffing“ eigne. Hierbei wird ein Login-Mechanismus mit den Zugangsdaten gefüttert, der in der Lage ist, automatisiert Accounts zu hacken. Ob ein Account betroffen ist, kann auf dieser Webseite überprüft werden. Auch wenn die eigenen Konten nicht betroffen sein sollten, wird dringend empfohlen, die jeweiligen Zugangsdaten zu ändern.

Im Zuge der „Collection #1“ stellte unser Hornetsecurity Security Lab einen starken Anstieg an E-Mails fest, die die veröffentlichten Passwörter als eine Form von Erpressung nutzen. Die Aufmachung dieser E-Mails gestaltet sich folgendermaßen:

Collection 1

Abbildung 1 Darstellung der Betrugsmail

Doch die Betrugsmasche ist nicht neu, so berichteten wir bereits in einem vergangenen Blogpost über den aktuellen Sachverhalt:

Ihre Kreativität beweisen Online-Erpresser immer wieder aufs Neue. Mit einer aktuellen Spam-Welle setzen sie sogar noch einen drauf: Kriminelle versenden derzeit E-Mails, die ein echtes Passwort des Empfängers enthalten und bitten zur Kasse.

Erste Meldungen zu dieser Spam-Welle erschienen bereits Ende Juli. Heise Online stellt hier die äußerst erfolgreiche Masche vor:

In den E-Mails gibt der Erpresser an, im Besitz von angeblich existierenden Webcam-Aufnahmen des Empfängers zu sein, während dieser Seiten mit pornographischen Inhalten im Internet besucht hat. Um der Erpressung Nachdruck zu verleihen, gibt der Erpresser zudem an, das Passwort des Empfängers zu kennen.

Diese Masche ist zugegebenermaßen sehr schockierend und wird einige Empfänger zur Zahlung der geforderten Summe bewegt haben. Denn genau hier ist der Knackpunkt: Es handelt sich tatsächlich um ein echtes Passwort. Innerhalb der ersten Woche sollen schon über 50.000 US-Dollar über diese Spam-Welle eingegangen sein. Mittlerweile ist damit zu rechnen, dass die Erpresser weitaus mehr eingenommen haben.

Die E-Mail ist nach folgendem Muster aufgebaut:

„It appears that, (XX), is your password. May very well not know me and you are most likely wondering why you’re getting this e-mail, right?

In fact, I setup a viruses over the adult vids (adult porn) website and guess what, you visited this website to have fun (you really know what What i’m saying is). Whilst you were watching videos, your internet browser started out operating like a RDP (Remote Access) which provided me accessibility of your screen and webcam. after that, my software programs obtained all of your contacts from your Messenger, Outlook, FB, along with emails.

What did I do?

I produced a double-screen video clip. First part shows the video you’re watching (you have a good taste haha . . .), and Second part shows the recording of your webcam.

Exactly what should you do?

Well, I think, $1500 is really a reasonable price for our little secret. You will make the payment by Bitcoin (if you don’t know this, search “how to buy bitcoin” search engines like google). 

Bitcoin Address: 1MUCyUuh3YuqkdNbVPtTXNfJzahajctRou

(It’s case sensitive, so copy and paste it) 

Very important:

You’ve 1 day in order to make the payment. (I’ve a unique pixel in this e mail, and at this moment I am aware that you have read through this email message). If I don’t get the BitCoins, I will certainly send your video recording to all of your contacts including relatives, co-workers, and so forth. Having said that, if I get the payment, I’ll destroy the recording immidiately. If you need evidence, reply with “Yes!” and i’ll undoubtedly send your videos to your 6 contacts. It is a non-negotiable offer, that being said don’t waste my personal time and yours by answering this message.“

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

Woher kennen Erpresser mein Passwort?

Die Passwörter stammen aller Wahrscheinlichkeit nach von früheren Phishing-Attacken. Als gehackte Websites gibt heise zum Beispiel Online-Dienste wie Yahoo, LinkedIn, eBay oder YouPorn an. Auch nach unseren Informationen lässt sich vor allem LinkedIn als Passwort-Quelle bestätigen.

In den meisten Fällen handelt es sich jedoch um alte Passwörter, die von dem Empfänger nicht mehr in Gebrauch sind.

Mit hoher Wahrscheinlichkeit stammen die Passwörter aus früheren Raubzügen diverser Webdienste, die vor zwei Jahren öffentlich im Netz zugänglich waren.

Entwarnung gibt es auch zur Webcam-Aufnahme: es existiert kein Video!

Wie schütze ich mich?

Wir raten Ihnen dringend davon ab, die geforderte Zahlung zu tätigen. Ratsam ist es auch, kein Passwort mehrmals zu verwenden. Oft gelangen vertrauliche Nutzerdaten wie E-Mail-Adressen und Passwörter in die Hände Krimineller, aufgrund geringer Schutzmaßnahmen seitens der Webdienste. Verwenden Sie ein Passwort gleich für mehrere Dienste, erhalten die Erpresser damit einen Freifahrtschein für Ihre Accounts. Weiterhin sollten Sie in regelmäßigen Abständen Ihre Passwörter ändern.

Weiterführende Informationen:

Hoher E-Mail-Sicherheitsstandard durch SPF, DKIM und DMARC

Hoher E-Mail-Sicherheitsstandard durch SPF, DKIM und DMARC

Hornetsecurity bietet einen sicheren Schutz gegen Späh- und Schadsoftware in der E-Mail-Authentifizierung durch standardisierte Absenderreputationsverfahren

E-Mails gelten immer noch als das meistgenutzte Medium zur Übertragung von elektronischen Nachrichten. Sie sind kostengünstig, uneingeschränkt in der Verbreitung und bieten die Möglichkeit, Texte und Dateianhänge in Echtzeit zu verschicken bzw. zu empfangen. Doch genau diese Eigenschaften machen die E-Mail-Kommunikation so angreifbar. Cyber-Kriminelle erweitern stetig ihr Angriffs-Spektrum und entwickeln neue Strategien, um Verteidigungsmechanismen zu überwinden. Die Autorisierung erlaubter Domains mittels eines entsprechenden SPF-Records in der DNS-Zone reicht also längst nicht mehr aus, um den ankommenden E-Mail-Verkehr erfolgreich gegen Phishing und Spam zu schützen.

Aus diesem Grund wurde der E-Mail-Service von Hornetsecurity um weitere, wichtige Absenderreputationsverfahren im Kampf gegen weitverbreitete Angriffsmuster erweitert. Neben SPF werden Verfahren wie DKIM und DMARC gegen Spam,- Spoofing,- Phishing- und Malware-Attacken sowie gezielte CEO-Fraud-Angriffe eingesetzt. Damit folgt Hornetsecurity bereits seit vielen Monaten der aktuellen Empfehlung für die E-Mail-Sicherheit seitens des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sowie der Empfehlung des Bundesverbandes IT-Sicherheit (TeleTrusT) und bietet somit einen hohen Sicherheitsstandard in der E-Mail-Kommunikation.

Mit SPF, DKIM und DMARC sicher gegen Angriffe

Die Authentifizierungsverfahren SPF, DKIM und DMARC wirken im gemeinsamen Verbund als ein sicheres Instrument gegen Angriffe auf die E-Mail-Kommunikation eines Unternehmens. Im Folgenden werden die eingesetzten Standards für Absender- und Empfängerreputation vorgestellt und ihre Funktionsweisen erläutert.

Sender-Policy-Framework (SPF)
[RFC 7208]

SPF ist ein Verfahren, mit welchem nicht autorisierte Absenderadressen von Domains erkannt und die Zustellung ihrer Mails verhindert werden kann. Berechtigte Server, die im Namen einer Domain E-Mails verschicken dürfen, werden im sogenannten SPF-Record der DNS-Zone eingetragen. Bei der Zustellung einer E-Mail entnimmt der empfangene Server die Absender-Domain aus dem Envelope-Sender einer E-Mail und überprüft mit einer DNS-Abfrage, ob die Domain im SPF-Record registriert ist. Ist die Domain nicht eingetragen, so ist der Server nicht autorisiert, E-Mails im Namen der Domain zu versenden. E-Mails von nicht autorisierten Servern können beispielsweise als Spam eingestuft werden. Aufgrund unzureichender kryptografischer Sicherheitsmechanismen, die die Authentizität des Senders sicherstellen könnten, sollte SPF nicht per se als Spam- oder Phishingschutz eingesetzt werden. Denn trotz einer erfolgreichen SPF-Authentifizierung kann die Absenderadresse des Envelop-Senders im Feld Body-From verändert und somit die Absenderadresse leicht manipuliert werden.

Sender-Policy-Framework (SPF)

Domain-Keys-Identified-Mail (DKIM)
[RFC 6376]

Für einen umfangreicheren E-Mail-Schutz kann SPF mit DKIM sinnvoll ergänzt werden. Hierbei soll vor allem verhindert werden, dass Spoofer an sensible Daten herankommen. Als besonderes Merkmal zur E-Mail-Authentifizierung fügt DKIM eine digitale Signatur mit einer kryptografischen Verschlüsselung (SHA-256) zum Header der E-Mail hinzu. Die Signatur fungiert als eine Art
Fingerabdruck und muss beim Entschlüsseln den selben Hash-Wert in der Prüfsumme ergeben, wie vor dem Versand errechnet. Jede noch so kleine Änderung der Daten würde den Hash-Wert verändern und somit auf ein Eingreifen in die Nachricht während des Transports hindeuten.

Für das Entschlüsseln der Signatur sollte bereits ein Schlüsselpaar vorliegen, welches aus einem öffentlichen (public key) und einem geheimen Schlüssel (private key) besteht und zur erfolgreichen Autorisierung des sendenden Servers benötigt wird. Der öffentliche Schlüssel wird analog zum SPF-Eintrag in der DNS-Zone als TXT-Record eingetragen. Der geheime Schlüssel verbleibt ausschließlich auf dem Server, der beim Versand von E-Mails autorisiert wird.

Domain-Keys-Identified-Mail (DKIM)

Beim Autorisierungsverfahren ermittelt der empfangende Server zunächst die Absender-Domain der E-Mail und schaut anschließend nach dem Namen, unter welchem der passende öffentliche Schlüssel in der DNS-Zone der Absender-Domain zu finden ist. Bei einer erfolgreichen Signatur-Prüfung wird sichergestellt, dass der dekodierte Hashwert der ursprünglichen Prüfsumme vor dem Versand entspricht und somit die E-Mail auf dem Transportweg nicht verändert wurde.

Domain-based Message-Authentification, Reporting and Conformance (DMARC)
[RFC 7489]

 

Eine konsistente Überprüfung der Authentizität von E-Mails kann allein mittels SPF und DKIM nicht sichergestellt werden. Diese Lücke schließt das Prüfverfahren DMARC, welches die Verfahren SPF und DKIM in ihrem gemeinsamen Auftreten zu einem sicheren Prüfprozedere zur Absenderreputation vervollständigt. DMARC stellt sicher, dass die Envelope-Sender-Adresse mit der Body-From-Adresse übereinstimmt. Diese Prüfung ist wichtig, da traditionelle E-Mail-Programme lediglich die Body-From-Informationen einer E-Mail anzeigen und die tatsächlichen Absenderinformationen verborgen bleiben.

 

Weiterhin stellt DMARC gewisse Richtlinien für die Verfahren SPF und DKIM auf, die im TXT-Record einer DNS-Zone in Form von Anforderungen hinterlegt werden. Diese Richtlinien sind maßgebend für die Anweisungen zum weiteren Verfahren mit empfangenen E-Mails. So muss z. B. für SPF die Überprüfung positiv ausfallen und die Envelope-Sender-Adresse der Domain mit der im SPF-Record hinterlegten Adresse übereinstimmen. Für DKIM wird gefordert, dass die Signatur gültig ist und die genannte Domäne mit der Body-From-Adresse der Mail übereinstimmt.

Domain Based Authentification Reporting and Conformance (DMARC)

 

Werden eine oder mehrere Forderungen nicht erfüllt, so schlägt die Überprüfung negativ aus und die E-Mail kann je nach Entscheidungsmatrix in die Quarantäne verlagert (quarantine) oder abgewiesen werden (reject).

 

Weiterhin bietet DMARC die Möglichkeit, Berichte* in Formen „Aggregated Reports“ und „Failure Reports“ zu verschicken. Die Berichte können den Domain-Administrator dabei unterstützen, den eigenen E-Mail-Verkehr im Überblick zu behalten und die DNS-Einträge auf syntaktische Korrektheit zu überprüfen. Weiterhin können die Ergebnisse dazu eingesetzt werden, um weitere Systeme zu unterstützen. So kann beispielweise die ZIP-Datei eines zweifelsfrei identifizierten Absenders ohne Weiteres zugestellt werden, während diese bei nicht identifizierten Absendern in Quarantäne wandert oder abgelehnt wird. Auf diese Weise unterstützt Hornetsecurity z. B. das eigene Produkt Content Filter für eine schnelle und sichere Zustellung von E-Mails mit Anhängen.

 

*Die Übermittlung der Berichte darf nur unter Beachtung des Bundesdatenschutzgesetztes im Rahmen der Erkennung und Eingrenzung von Spam und Phishing sowie zum Schutz der Telekommunikationsanlagen und unter Wahrung des Verhältnismäßigkeitsgrundsatzes übermittelt werden. Hierbei ist ein Authentifizierungs- und Verifizierungssystem einzusetzen, um einen Missbrauch zu vermeiden.

Weitere Technologien und Verschlüsselungsverfahren im Überblick

 

Für die Verbindung mit den Servern ist das sogenannte Domain Name System (DNS) verantwortlich, mit dessen Hilfe sich Hostnamen in IP-Adressen auflösen lassen. Das Senden und Empfangen von Nachrichten an einen oder mehrere Empfänger wird mit dem User Datagram Protocol (UDP) ermöglicht. Eine Verbindung zwischen Absender und Empfänger wird dabei nicht aufgebaut und die Daten werden ohne weitere Kontrollmechanismen an den Empfänger geliefert. Folglich hat auch der Absender keine Möglichkeit festzustellen, ob seine Nachricht erfolgreich angekommen ist. Um das Sicherheitsproblem des veralteten DNS zu beheben, werden unterschiedliche Sicherheitstechniken wie TLS, DNSSEC sowie DANE eingesetzt. Im Bereich der „sicheren E-Mail-Kommunikation“ konnte sich allerdings bis jetzt kein Standard durchsetzen. Der neuste Standard heißt MTA-STS und verspricht E-Mails auf dem Transportweg vor Lauschangriffen und Manipulationen erfolgreich zu schützen.

Transport Layer Security (TLS)
[RFC 5246 ]

TLS ist ein weit verbreitetes Verschlüsselungsprotokoll, welches auf Basis des Secure Sockets Layer (SSL) weiterentwickelt und standardisiert wurde. Das TLS-Protokoll dient der Sicherstellung von Vertraulichkeit, Authentizität und Integrität bei der Übertragung von Daten in unsicheren Netzwerken. Das in zwei Ebenen unterteilte TLS-Protokoll ist ein hybrides Verschlüsselungsverfahren, welches sowohl symmetrische als auch asymmetrische Algorithmen nutzt. Das TLS Record Protocol verschlüsselt eine Ende-zu-Ende Verbindung mittels symmetrischer Algorithmen. Das TLS Handshake Protocol baut auf dem TLS Record Protokoll auf und hat die Aufgabe, Sicherheitsparameter zwischen Sender und Empfänger auszuhandeln. Verbindungen zu E-Mail-Servern können über STARTTLS eingeleitet und verschlüsselt werden. TLS wird heutzutage in vielen Anwendungen eingesetzt, in denen Daten, insbesondere Zugangsdaten, PINs und Passwörter sicher übertragen werden können. Hierzu gehören beispielsweise Anwendungen wie E-Commerce, Homebanking und E-Government.

DNSSEC (Domain Name System Security Extensions)

[RFC 4035 ]

DNSSEC ist eine Erweiterung von DNS. Diese prüft die in der DNS-Zone hinterlegten Informationen auf Echtheit und stellt sicher, dass ein Angreifer die DNS-Antworten nicht zu seinen Gunsten manipulieren kann. Mit zwei verschiedenen Schlüsseln und einer entsprechenden Signatur werden die Daten des DNS geschützt. Der Empfänger kann den Absender anhand der verwendeten Signaturen genau verifizieren. Ist die Signatur nicht gültig, blockiert der DNS-Server des Providers die Antwort. DNSSEC lässt sich nicht für jede Domain auflösen und ist deshalb weltweit nur wenig verbreitet.

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

DNS-based Authentification of Named Entities (DANE)
[RFC 6698]

Das Protokoll DANE ist eine weitere Technik, die auf DNSSEC basiert. Diese Technik erweitert den Grundschutz von TLS-Verbindungen um eine kryptografische Verknüpfung von Zertifikaten mit DNS-Namen. Dadurch soll geprüft werden, ob ein E-Mail-Server verschlüsselte Verbindungen aufbauen und authentifizieren kann. Eine Man-in-the-middle-Attacke, bei der die Nachricht zunächst auf den Server eines Angreifers gelangt, soll damit verhindert werden. Der DANE-Eintrag wird in der DNS-Zone unter einem TLSA-Record abgelegt, in welchem unterschiedliche Merkmale der jeweiligen TLS-Verbindung enthalten sind. Diese Merkmale spezifizieren das Zertifikat, welches ein Server erwarten muss, wenn dieser sich mit dem E-Mail-Dienst des jeweiligen E-Mail-Servers verbindet. Für viele Domain-Administratoren ist DANE jedoch nicht implementierbar, da nicht jede Domain per DNSSEC auflösbar ist.

SMTP MTA Strict Transport Security (MTA-STS) [RFC 8461 ]

Die Verbindungen zwischen den Servern sind bislang weitgehend ungeschützt. Damit fehlt ein wichtiger Baustein für eine sichere Transportverschlüsselung. Dieses Problem erkannten offensichtlich auch große Mailhoster wie Google, Microsoft und Verizon Media Company (Yahoo, AOL) sowie 1&1, welche sich an der Entwicklung des neuen MTA-STS -Standards beteiligen. MTA-STS soll das oft nicht realisierbare DANE sowie das weitverbreitete STARTTLS ersetzen, da die Angriffe auf die Verfahren nicht mit absoluter Sicherheit ausgeschlossen werden können. Der neue Standard verspricht einen ähnlich sicheren Standard wie bei DANE, jedoch eine wesentlich leichtere Implementierung als mit DNSSEC. Für die Nutzung des Standards können die Betreiber von E-Mail-Servern eine Policy definieren, die mittels HTTPS [RFC2818] vom sendenden Mail Transfer Agent (MTA) abgerufen werden kann. Die aktuelle Version wird durch einen TXT-Datensatz in der Policy angezeigt. Diese TXT-Datensätze enthalten zusätzlich ein ID-Feld, anhand dessen die sendende MTA die zwischengespeicherte Policy nach Aktualität prüfen kann, ohne dabei eine HTTPS-Verbindung anfordern zu müssen. Um herauszufinden, ob eine Empfängerdomäne MTA-STS implementiert, muss der Sender lediglich einen TXT-Datensatz auflösen und den TXX-Record mit dem Label „_mta-sts“, erkennen (z. B. “_mta-sts.example.com“).  Der wesentliche Unterschied zu DANE und STARTTLS ist, dass die Ergebnisse von DNS-Abfragen in einem Cache gespeichert werden, sodass Manipulationen bei späteren Verbindungsversuchen während der Vorhaltezeit mit sehr hoher Wahrscheinlichkeit aufgedeckt werden.

Fazit – Hornetsecurity bietet höchste E-Mail-Sicherheit

Aktuelle Ereignisse zeigen, dass die weitverbreiteten Sicherheitsprotokolle wie TLS allein keine sicheren Verbindungen zwischen E-Mail-Servern garantieren können. Bisherige Verbesserungen wie DANE und DNSSEC können sich u.a. aufgrund technischer Schwierigkeiten in der Umsetzung weltweit nicht flächendeckend ausdehnen.

Mit den standardisierten Absenderreputationsverfahren wie SPF, DKIM und DMARC bietet der E-Mail-Service von Hornetsecurity einen sicheren Schutz gegen Cyber-Angriffe auf die E-Mail-Kommunikation. Die vom BSI und TeleTrusT empfohlenen Standards zur sicheren E-Mail-Authentifizierung wurden bereits zuvor vollständig implementiert und finden erfolgreich Anwendung in den Hornetsecurity-Produkten wie dem Spam- sowie dem Content-Filter. Für eine sichere E-Mail-Kommunikation ist es sinnvoll auf den zusätzlichen Schutz der Inhaltsverschlüsselung mittels S/MIME (Secure / Multipurpose Internet Mail Extensions) oder PGP (Open Pretty Good Privacy) zu setzen. Die sogenannten PKI-basierten E-Mail-Verschlüsselungen stellen die Vertraulichkeit der übermittelten Nachrichten zwischen Absendern und Empfängern sicher und schützen die transportierten Daten mittels kryptografischer Verschlüsselungsmethoden. Der Hornetsecurity Verschlüsselungsservice bietet diesen Schutz direkt in der Cloud und sichert somit den Transportweg vollständig ab.

Der MTA-STS-Standard ist relativ neu und soll den Transportweg von E-Mails unter Zuhilfenahme bereits bekannter Techniken wie HTTPS besser schützen und Methoden zur Erkennung irregulärer Zugriffe bereitstellen. Die leichte Implementierung sowie die rasche Verbreitung steigern derzeit die Akzeptanz des Standards, dessen Sicherheitspotenzial momentan mehr und mehr Mail-Administratoren begeistert.

Literataur

[1] BSI – Bundesamt für Sicherheit und Technik: “E-Mail-Sicherheit” In: EMPFEHLUNG: INTERNET-DIENSTLEISTER. [online] https://www.allianz-fuer-cybersicherheit.de (abgerufen am 03.12.2018).

[2] ECO – Verband der deutschen Internetwirtschaft e. V.: “Gutachten zur Vereinbarkeit von DMARC mit dem deutschen Recht”. [online] https://www.eco.de/wp-content/blogs.dir/26/files/dmarc_rechtsgutachten.pdf (abgerufen am 03.12.2018)

[3] Heise Developer: “Internet-Protokolle, Teil 1: TCP/IP, der Grundstein für Anwendungsprotokolle”. [online] https://www.heise.de/developer/artikel/Internet-Protokolle-Teil-1-TCP-IP-der-Grundstein-fuer-Anwendungsprotokolle-2548919.html?seite=all (abgerufen am 03.12.2018)

[4] Heise Security: “Kryptographie in der IT – Empfehlungen zu Verschlüsselung und Verfahren”.[online] https://www.heise.de/security/artikel/Kryptographie-in-der-IT-Empfehlungen-zu-Verschluesselung-und-Verfahren-3221002.html?seite=all (abgerufen am 03.12.2018).

[5] IEFF – Internet Engineering Task Force: “Sender Policy Framework (SPF) for Authorizing Use of Domains in Email”, [online] https://tools.ietf.org/html/rfc7208 (abgerufen am 03.12.2018)

[6] IEFF – Internet Engineering Task Force: “Domain-based Message Authentication, Reporting, and Conformance (DMARC)”. [online] https://tools.ietf.org/html/rfc7489 (abgerufen am 03.12.2018)

[7] IEFF – Internet Engineering Task Force: “DomainKeys Identified Mail (DKIM) Signatures”. [online] https://tools.ietf.org/html/rfc6376 (abgerufen am 03.12.2018)

[8] IEFF – Internet Engineering Task Force: “SMTP MTA Strict Transport Security (MTA-STS)”. [online] https://tools.ietf.org/html/rfc8461 (abgerufen am 03.12.2018)

[9] Stefan Cink | Net at Work GmbH: “SPF, DKIM, DMARC und DANE: E-Mail-Sicherheit durch geschützte
Zustellung”. In: Management und Wissen. [online] https://www.nospamproxy.de/wp-content/uploads/E-Mail-Sicherheit-mit-Absenderreputation-durch-geschuetzte-Zustellung-Stefan-Cink.pdf (abgerufen am 03.12.2018)

[10] Sven krohlas | BFK edv-consulting GmbH: “Umverpackung. E-Mails auf dem Transportweg schützen”. [online] https://www.heise.de/select/ix/2018/12/1543727185822371 (abgerufen am 03.12.2018)

Weiterführende Informationen: