Ein auf der BlackHat Conference vorgestelltes, manipuliertes und bereits online erhältliches Apple-Lightning-Label soll einem Hacker per WLAN Zugriff auf und letztlich die Herrschaft über den Computer seines Opfers ermöglichen. Mit dem richtigen Schutz, sprich Zero Trust Network Access, ist das jedoch nicht möglich, erklärt Nathan Howe, Solutions Architekt bei Zscaler. [...]
Auf der DefCon 2019 sorgte der Auftritt des Hackers Mike Grover für Unbehagen. Er hat ein manipuliertes Apple–Lightning-Kabel erfunden, dass er bereits seit einiger Zeit in Eigenproduktion über seinen Online-Shop verkauft, nun will er es in größerem Umfang vertreiben. Unter dem Namen ‚Offensive MG‘ oder kurz ‚OMG-Kabel‘ firmiert sein Produkt.
Es sieht einem normalen Apple-Ladekabel täuschend ähnlich und ist weiterhin in der Lage, das Smartphone zu laden, um keinen Verdacht zu erregen. Gleichzeitig aber sitzt darin eine Mini-Platine mit W-Lan-Chip. Den kann ein Angreifer aus höchstens 90 Meter Entfernung anwählen, ohne vom Nutzer bemerkt zu werden. Ist das Iphone währenddessen mit einem Computer verbunden, so gibt es sich dort als Eingabegerät aus. Damit ist der Kriminelle in der Lage, auf dem Zielrechner seine Befehle auszuführen und ihn zu übernehmen. Für Unternehmen kann das gefährlich werden, da der Angreifer auf diese Weise die Identität eines Mitarbeiters übernehmen könnte, um in das Firmennetzwerk einzudringen.
Hier kommt ein zuverlässiger Zero-Trust-Ansatz ins Spiel, verbunden mit einer Cloud-Infrastruktur. Bei Zscaler liegen die Dateien in der Private Cloud, die nicht mit dem Internet verbunden ist. In der Public Cloud dagegen befinden sich Applikationen, auf die wiederrum der Mitarbeiter einen Zugriff erhalten kann. Er sieht jedoch nicht, was sich im Netzwerk sonst noch befindet, nur die Ordner, Applikationen und Daten, auf die er zugreifen darf, werden ihm angezeigt. So befindet er sich nie im eigentlichen Firmennetzwerk und sieht auch nicht, wo er sich gerade in der Cloud-Struktur aufhält. Seitliche Bewegungen eines Angreifers, der von Datei zu Datei und Server zu Server springt, werden dadurch ausgeschlossen.
Hinzu kommt, dass jede Identität einen Zugriff nur gesondert für jede Applikation und jede Ordnerstruktur erhält. So wird genau und einzeln definiert, welcher Mitarbeiter, welche Daten sehen und was er damit anstellen darf. Er bekommt keinen universellen Zugriff. Stattdessen kann jederzeit ein Zugang entfernt, ein anderer gewährt werden. Außerdem wird dieser Zugriff jedes Mal aufs Neue verifiziert, sei es über ein Passwort, biometrische Tests und andere Möglichkeiten. Das Konzept dahinter lautet Zero Trust Network Access (ZTNA). Im Zusammenspielt mit einer starken Mikro-Segmentierung werden die Rolle jeder einzelnen Person genau festgelegt und die Applikationen voneinander getrennt.
Ein Angreifer, der über das OMG-Kabel also den Computer, Laptop oder das Smartphone eines Mitarbeiters aus der Ferne übernimmt, kann höchstens – falls er die Verifizierung übersteht, weil er beispielsweise auch das Passwort gestohlen hat – all das sehen, was dieser Identität erlaubt ist – und mit den sichtbaren Applikationen auch nur das tun, was dieser Identität erlaubt ist. Was darüber hinaus geht, bleibt ihm verborgen.
*Nathan Howe ist Solutions Architekt bei Zscaler.
Be the first to comment