Domino Internet Security Neue Standards für Domino. Stefan Dötsch Stuttgart 7. Mai 2015

Transkript

1 Domino Internet Security Neue Standards für Domino Stefan Dötsch Stuttgart 7. Mai 2015

2 Erwartungen schärfen! Wir reden nicht: - über Poodle (und TLS) - über IHS für Domino - Politik! Wir versuchen Awareness für ein relevantes und kritisches Thema zu schaffen, welches sich auch arbeitsrechtlich auswirken kann. Dabei versuchen wir, Ihnen (technische) Hilfestellungen mit auf den Weg zu geben, die aber nur einen BRUCHTEIL der Aspekte abdecken. Seite 2

3 Background PHARMA, MILITÄR, UVM. Sonstige Typische Industrie Finanzdienstleister Seite 3

4 Agenda Awareness Sensibilisierung für das Thema Einführung Begriffsdefinition, Richtlinien und gesetzliche Vorgaben Das Skriptkiddie greift an Ein kleines Szenario Tipps und Tricks Wie können wir Domino härten? Was sollten wir organisatorisch tun? Abschlussdiskussion Fragen & Antworten Seite 4

5 Awareness Seite 5

6 Awareness Hacker-Soldaten aus China, Russland, Iran, kriminelle Banden aus Osteuropa und Asien sie alle sind auf der Suche nach nützlichen Informationen, mit dem Ziel, deutsche Produkte zu kopieren. Seien es Hightech-Produkte wie Medikamente oder Rüstungstechnik tagtäglich fließt deutsches Know-how, der wertvollste Rohstoff der Bundesrepublik, ab. Zeit.de Mehr als ein Drittel der Firmen mit mehr als 1000 Beschäftigten meldete dabei mehrere Angriffe pro Woche. taz.de Seite 6

7 Awareness Die Schäden die durch Cyberkriminalität entstehen, werden auf über 100 Milliarden Euro beziffert. In aller Regel sind die Administratoren nicht nur für den Betrieb, sondern auch die damit verbundene Sicherheit verantwortlich. In den wenigsten Fällen gibt es Unternehmen, die dedizierte Security Teams führen. Seite 7

8 Schadensfall als warnendes Beispiel Der US Handelskette Target wurden im letzten Jahr Kundendaten gestohlen. Kundendaten? Name, Vorname, Adressdaten UND Kreditkarten Daten. Schaden 26 Millionen Dollar, weitere 8 Millionen wurden durch eine Versicherung übernommen. Der Umsatz fiel um 16 Prozent, um 418 Millionen Dollar. Die Expansion in Kanada lief aus dem Ruder. Seite 8

9 Eine persönliche Anekdote.. Ich bin seit Jahren (zahlender) SKY Kunde bin ich umgezogen, habe unter anderem auch eine neue Telefonnummer erhalten. Im gleichen Jahr wurden SKY Kundendaten gestohlen, darunter auch meine. Was darauf folgte? - Ich gewann plötzlich bei diversen Gewinnspielen. Die Anbieter hatten unter anderem ja bereits meine Adressdaten. - Spezielle Angebote per Mail. Darunter ein extrem guter Phising Versuch. Ich bekam neue Telefonnummern, wechselte meine Mail Adresse und habe heute noch ein extrem merkwürdiges Gefühl. Evtl. bin ich auch leicht Paranoid. Seite 9

10 Agenda Awareness Sensibilisierung für das Thema Einführung Begriffsdefinition, Richtlinien und gesetzliche Vorgaben Das Skriptkiddie greift an Ein kleines Szenario Tipps und Tricks Wie können wir Domino härten? Was sollten wir organisatorisch tun? Abschlussdiskussion Fragen & Antworten Seite 10

11 Fakten [ ] Zudem sind diese Betreiber aus den Branchen Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie aus dem Finanz- und Versicherungswesen verpflichtet, "erhebliche Störungen" ihrer Systeme an das Bundesamt für Sicherheit in der Informationstechnik zu melden (Paragraf 8b). [ ] Seite 11

12 Fakten Die Anbieter sollen stattdessen durch technische und organisatorische Vorkehrungen sicherstellen, dass "kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist". Dies soll auch durch die "Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens" erreicht werden. Seite 12

13 Kennen Sie Ihren Feind! Cyber-Aktivisten: Wollen in der Regel auf einen Missstand aufmerksam machen. Bsp.: Hackergruppe Anonymous legte weltweit politische Webseiten lahm und veränderte teilweise die Inhalte um auf den Missstand des ACTA Abkommens hinzuweisen. Cyber-Kriminelle: Versuchen mithilfe Informationstechnik auf illegalem Weg Geld zu verdienen. Bsp.: Phishing via BND Trojaner. Wirtschaftsspione und Nachrichtendienste: Informationsbeschaffung von Organisationen. Seite 13

14 Arten von Cyber-Angriffen Angriffe auf die Vertraulichkeit Täter versuchen Informationen auszuspionieren indem Sie abhören oder gelöschte Daten wiederherstellen. Angriffe auf die Integrität Manipulation von Informationen, Systemen, Software oder Personen. Angriffe auf die Verfügbarkeit Die Täter versuchen die System zu sabotieren. Seite 14

15 Warum sind Cyber-Angriffe möglich? Schwachstellen in der Software Design Schwachstellen Konfigurationsschwachstellen Menschliche Fehlhandlung Seite 15

16 Begünstigende Faktoren Insgesamt wird der Erfolg von Cyber-Angriffen vor allem durch folgende Faktoren begünstigt: In vielen Fällen nutzen Täter technische Schwachstellen aus, bevor sie öffentlich bekannt werden ( Zero Day ). Programme, die solche neuen Schwachstellen ausnutzen ( Exploits ), werden auf Untergrundmarktplätzen gehandelt. In dem Zeitraum zwischen dem Bekanntwerden einer Schwachstelle und dem Erscheinen eines entsprechenden Patches sind viele betroffene Systeme ungeschützt. Workarounds sind oft unbequem oder können aus organisatorischen Gründen nur schwer umgesetzt werden. Seite 16

17 Begünstigende Faktoren Neu veröffentlichte Updates und Patches werden bei vielen Institutionen erst nach Tagen, Wochen oder überhaupt nicht eingespielt. Dies kann zum Beispiel an mangelnden Ressourcen, organisatorischen Problemen oder an Inkompatibilitäten zwischen verschiedenen Komponenten liegen. Informationstechnik und die damit verbundenen Sicherheitsaspekte sind heute so komplex, dass viele Benutzer trotz Sensibilisierung und Schulung mit der Einhaltung der Sicherheitsrichtlinien überfordert sind. Seite 17

18 Agenda Awareness Sensibilisierung für das Thema Einführung Begriffsdefinition, Richtlinien und gesetzliche Vorgaben Das Skriptkiddie greift an Ein kleines Szenario Tipps und Tricks Wie können wir Domino härten? Was sollten wir organisatorisch tun? Abschlussdiskussion Fragen & Antworten Seite 18

19 Notes Database Jeder Query String kann mit einem? oder einem! angegeben werden. Mit Intruder Detection Systems können Sie so überprüfen, ob ein Anonymer Zugriff möglich ist. Weitere Strings sind: OpenServer, OpenNavigator, ReadEntries, OpenView, ReadViewEntries, OpenDocument, EditDocument, CreateDocument, DeleteDocument, SaveDocument, ReadDesign, OpenForm, ReadForm, OpenAgent, SearchView, OpenIcon, OpenAbout and OpenHelp Seite 19

20 Query OpenServer Dieses Kommando listet alle Datenbanken auf einem Domino Server auf. Dies liefert dem Angreifer Informationen darüber, ob sich sensible Datenbanken auf einem System befinden. Bsp crm.nsf Im Default ist database browsing DEAKTIVIERT und man erhält einen 403 Forbidden response. Ist es aktiv, so deaktiveren Sie Allow HTTP Clients to browse databases in der Serverkonfiguration. Seite 20

21 Query OpenNavigator Jede Datenbank enthält eine default Navigation $defaultnav. Die Navigation zeigt alle sichtbaren Views und Folders. Wird dies mit dem OpenNavigator Kommando kombiniert, wird ein Sicherheitsloch sichtbar. Der IBM Vorschlag sieht vor einen redirect vorzunehmen */*.nsf$defaultnav zb zu /. Seite 21

22 Query OpenNavigator Jedoch können wir dies umgehen in dem wir zum Beispiel mit der Replik ID arbeiten. oder wir substituieren ein Zeichen mit Hexcode als Äquivalent Seite 22

23 Query OpenNavigator Besser ist es 8 mappings zu erstellen */%24D* */%24d* */%24%64* */%24%44* */$d* */$D* */$%64* */$%44* Seite 23

24 Query ReadEntries Dies zeigt eine XML Liste aller verfügbaren Views. Diese XML Liste enthält neben der UNID auch den Namen der View. Liefert etwas mehr Informationen als der Angriff über den default Navigator. Der einzig sinnvolle Schutz ist es, eine saubere ACL zu haben. Wir können hier keinen redirect machen, da wir ansonsten ReadForm usw. ebenfalls ausgrenzen. Seite 24

25 Query Unkritische Queries Das Kommando öffnet schlichtweg eine View und stellt erstmal kein Problem dar. Der ReadViewEntries gibt ähnlich wie ReadEntries die Einträge in einer XML Liste aus. Listet die Struktur der View in einer XML Datei auf. Seite 25

26 Query Dokumentenebene Öffnet das Dokumente im Lesezugriff. Sind die ACL sauber definiert, haben Sie nichts zu befürchten. Wenn nicht erhält der Angreifer ein HTML Form welches er editieren kann. Die HTML Seite kann gespeichert und editiert werden. So kann z.b. ein Feld beschrieben werden, welches nicht per Web editierbar ist. SaveDocument, DeleteDocument & CreateDocument Seite 26

27 Query Spezielle Datenbank Objekte Zeigt das Icon der Datenbank Die $help beschreibt wie die Datenbank zu nutzen ist. Öffnet die about. Öffnet das erste Dokument in einer Datenbank Öffnet die erste gefundene Maske. Seite 27

28 Das Skriptkiddie greift an Objekte in einer Datenbank haben unter anderen UNIDs, diese sind 32 Zeichen lang. 6dbb9dd80256a6633 Öffnet als Bsp die View mit der UNID 0a89ad99ad8b caf0 und das Dokument mit der UNID b945c60966dbb9dd80256a6633 Alternativ können wir Objekte mit der NoteID öffnen. Als Bsp. hat die obige View die Note ID 123. Jede View egal ob versteckt oder sichtbar, beginnt mit 0x11A und ist dabei inkrementell mit 4 hoppern. (Dez usw) So können wir als Bsp mit usw. nach Views suchen. Seite 28

29 Das Skriptkiddie greift an Existiert die NoteID erhalten wir die Seite. Existiert die NoteID nicht, so erhalten wir Invalid or nonexistent document Handelt es sich um einen Agent erhalten wir Unknown Command Exception. Gehen wir alle NoteIDs von 0X11A bis 0xFFF durch, haben wir alle versteckten und sichtbaren Views, Agent, Forms und spezielle Objekte. Seite 29

30 Das Skriptkiddie greift an Da auch Dokumente eine NoteID haben können wir mit ReadViewEntries diese herausfinden. Wir erhalten nun eine XML Liste alle enthaltenen Dokumente in dieser View. Sie können in JEDER View das Dokument einer anderen View öffnen. Als Beispiel.: enhält NoteID 8E3. Wir können nun das Dokument aus der View in der $Alarms öffnen Wir können in einer View alle Dokumente anzeigen lassen (0x8F6 inkrementell mit 4 Hoppern ) -> Arbeiten Sie mit Leser und Authorenfeldern. Seite 30

31 Zwischenfazit Ein völlig plumper Angriff auf unser System, mit einfachsten Mittelnm kann verehrende Folgen haben. In diesem Beispiel konnte der Angreifer Daten auslesen und ggf. manipulieren. Wir müssen mit einer hohen Sensibilität arbeiten, um unsere Systeme zu schützen. Seite 31

32 webadmin.nsf und ntf Bitte löschen Sie diese Dateien noch heute! Seite 32

33 Agenda Awareness Sensibilisierung für das Thema Einführung Begriffsdefinition, Richtlinien und gesetzliche Vorgaben Das Skriptkiddie greift an Ein kleines Szenario Tipps und Tricks Wie können wir Domino härten? Was sollten wir organisatorisch tun? Abschlussdiskussion Fragen & Antworten Seite 33

34 Oberflächliches Sicherheitskonzept Verschlüsselung Monitoring Design Review Virenschutz Security Issues Patching Seite 34

35 Virenschutz Gibt es einen Virenschutz für OS UND Domino? Sinnvollerweise mit einer Mehrstufigkeit. Viele glauben das ein Virenschutz beim SMTP Gateway ausreicht. Traveler? Bekannteste Domino AntiViren Lösungen GBS iq.suite Watchdog und TrendMicro Seite 35

36 Überwachung Gibt es ein Überwachungskonzept (Nicht nur Nagios für OS!) Sind alle wichtigen Protokolldatenbanken angelegt? Wurden auf Protokolldateien restriktive Zugriffsrechte vergeben? Gibt es in der events4.nsf Überwachungsregeln? Bei folgenden sollte zumindest eine Abstimmung mit dem Betriebsrat erfolgen. Nachrichtenverfolgung aktiv? Subject Logging aktiv? Am besten eine Überwachungslösung wie Greenlight oder GSX Monitor. Seite 36

37 Verschlüsselung....mit Domino Schulen Sie Ihre Anwender hinsichtlich Nachrichten Verschlüsselung! Verschlüsseln Sie die Netzwerkports zwischen Notes und Domino. Nutzen Sie SSL für sämtliche (auch internen!) Internetprotokolle. POP3, IMAP, HTTP, LDAP.. Verschlüsseln Sie Felder, Dokumente und Datenbanken! Seite 37

38 Interprotokoll Verschlüsselung Seite 38

39 Verschlüsselung Denken Sie bitte daran, dass gerade im Umgang mit externen Partnern eine Verschlüsselung von Mails relevant ist. Transport Verschlüsselung (TLS!) Mail Verschlüsselung Anhang Verschlüsselung PDF Verschlüsselung Seite 39

40 Security Issues und Patching Abonnieren Sie die IBM News! Seite 40

41 ACL, signieren und Admin Server -default- sollte keinen Zugriff auf Datenbanken haben! -anonymous- sollte enthalten sein! Rollenkonzepte für Domino Anwendungen sollten identisch und transparent sein. Seite 41

42 SMTP Befehle Deaktivieren Sie gefährliche Befehle wie VRFY und EXPN Die dunkle Seite von VRFY VRFY doetsch 250 VRFY engel 250 Seite 42

43 Einfache Dinge....die wir tun können Server und Zertifizierer-IDs Mehrfachkennwörter zuweisen. USER.ID Vorgabe für die Komplexität von Kennwörtern, Policy für Password Change, ID Vault. Internet Kennwörter Abgleich zwischen Notes und Internet Kennwort empfohlen. Seite 43

44 Sitzungsbasis Stellen Sie die Sitzungsbasis Ihrer Web Server um. Namens und Kennwortauthentifizerung auf Sitzungsbasis Kennwort und Benutzer werden nur bei ersten Anmeldungen gesendet. Es wird ein Cookie verwendet um den Benutzer zu identifizieren Ist auf einen Browser limitiert. Automatische Abmeldung. Anzahl der Benutzersitzungen limitieren. Serverübergreifen sitzungsbasierte Authentifizierung. Seite 44

45 Datenbank für Web disabeln Prüfen Sie ob auf Datenbanken per Browser zugegriffen wird. Seite 45

46 Deaktivieren Sie alle ciphr suites. Seite 46

47 Internet Lockout Wenn Sie diese noch nicht haben, erstellen Sie die inetlockout.nsf auf Ihrem WebServer. Seite 47

48 Neuverhandlung SSL Unterbinden Sie Neuverhandlung des SSL Handshakes, welche man in the the middle Angriffe ermöglicht. SSL_Disable_Renegotiate=1 Seite 48

49 Beschränkungsebene Gilt für die alle Interprotokolle (HTTP, LDAP, IMAP, POP3) Im Serverdokument Reiter Sicherheit Internetzugriff Internet Auth. Weniger Namensmöglichkeiten mit höherer Sicherheit DN, CN, CN mit Präfix, UID, Mail oder Aliasname Ansonsten gelten darüber hinaus folgende Felder Nachname, Vorname und UID Seite 49

50 Versionsinformation Versionsinformation für SMTP, POP und IMAP ausschalten! SMTPGREETING=<HIER IHR TEXT> POP3GREETING=<HIER IHR TEXT> IMAP: Serverkonfig IMAP Konfig Advanced IMAP UND IMAP SSL Greeting UND IMAP SSL redirect greeting Seite 50

51 cookies over HTTP Schalten Sie in der Basic/Token Configuration die Restrict use of the SSO token to HTTP/HTTPS ein. Damit wird das cookie über HTTP/S transferiert, dies unterbindet den böswilligen Eingriff von clientseitigem JavaScript. Seite 51

52 Schränken Sie die Directory Replikation ein. Verwenden Sie, in der DMZ, inotes oder Server zur SMTP Authentifizierung (typischerweise bei IRONPORTS), so arbeiten Sie mit sekundären Verzeichnissen und multiplen DOMINO Domänen. Übernehmen Sie nur die relevanten Felddaten z.b. mittels Replizierformel. Seite 52

53 Agenda Awareness Sensibilisierung für das Thema Einführung Begriffsdefinition, Richtlinien und gesetzliche Vorgaben Tipps und Tricks Wie können wir Domino härten? Was sollten wir organisatorisch tun? Abschlussdiskussion Fragen & Antworten Seite 53

54 Agenda - wie geht s weiter Agenda muss am Tag vorher noch aktualisiert werden Seite 54